今天,互(hu)聯網發展“一(yi)(yi)日(ri)千里”。無論是(shi)底層的IT基(ji)礎(chu)設施和(he)新技術,還是(shi)我們每天使用(yong)的互(hu)聯網應用(yong),變(bian)化快速發生,變(bian)革(ge)日(ri)新月異。與此同時(shi),網絡(luo)安全(quan)日(ri)益重要。但是(���shi),一(yi)(yi)直以來,我國在網絡(luo)安全(quan)方面主要依(yi)據(ju)的是(shi),2007年和(he)2008年頒布(bu)實(shi)施的《信息(xi)安全(quan)等(deng)級保護(hu)管理辦法》和(he)《信息(xi)安全(quan)等(deng)級保護(hu)基(ji)本(ben)要求》。這部法規被稱為(wei)等(deng)保1.0。
但是,等(den������g)保1.0”不僅缺乏對一些新技術和新應(ying)用的(de)等(deng)級保護規范(fan),比(bi)如云�����計(ji)算、大(da)數據和物聯網(wang)等(deng),而且風險評估、安(an)全監測和通報預警等(deng)工(gong)作以及政策(ce)、標準(zhun)、測評、技術和服務等(deng)體系不完善。
為適應新技術的(de)(de)發展,解決(jue)云(yun)計(ji)算、物聯網、移動互聯和工(gong)控領域(yu)信息(xi)系(xi)統的(de)(de)等級保(bao)護(hu)工(gong)作的(de)(de�������)需要,由公安部牽頭(t��������ou)組織(zhi)開展了信息(xi)技術新領域(yu)等級保(bao)護(hu)重點標準(zhun)申報國(guo)家標準(zhun)的(de)(de)工(gong)作,等級保(bao)護(hu)正式進入(ru)2.0時代。
5月13日下午,國(guo)家(jia)市場(chang)監(jian)督管理(li)總局召開新(xin)聞發布(bu)會(h���ui),正(zheng)式發布(bu)等(deng)保2.0。根據(ju)最新(xin)消息,等(deng)保2.0將于12月1日正(zheng)式實(shi)施。
相比等(deng)保1.0,等(deng)保2.0不僅加入了對云計算(suan)、������物(wu)聯(lian)網和移(yi)動(d�����ong)互聯(lian)等(deng)領域的等(deng)級保護規(gui)范,而且風險評估、安全監測以及政策、體系(xi)、標準等(deng)體系(xi)相對更完善(shan)。日前,天極網記者獲得(de)“等(deng)保2.0”,將(jiang)為(wei)大家(jia)進(jin)一(yi)步(bu)解讀該(gai)規(gui)范。
具體說(shuo)來,新標準分成了5個部�����分:
《網絡安全(������quan)等級保護基本(ben)要求第(di)1部(bu)分安�������全(quan)通用要求》
《網(wang)絡(�����luo)安(an)全等級(ji)保護基(ji)本要求第(di)2部分(fen)云計(ji)算安(an)全擴展要求》
《網絡(luo)安全(quan)等(deng)級保(bao)護基本要(yao)求(qiu)第3部分移動互(�����hu)聯安全(q������uan)擴展(zhan)要(yao)求(qiu)》
《網(wang)絡安全等級保(bao)護(hu)基(ji)本(ben)要(yao)求(qiu)第4部分(fen)物聯網(wang)������安全擴展要(yao)求(qiu)》
《網絡安(an)全等級(ji)保護基本(ben)要(yao)(yao)�����求第5部分工業控(kong)制�������系統安(an)全擴展(zhan)要(yao)(yao)求》
等(deng)級(ji)保(bao)護(hu)對象是指網絡(luo)安(an)全等(deng)級(ji������)保(bao)護(hu)工作中的(de)對象,主要包括(kuo)基礎信(xin)(xin)息網絡(luo)、云計(ji)算(suan)平(ping)臺(tai)/系(xi)統(tong)、大數(shu)據應用/平(ping)臺(tai)/資(zi)源(yuan)、物聯網(IoT)、工業(ye)控制系(xi)統(tong)和(he)采用移動互聯技術的(de)系(xi)統(tong)等(deng)。等(deng)級(ji)保(bao)護(hu)范圍內重(zhong)要信(xin)(xin) 息系(xi)列所涵(han)蓋的(de)行業(ye)有能源(yuan)、金融、交通、水利、醫療衛生、環境(jing)保(bao)護(hu)、工業(ye)制造、市政、電信(xin)(xin)與互聯網、廣播電視及政府(fu)部門。
據悉,等(deng)(deng)保2�����.0有5個(ge)(ge)運(yun)行步驟:定級、備(bei)案、建設和整改、等(deng)(deng)級測(ce)評、檢(jian)查。同時,也分5個(ge)(ge)等(deng)(deng)級,即(ji)信(xin)息系統按(an)重要程(cheng)度(du)由低到高分為5個(ge)(ge)等(deng)(deng)級,并分別實施不同的保護策略。
