等保2.0丨5分钟速览:小白也能看懂的等保2.0介绍

这篇具有很好参考价值的文章主要介绍了等保2.0丨5分钟速览:小白也能看懂的等保2.0介绍。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

等级保护2.0自2019年12月1日正式实施起,到现在已经有两个多月的时间,但是仍然有刚刚进入等保领域的“萌新”反馈,需要小编再做一个简单的介绍,那么今天的干货内容,我们就来一起了解什么是等保2.0,最新实施的2.0又和之前的1.0有哪些区别,新增了什么?

等保2.0的概念

等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

实施原则

根据《信息系统安全等级保护实施指南》精神,明确了以下基本原则:

自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。

重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。

同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。

动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。

等保2.0不变之处

1、五个级别不变

从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

受损害的客体对象 损害程度
一般损害 严重损害 特别严重损害
公民、法人、和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级

2、规定动作不变

规定动作分别为:定级、备案、建设整改、等级测评、监督检查。

3、主体职责不变

等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

2.0与1.0的不同

1、名称变化

《信息系统安全等级保护基本要求》 改为:《网络安全等级保护基本要求》,与《网络安全法》保持一致。

2、定级对象变化

等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。

3、安全要求变化

等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。

其中,云计算安全扩展要求包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。移动互联安全扩展要求包括“无线接入点的地理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。物联网安全扩展要求包括“感知节点的物理保护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。工业控制系统安全扩展要求包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。

4、控制措施分类结构变化

等保2.0控制措施的分类结构调整,充分体现“一个中心、三重防护”的思想。其中技术部分调整为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分调整为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

5、工作内涵变化

等保2.0不仅进一步明确定级、备案、安全建设、等级测评、监督检查等1.0时代的规定动作,最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。

等保2.0解读,物联网,网络,大数据

实施等保2.0原因

因为等保1.0不仅缺乏对一些新技术和新应用的等级保护规范,比如大数据、云计算、物联网等;而且在风险评估、安全监测和通报预警等工作和政策、标准、测评、技术和服务等体系方面不完善。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部组织牵头开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。

等保2.0解读,物联网,网络,大数据

等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。

网络安全等级保护注意事项

1、等级测评并非安全认证

很多人认为等保测评相当于网络安全认证,但目前等级保护测评是由公安部授权委托的全国一百多家测评机构,对信息系统进行安全测评,测评通过后出具《等级保护测评报告》,拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。

2、过等保不能一劳永逸

等保制度只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但就目前的测评结果来看,几乎没有任何一个被测系统能全部满足等保要求。一般情况下,目前等级保护测评过程中,只要没发现高危安全风险,都可以通过测评。但是,安全是一个动态而非静止的过程,而不是通过一次测评,就可以一劳永逸的。 企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。

3、内网系统也需要做等级测评

首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。

其次,在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。2017年肆虐全球的永恒之蓝勒索病毒攻击,导致了大量内网系统瘫痪,这提醒我们内网系统的安全防护同样不能马虎。所以不论系统在内网还是外网都得及时开展等保工作。

4、系统上云或者托管在其他地方也需做等级测评

目前,比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己,所以,还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。

5、谨慎定级

目前等级保护对象(信息系统)的安全级别分为五个等级:1级为最低级别,5级为最高级别(5级为预留级别,市面上已定级的系统最高为4级)。如果定了1级,不需要做等级测评,自主进行保护即可。定2级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定。如果定高了,有可能造成投资的浪费;定低了则有可能造成重要信息系统得不到应有的保护,应该谨慎定级。

等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。

6、系统备案场所

《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。

有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且,有些单位的运维团队和注册经营地址也不一致。这种情况下,云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样会方便属地公安对系统进行监管。

所以,大部分情况下,还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。

7、等保测评按需选择

整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。

整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固,往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的,这两块内容整改好,加上你有一定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。文章来源地址https://www.toymoban.com/news/detail-614417.html

到了这里,关于等保2.0丨5分钟速览:小白也能看懂的等保2.0介绍的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [计算几何] 2 二维凸包/笨蛋(我)也能看懂的二维凸包算法

    二维凸包,这篇博客已经说得够好了,介绍了 斜率逼近法、Jarvis算法,Graham算法,还有Andrew算法 。我这篇博客只会非常详细的介绍 Andrew算法 。 数论小白都能看懂的平面凸包详解 - ShineEternal的笔记小屋 - 洛谷博客 (luogu.com.cn) 我相信凭借着我6个粉丝其中5个都是老熟人的传播

    2024年02月15日
    浏览(38)
  • GoogleTest从入门到入门,小白都能看懂的gtest详细教程

    单元测试 项目管理和技术管理中做单元测试,衡量一个软件是否正常的标准,良好的单元测试以及足够多的覆盖率,至少保证关键功能,关键业务的覆盖率接近100%。 gtest是谷歌公司发布的一个跨平台(Linux、Mac OS、Windows等)的C++单元测试框架,它提供了丰富的断言、致命和

    2024年02月07日
    浏览(51)
  • Java 零基础入门学习(小白也能看懂!)

