关于等保2.0,这些是你应该知道的

原创 SEO培训  2019-08-02 13:39  阅读 4 views 次 评论 0 条

等保2.0,一个全新的网络安全时代的开始!

2019年5月13日,网络安全等级保护制度2.0(以下简称等保2.0)标准正式发布,并将于2019年12月1日开始实施。

等保2.0的发布标志着我国网络安全等级保护工作进入一个崭新的阶段,对于加强我国网络安全保障工作,提升网络安全保护能力具有十分重要的意义。

开启网络安全新时代

网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。随着信息技术的快速发展,以及网络安全形势的不断变化,等保2.0在1.0的基础上,注重全方位主动防御、动态防御、整体防控和精准防护,实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖,以及除个人及家庭自建网络之外的领域全覆盖。

过去这些年,我国的等级保护工作一直处在有序推进中。在上个世纪80年代兴起的计算机信息系统安全保护研究的基础上,1994年,国务院发布《中华人民共和国计算机信息系统安全保护条例》;1999年发布《计算机信息系统安全保护等级划分准则》强制性标准;2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》要求,“抓紧建立信息安全等级保护制度”。近年来,国家有关部委也曾多次联合发文,明确要求国家重点工程必须通过信息安全等级保护的测评和验收。

等保2.0与等保1.0体系框架对比差异

经过不断的发展和完善,我国的网络安全等级保护制度具有科学性、创新性和前瞻性。以前的标准都是针对计算部件的保护,而我国的网络安全等级保护制度第一个提出信息系统安全保护,并且提出了五级保护的分类方法,从业务信息和系统服务两个维度来定级,率先实行定级(风险感知)、建设(防护)、测评(整改)、监督检查和应急恢复的全过程防护。

此次等保2.0的发布不仅在网络安全行业,甚至在整个社会都激起了强烈反响。等级保护工作为何如此重要?

首先,它是国家法律的要求。《中华人民共和国网络安全法》中第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

其次,国家相关机关对违反《网络安全法》的行为、企业加大了执法力度。有法可依、有法必依、执法必严,在网络安全领域正蔚然成风。

再次,企业出于自身业务安全的考虑,应按照国家等保标准建设网络安全体系,不断提高企业信息系统的信息安全防护能力,降低信息系统被攻击的风险,满足自身业务的健康发展。

最后,我们已经步入云计算、大数据时代,新时代的应用需求,以及技术的快速更迭,要求不断扩展保护对象的范围,特别是对云计算平台、物联网等新兴应用和平台的保护,亟需制定相关的法律和制度。

中国工程院院士沈昌祥指出,等保2.0标准具有以下三大特点:第一,基本要求、测评要求和技术要求框架统一,采用安全管理中心支持下的三重防护结构框架;通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范;第三,把基于可信根的可信验证列入各级别和各环节主要功能要求。

等保标准分类结构的变化

在1.0的基础上,等保2.0借鉴国际先进安全保护技术,创新性地提出安全保护通用要求,实现了对新技术、新应用安全保护对象的全覆盖和安全保护领域的全覆盖。等保2.0由包括网络安全等级保护基本要求、网络安全等级保护安全设计技术要求和网络安全等级保护测评要求3个核心标准在内的多项标准构成。等保2.0突出技术思维和立体防范,注重全方位主动防御、动态防御、整体防控和精准防护,进一步强化了“一个中心,三重防护”的安全保护体系。

等保2.0突出全覆盖,不仅覆盖各地区、各单位、各企业、各部门和各机构,而且通过“通用要求+扩展要求”,覆盖网络、信息系统、信息,以及云平台、物联网、工业控制系统、大数据、移动互联网等各种新技术和应用。

网络安全要与时俱进。等保2.0引领了网络安全发展的新趋势,强调“四个变化”——变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,旨在建立“打防管控”一体化的网络安全综合防御体系,从而提升国家网络安全的整体防御能力。

