今天,互聯網發展“一日千里”。無論是底層的IT基礎設施和新技術,還是我們每天使用的互聯網應用,變化快速發生,變革日新月異。與此同時,網絡安全日益重要。但是,一直以來,我國在網絡安全方面主要依據的是,2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這部法規被稱為等保1.0。
但是,等保1.0”不僅缺乏對一些新技術和新應用的等級保護規范,比如云計算、大數據和物聯網等,而且風險評估、安全監測和通報預警等工作以及政策、標準、測評、技術和服務等體系不完善。
為適應新技術的發展,解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入2.0時代。
5月13日下午,國家市場監督管理總局召開新聞發布會,正式發布等保2.0。根據最新消息,等保2.0將于12月1日正式實施。
相比等保1.0,等保2.0不僅加入了對云計算、物聯網和移動互聯等領域的等級保護規范,而且風險評估、安全監測以及政策、體系、標準等體系相對更完善。日前,天極網記者獲得“等保2.0”,將為大家進一步解讀該規范。
具體說來,新標準分成了5個部分:
《網絡安全等級保護基本要求第1部分安全通用要求》
《網絡安全等級保護基本要求第2部分云計算安全擴展要求》
《網絡安全等級保護基本要求第3部分移動互聯安全擴展要求》
《網絡安全等級保護基本要求第4部分物聯網安全擴展要求》
《網絡安全等級保護基本要求第5部分工業控制系統安全擴展要求》
等級保護對象是指網絡安全等級保護工作中的對象,主要包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網(IoT)、工業控制系統和采用移動互聯技術的系統等。等級保護范圍內重要信 息系列所涵蓋的行業有能源、金融、交通、水利、醫療衛生、環境保護、工業制造、市政、電信與互聯網、廣播電視及政府部門。
據悉,等保2.0有5個運行步驟:定級、備案、建設和整改、等級測評、檢查。同時,也分5個等級,即信息系統按重要程度由低到高分為5個等級,并分別實施不同的保護策略。
一級系統簡單,不需要備案,影響程度很小,因此不作為重點監管對象;二級系統大概50萬個左右;三級系統大概5萬個;四級系統量級較大,比如支付寶、銀行總行系統、國家電網系統,有1000個左右;五級系統屬國家級、國防類的系統,比如核電站、軍用通信系統。
一、五級安全保護能力
第一級安全保護能力:
應能夠防護免受來自個人的、擁有很少資源的威脅源發起的惡意攻擊、一般的自然災難,以及其他相當危害程度的威脅所造成的關鍵資源損害,在自身遭到損害后,能夠恢復部分功能。
第二級安全保護能力:
應能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難,以及其他相當危害程度的威脅所造成的重要資源損害,能夠發現重要的安全漏洞和處置安全事件,在自身遭到損害后,能夠在一段時間內恢復部分功能。
第三級安全保護能力:
應能夠在統一安全策略下防護免受來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難,以及其他相當程度的威脅所造成的主要資源損害,能夠及時發現、監測攻擊行為和處置安全事件,在自身遭到損害后,能夠較快恢復絕大部分功能。
第四級安全保護能力:
應能夠在統一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災難,以及其他相當危害程度的威脅所造成的資源損害,能夠及時發現、監測發現攻擊行為和安全事件,在自身遭到損害后,能夠迅速恢復所有功能。
第五級安全保護能力:略
二、第一級安全通用要求
等保2.0文件指出:安全通用要求針對共性化保護需求提出,等級保護對象無論以何種形式出現,應根據安全保護等級實現相應級別的安全通用要求。
在第一級安全通用要求中,從安全運維管理、安全建設管理、安全管理人員、安全管理機構、安全管理制度、安全計算環境到安全區域邊界、安全通信網絡和安全物理環境九個方面。
整體來說,這個規定相當細致完備,比如安全計算環境。 |
