等保2.0时代的变与不变
网络威胁常态化的今天,等级保护标准体系框架并非一成不变,它将随着信息技术的发展和国际标准的不断完善而进行更新和充实,从而保证标准的实用性。我们知道,去年的8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准,等级保护2.0的内涵已大为丰富和完善。例如:基本要求之技术要求就由原来的5项变成4项,对应的技术要求特点也随之改变。
基本要求之技术要求——5变4
等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
技术要求的特点:技术要求 “从面到点” 提出安全要求,“物理和环境安全”主要对 机房设施 提出要求,“网络和通信安全”主要对 网络整体 提出要求,“设备和计算安全”主要对 构成节点 提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
接下来小编就以三级系统为例,为大家总结一下等保2.0时期与之前1.0的技术标准部分发生了哪些变化?(标红部分为新标准主要变化)
物理与环境安全VS原来物理安全
控制点未发生变化,要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图:
要求项的变化如下:
网络和通信安全VS原来网络安全
新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整为还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:
具体要求项的变化如下表
设备和计算安全VS原来主机安全
新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。
要求项由原来的32项调整为26项。
控制点和各控制点要求项数修改情况如下图:
具体要求项的变化如下表:
应用和数据安全VS原来应用安全+数据安全及备份恢复
新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。通信完整性和通信保密性的要求纳入了网络和通信安全层面的通信传输控制点。
要求项由原来的39项调整为33项。
控制点和控制点要求项数修改情况如下图:
具体要求项的变化如下表:
等保从1.0到2.0的跨越,信息安全企业的工作属性上升到了新的高度,对相关从业人员的要求也变得更高,不仅
要深入了解网络安全法的要求,更要掌握等保2.0的相关标准,只有具备职业技能和专业素养的人才,才能经得起网络威胁的锤炼,才能夯实网络安全保障的能力,为全面推动等保2.0的落地、捍卫国家网络安全提供有力支撑。
