等保2.0與等保1.0區別解讀
這4900+的字兒也太多了,哈哈,就先這樣吧,聽講座去了
什麼是等保?
等保,即網絡安全等級保護標準。
2007年我國信息安全等級保護制度正式實施,通過十餘年的時間的發展與實踐,成爲了我國非涉密信息系統網絡安全建設的重要標準。
等保標準具有很強的實用性:它是監管部門合規執法檢查的依據,是我國諸多網絡信息安全標準制度的重要參考體系架構,是行業主管部門對於下級部門網絡安全建設的指引標準的重要依據和參考體系
由此標準衍生了諸多行業標準:例如人社行業等保標準、金融行業等保標準、能源行業(電力)等保標準、教育行業等保標準等行業標準。總的來說,等保制度是網絡安全從業者開展網絡安全工作的重要指導體系和制度。
什麼是等保1.0?
2007年和2008年頒佈實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這部法規被稱爲等保1.0。經過10餘年的實踐,等保1.0爲保障我國信息安全打下了堅實的基礎
什麼是等保2.0?
等保2.0相關國家標準於2019年5月10日正式發佈。2019年12月1日開始實施。這是我國實行網絡安全等級保護制度過程中的一件大事,具有里程碑意義。
等保2.0相比等保1.0有哪些區別/進步?
等保1.0主要強調物理主機、應用、數據、傳輸,而2.0版本增加了對雲計算、移動互聯、物聯網、工業控制和大數據等新技術新應用的全覆蓋。
相較於等保1.0,等保2.0發生了以下主要變化:
第一,名稱變化。等保2.0將原來的標準《信息安全技術信息系統安全等級保護基本要求》改爲《信息安全技術網絡安全等級保護基本要求》,與《網絡安全法》保持一致。
第二,定級對象變化。等保1.0的定級對象是信息系統,現在2.0更爲廣泛,包含:信息系統、基礎信息網絡、雲計算平臺、大數據平臺、物聯網系統、工業控制系統、採用移動互聯技術的網絡等。
第三,安全要求變化。基本要求的內容,由安全要求變革爲安全通用要求與安全擴展要求(含雲計算、移動互聯、物聯網、工業控制)。
第四,控制措施分類結構變化。等保2.0依舊保留技術和管理兩個維度。
在技術上,由物理安全、網絡安全、主機安全、應用安全、數據安全,變更爲安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心;
在管理上,結構上沒有太大的變化,從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理,調整爲安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
第五,內容變化。從等保1.0的定級、備案、建設整改、等級測評和監督檢查五個規定動作,變更爲五個規定動作+新的安全要求(增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。)。
第六,法律效力不同。《網絡安全法》第21條規定“國家實行網絡安全等級保護制度,要求網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務”。落實網絡安全等級保護制度上升爲法律義務。
等保2.0的實施對企業有哪些影響?
根據誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,網絡運營者成爲等級保護的責任主體,如何快速高效地通過等級保護測評成爲企業開展業務前必須思考的問題。
等保2.0有5個運行步驟:定級備案、差距評估、建設和整改、等級測評、檢查。同時,也分5個等級,即信息系統按重要程度由低到高分爲5個等級,並分別實施不同的保護策略。
一級系統簡單,不需要備案,影響程度很小,因此不作爲重點監管對象;
二級系統大概50萬個左右;
三級系統大概5萬個;
四級系統量級較大,比如支付寶、銀行總行系統、國家電網系統,有1000個左右;
五級系統屬國家級、國防類的系統,比如核電站、軍用通信系統。
網絡安全等級保護常見注意事項
1、等級測評並非安全認證
很多人容易把等保測評等同於安全認證。等保測評並非相當於ISO 20000系列的信息技術服務管理認證,也並非於ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度,是國家意志的體現。落實等級保護制度爲了國家法律法規的合規需求。
等級保護測評沒有相應的證書,如何才能證明信息系統已經符合等級保護安全要求了呢?目前這主要是由公安部授權委託的全國一百多家測評機構,對信息系統進行安全測評,測評通過後出具《等級保護測評報告》,拿到了符合等保安全要求的測評報告就證明該信息系統符合了等級保護的安全要求。
2、等保制度只是基本要求
