等保2.0发布：安全狗助力企业顺利通过等保2.0的“大考”

2019年5月13日,网络安全等级保护制度2.0标准(以下简称“等保2.0”)在千呼万唤声中正式发布,将于2019年12月1日开始实施。相比等保1.0,等保2.0不仅加入了对云计算、物联网和移动互联等领域的等级保护规范,而且风险评估、安全监测以及政策、体系、标准等体系相对更完善。

从1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》到等保2.0正式发布,等保制度的嬗变历经了25年的历程。

1994年《中华人民共和国计算机信息系统安全保护条例》发布

1999年国家发布关于计算机信息系统安全保护等级划分准则强制性标准

2005年《重要信息系统灾难恢复指南》发布

2007年 四部委下发《信息安全等级保护管理办法》

2008年国家发布《信息安全等级保护基本要求》

2015年国家发布《公共安全业务连续性管理体系指南》

2017年《中华人民共和国网络安全法》发布,其中提出对于等保的要求

2019年等保2.0标准正式发布

与等保1.0相比,等保2.0发生了哪些重要变化?

首先,是名称的变化

见微而知著,从早期“信息安全”的表述,到如今的“网络安全”概念,说明在整个安全领域内,网络安全由于其更加丰富的内涵逐渐取代了信息安全成为了共识,从早期面向数据的信息安全,过渡到面向信息系统的信息保障(信息系统安全),并进一步演进为面向网络空间的网络安全。

其次,是保护对象的变化

等保1.0定义等级保护对象很明确,但也很局限,即：信息安全等级保护工作直接作用的具体信息和信息系统。

随着云计算平台、物联网、工业控制系统等新形态的等级保护对象不断涌现,原定义内涵局限性日益显现。

而等保2.0定义等级保护对象为：包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

很明显保护对象的范围空前扩大了,从原先基本局限在体制内的信息系统,扩大到了几乎全社会的程度。并且等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。

为了便于读者理解,这里把通常会纳入等级保护考核范围的行业列出来,作为参考

* 各级政府机关

* 银行、保险、证券等金融单位

* 邮政、电信单位

* 广播、电视、新闻出版单位

* 重点电力、煤炭、燃气、燃油等能源单位

* 航空、铁路和重点公路、水运等运输单位

* 水利及水源供给单位

* 重要物资储备单位

* 重点工程建设单位

* 大型工商、信息技术企业

* 重点科研、教育机构

* 医疗卫生、消防、紧急救援等社会应急服务机构

* 需要实行重点保护的其他单位

再次,是从测评难度的变化

相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整,总体来说更加严格。等保2.0标准要求,第三级以上的系统每年开展一次测评,修改了原先1.0时期要求四级系统每半年进行一次等保测评的要求。等保2.0里,测评达到75分以上才算基本符合,相比较等保1.0的60分以上算基本符合有了更高的要求。

最后,是安全体系的变化

等保2.0标准依然沿用等保1.0标准的“一个中心、三重防护” 的理念,但是从等保1.0标准的被动防御的安全体系已经开始向事前预防、事中响应、事后审计的动态保障体系转变。

通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

此外,安全管理中心也从管理层面提升至技术层面。

面对全新的等保“大考”,如何才能顺利通过?

在网络安全越来越受重视的今天,云计算、物联网、大数据等新技术在应用的过程中,提高安全建设的整体水平,增加信息系统安全保护的整体性,让新技术落地应用的过程更加依法合规。对于企业来说,网络安全等级保护备案证明以及测评报告,既是对产品专业性、安全性、合规性的认定,也是作为业务开展过程中的重要资质证明。

那么,面对等保2.0的这场大考,我们应该如何顺利通过呢?

安全狗·云垒云安全平台在充分考虑云计算的特点及其带来的安全风险,基于对云计算环境下安全威胁的分析和云环境下的安全需求,结合现有的安全防护体系,设计了满足云计算环境下风险管理、威胁分析、等保合规性要求和保障云计算平台安全运行的云安全整体解决方案。

依照《网络安全等级保护安全设计技术要求》中的责任共担模型,云计算平台的等级保护定级和按照等级的保护工作由云服务方负责,对于大型云计算平台可以将云计算基础设施平台及辅助支撑系统划分为不同的等级对象,各自独立定级。云租户在云计算平台上部署的软件及相关组件可以构成等级保护定级对象,针对其的具体定级和按等级开展的保护工作由云租户负责。

云垒云安全平台体系架构包含租户层安全(云主机安全和租户应用安全)、云安全资源池、数据层、云安全管理平台以及外部威胁情报服务。其中租户层安全包含租户(云)主机安全、租户应用安全;云安全服务资源池包含网站安全监测系统、云堡垒机服务;数据层主要是汇集平台所有的安全大数据进行分析,形成安全态势感知能力;云安全管理平台是云垒云安全纵深防护体系的统一管理平台。安全服务资源池内的安全服务产品可提供租户进行选购,同时云安全平台可根据自身安全能力扩展安全服务产品。

云垒安全防护体系框架

安全狗·云垒云安全平台可以满足法律、监管和合规性要求,满足云平台和租户的防护需求,也能满足等保需求。既能帮助云平台厂商过等保,也能帮助云租户满足等保要求。从事前预防、事中响应、事后审计的动态保障体系,实现等保2.0要求的全方位主动防御、安全可信、动态感知和全面审计。

此外,安全狗拥有公安一所颁发的“信息安全等级保护安全建设服务机构能力评估合格证书”。作为在云安全领域处于领先地位的安全企业,安全狗在业内较早以“等保2.0”标准建设自身产品的安全规范体系,不仅仅是为了符合国家相关法律的合规性要求,更是为了提升整体网络的综合安全防护能力。

随着“等保2.0”标准的正式发布,不仅仅为安全狗提高和完善企业网络安全建设提供了法律依据和标准体系,也对安全狗助力其他行业的信息系统安全建设,提供更安全、更专业的服务奠定坚实基础。