網(wǎng)絡(luò)安全等級(jí)保護(hù)制度從2007年實(shí)施到現(xiàn)在���,已經(jīng)走過(guò)十一年���。從最初的等保1.0時(shí)代跨入等保2.0時(shí)代,制度發(fā)生了突破性的進(jìn)展���,不僅體系發(fā)生了大升級(jí)��,該標(biāo)準(zhǔn)制度也上升為法律��,變得空前重要��。尤其在移動(dòng)互聯(lián)���、云計(jì)算����、物聯(lián)網(wǎng)等新的業(yè)務(wù)環(huán)境均提供安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)�。
這套制度標(biāo)準(zhǔn)的實(shí)施為信息系統(tǒng)安全開(kāi)辟了一條可落地可操作的道路。不僅為各信息系統(tǒng)提供體系化的指導(dǎo)����,根據(jù)各自責(zé)任落實(shí)相應(yīng)技術(shù)措施,避免安全工作的不作為��、或亂作為�;同時(shí)為落實(shí)信息系統(tǒng)安全工作提供方向和依據(jù),明確法律法規(guī)要求��,讓安全工作有法可依���;還致力于落實(shí)保障個(gè)人信息、資金等安全���,為個(gè)人隱私提供保護(hù)傘�����。
一�、跨入2.0時(shí)代,發(fā)生的顯著變化
1.標(biāo)準(zhǔn)的命名發(fā)生變化:等保2.0將原來(lái)的標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》����,與《網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致。
2.擴(kuò)展需求的增加:為了配合《網(wǎng)絡(luò)安全法》的實(shí)施����,同時(shí)適應(yīng)移動(dòng)互聯(lián)、云計(jì)算���、大數(shù)據(jù)�、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)����、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展,新標(biāo)準(zhǔn)針對(duì)共性安全保護(hù)需求提出安全通用要求�����,針對(duì)移動(dòng)互聯(lián)、云計(jì)算���、大數(shù)據(jù)��、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)���、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全擴(kuò)展要求,形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)���。調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求�����、云計(jì)算安全擴(kuò)展要求��、移動(dòng)互聯(lián)安全擴(kuò)展要求���、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。
3.安全通用要求控制域發(fā)生變化:等保2.0由舊標(biāo)準(zhǔn)的10個(gè)分類(lèi)調(diào)整為8個(gè)分類(lèi)�,分別為技術(shù)部分:物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全����、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全���;管理部分:安全策略和管理制度�、安全管理機(jī)構(gòu)和人員�����、安全建設(shè)管理�、安全運(yùn)維管理。
4.定級(jí)對(duì)象的擴(kuò)展:
5.定級(jí)矩陣的變化:加重了對(duì)公民�����、法人和其他組織的合法權(quán)益這一侵害客體的侵害程度定級(jí)���,其中特別嚴(yán)重?fù)p害由過(guò)去的第二級(jí)升級(jí)為第三級(jí)�。
等保2.0
二��、當(dāng)前認(rèn)知誤區(qū)
盡管等保制度早就成為網(wǎng)絡(luò)安全領(lǐng)域里的標(biāo)準(zhǔn)法規(guī)��,但對(duì)于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的仍難免存在一些認(rèn)識(shí)誤區(qū)���,今天我們也一一梳理如下:
1.信息系統(tǒng)物理隔離就不用落實(shí)等保工作�。這是最常見(jiàn)的誤區(qū),所有信息系統(tǒng)都要落實(shí)��,即使物理隔離的信息系統(tǒng)也要落實(shí)等保工作��。一般物理隔離的信息系統(tǒng)��,都是因?yàn)橹匾鸥綦x��,定級(jí)會(huì)比較高���,反而是等保工作的重點(diǎn)����。
2.企業(yè)信息系統(tǒng)癱瘓只影響企業(yè)利益�����,等保定級(jí)可以比較低��。等保定級(jí)一般分系統(tǒng)服務(wù)安全和業(yè)務(wù)信息安全兩個(gè)維度����,企業(yè)大多數(shù)系統(tǒng)服務(wù)受破壞只影響企業(yè)業(yè)務(wù),定級(jí)要求不高�����。但是涉及公民個(gè)人信息的企業(yè)��,業(yè)務(wù)信息安全就相對(duì)較高�����。特別是近幾年數(shù)據(jù)共享��,數(shù)據(jù)價(jià)值越來(lái)越被重視��,企業(yè)手中數(shù)據(jù)越來(lái)越多����,帶來(lái)的安全責(zé)任當(dāng)然也是越來(lái)越大。