等保制度只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但就目前的測評結果來看,幾乎沒有任何一個被測系統能全部滿足等保要求。一般情況下,目前等級保護測評過程中,只要沒發現高危安全風險,都可以通過測評。注意如果有高危漏洞,立刻不合格
但是,安全是一個動態而非靜止的過程,而不是通過一次測評,就可以一勞永逸的。 企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。
3、內網系統也需要做等級測評
首先,所有非涉密系統都屬於等級保護範疇,和系統在外網還是內網沒有關係;《網絡安全法》規定,等級保護的對象是在中華人民共和國境內建設、運營、維護和使用的網絡與信息系統。因此,不管是內網還是外網系統,都需要符合等級保護安全的要求。
其次,在內網的系統往往其網絡安全技術措施做的並不好,甚至不少系統已經中毒不淺。2017年肆虐全球的永恆之藍勒索病毒攻擊,導致了大量內網系統癱瘓,這提醒我們內網系統的安全防護同樣不能馬虎。所以不論系統在內網還是外網都得及時開展等保工作。
4、系統上雲或者託管在其他地方就也需做等級測評
目前,比較多的小型企業客戶偏向於把系統部署在雲平臺與IDC機房。這些雲平臺、IDC機房一般都通過了等級測評。不過,根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,系統責任主體仍然還是屬於網絡運營者自己,所以,還是得承擔相應的網絡安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
部署在雲平臺的系統還需要購買雲平臺的安全服務或者第三方安全服務,部署在IDC機房的系統還需要購買相應的安全設備以滿足等保安全要求。
在雲計算環境中,將雲計算平臺作爲基礎設施、雲租戶系統作爲信息系統,分別作爲定級對象進行定級。對於大型雲計算平臺,當運管平臺共用時,可將雲計算基礎設施與運管平臺系統分開定級,責任分離,分別定級、各自備案。雲計算基礎設施的安全保護等級不低於其所支撐的業務系統的最高等級。
針對私有云用戶,也要按照雲平臺和雲租戶信息系統,分別進行定級。並且雲平臺的安全等級不低於其所支撐的業務系統的最高等級。
對於雲計算平臺和雲租戶信息系統,則分別依據等保2.0基本要求中的通用要求和雲計算安全擴展要求來開展等級保護工作。對於私有云,定級流程爲雲平臺先定級測評,再將已定級應用系統向雲平臺遷移。(雲平臺等級必須高於等於系統等級)
5、不可根據自己的主觀意願來定級
目前的等級保護對象(信息系統)的安全級別分爲五個等級:1級爲最低級別,5級爲最高級別(5級爲預留級別,市面上已定級的系統最高爲4級)。如果定了1級,不需要做等級測評,自主進行保護即可。定2級以上就需要進行等級測評。系統級別的確定需要根據系統的重要性進行決定。如果定高了,有可能造成投資的浪費;定低了則有可能造成重要信息系統得不到應有的保護,應該謹慎定級。
等保1.0的要求是自主定級,有主管部門的需要主管部門審覈,最終報送公安機關進行審覈。等保2.0之後定級流程新增了“專家評審”和“主管部門審覈”兩個環節,這樣定級過程將會變得更加規範,定級也會更加準確。
6、系統備案場所
《信息安全等級保護管理辦法》規定,等級保護的主體單位爲信息系統的運營、使用單位。備案主體一般不會是開發商、系統集成商,而是最終的用戶方。
目前有些單位的註冊地跟運營地不一致,正常情況下需要去運營地區的網安部門辦理備案手續。比如客戶註冊地在北京海淀區,運營部門在北京朝陽區,需要到北京朝陽區辦理定級備案手續,當然,前提是北京朝陽區必須有正規辦公地址。
有些單位的系統部署在雲平臺,雲平臺的實際物理地址往往和雲系統網絡運營者不在同一地址。而且,有些單位的運維團隊和註冊經營地址也不一致。這種情況下,雲系統應當在系統實際運維團隊所在地市網安部門進行系統備案,因爲這樣會方便屬地公安對系統進行監管。
所以,大部分情況下,還是需要到系統的運維人員實際所在地進行定級備案。當然也有一些特殊行業的要求,比如一些涉及到金融安全的行業,比如互聯網金融系統、支付系統需要屬地化管理,這些系統需要在註冊地辦理定級備案手續,以滿足本地的監管要求。
7、等保測評做完不一定需要花很多錢去整改
整改花多少錢取決於你的信息系統等級、系統現有的安全防護措施狀況以及網絡運營者對測評分數的期望值,不一定要花很多錢甚至不花錢。
整改的內容大體分爲:安全制度完善、安全加固等安全服務以及安全設備的添置。在安全制度及安全加固上網絡運營者自己可以做很多整改工作或者委託系統集成方進行加固,往往這是不需要額外付費的或者是包含在你和系統集成方合同約定中的,這兩塊內容整改好,加上你有一定的安全技術措施,基本上是可以達到基本符合的結論的。所以花多少錢看你怎麼去做或者你的期望值是多少。
8、單位如何開展等級保護建設的相關工作?
