網絡安全等級保護制度從2007年實施到現在,已經走過十一年。從最初的等保1.0時代跨入等保2.0時代����,制度發(fā)生了突破性的進展,不僅體系發(fā)生了大升級��,該標準制度也上升為法律���,變得空前重要�。尤其在移動互聯���、云計算����、物聯網等新的業(yè)務環(huán)境均提供安全建設標準和指導��。
這套制度標準的實施為信息系統安全開辟了一條可落地可操作的道路��。不僅為各信息系統提供體系化的指導���,根據各自責任落實相應技術措施���,避免安全工作的不作為、或亂作為�����;同時為落實信息系統安全工作提供方向和依據����,明確法律法規(guī)要求,讓安全工作有法可依��;還918搏天堂致力于落實保障個人信息���、資金等安全���,為個人隱私提供保護傘。
一����、跨入2.0時代,發(fā)生的顯著變化
1.標準的命名發(fā)生變化:等保2.0將原來的標準《信息安全技術 信息系統安全等級保護基本要求》改為《信息安全技術 網絡安全等級保護基本要求》�,與《網絡安全法》中的相關法律條文保持一致。
2.擴展需求的增加:為了配合《網絡安全法》的實施�,同時適應移動互聯、云計算�����、大數據、物聯網和工業(yè)控制等新技術�����、新應用情況下網絡安全等級保護工作的開展��,新標準針對共性安全保護需求提出安全通用要求���,針對移動互聯��、云計算�、大數據�����、物聯網和工業(yè)控制等新技術���、新應用領域的個性安全保護需求提出安全擴展要求�,形成新的網絡安全等級保護基本要求標準�。調整各個級別的安全要求為安全通用要求、云計算安全擴展要求��、移動互聯安全擴展要求、物聯網安全擴展要求和工業(yè)控制系統安全擴展要求�����。
3.安全通用要求控制域發(fā)生變化:等保2.0由舊標準的10個分類調整為8個分類��,分別為技術部分:物理和環(huán)境安全�、網絡和通信安全�、設備和計算安全、應用和數據安全����;管理部分:安全策略和管理制度、安全管理機構和人員�、安全建設管理、安全運維管理���。
4.定級對象的擴展:
5.定級矩陣的變化:加重了對公民�、法人和其他組織的合法權益這一侵害客體的侵害程度定級����,其中特別嚴重損害由過去的第二級升級為第三級。
等保2.0
二��、當前認知誤區(qū)
盡管等保制度早就成為網絡安全領域里的標準法規(guī),但對于網絡安全等級保護制度的仍難免存在一些認識誤區(qū)�,今天我們也一一梳理如下:
1.信息系統物理隔離就不用落實等保工作。這是最常見的誤區(qū)�����,所有信息系統都要落實��,即使物理隔離的信息系統也要落實等保工作���。一般物理隔離的信息系統�,都是因為重要才隔離���,定級會比較高�����,反而是等保工作的重點���。
2.企業(yè)信息系統癱瘓只影響企業(yè)利益,等保定級可以比較低��。等保定級一般分系統服務安全和業(yè)務信息安全兩個維度���,企業(yè)大多數系統服務受破壞只影響企業(yè)業(yè)務���,定級要求不高����。但是涉及公民個人信息的企業(yè)���,業(yè)務信息安全就相對較高。特別是近幾年數據共享���,數據價值越來越被重視��,企業(yè)手中數據越來越多��,帶來的安全責任當然也是越來越大�。
3.信息系統上云就安全了�。很多單位認為網站和信息系統上云后就安全了,等保不用做了��。信息系統是否上云����,安全責任主體都不會變���。各類云平臺只提供平臺和簡單的安全措施,安全責任主體單位還是要按等保要求落實相應的安全工作�����,只是物理和環(huán)境安全等部分安全工作由云平臺承擔�����。
三�、數據成為核心保護內容
隨著數據價值的最大化釋放,我們逐漸認識到:數據是等級保護安全建設的核心內容�����,物理環(huán)境���、網絡通信���、設備計算、應用安全是數據前四道防線��,圍繞數據、人�����、平臺����、管理制度是未來網絡安全主動防御體系的發(fā)展方向。
前面我們也提到����,等保2.0補充提出了五項安全擴展要求:云計算安全、移動互聯網安全�����、物聯網安全��、大數據安全和工業(yè)控制系統安全��。由原來的物理安全�、網絡安全�、主機安全、應用安全�����、數據安全及恢復,調整為四個部分:物理和環(huán)境安全�����、網絡和通信安全����、設備和計算安全、應用和數據安全�。而918搏天堂當前全線數據庫安全產品能夠全面對標等保2.0。
舉例來說����,等保分五級,明確指出了五個規(guī)定動作:定級�����、備案����、建設、測評���、監(jiān)督���,測評是通過訪談���、現場檢查、測試三種方式��,數據庫安全的測評指標來自于“主機安全”和“數據安全及恢復”����,面向中國所有非涉密信息系統,都要按照等級保護進行建設����。
一般等級保護二級以上系統主要集中在黨、政�、央企、金融����、能源�����、通信、鐵路等行業(yè)里�。918搏天堂的數據庫漏掃納入多個國家及行業(yè)等保工具箱,918搏天堂的數據庫審計是等保二����、三級必選,數據庫加密和數據庫防火墻已參與上百家等��、分保項目�。
其中,等保四級是結構化保護級�,公安機關每半年檢查一次,要求在第三級自主和強制訪問控制擴展到所有主體與客體之外��,還要考慮隱蔽通道�,可信計算基結構化,增強鑒別機制和配置管理控制�����,具有相當的抗?jié)B透能力���,數據保密性提出數據庫系統提供加密存儲機制���,918搏天堂的數據庫加密系統可以應對該項等保測評要求�����。
面對當前的等保形勢��,9月26-28日���,918搏天堂應邀參加由青島網警舉辦的網絡安全等級保護業(yè)務培訓班�,將918搏天堂的產品技術能力融入數據安全治理的解決方案中��,基于等保標準的合規(guī)需求��,為青島重點的政府機關���、金融���、教育等行業(yè)單位的用戶提供專業(yè)的數據安全建設終極秘籍,一起在等保2.0時代安全馳騁�。
會上,918搏天堂和與會用戶一起梳理了數據安全治理的框架�,并結合自身的安全產品與技術服務思路����,提出可落地的數據安全治理技術路線�����,讓安全能力以“點”�、“面”�����、“整體”的輻射覆蓋方式靈活落地�。
點:以“任務”或“純粹目標”為導向的數據安全建設,如系統等保測評����、單一業(yè)務安全需求等。
面:以“重要信息系統”或“多個業(yè)務應用”為導向的數據安全建設���,如學籍系統����、貧困學生資助系統等����。
整體:以“平臺級”為導向的數據安全建設��,如省��、市整體數據安全規(guī)劃��,大數據平臺建設����,云平臺建設等���。
有了這么一套系統化的數據安全治理方案�,還怕等保制度落實不力��,數據安全建設做不好嗎?
產品咨詢:4000 258 365 