3.信息系統(tǒng)上云就安全了���。很多單位認(rèn)為網(wǎng)站和信息系統(tǒng)上云后就安全了����,等保不用做了���。信息系統(tǒng)是否上云���,安全責(zé)任主體都不會(huì)變����。各類(lèi)云平臺(tái)只提供平臺(tái)和簡(jiǎn)單的安全措施����,安全責(zé)任主體單位還是要按等保要求落實(shí)相應(yīng)的安全工作,只是物理和環(huán)境安全等部分安全工作由云平臺(tái)承擔(dān)����。
三、數(shù)據(jù)成為核心保護(hù)內(nèi)容
隨著數(shù)據(jù)價(jià)值的最大化釋放��,我們逐漸認(rèn)識(shí)到:數(shù)據(jù)是等級(jí)保護(hù)安全建設(shè)的核心內(nèi)容����,物理環(huán)境、網(wǎng)絡(luò)通信�、設(shè)備計(jì)算、應(yīng)用安全是數(shù)據(jù)前四道防線����,圍繞數(shù)據(jù)、人����、平臺(tái)�����、管理制度是未來(lái)網(wǎng)絡(luò)安全主動(dòng)防御體系的發(fā)展方向����。
前面我們也提到����,等保2.0補(bǔ)充提出了五項(xiàng)安全擴(kuò)展要求:云計(jì)算安全�、移動(dòng)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全���、大數(shù)據(jù)安全和工業(yè)控制系統(tǒng)安全�����。由原來(lái)的物理安全��、網(wǎng)絡(luò)安全��、主機(jī)安全�����、應(yīng)用安全�����、數(shù)據(jù)安全及恢復(fù)�,調(diào)整為四個(gè)部分:物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全����、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全���。而安華金和當(dāng)前全線數(shù)據(jù)庫(kù)安全產(chǎn)品能夠全面對(duì)標(biāo)等保2.0��。
舉例來(lái)說(shuō)�,等保分五級(jí)���,明確指出了五個(gè)規(guī)定動(dòng)作:定級(jí)�����、備案�、建設(shè)、測(cè)評(píng)�、監(jiān)督,測(cè)評(píng)是通過(guò)訪談�、現(xiàn)場(chǎng)檢查、測(cè)試三種方式�,數(shù)據(jù)庫(kù)安全的測(cè)評(píng)指標(biāo)來(lái)自于“主機(jī)安全”和“數(shù)據(jù)安全及恢復(fù)”,面向中國(guó)所有非涉密信息系統(tǒng)�����,都要按照等級(jí)保護(hù)進(jìn)行建設(shè)��。
一般等級(jí)保護(hù)二級(jí)以上系統(tǒng)主要集中在黨�����、政�、央企�����、金融��、能源、通信��、鐵路等行業(yè)里�。安華金和的數(shù)據(jù)庫(kù)漏掃納入多個(gè)國(guó)家及行業(yè)等保工具箱,安華金和的數(shù)據(jù)庫(kù)審計(jì)是等保二�����、三級(jí)必選�,數(shù)據(jù)庫(kù)加密和數(shù)據(jù)庫(kù)防火墻已參與上百家等、分保項(xiàng)目�����。
其中��,等保四級(jí)是結(jié)構(gòu)化保護(hù)級(jí)����,公安機(jī)關(guān)每半年檢查一次,要求在第三級(jí)自主和強(qiáng)制訪問(wèn)控制擴(kuò)展到所有主體與客體之外��,還要考慮隱蔽通道���,可信計(jì)算基結(jié)構(gòu)化���,增強(qiáng)鑒別機(jī)制和配置管理控制�����,具有相當(dāng)?shù)目節(jié)B透能力����,數(shù)據(jù)保密性提出數(shù)據(jù)庫(kù)系統(tǒng)提供加密存儲(chǔ)機(jī)制��,安華金和的數(shù)據(jù)庫(kù)加密系統(tǒng)可以應(yīng)對(duì)該項(xiàng)等保測(cè)評(píng)要求�����。
面對(duì)當(dāng)前的等保形勢(shì),9月26-28日�����,安華金和應(yīng)邀參加由青島網(wǎng)警舉辦的網(wǎng)絡(luò)安全等級(jí)保護(hù)業(yè)務(wù)培訓(xùn)班���,將安華金和的產(chǎn)品技術(shù)能力融入數(shù)據(jù)安全治理的解決方案中,基于等保標(biāo)準(zhǔn)的合規(guī)需求��,為青島重點(diǎn)的政府機(jī)關(guān)、金融���、教育等行業(yè)單位的用戶(hù)提供專(zhuān)業(yè)的數(shù)據(jù)安全建設(shè)終極秘籍���,一起在等保2.0時(shí)代安全馳騁。
會(huì)上����,安華金和和與會(huì)用戶(hù)一起梳理了數(shù)據(jù)安全治理的框架,并結(jié)合自身的安全產(chǎn)品與技術(shù)服務(wù)思路�,提出可落地的數(shù)據(jù)安全治理技術(shù)路線,讓安全能力以“點(diǎn)”���、“面”��、“整體”的輻射覆蓋方式靈活落地��。
點(diǎn):以“任務(wù)”或“純粹目標(biāo)”為導(dǎo)向的數(shù)據(jù)安全建設(shè)��,如系統(tǒng)等保測(cè)評(píng)���、單一業(yè)務(wù)安全需求等。
面:以“重要信息系統(tǒng)”或“多個(gè)業(yè)務(wù)應(yīng)用”為導(dǎo)向的數(shù)據(jù)安全建設(shè)����,如學(xué)籍系統(tǒng)���、貧困學(xué)生資助系統(tǒng)等。
整體:以“平臺(tái)級(jí)”為導(dǎo)向的數(shù)據(jù)安全建設(shè)�,如省、市整體數(shù)據(jù)安全規(guī)劃��,大數(shù)據(jù)平臺(tái)建設(shè)�����,云平臺(tái)建設(shè)等�。
有了這么一套系統(tǒng)化的數(shù)據(jù)安全治理方案,還怕等保制度落實(shí)不力��,數(shù)據(jù)安全建設(shè)做不好嗎?
產(chǎn)品咨詢(xún):4000 258 365 
