網(wǎng)絡安全等級保護制度從2007年實施到現(xiàn)在,已經(jīng)走過十一年�����。從最初的等保1.0時代跨入等保2.0時代�,制度發(fā)生了突破性的進展,不僅體系發(fā)生了大升級����,該標準制度也上升為法律,變得空前重要�����。尤其在移動互聯(lián)��、云計算��、物聯(lián)網(wǎng)等新的業(yè)務環(huán)境均提供安全建設標準和指導�。
這套制度標準的實施為信息系統(tǒng)安全開辟了一條可落地可操作的道路。不僅為各信息系統(tǒng)提供體系化的指導����,根據(jù)各自責任落實相應技術措施,避免安全工作的不作為�、或亂作為;同時為落實信息系統(tǒng)安全工作提供方向和依據(jù)�,明確法律法規(guī)要求,讓安全工作有法可依���;還致力于落實保障個人信息�����、資金等安全����,為個人隱私提供保護傘��。
一���、跨入2.0時代��,發(fā)生的顯著變化
1.標準的命名發(fā)生變化:等保2.0將原來的標準《信息安全技術 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術 網(wǎng)絡安全等級保護基本要求》�����,與《網(wǎng)絡安全法》中的相關法律條文保持一致��。
2.擴展需求的增加:為了配合《網(wǎng)絡安全法》的實施�,同時適應移動互聯(lián)、云計算�、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術����、新應用情況下網(wǎng)絡安全等級保護工作的開展,新標準針對共性安全保護需求提出安全通用要求����,針對移動互聯(lián)、云計算����、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術����、新應用領域的個性安全保護需求提出安全擴展要求���,形成新的網(wǎng)絡安全等級保護基本要求標準。調(diào)整各個級別的安全要求為安全通用要求���、云計算安全擴展要求、移動互聯(lián)安全擴展要求����、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。
3.安全通用要求控制域發(fā)生變化:等保2.0由舊標準的10個分類調(diào)整為8個分類����,分別為技術部分:物理和環(huán)境安全、網(wǎng)絡和通信安全����、設備和計算安全、應用和數(shù)據(jù)安全��;管理部分:安全策略和管理制度��、安全管理機構和人員�、安全建設管理、安全運維管理����。
4.定級對象的擴展:
5.定級矩陣的變化:加重了對公民����、法人和其他組織的合法權益這一侵害客體的侵害程度定級����,其中特別嚴重損害由過去的第二級升級為第三級。
等保2.0
二���、當前認知誤區(qū)
盡管等保制度早就成為網(wǎng)絡安全領域里的標準法規(guī)�����,但對于網(wǎng)絡安全等級保護制度的仍難免存在一些認識誤區(qū)�����,今天我們也一一梳理如下:
1.信息系統(tǒng)物理隔離就不用落實等保工作��。這是最常見的誤區(qū)�����,所有信息系統(tǒng)都要落實�,即使物理隔離的信息系統(tǒng)也要落實等保工作。一般物理隔離的信息系統(tǒng)��,都是因為重要才隔離����,定級會比較高,反而是等保工作的重點��。
2.企業(yè)信息系統(tǒng)癱瘓只影響企業(yè)利益����,等保定級可以比較低�。等保定級一般分系統(tǒng)服務安全和業(yè)務信息安全兩個維度,企業(yè)大多數(shù)系統(tǒng)服務受破壞只影響企業(yè)業(yè)務��,定級要求不高��。但是涉及公民個人信息的企業(yè)����,業(yè)務信息安全就相對較高。特別是近幾年數(shù)據(jù)共享�����,數(shù)據(jù)價值越來越被重視,企業(yè)手中數(shù)據(jù)越來越多��,帶來的安全責任當然也是越來越大��。
3.信息系統(tǒng)上云就安全了��。很多單位認為網(wǎng)站和信息系統(tǒng)上云后就安全了��,等保不用做了�����。信息系統(tǒng)是否上云�,安全責任主體都不會變。各類云平臺只提供平臺和簡單的安全措施���,安全責任主體單位還是要按等保要求落實相應的安全工作�����,只是物理和環(huán)境安全等部分安全工作由云平臺承擔���。
