作者:葫蘆娃集團
鏈接:https://www.zhihu.com/question/51443853/answer/696859919
來源:知乎
著作權歸作者所有。商業轉載請聯繫作者獲得授權,非商業轉載請註明出處。
關於等保2.0的部分新變化
(一)結構的變化
將安全管理中心從管理層面提升至技術層面。
(二)要求項數量的變化
等保2.0第三級安全要求結構:
(三)覆蓋範圍的變化
等保2.0標準在1.0標準的基礎上,實現了對傳統信息系統、基礎信息網絡、雲計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋。
對於使用新技術的信息系統需要同時滿足“通用要求+安全擴展”的要求。
(四)防護理念的變化
通用要求方面,等保2.0標準的核心是“優化”。刪除了過時的測評項,對測評項進行合理性改寫,新增對新型網絡攻擊行爲防護和個人信息保護等新要求。等保2.0標準依然採用“一箇中心、三重防護” 的理念,從等保1.0標準被動防禦的安全體系向事前預防、事中響應、事後審計的動態保障體系轉變,注重全方位主動防禦、安全可信、動態感知和全面審計。
(五)定級流程的變化
等保2.0標準不再自主定級,而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審覈——>公安機關備案審查——>最終確定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門審覈,才能到公安機關備案,整體定級更加嚴格,將促進定級過程更加規範,系統定級更加合理。
(六)測評週期的變化
相較於等保1.0,等保2.0標準測評週期、測評結果評定有所調整。等保2.0標準要求,第三級以上的系統每年開展一次測評,修改了原先1.0時期要求四級系統每半年進行一次等保測評的要求。
(七)測評結果的變化
等保2.0裏,測評達到75分以上纔算基本符合。基本分高了,要求變得更高,過等保相對以往一是沒那麼容易了,另一點也需要投入更多。
(八)集中管控的變化
安全管理中心中對集中管控做出了明確要求,未來統一的集中管理平臺將成爲剛需。集中管控具體要求如下:
1、 應劃分出特定的管理區域,對分佈在網絡中的安全設備或安全組件進行管控;
2、 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理
3、 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;
4、應對分散在各個設備上的審計數據進行收集彙總和集中分析,並保證審計記錄的留存時間符合法律法規要求;
5、 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;
6、 應能對網絡中發生的各類安全事件進行識別、報警和分析;
(九)新技術要求的變化
對於等保2.0中可信計算及密碼技術的應用提出了明確要求,這將很大促進可信計算及密碼技術的推廣及應用。