“等级保护”制度从何而来?25年间等级保护发展的时间线是怎样的?

  • 1994年——国务院147号令 《中华人民共和国计算机信息系统安全保护条例》(以下简称《计算机信息系统安全保护条例》)首次提出等级保护的概念
  • 2003年——中办发【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》,等级保护开始实行
  • 2007年——公通字【2007】43号《信息安全等级保护管理办法》发布,意味着等级保护制度正式走上正轨
  • ……... (我是系列配套政策密集出台的省略号)

2014年3月,由公安部牵头组织开展了等级保护重点标准申报国家标准的工作,并从2015年开始陆续对外发布草稿、征集意见稿,网络上开始有了等保2.0的叫法。

2018年11月——信息安全技术 网络安全等级保护基本要求—报批稿发布,等保2.0终于露出庐山真面目。

千呼万唤!2019年5月13日,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准(以下简称等保2.0标准)正式发布,将于2019年12月1日开始实施。

等保2.0的核心内涵有什么变化?

等保1.0到等保2.0不仅仅是制度的修订、技术的升级,更是法律效力的提升。等保2.0以《网络安全法》、《保守国家秘密法》等法律为顶层规范性文件,总之,不开展等级保护等于违法!

等保2.0标准的亮点是什么?

安全扩展要求是等保2.0标准的亮点:网络安全等级保护系列新国家标准将等级保护对象从信息系统扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、采用移动互联技术的系统等,等保2.0标准对上述新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。新的版本不再分5个单独标准发布,而是整合到一个标准中,用序号标识各扩展要求部分,包括:

  • 安全通用要求;

  • 云计算安全扩展要求;

  • 移动互联安全扩展要求;

  • 物联网安全扩展要求;

  • 工业控制系统安全扩展要求。

4 基本要求的结构有什么变化?

等保2.0基本要求结构:

另外,控制项也有变化:

这些诸多细粒度的变化,从制度层面带来了一次知识更新的要求,同时也是为构建更加强大的安全能力提供了体系化的制度保障。

5 为什么要把“安全管理中心”独立出来?

等保2.0充分体现了“一个中心三重防御“的思想,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。

把“安全管理中心”从管理层面提升到技术层面,独立出来进行要求,包括“系统管理、审计管理、安全管理、集中管控“等,这是为了满足等保2.0的核心变化——从被动防御转变为主动防御、动态防御。完善的网络安全分析能力、未知威胁的检测能力将成为等保2.0的关键需求。对于安全企业,部署安全设备但不知道是否真的安全、不知道发生什么安全问题、不知道如何处置安全的“安全三不知”将成为历史。

6 具体实施环节,原来的5个标准动作有变化吗?

我们都知道,等级保护在具体实施环节共分为5步:定级——备案——建设整改——等级测评——监督检查。等保2.0标准下,对这5个规定动作进行了优化和调整。

1) 定级

等保2.0的定级,不是自主定级,而是采取以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式进行定级。

修改后的定级工作包括5个环节:确定定级对象——初步定级——专家评审——主管部门审核——公安机关备案审查,填补了1.0时代只有按照定级要素进行过程,没有严格流程的不足。

  • 关键信息基础设施,定级原则上不低于三级的规定。

  • 细化定级对象范围:主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台。

2) 备案

在备案环节中,将原有的30天内备案,缩短为10个工作日,也就是说二级以上的网络运营者应当在网络安全等级保护等级确定后的10个工作日内进行备案。

3) 测评周期

等保2.0标准要求,三级以上的系统每年开展一次测评。

4) 测评结果

测评达到75分以上才算基本符合,基本分提高,过等保难度提高。

在等保2.0时代,除了满足常规的五个规定动作外,把风险评估、安全监测、通报预警,案事件调查、数据防护、自主可控、供应链安全、效果评价、综治考核等方面的工作都纳入到等级保护的范围之内。

7 等保合规与关键信息基础设施保护的关系?

  • 等级保护制度是普适性的制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。

  • 网络运营者应当在第三级(含)以上网络中确定关键信息基础设施。

  • 关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。

8 等保2.0将在年底正式实施,我们要做什么准备工作?

尽管去年等保2.0的报批稿就已经和大家见面,但对于云计算、工控安全、可信认证这些新领域、新内容来讲,半年的过渡期,其实真的不长。

我们首先要对2.0所依据的法律文件、相关制度做到熟知;其次要掌握2.0整体结构的变化,根据自身业务属性加强对云计算、工控、移动互联、大数据等各场景的应用;e小安在这里重点强调可信计算,新标准把可信验证列入各级别和各环节的主要功能要求,从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点,而且对可信计算的要求,都是可,不是应。

9 等保2.0实施后,巨大的市场“蛋糕”的背后传递了什么信号?

等保2.0的落地属于安全政策的变化,影响力可能超过之前的网络安全法。根据等保2.0的新增要求,其对应的产品类型和服务领域也有所增加,市场容量也随之扩大。

以服务端为例:

等保咨询服务体量将暴增,包括等保测评服务、等保培训、等保咨询服务、常规安全服务(渗透、漏扫、配置核查)、重保服务、云端SaaS服务。根据国泰君安的研究数据表明:目前市场上等保测评服务为二级8万元,三级16万元,等保咨询服务的价格为二级5万左右,三级8万~10万元(按9万计算)。按照新增20%的单位选择等保咨询服务计算,对应的新增市场空间为59亿元。

巨大的市场空间,诱人的美味“蛋糕”,但这并不是你想分就能分到的。 “等保2.0”的要求,更专业,更严格,无论是服务需求方还是提供方,对专业人才都有着迫切的需求。网络安全龙头企业高速发展的背后,更是专业人才的支撑:从业人员不断加强基本功,夯实网络安全保障能力,人才的储备及人才的专业素养可以支撑等保方案的有效落地,保证用户网络稳定、安全合规,给用户带来真正的价值,才能在如此激烈竞争的市场中,占有立足之地。

声明:本文来自e安在线,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。