从等保1.0到等保2.0,有很多方面的变化,主要体现在:体系框架和保障思路的变化、定级对象的变化、测评的变化、等保要求的组合变化、控制点和要求项的变化。具体来主看,将原标准中的“信息系统安全等级保护”改为“网络安全等级保护”,与网络安全法保持一致;保护对象由原来的“信息系统”改为“等级保护对象”;等保1.0中规定的安全要求在等保2.0中修改为安全通用要求和安全扩展要求,增加了云计算、工业控制系统、移动互联、物联网等安全场景下的扩展要求;另外还有在安全控制点方面的改进,比如强化可信计算技术的使用等诸多改进。

等保工作流程的五个阶段

等保2.0分为以下五个安全保护等级。

第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。

第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

第五级安全保护能力:由于情况特殊不在等保系列标准中阐述。

无论企业属于哪种行业,无论企业规模大小,只要使用了有关的网络和信息系统,无一例外都应严格落实等级保护制度。企业可以通过定级、备案、建设整改、等级测评、监督检查五个阶段,满足等保2.0的各项要求。

企业不能将实施等保2.0看作是一种负担。只有严格按照等保2.0的要求完善企业信息系统的安全、合规建设,才能确保企业在面对新形势下的各种安全挑战时能够从容应对。

群策群力 加速等保2.0落地

对于等保2.0标准的发布,各厂商反响热烈,都积极行动起来,投身到新安全技术和产品的研发中,全力做好网络安全服务,帮助用户建立可信、合规的网络安全体系。

新华三集团认为,等保2.0的发布是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,也是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的重要基础。未来,新华三将进一步贯彻网络安全等级保护工作精神,以丰富的经验积累为基础,以先进的安全技术和强大的专家队伍为保障,更高效、更合理地协助各行各业的用户完成等级保护建设工作。

作为等保2.0标准的主要起草单位之一,华为能够提供系统化的等保建设思路和完整的安全解决方案,涵盖云数据中心安全、智慧园区安全、智慧城市安全、视频云安全、工控系统安全等。华为云已经通过了等保4级测评,还联合公安三所等有资质的等保测评机构推出了专业测评服务,指导客户进行安全服务的选型和部署。

华为是一家在芯片、软件和硬件上都具备自研能力的网络安全厂商,能够为客户提供自主可控的网络安全解决方案。华为的第三代沙箱、威胁诱捕系统和安全威胁态势感知平台等安全系统,可以有效抵御高级威胁,可以满足等保2.0的新增要求,协助客户顺利完成等保建设和测评。

云计算安全可信架构

对于云计算平台的安全保护,各厂商都十分重视。360云安全整体解决方案已在国内多个省市的政务云系统中成功落地,为满足云等保测评提供了云主机安全和云内网络安全的技术支撑。360与众多知名云计算厂商在云安全风险评估和云等保技术对标方面展开合作,依托自主研发的云安全管理平台,同时结合多种领先的虚拟化安全技术,将传统安全与虚拟化技术深度融合,不仅可有效消除云计算带来的安全风险,而且能够满足等保2.0对云计算安全的相关技术要求,为政企客户的云安全提供整体解决方案。

对于单位自建的云平台,启明星辰建议,可以将云平台作为基础设施,云客户业务系统作为信息系统,分别作为定级对象进行定级;对于大型云平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级。云计算基础设施的安全保护等级不能低于其所支撑的业务系统的等级。

对于部署在公有云上的信息系统开展等级保护工作,应遵循如下原则:应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定;云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。

绿盟科技围绕等保2.0推出了专业一体化的等保安全合规咨询服务,比如信息系统安全合规咨询、云计算安全合规咨询、工业控制系统安全合规咨询、物联网安全合规咨询、移动互联安全合规咨询。

以工控领域为例,依据等保2.0工业控制系统安全扩展要求,基于工业控制系统的应用环境和场景,并结合工业控制相关业务模型,绿盟科技工业控制系统安全合规咨询服务可提供对工控系统进行合规评估、资产安全评估、网络异常行为审计、视频监控设备评估、主机恶意代码评估等服务内容,并协助对评估结果数据进行关联分析,可帮助用户快速掌握合规现状,定位工业网络安全风险。

