等保2.0宣贯 梆梆安全解读新变化
作者:星期一, 五月 20, 20190

2019年5月16日下午,由公安部网络安全保卫局指导、公安部第三研究所、公安部第一研究所主办的“网络安全等级保护制度2.0国家标准宣贯会”在北京召开。沈昌祥院士以及公安部网络安全保卫局、公安部信息安全等级保护评估中心、国家市场监督管理总局标准技术管理司、全国信息安全标准化委员会、自然资源部信息中心的领导和专家参会并致辞,来自全国各地的机关、事业单位、企业、网安企业代表共1200余位到场参会,梆梆安全作为网络安全等级保护测评要求标准的主要起草单位之一也出席了本次会议。

网络安全等级保护制度2.0(以下简称“等保2.0”)的正式发布是网络安全的的重大升级,其既配合了《中华人民共和国网络安全法》的实施,同时也更有利于云计算、移动互联、物联网、大数据和工业控制等新技术、新应用被诸多产业广泛使用情况下网络安全等级保护工作的顺利开展。

网络安全等级保护制度2.0新变化

等保2.0针对共性安全保护需求提出了安全测评通用要求,针对云计算、移动互联、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出了安全测评扩展要求。梆梆安全作为网络安全等级保护测评要求的主要起草单位之一发现,等保2.0主要体现了如下新的变化。

1 等保2.0体系复杂度极大提高

等保2.0在2019年5月13日正式发布,该标准从编写之初起,就承担了移动互联、物联网、工业控制系统、云计算等重要IT基础设施转型过程中的安全职责,因此其体系复杂度相较于等保1.0大幅度提高。其中最为直接的体现就是整个标准分为通用要求和扩展要求两大部分,扩展要求又分为云计算、移动互联、物联网、工业控制系统四个方面。

对于企业而言,在等保2.0时代,不仅要考虑信息系统传统数据中心侧的合规要求,还要根据实际情况综合考虑是否要对所应用的移动互联(移动应用、无线通信)、物联网等新技术做好安全防护,并综合考虑技术和管理来进行整改。合规难度和复杂度的增大,意味着如何通过新等级保护要求是客户面临的新难题。

2 定级的重要变化

定级工作作为等级保护工作的起点,在等保2.0时代有了重要的修订。在定级原则上,等保2.0修改了“自主定级”原则,更加强调以国家主管部门监督、指导的方式。

从备案流程上直接体现为,等保2.0采用“确定定级对象->初步确定等级->专家和主管部门评审->公安机关备案审查”这种定级流程,整体定级更加严格,杜绝了因为主观或人为失误导致的定级偏差。同时备案时间从30天缩短为10天,也体现出了国家安全工作精简高效的新作风。

3 针对三级系统的监督审核提高

等保2.0对三级系统的测评通过分数提高到75分,并且明确要求,三级以上的系统需要每年开展一次测评。基本分的提高,首先导致过等保难度提高;每年一次的测评要求实质上向企业传递了等级保护常态化的工作思路,必须具备自查、自检的日常工作机制,在安全建设和运维工作中实际落实等保要求,做到等保工作常态化、常规化。

4 移动互联和物联网扩展要求解读

移动互联安全扩展要求主要增加的内容包括“安全物理环境”、“安全区域边界”、“安全计算环境”、“安全建设管理”、“安全运维管理”五个方面九项要求,从无线网络、无线终端和无线应用三个技术方面进行了要求。涉及到移动应用部分的三条标准要求,强调了应用签名证书的合法性以及完整性保护,以及应用分发渠道管理和开发者资质审核,体现出了较强的安全开发过程管理和软件供应链管理的思想。

物联网安全扩展要求主要增加的内容则是从节点设备、网关设备和安全运营上提出了安全要求。包括需要对节点设备做接入控制和入侵防范,主要偏重于设备的授权和准入;对节点设备的软件和硬件完整性予以保护;对网关设备数据过滤能力、关键组件更新能力提出标准。我们认为物联网安全扩展要求很好的对感知层和网络层提出了保护标准,作为企业来讲,如何针对万物互联时代的IoT终端进行保护成为了难点,而这也是物联网技术发展的必经之路。

梆梆安全一站式等保服务

梆梆安全作为标准撰写方,依托自身安全服务能力和成熟的安全产品体系,借助业内优秀安全生态,能够为客户提供一站式的等保2.0安全合规咨询服务,帮助客户快速、稳妥、高效的完成等级保护定级备案、安全整改、等级测评和监督检查,满足国家监管要求,达到有效合规。

梆梆安全的等级保护合规咨询服务项目有:定级、备案、合规性检查、加固整改、等保预测评、第三方测评、交付。服务范围涵盖,等级保护定级服务、等级保护备案服务、等保合规性检查、加固整改用户系统确保合规、对用户信息系统进行预测评、提供等级保护测评全过程陪同服务、帮助客户联络测评机构并共同递交测评报告等。

没有网络安全就没有国家安全,安全是发展的前提,发展是安全的保障,网络安全等级保护制度2.0的正式发布是中国网络安全保障工作的伟大创举,作为等保2.0标准主要起草单位之一的梆梆安全,将运用自己雄厚的技术和丰富的经验,为用户提供覆盖传统等级保护、移动互联安全等级保护、物联网安全等级保护、云计算安全等级保护等在内的等级保护咨询和评估服务。

关键词:
分享:
0

相关文章

写一条评论

 

 

0条评论