一級(ji)(ji)(ji)系(xi)(xi)(xi)統(tong)簡單,不(bu)需(xu)要(yao)備案,影(ying)響程度很小,因此不(bu)作為重點監管(guan)對象;二級(ji)(ji)(ji)系(xi)(xi)(xi)統(tong)大概50萬個(ge)左(zuo)右;三(san)級(ji)(ji)(ji)系(xi)(xi)(xi)統(tong)大概5萬個(ge);四級(ji)(ji)(ji)系(xi)(xi)(xi)統(tong)量級(ji)(ji)(ji)較大,比如支(zhi)付寶、銀行總行系(xi)(xi)(xi)統(tong)、國(guo)家電(dian)(dian)網(wang)系(xi)(xi)(xi)統(tong),有1000個(ge)左(zuo)右;五(wu)級(ji)(ji)(ji)系(xi)(�������xi)(xi)統(tong)屬(shu)國(guo)家級(ji)(ji)(ji)、國(gu�������o)防(fang)類(lei)的系(xi)(xi)(xi)統(tong),比如核電(dian)(dian)站、軍(jun)用通信系(xi)(xi)(xi)統(tong)。
一(yi)、五級安全保護(hu)能力
第(di)一(yi)級安全保護能力:
應能(neng)(neng)夠防(fang)護免受來自個人的(de)(de)(de)、擁(yong)有很少資源的(de)(de)(de)威脅源發起的(de)(de)(de)惡意攻擊(ji)、一般的(de)(de)(de)自然災難,以及其(qi)他相當危害(hai)程度的(de)(de)(de)威脅所造成(cheng)的(de)(de)(de)關鍵資源損(sun)�������害(hai),在自身遭(zao)到損(sun)害(hai)后,能(neng)(neng)夠恢復部分功能(neng)(neng)。
第二級安全保護(hu)能力:
應(ying)能(neng)夠(gou)防護免受來自(zi)(zi)外部小型組織的、擁有(you)少量資源的威脅源發起的惡意攻擊(ji)、一般的自(zi)(zi)然災難,以及其他相(xiang)當危害(hai)程度的威脅所造成的重要資源損害(hai),能(neng�����)夠(gou)發現(xian)重要的安全漏洞和處置安全事件,在(za�����i)自(zi)(zi)身(shen)遭(zao)到損害(hai)后,能(neng)夠(gou)在(zai)一段(duan)時間內恢復部分功(gong)能(neng)。
第三級安全保護能力:
應能(neng)夠(gou)在統一安全策略下防護免受來自(zi)外部有(you)組織的團體(ti)、擁有(you)較為豐富(fu)資(zi)源(yuan)的威(wei)脅(xie)源(yuan)發(fa)起的惡意攻(gong)擊(ji)(ji)、較為嚴重的自(zi)然災(zai)難,以及其他相當程度的威(wei)脅(xie)所造成的主要資(zi)源(yuan)損害,能(neng)夠(gou)及時(shi)發(fa)現(xian)、監測(ce)攻(gong)擊(ji)(ji)行為和處置安全事件,在自(zi)身遭到(dao)損害后,能(neng)夠(gou)������較快(kuai)恢復絕(jue������)大部分功能(neng)。
第四級安全(quan)保護能力(li):
應(ying)能(neng)夠在統一安全(quan)策略下防(fang)護(hu)免(mian)受來自國(guo)家級別的、敵(di)對(dui)組織(zhi)的、擁有豐富(fu)資源(yuan)的威脅源(yuan)發起的惡(e)意攻擊(ji)、嚴重的������自然災難(nan),以及其他相當危害程(cheng)度(du)的威脅所造成的資源(yuan)損害,能(neng)夠及時發現、監(jian)測發現攻擊(ji)行(xing)為和安全(quan)事件,在自身遭到損害后,能(neng)夠迅速恢復所有功能(neng)。
第(di)五級安全保護能力:略
二、第一級安全通用要(yao)求(qiu)
等保(bao)(bao)2.0文件指出:安全(quan)通用要(yao)求針對共性化(hua)保(bao)(bao)護需求提出,等級保(bao)(bao)護對象無論(lun)以何種(zhong)形式出現,應�������(ying����)根(gen)據安全(quan)保(bao)(bao)護等級實(shi)現相應(ying)級別的安全(quan)通用要(yao)求。
在第一級安(an)(an)(an)全(quan)(quan)(quan)通用要求中(zhong),從安(an)(an)(an)全(quan)(quan)(quan)運(yun)維管(guan)(guan)理(li)、安(an)(an)(an)全(quan)(quan)(quan)建設管(guan)(guan)理(li)、安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)人員、安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)機構(gou)、安(an)(an)(an)全(quan)(quan)(quan)管(guan)(guan)理(li)制度、安(an)(an)(an)全(quan)(quan)(quan)計算環境到安(an)(an)(an)全(quan)(quan)(quan)區(qu)域邊(bian)界、安(an)(an)(an)全(quan)(quan)(qu������an)通信網絡(luo)和(he)安(an)(an)(an)全(quan)(quan)(quan)物理(li)環境九個方面(mian)。
整體來說,這個(g������e)規定(ding)相當細致完備,比如安全計算環境。 |
