ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

等保2.0

2021-10-06 11:02:17  阅读:178  来源: 互联网

标签:要求 1.0 保护 安全 2.0 等级


什么是等保?

等保是指对国家重要信息法人其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置

等保1.0
2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过10余年的实践,等保1.0为保障我国信息安全打下了坚实的基础。

等保2.0
按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。

等保1.0与等保2.0的区别?
等保1.0主要强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。

相较于等保1.0,等保2.0发生了以下主要变化:

1、名称变化。
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。

2、定级对象变化。
等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
在这里插入图片描述
3、安全要求变化。
等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。其中:

1)云计算安全扩展要求包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

2)移动互联安全扩展要求包括“无线接入点的地理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。

3)物联网安全扩展要求包括“感知节点的物理保护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。

4)工业控制系统安全扩展要求包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。

4、控制措施分类结构变化。

等保2.0依旧保留技术和管理两个维度。

在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;

在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

5、内容变化。
从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。)。
在这里插入图片描述
等保2.0两个全覆盖

1)覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会。

2)覆盖所有保护对象,包括网络、信息系统,以及新的保护对象,云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。两个全覆盖是网络安全等级保护制度的核心,是它的重中之重。
在这里插入图片描述

网络安全等级保护2.0新标准具有以下三个特点:

1)等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架;

2)通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范;

3)将可信验证列入各级别和各环节的主要功能要求。

为什么要颁布实施等保2.0?

因为“等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。

为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。

等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。

等保2.0的实施对企业有哪些影响?

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

等保2.0有5个运行步骤:定级备案、差距评估、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。

1)一级系统简单,不需要备案,影响程度很小,因此不作为重点监管对象;

2)二级系统大概50万个左右;

3)三级系统大概5万个;

4)四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,有1000个左右;

5)五级系统属国家级、国防类的系统,比如核电站、军用通信系统。

标签:要求,1.0,保护,安全,2.0,等级
来源: https://blog.csdn.net/wlllllianqing/article/details/120622329

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有