網(wǎng)絡(luò)安全等級保護制度從2007年實施到現(xiàn)在��,已經(jīng)走過十一年����。從最初的等保1.0時代跨入等保2.0時代,制度發(fā)生了突破性的進展����,不僅體系發(fā)生了大升級,該標準制度也上升為法律����,變得空前重要。尤其在移動互聯(lián)��、云計算�、物聯(lián)網(wǎng)等新的業(yè)務(wù)環(huán)境均提供安全建設(shè)標準和指導(dǎo)。
這套制度標準的實施為信息系統(tǒng)安全開辟了一條可落地可操作的道路�����。不僅為各信息系統(tǒng)提供體系化的指導(dǎo)�����,根據(jù)各自責(zé)任落實相應(yīng)技術(shù)措施,避免安全工作的不作為�、或亂作為;同時為落實信息系統(tǒng)安全工作提供方向和依據(jù)�,明確法律法規(guī)要求�����,讓安全工作有法可依���;還致力于落實保障個人信息���、資金等安全,為個人隱私提供保護傘�����。
一����、跨入2.0時代,發(fā)生的顯著變化
1.標準的命名發(fā)生變化:等保2.0將原來的標準《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》���,與《網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致��。
2.擴展需求的增加:為了配合《網(wǎng)絡(luò)安全法》的實施��,同時適應(yīng)移動互聯(lián)�、云計算、大數(shù)據(jù)�、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作的開展�,新標準針對共性安全保護需求提出安全通用要求,針對移動互聯(lián)��、云計算�����、大數(shù)據(jù)��、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)��、新應(yīng)用領(lǐng)域的個性安全保護需求提出安全擴展要求�,形成新的網(wǎng)絡(luò)安全等級保護基本要求標準。調(diào)整各個級別的安全要求為安全通用要求���、云計算安全擴展要求����、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求��。
3.安全通用要求控制域發(fā)生變化:等保2.0由舊標準的10個分類調(diào)整為8個分類�����,分別為技術(shù)部分:物理和環(huán)境安全��、網(wǎng)絡(luò)和通信安全�����、設(shè)備和計算安全��、應(yīng)用和數(shù)據(jù)安全��;管理部分:安全策略和管理制度��、安全管理機構(gòu)和人員����、安全建設(shè)管理����、安全運維管理���。
4.定級對象的擴展:
5.定級矩陣的變化:加重了對公民、法人和其他組織的合法權(quán)益這一侵害客體的侵害程度定級�,其中特別嚴重損害由過去的第二級升級為第三級。
等保2.0
二�、當前認知誤區(qū)
盡管等保制度早就成為網(wǎng)絡(luò)安全領(lǐng)域里的標準法規(guī),但對于網(wǎng)絡(luò)安全等級保護制度的仍難免存在一些認識誤區(qū)����,今天我們也一一梳理如下:
1.信息系統(tǒng)物理隔離就不用落實等保工作。這是最常見的誤區(qū)�,所有信息系統(tǒng)都要落實,即使物理隔離的信息系統(tǒng)也要落實等保工作���。一般物理隔離的信息系統(tǒng)�����,都是因為重要才隔離����,定級會比較高���,反而是等保工作的重點����。
2.企業(yè)信息系統(tǒng)癱瘓只影響企業(yè)利益,等保定級可以比較低�。等保定級一般分系統(tǒng)服務(wù)安全和業(yè)務(wù)信息安全兩個維度,企業(yè)大多數(shù)系統(tǒng)服務(wù)受破壞只影響企業(yè)業(yè)務(wù)�,定級要求不高。但是涉及公民個人信息的企業(yè)����,業(yè)務(wù)信息安全就相對較高。特別是近幾年數(shù)據(jù)共享��,數(shù)據(jù)價值越來越被重視��,企業(yè)手中數(shù)據(jù)越來越多�����,帶來的安全責(zé)任當然也是越來越大�����。
3.信息系統(tǒng)上云就安全了����。很多單位認為網(wǎng)站和信息系統(tǒng)上云后就安全了,等保不用做了�����。信息系統(tǒng)是否上云����,安全責(zé)任主體都不會變。各類云平臺只提供平臺和簡單的安全措施�����,安全責(zé)任主體單位還是要按等保要求落實相應(yīng)的安全工作����,只是物理和環(huán)境安全等部分安全工作由云平臺承擔。
