点击围观!腾讯 TAPD 助力金融行业研发提效、敏捷转型最佳实践! 了解详情
写点什么

“等保 2.0”时代正式到来

  • 2019-12-02
  • 本文字数:1691 字

    阅读完需:约 6 分钟

“等保2.0”时代正式到来


12 月 1 日,等级保护 2.0(简称“等保 2.0”)正式实施。


今年 5 月 13 日,国家市场监督管理总局召开新闻发布会,正式发布等保 2.0 相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准。


12 月 1 日,等保2.0时代正式到来!


启明星辰集团网御星云技术总监马闽认为,等保 2.0 的发布充分贯彻《中华人民共和国网络安全法》,实现我国网络安全战略目标,落实分等级保护、突出重点、积极防御、综合防护的总体要求,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,坚持同步规划、同步建设、同步运行网络安全保护措施的“三同步”要求,提升我国的网络安全综合防护能力。

一.什么是等保?

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度。1994 年,国务院发布《计算机信息系统安全保护条例》147号令


该条例首次提出“计算机信息系统实行安全等级保护”,安全等级保护理念由此诞生。


2007 年和 2008 年,国家颁布《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这被视为“等保 1.0”。


不过,随着国内互联网的快速发展,新技术和新应用不断涌现。原有的“等保 1.0”既缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系又不完善。


为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入 2.0 时代。

二.等保 2.0 有哪些变化?

等保 2.0 在 1.0 时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。


等保 1.0 主要强调物理主机、应用、数据、传输,等保 2.0 则在云计算、大数据、物联网、工业控制等新技术新应用方面有涉及。

1.标准依据的变化

等保 1.0 的最高国家政策是国务院 147 号令,而等保 2.0 标准的最高国家政策是网络安全法。


从条例法规提升到法律层面,级别更高,效力更大。


《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。


第二十五条要求,网络运营者应当制定网络安全事件应急预案;


第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;


第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。


因此,不开展等级保护等于违法!

2.标准要求变化

等级 2.0 在 1.0 基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。

3.等级规定动作

(1)定级对象的变化


等保 1.0 定级的对象是信息系统,等保 2.0 的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。


(2)定级级别的变化


公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从 1.0 的第二级调整到了第三级(根据 GA/T1389)。


(3)定级流程的变化


等保 2.0 标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。


(4)测评合格要求提高


相较于等保 1.0,等保 2.0 测评的标准发生了变化,2.0 中测评结论分为:优(90 分及以上)、良(80 分及以上)、中(70 分及以上)、差(低于 70 分),70 分以上才算基本符合要求,基本分调高了,测评要求更加严格。


对企业而言,一方面需要建立等保 2.0 为核心的网络安全管理体系,另一方面将等级保护合规融入日常安全运营流程中。并且,定期开展等保 2.0 合规自查和专项检查。


2019-12-02 14:514104
用户头像
万佳 InfoQ编辑

发布了 677 篇内容, 共 307.7 次阅读, 收获喜欢 1769 次。

关注

评论

发布
暂无评论
发现更多内容

音视频实战(1)- 音频质量关键指标之QoE

liuzhen007

签约计划第二季

Flink 实践教程-进阶(2):复杂格式数据抽取

腾讯云大数据

flink 流计算 Oceanus

Mac 常用远程连接 ubuntu 工具对比

悟空聊架构

28天写作 Mac 软件 悟空聊架构 12月日更 远程连接

世界女性科技群落(二):种姓制度与数字微光下的生长录

脑极体

实用机器学习笔记三:网页数据抓取

打工人!

机器学习 学习笔记 12月日更 实用机器学习

linux常用命令-历史命令和自动补全

qx

Linux

如何在 ASP.NET Core 中重写 URL

喵叔

28天写作 12月日更

元宇宙:虚实相生的网络世界

石云升

学习笔记 28天写作 元宇宙 12月日更

浅谈应用架构设计思路

陈俊

应用架构 设计指南

支付宝商户号稳定性解决方案

hackstoic

支付宝 解决方案 To B业务

Vite2 + Vue3 + TypeScript + Pinia 搭建一套企业级的开发脚手架【值得收藏】

前端开发爱好者

typescript 大前端 Vue3 Vite2

【Promise 源码学习】第十一篇 - Promise.all 的实现

Brave

源码 Promise 12月日更

如何调用潜意识有效收集演讲素材-从右脑到左脑的切换

将军-技术演讲力教练

数据一致性

卢卡多多

数据一致性 28天写作 12月日更

Git进阶(七): 打标签

No Silver Bullet

git 学习 12月日更

Flink 实践教程-进阶(1):维表关联

腾讯云大数据

flink 流计算 Oceanus

JavaScript中的作用域和预解析

你好bk

JavaScript 大前端 ES6 HTML5, CSS3 12月日更

创业研发团队的组织建设-软件工作流程

wood

创业 敏捷开发 28天写作

JavaScript数据结构之 Array

devpoint

JavaScript ES6 array 内容合集 签约计划第二季

SAP 产品的 Field Extensibility

Jerry Wang

28天写作 扩展 ERP 12月日更 企业管理软件

Golang Gin 框架之日志 DIY(七)

liuzhen007

28天写作 12月日更

渗透测试如何入门?

喀拉峻

网络安全 安全

34 K8S之ServiceAccount及X509数字证书

穿过生命散发芬芳

k8s 28天写作 12月日更

一个简单的例子教会您使用 javap

Jerry Wang

Java 性能调试 28天写作 12月日更 javap

su 和 sudo,你用对了吗?

xcbeyond

Linux 28天写作 12月日更 sudo

纯css实现117个Loading效果(下)

德育处主任

css3 大前端 纯CSS css特效

关于元宇宙的一些认识

印無印

学习笔记 元宇宙

自定义 View:绘制垂直正弦函数

Changing Lin

12月日更

<<长津湖>> 有感

Tiger

28天写作

搭建K8s容器化应用的开发调试环境

xiaoboey

Docker Kubernetes k3s Telepresence Skaffold

Flink 实践教程-入门(9):Jar 作业开发

腾讯云大数据

flink 流计算 Oceanus

“等保2.0”时代正式到来_安全_万佳_InfoQ精选文章