等保2.0的前世今生

发布时间:2020-12-02 11:00:00

等级保护(简称等保),起源于国务院的147号令,由公安部第三研究所(专门负责IT行业的公安研究所)着手落实,是指导网络安全建设的重要指导文件。由公安下属的网络安全保卫大队(简称网安)负责管理和检查。

●回顾 | 等保1.0时代●

等保1.0,全称信息系统安全等级保护制度(GB/T 22239-2008),2008年发布距今已经有10余年时间。

在1.0初期,企业网络安全意识不强,做等保测评的企业并不多;到了中期,整体防护、渗透测试、行业等级保护全面开展,等保逐渐深入人心;到了等保1.0的后期,无论是企业层面还是国家层面,都更注重实质性的安全,主动防御、态势感知、攻防对抗等安全手段开始流行。

等保1.0时代普及了等保概念,强化了安全意识,从单个系统到部门、行业,再到国家层面,整体提升了网络安全保障能力,并不断进行人才的积累,对等保2.0提供了有力的支撑。

●开启 | 等保2.0时代●

等保2.0,全称网络安全等级保护2.0制度(GB/T 22239-2019),等保标准在1.0的基础上,注重主动防御:从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计。等保2.0已成为我国网络安全领域的基本国策、基本制度。

等保2.0正式实施后,等级测评结论的判定较等保1.0时代的判定方法有着重大的变化。

●等保的“变”与“不变”●

  • 等保2.0有哪些变化?

其中最大的变化是标准要求的变化。等保2.0在1.0的基础上增加了扩展要求,覆盖了云计算安全、移动互联安全、物联网、工控安全、大数据安全等方面。企业在使用新技术信息系统时需要同时满足“通用要求+扩展要求”。


此外,标准依据也发生了变化,即从条例法规提升到法律层面。

等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是“网络安全法”。《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条要求,关键基础设施在网络安全等级保护制度的基础上,实行重点保护。

等保2.0标准内涵也更加丰富,除进行1.0时代网络定级及备案审核、等级测评、安全建设整改、自查等规定动作外,还增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。



  • 不变的等保5等级

等保根据系统重要程度和被破坏后的危害程度,划分为5个等级。一般项目多为等保二级和三级。

 

对网络安全有特定高要求的军工、电力、金融等单位,应符合等保四级;一般企业单位系统应符合等保三级;等保一级和等保五级(涉密)由于安全性太低或太高,单位或组织少有涉及。

大家熟知的阿里云公共云平台定级为三级,金融云定级四级;中科三方业务系统定级为三级。

不变的等保5步骤

官方为等保申请规定了五个具体步骤,依次为:系统定级、备案、建设整改、等级评测、监督检查。

l 系统定级:确定建设几级等保。

l 备案:二级以上的项目需要到公安网安备案,注明具体哪个系统做了等保,备案后公安有定期检查的义务和权利。

l 建设整改:根据等保标准,进行安全建设改造,发现安全问题并解决问题。比如漏洞系统扫出哪些漏洞,需要打补丁或升级,边界需要部署防火墙,IPS等。

l 等级评测:具备评测资格的等保评测机构进行评测。

l 监督检查:公安网安部门定期抽查监督。

●哪些单位需要做等保?●

等保项目主要集中在政府、医院、法院、银行、电力、军工、学校等单位,大型企业由于要为租户提供服务,安全问题突出,也是公安网安部门检查的重点。

《中华人民共和国网络安全法》第五十九条规定:

网络运营者不履行义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

中科三方作为中国科学院控股有限公司(简称“国科控股”或“中科院控股“)旗下域名管理专家,专注域名相关技术领域20载 ,已通过公安部信息安全等级保护(三级)认证 ,中石油、工商银行、家乐福、百事可乐知名企业和大多数省部级以上国家机关的共同选择 
上一篇:IPv6改造为什么这么难? 下一篇:2020年《互联网域名产业报告》解读