三�����、數(shù)據(jù)成為核心保護內(nèi)容
隨著數(shù)據(jù)價值的最大化釋放��,我們逐漸認識到:數(shù)據(jù)是等級保護安全建設(shè)的核心內(nèi)容�,物理環(huán)境�、網(wǎng)絡(luò)通信����、設(shè)備計算、應(yīng)用安全是數(shù)據(jù)前四道防線�����,圍繞數(shù)據(jù)��、人���、平臺�、管理制度是未來網(wǎng)絡(luò)安全主動防御體系的發(fā)展方向����。
前面我們也提到,等保2.0補充提出了五項安全擴展要求:云計算安全���、移動互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全����、大數(shù)據(jù)安全和工業(yè)控制系統(tǒng)安全��。由原來的物理安全�����、網(wǎng)絡(luò)安全�、主機安全�����、應(yīng)用安全�、數(shù)據(jù)安全及恢復(fù),調(diào)整為四個部分:物理和環(huán)境安全�����、網(wǎng)絡(luò)和通信安全����、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全�。而安華金和當前全線數(shù)據(jù)庫安全產(chǎn)品能夠全面對標等保2.0。
舉例來說�����,等保分五級,明確指出了五個規(guī)定動作:定級�����、備案��、建設(shè)��、測評�、監(jiān)督,測評是通過訪談����、現(xiàn)場檢查、測試三種方式����,數(shù)據(jù)庫安全的測評指標來自于“主機安全”和“數(shù)據(jù)安全及恢復(fù)”,面向中國所有非涉密信息系統(tǒng)����,都要按照等級保護進行建設(shè)。
一般等級保護二級以上系統(tǒng)主要集中在黨��、政���、央企����、金融���、能源����、通信���、鐵路等行業(yè)里����。安華金和的數(shù)據(jù)庫漏掃納入多個國家及行業(yè)等保工具箱�,安華金和的數(shù)據(jù)庫審計是等保二、三級必選�����,數(shù)據(jù)庫加密和數(shù)據(jù)庫防火墻已參與上百家等���、分保項目�。
其中,等保四級是結(jié)構(gòu)化保護級�,公安機關(guān)每半年檢查一次,要求在第三級自主和強制訪問控制擴展到所有主體與客體之外���,還要考慮隱蔽通道����,可信計算基結(jié)構(gòu)化����,增強鑒別機制和配置管理控制,具有相當?shù)目節(jié)B透能力���,數(shù)據(jù)保密性提出數(shù)據(jù)庫系統(tǒng)提供加密存儲機制���,安華金和的數(shù)據(jù)庫加密系統(tǒng)可以應(yīng)對該項等保測評要求。
面對當前的等保形勢,9月26-28日�����,安華金和應(yīng)邀參加由青島網(wǎng)警舉辦的網(wǎng)絡(luò)安全等級保護業(yè)務(wù)培訓(xùn)班,將安華金和的產(chǎn)品技術(shù)能力融入數(shù)據(jù)安全治理的解決方案中����,基于等保標準的合規(guī)需求�����,為青島重點的政府機關(guān)��、金融��、教育等行業(yè)單位的用戶提供專業(yè)的數(shù)據(jù)安全建設(shè)終極秘籍����,一起在等保2.0時代安全馳騁。
會上�,安華金和和與會用戶一起梳理了數(shù)據(jù)安全治理的框架,并結(jié)合自身的安全產(chǎn)品與技術(shù)服務(wù)思路����,提出可落地的數(shù)據(jù)安全治理技術(shù)路線,讓安全能力以“點”���、“面”���、“整體”的輻射覆蓋方式靈活落地���。
點:以“任務(wù)”或“純粹目標”為導(dǎo)向的數(shù)據(jù)安全建設(shè),如系統(tǒng)等保測評����、單一業(yè)務(wù)安全需求等。
面:以“重要信息系統(tǒng)”或“多個業(yè)務(wù)應(yīng)用”為導(dǎo)向的數(shù)據(jù)安全建設(shè)���,如學(xué)籍系統(tǒng)���、貧困學(xué)生資助系統(tǒng)等。
整體:以“平臺級”為導(dǎo)向的數(shù)據(jù)安全建設(shè)�����,如省����、市整體數(shù)據(jù)安全規(guī)劃,大數(shù)據(jù)平臺建設(shè)����,云平臺建設(shè)等�。
有了這么一套系統(tǒng)化的數(shù)據(jù)安全治理方案�,還怕等保制度落實不力,數(shù)據(jù)安全建設(shè)做不好嗎?
產(chǎn)品咨詢:4000 258 365 