中国工程院院士沈昌祥归纳出等保2.0的时代特征:在法律支撑层面,我国的计算机系统等级保护条例提升为国家基础性法律制度,即网络安全法中的网络安全等级保护制度;在科学技术层面,由分层被动防护发展到科学安全框架下的主动免疫安全可信防护体系;在工程应用层面,由传统的计算机信息系统防护转向了新型计算环境下的网络空间主动防御体系建设。

等保2.0时代,将重点对云计算、移动互联、物联网、工业控制和大数据安全进行全面安全防护,以确保关键信息基础设施的安全。沈昌祥表示,等级保护由1.0到2.0是从被动防御变成主动防御,应进一步夯实网络安全等级保护基础。

华为认为,等保建设并非一蹴而就,而是一个长久持续的过程,整网的系统化安全建设和持续的产品安全能力升级才是关键。

等保2.0的宣贯和推广需要群策群力,众人拾柴火焰高。对此,深信服深有体会。践行等保2.0标准需要着重做好以下三方面工作:各机构部门可以通过宣贯、培训等多种多样的方式,帮助用户深刻理解和应用等保2.0;相关解决方案提供商可以通过自身产品和技术的创新、业务场景的适配,为用户提供切实可行的等保2.0解决方案;监管部门、评测机构、安全厂商以及其他相关组织机构应通力协作,共同推动等保2.0的落地。

云平台与云上租户的安全

等保2.0可以说对保护对象进行了最大程度的扩展,重要的网络基础设施、重要行业和部门的核心业务系统、工业控制系统,以及党政机关、企事业单位、大型互联网企业等的重要网站、大数据、云平台、智能设备设施等全部进入了等保2.0保护的范畴。所谓安全无边界,安全无死角。

其中云平台的保护是重中之重。曾几何时,安全性是企业上云的最大障碍。随着安全技术的不断进步,相关政策略措施的不断完善,特别是企业和消费者安全管理和安全消费的意识逐步提高,云安全有了更可靠的保障。

举例来说,国内很多城市的政府部门都在积极建设本地的政务云平台,由于各委办局和街道的数十甚至数百个信息系统都运行在政务云平台上,政务云的安全性必须得到有效保障。政务云平台除了要满足云计算平台通用的安全规定和要求以外,还应满足基础设施位置、镜像和快照保护、云服务商选择、供应链管理和云计算环境管理等方面对安全性、合规性方面的要求。因为一个云平台之上需要承载不同的定级对象和不同的责任方,所以云服务商在提供云平台服务时不仅要保障云平台自身的安全防护,更重要的是,还要保护云平台之上所有租户系统的安全。

对于等保2.0的变化,各云服务商都十分关注,积极参与相关严格的评测,也通过创新的安全解决方案保证云租户的安全。

等保2.0更强调“一个中心、三重防护”的网络安全技术设计架构。一个中心指的是安全管理中心,而三重防护御指的是安全计算环境、安全区域边界和安全通信网络”。许多云服务商就是基于“一个中心,三重防护”这一中心思想进行的架构设计。

如果没有安全性的保障,阿里云的业务也不会有如此快速的成长。云服务商的首要任务就是建立与用户之间的“信任”,而这种信任很大一部分就来源于云服务商拥有的云平台的安全、可靠、合规。2019年,阿里云专有云平台通过了等保2.0四级(可交付的最高等级)测评,并联合公安部信息安全等级保护评估中心发布了《阿里专有云等保合规白皮书》。20199年5月16日,阿里云“电子政务云平台系统”通过网络安全等级保护三级测评。

阿里云对安全和合规体系的建设一直十分重视。早在2013年,阿里云便获得了全球首张云安全国际认证金牌(CSA-STAR);2015年,阿里承诺“绝对不碰客户数据”;2018年,阿里云在全产品、全节点通过ISO认证的同时,还拿下了云服务用户数据保护能力的多项认证;同样是在2018年,阿里云从平台、系统、产品、服务、合规、流程、政策等方面,全面按照GDPR的要求进行数据保护与相关服务改进,相关工作已准备就绪,同年12月,阿里云获得ISO/IEC 27017和ISO/IEC 27018两项权威认证。诸多权威认证、资质和测试表明,阿里云无论是在自身平台和管理体系建设上,还是在保证客户信息安全方面,都符合国内外相关行业标准的要求,在安全、可信、合规等方面持续改进。