等級保護工作是一個系統性工程,根據網絡安全等級保護相關標準,等級保護工作總共分五個階段,分別爲:系統定級、系統備案、建設整改、等級測評、監督檢查。
(1)系統定級
對擬定爲第二級及以上的對象,其運營者應當組織專家評審;有行業主管部門的,應當在專家定級評審後報請主管部門覈准;跨省或者全國統一聯網運行的網絡由行業主管部門統一擬定安全保護等級,統一組織定級評審。
(2)系統備案
定級對象的運營使用單位應準備定級備案材料,材料包括:定級報告、等級保護備案表、單位基本情況、信息系統情況等材料。第二級以上網絡運營者應當在定級對象安全保護等級確定後10個工作日內,到縣級以上公安機關備案。
公安機關在接到備案材料後,於10個工作日內完成材料審查,並對定級對象安全等級進行初步審覈,並出具網絡安全等級保護備案證明。
(3)建設整改
對於新建的等級保護對象,要按照等級保護相關標準,撰寫等級保護建設方案,並根據建設方案組織集成實施。
對於已有的等級保護對象,等級保護對象運營使用單位負責對其進行風險評估和整改建設工作, 重要等級保護對象的運營使用單位應形成等級保護整改建設方案,並根據整改方案組織集成建設。
對於三級以上的等級保護對象建設整改方案,要組織專家進行評審,形成專家評審意見,並最終形成等級保護整改建設方案。
(4)等級測評
等級保護對象的運營使用單位應落實等級測評資金保障工作,同時開展等級測評工作。
等級保護對象建設完成後,運營使用單位或者其主管部門應當選擇符合資質要求的第三方測評機構,依據《網絡安全等級保護測評要求》等技術標準,定期對等級保護對象開展等級測評。第三級及以上定級對象應當每年至少進行一次等級測評(等保1.0標準裏面等級保護四級系統需要每半年一次,現在調整爲每年一次),第五級定級對象應當依據特殊安全需求進行等級測評。
9、對於工業控制系統如何開展等級保護工作?
依據等保基本要求中的安全通用要求和工控擴展要求來對工業控制系統開展等級保護工作。
工業控制系統主要包括現場採集/執行、現場控制、過程控制和生產管理等特徵要素。其中,現場採集/執行、現場控制和過程控制等要素應作爲一個整體對象定級,各要素不單獨定級;生產管理要素可單獨定級。
對於大型工業控制系統,可以根據系統功能、責任主體、控制對象和生產廠商等因素劃分爲多個定級對象。
工控擴展要求保護主要包括:室外控制設備防護、工業控制系統、網絡架構安全、撥號使用控制無線使用控制、控制設備安全、漏洞和風險管理、惡意代碼防範管理等方面內容。
工業控制系統安全擴展要求主要針對現場控制層和現場設備層提出特殊安全要求,其他層次使用安全通用要求條款,對工業控制系統的保護需要根據實際情況使用基本要求。