等保2.0的概念
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。以1.0的规范为基础,等级保护标准以积极的防御为重点,由被动的防御发展为安全可信、动态感知和全过程的事前、事中和事后的全过程的全方位的审核,从而达到对传统的信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工控信息系统的等级保护目标的覆盖。
实施原则
根据《信息系统安全等级保护实施指南》精神,明确了以下基本原则:
自主保护原则:信息系统的运行和使用单位及其主管机关,根据国家有关法律、规范,决定信息系统的安全防护水平,并自行组织执行。
重点保护原则:按照信息系统的重要性和业务特征,对信息系统进行不同的安全防护,对涉及到核心业务和重要信息资产的信息系统进行优先保护。
同步建设原则:在新建、改建和扩建信息系统时,要对安全计划进行相应的规划和设计,并按一定的比例进行信息安全设施的建设,保证信息的安全性符合信息化建设的需要。
动态调节原则:根据信息系统的变动,及时地对安全防护措施进行调整。如果因为信息系统的应用类型、范围等条件发生了改变,而导致的安全防护级别发生了变化,那么,要按照等级保护的管理规范以及技术标准的规定,对信息系统的安全保护级别进行重新界定,并在此基础上,按照信息系统的安全保护级别的调整,对其进行再一次的执行。
等保2.0不变之处
1、5个等级不变
从一至五个层次依次为:使用者自治保护水平、指导保护水平、监督保护水平、强制保护水平和监视保护水平。
2、规定动作不变
规定动作包括:分级,备案,建设整改,等级评定,督导检查。
3、主体职责不变
等级保护的主要责任包括:网安部门负责受理分级目标的登记和监督检查;第三方测评机构负责定级目标的安全评价;上级主管部门负责下级单位的安全管理;运营使用单位负责定级目标的等级保护责任。
2.0与1.0变化之处
1、名称变化
《信息系统安全等级保护基本要求》 改为:《网络安全等级保护基本要求》,与《网络安全法》保持一致。
2、定级对象变化
随着等保2.0的到来,将保护目标由传统的网络与信息系统拓展到“云移物工大”,将基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公共服务平台等都纳入到了等级保护的范畴之中。
3、安全要求变化
等保2.0从单一的基础需求演化为“一般安全需求+新技术安全拓展需求”,其中“安全通用需求”是指无论何种级别保护对象形式都要满足的需求,特别适用于云计算、移动互联、物联网、工控等领域。
4、控制措施分类结构变化
“一个中心,三级保护”的理念,在“等保2.0”管控措施分级结构上进行了调整。在此基础上,提出了安全物理环境,安全通讯网络,安全域边界,安全计算环境,安全管理中心等内容。管理方面的内容作了修改:安全管理体系,安全组织,安全人员,安全施工管理,安全运行管理。
5、工作内涵变化
等保2.0,不仅对1.0时期的定级、备案、安全建设、等级测评、监督检查等做了进一步的界定,更重要的是,要将安全检测、通报预警、案事件调查等措施,都纳入到等级保护体系中,并予以执行。
实施等保2.0原因
由于等保1.0缺少对大数据、云计算、物联网等新技术、新应用的分级保护规范;在风险评估、安全监控、通报和预警等工作以及政策、标准、测试、技术与服务等方面也存在不足。为满足云计算、物联网、移动互联、工业控制等领域的新技术发展需求,在公安部的指导下,启动了信息技术新领域等级保护重点标准的申报工作,标志着等级保护正式进入2.0时代。
等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。
网络安全等级保护注意事项
1、等级测评并非安全认证
在许多人看来,等保测试就像是网络安全认证一样,但是,现在的等级保护测试,是由公安部委托的上百家测试机构,对一个信息系统进行安全测试,测试合格后,会发出一份《等级保护测评报告》,如果你能得到一份测试报告,那就说明这个信息系统已经达到了等级保护的标准。
2、过等保不能一劳永逸
通过测试和修正,以及实施分级保障体系,可以有效地避免大多数的安全隐患。但是从现有的测试情况来看,所有测试的系统都不能完全达到安全保护的要求。一般来说,在现在的等级保护测试中,只要没有被检测出高风险,就能通过考核。然而,安全是一种动态的、不是静态的,不能只靠一次评估就能解决。企业在实施了等保安全规定后,通过对各种安全管理制度的严格执行,基本上可以保证整个体系的安全、稳定地运转。不过,这也不是百分之百的安全。
3、内网系统也需要做等级测评
首先,一切不涉及机密的系统,都是有级别保护的,不管你是在外网,还是在内网上。《网络安全法》明确了中华人民共和国境内建立、运行、维护和使用的计算机网络和信息系统的分级保护。所以,无论是内部网,还是外部网,都必须满足级别保护的安全需求。
其次,内网系统的安全防护措施常常做得不好,而且很多系统都受到了严重的干扰。2017年,“永恒之蓝”勒索病毒在世界范围内肆虐,造成多个内网系统瘫痪,给我们敲响了警钟。因此,不管是内网,还是外网,都要做好防护措施。
4、系统上云或者托管在其他地方也需做等级测评
现在,更多的小公司用户更倾向于在云计算和 IDC机房中部署自己的系统。这些云计算平台, IDC机房一般都是经过等级测试的。但是,按照“谁经营谁负责,谁使用谁负责”的原则,系统的责任主体依然是网络运营者本身,因此,它必须对网络安全负有一定的责任。
5、谨慎定级
当前,将等级保护对象(信息系统)的安全等级划分为5个级别:1是最低级的,5是最高级的(5级是预留的,市场上已经评定的等级为4级)。如果是1级,那就不用测试了,直接保护就行。如果是2级以上,那就要做等级测试了。确定系统层次必须基于其重要程度来确定。如果把价格定得太高,就会导致投资浪费;如果设定得太低,就会导致关键资讯系统无法得到适当的保护,因此,评级时应谨慎。
等保1.0的要求为:自行定级,有主管部门的,由主管部门审核,最后上报公安机关。2.0版的定级程序,增加了“专家评审”、“上级审批”两个步骤,使定级工作更加标准化、准确性更高。
6、系统备案场所
根据《信息安全等级保护管理办法》,对信息系统的运行和使用单位进行了分级保护。通常情况下,注册的主体不是开发商,也不是系统集成商,而是终端使用者。目前,一些企业的登记地和经营地并不是同一个地方,一般都是要到当地网安部门进行备案的。
一些企业的云系统是在云计算平台上部署的,其真实的物理地址常常与运营商所处的位置不同,这就给企业带来了很大困难。此外,一些单位的运营队伍与登记的营业地址也不尽相同。如果是这样的话,应该在系统管理员所在的城市网安部门注册,这样才能更好地监督系统。
所以,更多的时候,还是要去运维那里登记一下。当然,对于某些特定的产业,也会有一定的要求,像是某些涉及到金融安全的领域,例如互联网金融系统、支付系统等,都需要在注册地进行定级备案,才能符合当地的监管要求。
7、等保测评按需选择
这项花费多大的成本,这要看你的信息系统级别,目前的系统安全保护情况,和运营商对评价得分的期望。
主要包括:完善安全体系,安全加固等安全服务,增加安全设备。在安全制度和安全加固方面,网络运营者可以自行进行大量的整改工作,也可以委托系统集成方对其进行加固,一般情况下,这些都不是要另外付费的,也不是你跟系统集成方的合同里有协议的,只要把这两部分处理好,再加上一些安全技术措施,基本就能达成基本一致的结论。因此,花费多少取决于你如何做或你对它的期望。