云服务商对于安全的追求是永无止境的。除了进行第三方合规认证之外,阿里云还在数据安全机制、流程、技术等方面不断创新。举例来说,阿里云建立了包含双因素身份认证、增强访问控制、内部审计、第三方审计在内的“四位一体”的数据安全机制流程,以及芯片级的SGX加密技术、用户数据全链路加密方案,全方位确保用户云上数据的安全。特别值得一提的是,阿里云将隐私设计(Privacy by Design)、安全性的理念,贯穿于自身系统和产品设计中,所有云产品上线之前必须通过“安全+隐私设计”双重评估。

为消除企业上云时可能存在的对云服务安全的担心,阿里云将人工智能、深度学习等先进技术融入到其安全产品中,在基础安全、数据安全、业务安全等方面为用户提供完整的安全保护。

作为等保2.0国标的深度参与单位,阿里云曾牵头负责云扩展部分的设计要求。阿里云安全防护遵循“一个中心,三重防护”的安全技术设计框架设计,采用统一的认证、权限管理、审计管理、安全管理中心进行云平台的内控和安全管理,并由专业的安全运营团队开展运营,以确保云平台基座的稳固。

等保2.0的保护对象扩展到了云计算、大数据等新兴技术领域,意味着云平台自身要按照等保2.0的最新要求加强安全与合规性的建设,满足国家法律的要求。

腾讯云TStack也通过了公安部网络安全等级保护四级资质测评。这表明,腾讯云TStack具有稳定、全面的安全性能,可为用户提供高效可靠的云服务,同时满足等保2.0对合规性的要求。

从2013年开始,腾讯云TStack就一直为腾讯集团内部多个系统提供支持服务,在安全保护积累了丰富的经验。腾讯云还通过了CSA STAR金牌认证、ISO27001信息安全认证、可信云认证等多项国内外权威认证,不断提升云平台的安全合规性。

针对等保2.0提出的一些具体要求,腾讯云已经做好了充分的准备。比如,面对“安全管理中心”的新要求,腾讯云推出了云安全运营中心,实现了云上资源和业务安全集中管控,可以满足系统管理、安全管理、审计管理三个方面的标准要求。安全运营中心是基于企业云端安全数据和腾讯安全大数据的云安全运营平台,通过对海量数据进行多维、智能的持续分析,为企业提供漏洞情报、威胁发现、事件处置、基线合规、泄漏监测及风险可视等能力,并采取相应的安全措施,帮助用户实现全生命周期安全运营。

针对密码管理方面的新要求,腾讯云提供了完整的数据加密与密钥管理方案,完全满足国家等级保护和国密局的相关要求。企业借助腾讯云的数据加密服务,可以保证重要数据在传输、存储、使用过程中的安全,景覆盖敏感数据加密、金融支付安全、电子政务、电子票据、身份认证、CA、物联网、区块链等众多应用场景。

在安全合规服务方面,腾讯云可提供涵盖多项国内外权威标准(ISO 27001、ISO 27018、ISO 22301、ISO 20000、ISO 9001)以及相关的法律法规(如GDPR、个人信息保护规范)的咨询、培训、测评和评估等一系列服务。

近几年,腾讯云一直在积极布局“出海”业务。如果没有安全合规,企业“出海”将寸步难行。针对那些“出海”的企业,海外当地监管会审查企业所使用的云平台是否合规,企业的安全性是否足够好等。因此,“出海”企业所使用的云平台的安全合规性便成了“出海”企业首要考量的因素。

早在腾讯云开展海外业务前,负责云平台安全合规的腾讯云鼎实验室就先对海外合规要求进行了分析,包括不同国家和地区在安全体系、数据安全、个人信息保护,以及金融行业、政务行业等的合规要求;除此之外,还对韩国、日本、美国、德国、加拿大、泰国、俄罗斯等地网络安全、数据安全方面的合规要求进行分析,同时,也在积极进行各国合规认证,从而加速自身云平台国际合规性的进程。