三、數(shù)據(jù)成為核心保護內(nèi)容
隨著數(shù)據(jù)價值的最大化釋放,我們逐漸認識到:數(shù)據(jù)是等級保護安全建設的核心內(nèi)容����,物理環(huán)境、網(wǎng)絡通信��、設備計算�、應用安全是數(shù)據(jù)前四道防線,圍繞數(shù)據(jù)�、人、平臺�����、管理制度是未來網(wǎng)絡安全主動防御體系的發(fā)展方向�����。
前面我們也提到�����,等保2.0補充提出了五項安全擴展要求:云計算安全��、移動互聯(lián)網(wǎng)安全��、物聯(lián)網(wǎng)安全�、大數(shù)據(jù)安全和工業(yè)控制系統(tǒng)安全。由原來的物理安全��、網(wǎng)絡安全�����、主機安全��、應用安全�、數(shù)據(jù)安全及恢復,調(diào)整為四個部分:物理和環(huán)境安全�、網(wǎng)絡和通信安全���、設備和計算安全����、應用和數(shù)據(jù)安全�����。而安華金和當前全線數(shù)據(jù)庫安全產(chǎn)品能夠全面對標等保2.0。
舉例來說���,等保分五級����,明確指出了五個規(guī)定動作:定級��、備案���、建設�、測評�����、監(jiān)督�,測評是通過訪談��、現(xiàn)場檢查�����、測試三種方式����,數(shù)據(jù)庫安全的測評指標來自于“主機安全”和“數(shù)據(jù)安全及恢復”���,面向中國所有非涉密信息系統(tǒng),都要按照等級保護進行建設�。
一般等級保護二級以上系統(tǒng)主要集中在黨、政��、央企�����、金融�����、能源��、通信�、鐵路等行業(yè)里。安華金和的數(shù)據(jù)庫漏掃納入多個國家及行業(yè)等保工具箱�,安華金和的數(shù)據(jù)庫審計是等保二、三級必選���,數(shù)據(jù)庫加密和數(shù)據(jù)庫防火墻已參與上百家等��、分保項目��。
其中�����,等保四級是結構化保護級���,公安機關每半年檢查一次����,要求在第三級自主和強制訪問控制擴展到所有主體與客體之外����,還要考慮隱蔽通道,可信計算基結構化����,增強鑒別機制和配置管理控制,具有相當?shù)目節(jié)B透能力����,數(shù)據(jù)保密性提出數(shù)據(jù)庫系統(tǒng)提供加密存儲機制�,安華金和的數(shù)據(jù)庫加密系統(tǒng)可以應對該項等保測評要求��。
面對當前的等保形勢�,9月26-28日���,安華金和應邀參加由青島網(wǎng)警舉辦的網(wǎng)絡安全等級保護業(yè)務培訓班����,將安華金和的產(chǎn)品技術能力融入數(shù)據(jù)安全治理的解決方案中����,基于等保標準的合規(guī)需求,為青島重點的政府機關�、金融、教育等行業(yè)單位的用戶提供專業(yè)的數(shù)據(jù)安全建設終極秘籍����,一起在等保2.0時代安全馳騁。
會上�,安華金和和與會用戶一起梳理了數(shù)據(jù)安全治理的框架,并結合自身的安全產(chǎn)品與技術服務思路���,提出可落地的數(shù)據(jù)安全治理技術路線�����,讓安全能力以“點”��、“面”�、“整體”的輻射覆蓋方式靈活落地。
點:以“任務”或“純粹目標”為導向的數(shù)據(jù)安全建設����,如系統(tǒng)等保測評、單一業(yè)務安全需求等����。
面:以“重要信息系統(tǒng)”或“多個業(yè)務應用”為導向的數(shù)據(jù)安全建設,如學籍系統(tǒng)�����、貧困學生資助系統(tǒng)等�。
整體:以“平臺級”為導向的數(shù)據(jù)安全建設,如省�、市整體數(shù)據(jù)安全規(guī)劃,大數(shù)據(jù)平臺建設���,云平臺建設等����。
有了這么一套系統(tǒng)化的數(shù)據(jù)安全治理方案��,還怕等保制度落實不力�,數(shù)據(jù)安全建設做不好嗎?
產(chǎn)品咨詢:4000 258 365 