    📚博客主页:爱敲代码的小杨. ✨专栏:《Java SE语法》 ❤️感谢大家点赞👍🏻收藏⭐评论✍🏻,您的三连就是我持续更新的动力❤️ 1.1.1什么是 Java Java是一种优秀的程序设计语言 ,它具有令人赏心悦目的语法和易于理解的语义。 不仅如此, Java还是一个有一系列计算机软

    2024年01月19日
    浏览(56)
  • STP生成树协议(超详细小白也能看懂)

    目录 一、为什么要用STP 二、STP的作用 三、STP操作 四、STP名词解释: 五、生成树选举办法 六、生成树选举因素 七、根桥选举: 八、根端口的选举 九、端口状态 十、定时器 十一、故障恢复时间         十二、广播风暴 十三、广播风暴危害 十四、BPDU组成 十五、STP的一

    2024年02月09日
    浏览(44)
  • 【外行也能看懂的RabbitMQ系列(三)】—— RabbitMQ进阶篇之死信队列(内含视频演示业务和业务代码)

    准备篇 RabbitMQ安装文档 第一章 RabbitMQ快速入门篇 第二章 RabbitMQ的Web管理界面详解 第三章 RabbitMQ进阶篇之死信队列 第四章 RabbitMQ进阶篇之通过插件实现延迟队列 恭喜所有看到本篇文章的小伙伴,成功解锁了RabbitMQ系列之高级特性 死信队列 的内容🎁通过本文,你将清楚的了解

    2024年02月07日
    浏览(44)
  • 三分钟搞懂git patch 补丁的使用,小学生也能看懂

    Git中的Patch(补丁)功能允许用户将不同分支或提交之间的更改保存为一种可重用的文件格式。通过使用Patch,您可以将您的更改发送给其他人进行审核或协作,以及在不同的Git仓库或版本控制系统之间导出或导入更改。 在Git中,使用以下命令来创建和应用Patch: 1、创建Pat

    2024年02月14日
    浏览(45)
  • TCP/IP协议族之TCP、UDP协议详解(小白也能看懂)

            在进行网络编程之前,我们必须要对网络通信的基础知识有个大概的框架,TCP/IP协议族涉及到多种网络协议,一般说TCP/IP协议,它不是指某一个具体的网络协议,而是一个协议族。本篇章主要针对IP协议、TCP和UDP协议记录总结。 OSI七层参考模型是国际标准化组织(

    2024年02月02日
    浏览(47)
  • YOLOv8预测参数详解(全面详细、重点突出、大白话阐述小白也能看懂)

    YOLOv8现在可以接受输入很多,如下表所示。包括图像、URL、PIL图像、OpenCV、NumPy数组、Torch张量、CSV文件、视频、目录、通配符、YouTube视频和视频流。表格✅指示了每个输入源是否可以在流模式下使用,并给出了每个输入源使用流模式的示例参数 预测参数 Key Value Description s

    2024年02月11日
    浏览(41)
  • 实际开发中常用的设计模式--------策略模式(知识跟业务场景结合)-----小白也能看懂(通俗易懂版本)

    1.策略模式定义: 策略模式是一种行为型设计模式,它允许在运行时动态地改变对象的行为。策略模式将将每一个算法封装到具有共同接口的独立的类中,从而使得它们可以相互替换从而使得算法的变化不会影响到客户端 2.简单的策略模式示例代码: 在上述代码中,SortStra

    2024年02月13日
    浏览(51)
  • 实际开发中常用的设计模式--------单例模式(知识跟业务场景结合)-----小白也能看懂(通俗易懂版本)

    1.定义 单例模式是一种创建型设计模式,它通过使用私有构造函数和静态方法来确保一个类只有一个实例,并且提供全局访问点来获取该实例。 通过使用单例模式,我们可以方便地管理全局唯一的对象实例,并且避免了多次创建相同类型的对象所带来的资源浪费问题 2.业务场

    2024年02月12日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包