UCloud等保2.0合规解决方案基于“一个中心,三重防护”的架构设计思想,依托已通过等保三级认证的UCloud云平台基础设施环境,为用户提供了“一站式”的安全合规方案。

具体来看,在安全计算环境方面,等保2.0要求“能够检测到对重要节点进行入侵的行为并提供报警,采用免受恶意代码攻击的技术措施,或主动免疫可信验证机制及时识别入侵和病毒行为”。UCloud等保2.0合规解决方案提供的UCloud主机入侵检测系统可以检测正在发生的入侵行为,包括暴力破解、木马后门等行为,并对主机风险进行评估,识别不安全配置、弱口令及安全漏洞等。另外,UCloud Web漏洞扫描系统还可对网站域名进行一键扫描,自动生成报告,主动及时发现漏洞,提前修复漏洞免受入侵威胁。为确保数据的保密性和完整性,UCloud还能提供数字证书服务USSL,用户网站可使用正规有效的SSL证书实现HTTPS传输,使网站安全可信,防劫持、防篡改、防监听。

在安全审计方面,UCloud等保2.0合规解决方案提供的堡垒机可实现双因子身份鉴别、权限控制和主机操作审计。UCloud数据库审计系统可以对数据库审计和事务日志进行审查,并对用户分析数据库的各类正常、异常、违规操作提供证据。

针对安全区域边界,等保2.0的具体要求集中体现在,在关键网络节点处检测、防止或限制从外部发起的网络攻击行为,尤其新型网络攻击行为(如DDoS攻击,CC攻击等),检测对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。

针对此,UCloud等保2.0解决方案提供了DDoS攻击防护服务,当攻击超过UCloud提供的免费基础防护阈值时,用户可购买使用DDoS高防产品来进行防护。DDoS高防产品支持防护ACK、SYN、连接耗尽等各类常见攻击,最高能够提供1Tbps的攻击防护。另外,UCloud Web应用防火墙还可以完成CC防护及常见Web漏洞检测和拦截,具有网页防篡改功能,可保障网站业务的可用性、完整性。

针对安全通信网络,等保2.0也有要求,即划分不同的网络区域,避免将重要网络区域部署在边界处,网络区域之间安全隔离,同时要求云用户采用云平台提供的选择安全组件、配置安全策略等。另外,等保2.0还要求提供通信线路、关键网络设备和关键计算设备的冗余。UCloud等保2.0合规解决方案提供了“外网防火墙+UVPC+ACL”的组合模式,用户通过该产品组合可实现对网络边界访问控制、各网络区域安全隔离以及访问规则设置等,并为云平台和用户的网络边界防护和隔离提供安全保障。

针对安全管理中心,等保2.0要求,对网络链路、安全设备、网络设备和服务器等的运行状况、审计数据进行集中监测,对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。UCloud等保2.0合规解决方案提供了态势感知系统,可通过大数据分析和深度机器学习来发现潜在的入侵和高隐蔽性攻击,从而提高攻击行为的可见性、可溯源性和可防御性;同时,配合集中日志审计系统,进行各类安全事项的集中管理,并与优盾安全产品相结合,为用户提供“事前预防,事中控制,事后审计”的全程安全管控分析。

从安全计算环境、安全区域边界到安全通信网络,再到安全管理中心,UCloud等保2.0合规解决方案从多个维度为云应用的安全保驾护航。未来,UCloud不将不断完善和优化其等保解决方案,持续为客户提供安全、可信、合规的一站式等级保护解决方案,确保云环境的安全。

品至咨询专注于互联网资质行业,如果企业想了解等保相关问题,可来电咨询,我们将全心为您服务!


Tel:4009960062
长按二维码,识别关注

本文源自微信公众号:品至

历史上的今天:

本文地址:https://www.dgseo163.com/seos/7527.html
关注我们:请关注一下我们的微信公众号:扫描二维码黑帽seo | SEO技术核心算法培训_黑帽优化实战赚钱技术推广 – 黑桃K的公众号,QQ:1358589665
版权声明:本文为原创文章,版权归 SEO培训 所有,欢迎分享本文,转载请保留出处!

评论已关闭!