今天�,互聯(lián)網(wǎng)發(fā)展“一日千里”�����。無論是底層的IT基礎(chǔ)設(shè)施和新技術(shù)��,還是我們每天使用的互聯(lián)網(wǎng)應(yīng)用�����,變化快速發(fā)生��,變革日新月異��。與此同時(shí)��,網(wǎng)絡(luò)安全日益重要�。但是�����,一直以來�����,我國在網(wǎng)絡(luò)安全方面主要依據(jù)的是��,2007年和2008年頒布實(shí)施的《信息安全等級(jí)保護(hù)管理辦法》和《信息安全等級(jí)保護(hù)基本要求》��。這部法規(guī)被稱為等保1.0。
但是��,等保1.0”不僅缺乏對(duì)一些新技術(shù)和新應(yīng)用的等級(jí)保護(hù)規(guī)范��,比如云計(jì)算�����、大數(shù)據(jù)和物聯(lián)網(wǎng)等�����,而且風(fēng)險(xiǎn)評(píng)估�����、安全監(jiān)測和通報(bào)預(yù)警等工作以及政策�����、標(biāo)準(zhǔn)�����、測評(píng)�����、技術(shù)和服務(wù)等體系不完善�����。
為適應(yīng)新技術(shù)的發(fā)展�,解決云計(jì)算、物聯(lián)網(wǎng)��、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要�����,由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國家標(biāo)準(zhǔn)的工作�,等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代。
5月13日下午�,國家市場監(jiān)督管理總局召開新聞發(fā)布會(huì),正式發(fā)布等保2.0�。根據(jù)最新消息,等保2.0將于12月1日正式實(shí)施�����。
相比等保1.0�,等保2.0不僅加入了對(duì)云計(jì)算��、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)等領(lǐng)域的等級(jí)保護(hù)規(guī)范��,而且風(fēng)險(xiǎn)評(píng)估�����、安全監(jiān)測以及政策�����、體系�����、標(biāo)準(zhǔn)等體系相對(duì)更完善�����。日前�,天極網(wǎng)記者獲得“等保2.0”��,將為大家進(jìn)一步解讀該規(guī)范�����。
具體說來��,新標(biāo)準(zhǔn)分成了5個(gè)部分:
《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第1部分安全通用要求》
《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分云計(jì)算安全擴(kuò)展要求》
《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第3部分移動(dòng)互聯(lián)安全擴(kuò)展要求》
《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求》
《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第5部分工業(yè)控制系統(tǒng)安全擴(kuò)展要求》
等級(jí)保護(hù)對(duì)象是指網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的對(duì)象�,主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)�、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)(IoT)��、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等��。等級(jí)保護(hù)范圍內(nèi)重要信 息系列所涵蓋的行業(yè)有能源�����、金融��、交通�、水利、醫(yī)療衛(wèi)生�����、環(huán)境保護(hù)��、工業(yè)制造、市政��、電信與互聯(lián)網(wǎng)��、廣播電視及政府部門�����。
據(jù)悉�,等保2.0有5個(gè)運(yùn)行步驟:定級(jí)、備案��、建設(shè)和整改��、等級(jí)測評(píng)��、檢查��。同時(shí)�,也分5個(gè)等級(jí),即信息系統(tǒng)按重要程度由低到高分為5個(gè)等級(jí)�����,并分別實(shí)施不同的保護(hù)策略�����。
一級(jí)系統(tǒng)簡單,不需要備案�,影響程度很小,因此不作為重點(diǎn)監(jiān)管對(duì)象;二級(jí)系統(tǒng)大概50萬個(gè)左右;三級(jí)系統(tǒng)大概5萬個(gè);四級(jí)系統(tǒng)量級(jí)較大��,比如支付寶��、銀行總行系統(tǒng)�����、國家電網(wǎng)系統(tǒng)�����,有1000個(gè)左右;五級(jí)系統(tǒng)屬國家級(jí)�、國防類的系統(tǒng)�����,比如核電站�、軍用通信系統(tǒng)。
一�����、五級(jí)安全保護(hù)能力
第一級(jí)安全保護(hù)能力:
應(yīng)能夠防護(hù)免受來自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊�、一般的自然災(zāi)難,以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害�����,在自身遭到損害后��,能夠恢復(fù)部分功能�����。
第二級(jí)安全保護(hù)能力:
應(yīng)能夠防護(hù)免受來自外部小型組織的�、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難�����,以及其他相當(dāng)危害程度的威脅所造成的重要資源損害��,能夠發(fā)現(xiàn)重要的安全漏洞和處置安全事件�����,在自身遭到損害后,能夠在一段時(shí)間內(nèi)恢復(fù)部分功能�����。
第三級(jí)安全保護(hù)能力:
應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自外部有組織的團(tuán)體�����、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊��、較為嚴(yán)重的自然災(zāi)難�,以及其他相當(dāng)程度的威脅所造成的主要資源損害�����,能夠及時(shí)發(fā)現(xiàn)�����、監(jiān)測攻擊行為和處置安全事件��,在自身遭到損害后��,能夠較快恢復(fù)絕大部分功能��。
第四級(jí)安全保護(hù)能力:
應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自國家級(jí)別的、敵對(duì)組織的�、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難�,以及其他相當(dāng)危害程度的威脅所造成的資源損害,能夠及時(shí)發(fā)現(xiàn)��、監(jiān)測發(fā)現(xiàn)攻擊行為和安全事件�,在自身遭到損害后,能夠迅速恢復(fù)所有功能�����。
第五級(jí)安全保護(hù)能力:略
二�����、第一級(jí)安全通用要求
等保2.0文件指出:安全通用要求針對(duì)共性化保護(hù)需求提出��,等級(jí)保護(hù)對(duì)象無論以何種形式出現(xiàn)��,應(yīng)根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求�����。
在第一級(jí)安全通用要求中�����,從安全運(yùn)維管理、安全建設(shè)管理��、安全管理人員��、安全管理機(jī)構(gòu)��、安全管理制度�����、安全計(jì)算環(huán)境到安全區(qū)域邊界��、安全通信網(wǎng)絡(luò)和安全物理環(huán)境九個(gè)方面��。
整體來說�����,這個(gè)規(guī)定相當(dāng)細(xì)致完備��,比如安全計(jì)算環(huán)境�����。 |
