文章目錄
分別從兩個廠商的角度理解等保2.0三級解決方案���,上先講銳捷 等級保護背景介紹(引子) 為什么做等保
等級保護建設的必要性:等級保護成為網絡安全法的基礎建設�����,受國家法律約束�����。
什么是等保���?等保劃分標準?
信息安全等級保護�,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,其目的就是對信息系統(tǒng)安全防護體系能力的分析與確認�����,發(fā)現存在的安全隱患�,幫助運營使用單位認識不足,及時改進�����,有效提升其信息安全防護水平�。
注意2.0中等級劃分對公民���、法人和其他組織的合法權益產生特別嚴重損害�,改為三級保護。
等保建設法律依據和標準
《網絡安全法》在第21條�、第31條明確規(guī)定了網絡運營者和關鍵信息基礎設施運營者都應該按等級保護要求對系統(tǒng)進行安全保護,以法律的形式確定等級保護工作為國家網絡安全的基本國策�,并在法律層面確立了其在網絡安全領域的基礎����、核心地位���。在第59條明確規(guī)定不履行安全保護的相關處罰規(guī)定���。
等級保護主要標準:
《信息安全技術信息系統(tǒng)安全等級保護基本要求》(GB/-2008);
《信息安全技術信息系統(tǒng)安全等級保護定級指南》(GB/-2008)���;
《信息安全技術信息系統(tǒng)安全等級保護實施指南》(GB/-2010)�����;
《信息安全技術網絡安全等級保護測評要求》(GB/-2019)�����。
《信息安全技術網絡安全等級保護測評過程指南》(GB/-2018)����。
《信息安全技術網絡安全等級保護設計技術要求》(GB/T 25070-2019)
等級保護配套標準:
《計算機信息系統(tǒng)安全保護等級劃分準則》(-1999)����;
《信息系統(tǒng)通用安全技術要求》(GB/);
《網絡基礎安全技術要求》(GB/)�����;
《操作系統(tǒng)安全技術要求》(GB/)��;
《數據庫管理系統(tǒng)安全技術要求》(GB/)�;
《終端計算機系統(tǒng)安全等級技術要求》(GA/T671);
《信息系統(tǒng)安全管理要求》(GB/)�����;
《信息系統(tǒng)安全工程管理要求》(GB/)�。
等保的發(fā)展階段
等保2.0演進變化
等級保護相關標準在調整中,等保2.0新標準落地(2019年5月13日)���,除了傳統(tǒng)信息系統(tǒng)的安全防護外�����,新標準增加了云計算���、移動互聯(lián)、物聯(lián)網�、工業(yè)控制等新興領域的安全要求��。
等保2.0小結
信息系統(tǒng)安全變?yōu)榫W絡安全���,適應網絡安全法
充分體現一個中心,三重防御的思想(所謂“一個中心三重防護”����,就抄是針對安全管理中心和計算環(huán)境安全、區(qū)域邊界安全����、通信網知絡安全的安全合規(guī)進行方案設計,建立以計算環(huán)境安全為基礎����,以區(qū)域邊界安全、通道信網絡安全為保障�����,以安全管理中心為核心的信息安全整體保障體系�����。)
充分強化可信計算技術使用的要求
各個級別和層面增加了可信驗證控制點
增加“安全管理中心”技術要求
主動防御的安全理念的應用和體現
安全擴展要求(云計算���、移動互聯(lián)網��、物聯(lián)網��、工業(yè)控制�����、大數據)
政策需求 公安
公安部關于印發(fā)《公安信息網安全管理規(guī)定(試行)》的通知2017
第三章建設安全
第八條 公安機關應當按照公安信息網安全保密策略和技術規(guī)范�,建設本級公安信息網的邊界接入�、物理安全、網絡安全����、應用安全、數據安全���、保密監(jiān)督管理等技術防護手段��。
第九條 公安信息網及其網上的應用系統(tǒng)應當執(zhí)行國家網絡安全等級保護管理制度����,開展定級備案、等級測評����、安全建設等工作。
