等保2.0發布：安全狗助力企業順利通過等保2.0的“大考”

2019年5月13日,網絡安全等級保護制度2.0標準(以下簡稱“等保2.0”)在千呼萬喚聲中正式發布,將于2019年12月1日開始實施。相比等保1.0,等保2.0不僅加入了對云計算、物聯網和移動互聯等領域的等級保護規范,而且風險評估、安全監測以及政策、體系、標準等體系相對更完善。

從1994年國務院頒布《中華人民共和國計算機信息系統安全保護條例》到等保2.0正式發布,等保制度的嬗變歷經了25年的歷程。

1994年《中華人民共和國計算機信息系統安全保護條例》發布

1999年國家發布關于計算機信息系統安全保護等級劃分準則強制性標準

2005年《重要信息系統災難恢復指南》發布

2007年 四部委下發《信息安全等級保護管理辦法》

2008年國家發布《信息安全等級保護基本要求》

2015年國家發布《公共安全業務連續性管理體系指南》

2017年《中華人民共和國網絡安全法》發布,其中提出對于等保的要求

2019年等保2.0標準正式發布

與等保1.0相比,等保2.0發生了哪些重要變化?

首先,是名稱的變化

見微而知著,從早期“信息安全”的表述,到如今的“網絡安全”概念,說明在整個安全領域內,網絡安全由于其更加豐富的內涵逐漸取代了信息安全成為了共識,從早期面向數據的信息安全,過渡到面向信息系統的信息保障(信息系統安全),并進一步演進為面向網絡空間的網絡安全。

其次,是保護對象的變化

等保1.0定義等級保護對象很明確,但也很局限,即：信息安全等級保護工作直接作用的具體信息和信息系統。

隨著云計算平臺、物聯網、工業控制系統等新形態的等級保護對象不斷涌現,原定義內涵局限性日益顯現。

而等保2.0定義等級保護對象為：包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。

很明顯保護對象的范圍空前擴大了,從原先基本局限在體制內的信息系統,擴大到了幾乎全社會的程度。并且等保2.0標準不再強調自主定級,而是強調合理定級,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,定級更加嚴格。

為了便于讀者理解,這里把通常會納入等級保護考核范圍的行業列出來,作為參考

* 各級政府機關

* 銀行、保險、證券等金融單位

* 郵政、電信單位

* 廣播、電視、新聞出版單位

* 重點電力、煤炭、燃氣、燃油等能源單位

* 航空、鐵路和重點公路、水運等運輸單位

* 水利及水源供給單位

* 重要物資儲備單位

* 重點工程建設單位

* 大型工商、信息技術企業

* 重點科研、教育機構

* 醫療衛生、消防、緊急救援等社會應急服務機構

* 需要實行重點保護的其他單位

再次,是從測評難度的變化

相較于等保1.0,等保2.0標準測評周期、測評結果評定有所調整,總體來說更加嚴格。等保2.0標準要求,第三級以上的系統每年開展一次測評,修改了原先1.0時期要求四級系統每半年進行一次等保測評的要求。等保2.0里,測評達到75分以上才算基本符合,相比較等保1.0的60分以上算基本符合有了更高的要求。

最后,是安全體系的變化

等保2.0標準依然沿用等保1.0標準的“一個中心、三重防護” 的理念,但是從等保1.0標準的被動防御的安全體系已經開始向事前預防、事中響應、事后審計的動態保障體系轉變。

通過建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防御體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。

此外,安全管理中心也從管理層面提升至技術層面。

面對全新的等保“大考”,如何才能順利通過?

在網絡安全越來越受重視的今天,云計算、物聯網、大數據等新技術在應用的過程中,提高安全建設的整體水平,增加信息系統安全保護的整體性,讓新技術落地應用的過程更加依法合規。對于企業來說,網絡安全等級保護備案證明以及測評報告,既是對產品專業性、安全性、合規性的認定,也是作為業務開展過程中的重要資質證明。

那么,面對等保2.0的這場大考,我們應該如何順利通過呢?

安全狗·云壘云安全平臺在充分考慮云計算的特點及其帶來的安全風險,基于對云計算環境下安全威脅的分析和云環境下的安全需求,結合現有的安全防護體系,設計了滿足云計算環境下風險管理、威脅分析、等保合規性要求和保障云計算平臺安全運行的云安全整體解決方案。

依照《網絡安全等級保護安全設計技術要求》中的責任共擔模型,云計算平臺的等級保護定級和按照等級的保護工作由云服務方負責,對于大型云計算平臺可以將云計算基礎設施平臺及輔助支撐系統劃分為不同的等級對象,各自獨立定級。云租戶在云計算平臺上部署的軟件及相關組件可以構成等級保護定級對象,針對其的具體定級和按等級開展的保護工作由云租戶負責。

云壘云安全平臺體系架構包含租戶層安全(云主機安全和租戶應用安全)、云安全資源池、數據層、云安全管理平臺以及外部威脅情報服務。其中租戶層安全包含租戶(云)主機安全、租戶應用安全;云安全服務資源池包含網站安全監測系統、云堡壘機服務;數據層主要是匯集平臺所有的安全大數據進行分析,形成安全態勢感知能力;云安全管理平臺是云壘云安全縱深防護體系的統一管理平臺。安全服務資源池內的安全服務產品可提供租戶進行選購,同時云安全平臺可根據自身安全能力擴展安全服務產品。

云壘安全防護體系框架

安全狗·云壘云安全平臺可以滿足法律、監管和合規性要求,滿足云平臺和租戶的防護需求,也能滿足等保需求。既能幫助云平臺廠商過等保,也能幫助云租戶滿足等保要求。從事前預防、事中響應、事后審計的動態保障體系,實現等保2.0要求的全方位主動防御、安全可信、動態感知和全面審計。

此外,安全狗擁有公安一所頒發的“信息安全等級保護安全建設服務機構能力評估合格證書”。作為在云安全領域處于領先地位的安全企業,安全狗在業內較早以“等保2.0”標準建設自身產品的安全規范體系,不僅僅是為了符合國家相關法律的合規性要求,更是為了提升整體網絡的綜合安全防護能力。

隨著“等保2.0”標準的正式發布,不僅僅為安全狗提高和完善企業網絡安全建設提供了法律依據和標準體系,也對安全狗助力其他行業的信息系統安全建設,提供更安全、更專業的服務奠定堅實基礎。