發(fā)布日期:2020年01月07日 來源: 信息安全國家工程研究中心 閱讀次數(shù):
等級保護2.0時代已經(jīng)到來!
2019年12月1日,網(wǎng)絡(luò)安全等級保護2.0時代正式開始。
什么是等保?
1
網(wǎng)絡(luò)安全等級保護制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度,等級保護標準在1.0時代標準的基礎(chǔ)上,注重主動防御,從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級保護對象的全覆蓋。
2019年12月1日,等保2.0開始實施,這標志著國家網(wǎng)絡(luò)安全等級保護工作步入新時代,對保障和促進國家信息化發(fā)展,提升國家網(wǎng)絡(luò)安全保護能力,維護國家空間安全具有重要的意義。
等保2.0相比等保1.0有哪些區(qū)別/進步?
2
等保1.0主要強調(diào)物理主機、應用、數(shù)據(jù)、傳輸,而2.0版本增加了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)新應用的全覆蓋。相較于等保1.0,等保2.0發(fā)生了以下主要變化:
名稱變化。
等保2.0將原來的標準《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》,與《網(wǎng)絡(luò)安全法》保持一致。
定級對象變化。
等保1.0的定級對象是信息系統(tǒng),現(xiàn)在2.0更為廣泛,包含:信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等。
安全要求變化。
基本要求的內(nèi)容,由安全要求變革為安全通用要求與安全擴展要求(含云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制)。
控制措施分類結(jié)構(gòu)變化。
等保2.0依舊保留技術(shù)和管理兩個維度。
在技術(shù)上,由物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全、數(shù)據(jù)安全,變更為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心;
在管理上,結(jié)構(gòu)上沒有太大的變化,從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理,調(diào)整為安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。
內(nèi)容變化。
從等保1.0的定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查五個規(guī)定動作,變更為五個規(guī)定動作+新的安全要求(風險評估、安全監(jiān)測、通報預警、態(tài)勢感知等)。
等保2.0下網(wǎng)站群用戶安全建設(shè)挑戰(zhàn)
3
等保2.0的實施對網(wǎng)站群平臺安全防護提出了更高的要求,面臨更嚴格的監(jiān)管、測評標準,學校在對網(wǎng)站及新媒體管理過程中更具挑戰(zhàn):
01
等保2.0安全標準難以滿足
等保2.0在等保1.0的基礎(chǔ)上覆蓋范圍更廣,內(nèi)容更精簡但內(nèi)涵更豐富,要求更高,更注重全方位主動防御、動態(tài)防御、整體防控和精準防護。按照等保2.0標準對網(wǎng)站群進行全方面主動防御,提供對事前、事中、事后的感知預警、動態(tài)防護、安全檢測、以及應急響應。
同時,等保2.0新增個人信息保護內(nèi)容,需要系統(tǒng)具備對文章信息、互動留言內(nèi)容、附件信息、圖片、微博、微信等內(nèi)容在事前、事中、事后全過程提供敏感信息檢測提醒、快速一鍵處理。
02
網(wǎng)站群智能化、便捷化
運維管理水平有待提升
移動互聯(lián)網(wǎng)和移動終端設(shè)備的迅速普及,人們不再只通過電腦瀏覽信息,也催生了移動終端網(wǎng)站的出現(xiàn),如手機版網(wǎng)站、PAD版網(wǎng)站等,如何低成本高效率的實現(xiàn)移動化,考慮未來移動化的需求進行長遠規(guī)劃,保證PC網(wǎng)站和移動網(wǎng)站的安全也是高校面臨的一大挑戰(zhàn)。
此外,隨著新技術(shù)的發(fā)展,人臉識別、大數(shù)據(jù)、AI等技術(shù)逐漸普及,如何更好的利用這些先進、智能化的工具實現(xiàn)網(wǎng)站的快速管理和運維,也是未來高校網(wǎng)站群重點發(fā)展的方向。
03
技術(shù)服務過度被動化,
站群平臺安全監(jiān)控缺乏及時掌握
當前學校網(wǎng)站在日常維護的過程中,面對網(wǎng)站突發(fā)問題的處理,主要側(cè)重于事后被動補救而不是事前監(jiān)控預防。導致技術(shù)服務限于被動模式,無法實時掌握問題,及時提供解決辦法。
因此,需要采用主動的安全監(jiān)控方式,對包含站點、底層環(huán)境、安全應用、系統(tǒng)安全設(shè)置等情況進行全程跟蹤監(jiān)控,遇到異常情況,能夠即時發(fā)現(xiàn)、即時預警、及時處理。
基于等保2.0要求的安全建設(shè)思路
4
全面支持等級保護2.0
等保2.0標準的發(fā)布為企業(yè)合規(guī)提出了更高的要求,作為網(wǎng)站群服務廠商在滿足國家法律法規(guī)和標準體系的前提下,通過系統(tǒng)提升,幫助用戶滿足等保2.0的相關(guān)標準和合規(guī)要求。
身份鑒別
系統(tǒng)登錄密碼規(guī)則可定,強度可選;提供超時自動退出機制;可配SSL證書保證加密傳輸;能夠?qū)崿F(xiàn)密碼、驗證碼等多重身份鑒別驗證。
訪問控制
分級分權(quán)、細粒化的權(quán)限分配,各司其職的登錄入口;多角色的訪問控制,特定資源特定訪問;全系統(tǒng)全方位日志記錄、強制180天日志的審計保護。
入侵防范
對數(shù)據(jù)輸入安全過濾,系統(tǒng)及應用雙重防火墻主動防御數(shù)據(jù)注入及腳本攻擊;通過漏洞掃描、滲透測試和源代碼審計,實現(xiàn)漏洞的全面修復。
等保2.0只是開始
根據(jù)網(wǎng)絡(luò)安全法及等級保護相關(guān)要求,企業(yè)或單位應該按照網(wǎng)絡(luò)安全法要求嚴格落實等級保護制度、履行網(wǎng)絡(luò)安全責任、加強網(wǎng)絡(luò)安全防護、不斷提高網(wǎng)絡(luò)抗攻擊能力,因此還應定期開展網(wǎng)絡(luò)的等級測評、風險評估、滲透測試、安全培訓、安全運維、重要時期的安全保障、日常的應急響應和安全通報等工作。通過這些工作夯實網(wǎng)絡(luò)安全工作的各個層面,提高安全水平和防御能力,保障企業(yè)或單位的網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運行。
部分資料來源:
信息安全國家工程研究中心
