文章目錄
分別從兩個廠商的角度理解等保2.0三級解決方案�����,上先講銳捷 等級保護背景介紹(引子) 為什么做等保
等級保護建設(shè)的必要性:等級保護成為網(wǎng)絡(luò)安全法的基礎(chǔ)建設(shè),受國家法律約束����。
什么是等保?等保劃分標準����?
信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作���,其目的就是對信息系統(tǒng)安全防護體系能力的分析與確認��,發(fā)現(xiàn)存在的安全隱患��,幫助運營使用單位認識不足�,及時改進����,有效提升其信息安全防護水平��。
注意2.0中等級劃分對公民���、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴重損害�����,改為三級保護�。
等保建設(shè)法律依據(jù)和標準
《網(wǎng)絡(luò)安全法》在第21條、第31條明確規(guī)定了網(wǎng)絡(luò)運營者和關(guān)鍵信息基礎(chǔ)設(shè)施運營者都應(yīng)該按等級保護要求對系統(tǒng)進行安全保護�,以法律的形式確定等級保護工作為國家網(wǎng)絡(luò)安全的基本國策,并在法律層面確立了其在網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)�、核心地位。在第59條明確規(guī)定不履行安全保護的相關(guān)處罰規(guī)定�。
等級保護主要標準:
《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/-2008);
《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》(GB/-2008)�;
《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》(GB/-2010);
《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》(GB/-2019)�����。
《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》(GB/-2018)�����。
《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求》(GB/T 25070-2019)
等級保護配套標準:
《計算機信息系統(tǒng)安全保護等級劃分準則》(-1999)�;
《信息系統(tǒng)通用安全技術(shù)要求》(GB/);
《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/)���;
《操作系統(tǒng)安全技術(shù)要求》(GB/)����;
《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/);
《終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T671)�;
《信息系統(tǒng)安全管理要求》(GB/);
《信息系統(tǒng)安全工程管理要求》(GB/)����。
等保的發(fā)展階段
等保2.0演進變化
等級保護相關(guān)標準在調(diào)整中,等保2.0新標準落地(2019年5月13日)�����,除了傳統(tǒng)信息系統(tǒng)的安全防護外�����,新標準增加了云計算����、移動互聯(lián)、物聯(lián)網(wǎng)���、工業(yè)控制等新興領(lǐng)域的安全要求�����。
等保2.0小結(jié)
信息系統(tǒng)安全變?yōu)榫W(wǎng)絡(luò)安全�����,適應(yīng)網(wǎng)絡(luò)安全法
充分體現(xiàn)一個中心����,三重防御的思想(所謂“一個中心三重防護”���,就抄是針對安全管理中心和計算環(huán)境安全���、區(qū)域邊界安全、通信網(wǎng)知絡(luò)安全的安全合規(guī)進行方案設(shè)計�,建立以計算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全�、通道信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的信息安全整體保障體系�。)
充分強化可信計算技術(shù)使用的要求
各個級別和層面增加了可信驗證控制點
增加“安全管理中心”技術(shù)要求
主動防御的安全理念的應(yīng)用和體現(xiàn)
安全擴展要求(云計算、移動互聯(lián)網(wǎng)�、物聯(lián)網(wǎng)、工業(yè)控制�����、大數(shù)據(jù))
政策需求 公安
公安部關(guān)于印發(fā)《公安信息網(wǎng)安全管理規(guī)定(試行)》的通知2017
第三章建設(shè)安全
第八條 公安機關(guān)應(yīng)當(dāng)按照公安信息網(wǎng)安全保密策略和技術(shù)規(guī)范,建設(shè)本級公安信息網(wǎng)的邊界接入��、物理安全��、網(wǎng)絡(luò)安全��、應(yīng)用安全����、數(shù)據(jù)安全、保密監(jiān)督管理等技術(shù)防護手段����。
第九條 公安信息網(wǎng)及其網(wǎng)上的應(yīng)用系統(tǒng)應(yīng)當(dāng)執(zhí)行國家網(wǎng)絡(luò)安全等級保護管理制度,開展定級備案�、等級測評、安全建設(shè)等工作��。
