等保2.0新標準正式發(fā)布,，2.0的新變化知多少

卡布卡讓 2019-05-16

展開全文

5月13日,，國家市場監(jiān)督管理總局、國家標準化管理委員會召開新聞發(fā)布會,，通報國家標準制定流程改革的有關(guān)情況,，同時發(fā)布了一批重要國家標準,。

在網(wǎng)絡(luò)安全領(lǐng)域，等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》,、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》,、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等國家標準今日正式發(fā)布，2019年12月1日開始實施,。此系列標準可有效指導網(wǎng)絡(luò)運營者,、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全服務機構(gòu)開展網(wǎng)絡(luò)安全等級保護安全技術(shù)方案的設(shè)計和實施,，指導測評機構(gòu)更加規(guī)范化和標準化地開展等級測評工作,，進而全面提升網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)安全防護能力，保障網(wǎng)絡(luò)的穩(wěn)定運行,。

關(guān)于等保2.0的部分新變化如下：

1,、結(jié)構(gòu)的變化：將安全管理中心從管理層面提升至技術(shù)層面。

2,、要求項數(shù)量的變化

等保2.0第三級安全要求結(jié)構(gòu)：

3,、覆蓋范圍的變化

等保2.0標準在1.0標準的基礎(chǔ)上，實現(xiàn)了對傳統(tǒng)信息系統(tǒng),、基礎(chǔ)信息網(wǎng)絡(luò),、云計算、大數(shù)據(jù),、物聯(lián)網(wǎng),、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋。

對于使用新技術(shù)的信息系統(tǒng)需要同時滿足“通用要求安全擴展”的要求,。

4,、防護理念的變化

通用要求方面，等保2.0標準的核心是“優(yōu)化”,。刪除了過時的測評項,，對測評項進行合理性改寫，新增對新型網(wǎng)絡(luò)攻擊行為防護和個人信息保護等新要求,。等保2.0標準依然采用“一個中心,、三重防護” 的理念，從等保1.0標準被動防御的安全體系向事前預防,、事中響應,、事后審計的動態(tài)保障體系轉(zhuǎn)變，注重全方位主動防御,、安全可信,、動態(tài)感知和全面審計。

5,、定級流程的變化：

等保2.0標準不再自主定級,，而是通過“確定定級對象——>初步確定等級——>專家評審——>主管部門審核——>公安機關(guān)備案審查——>最終確定等級”這種線性的定級流程,，系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核，才能到公安機關(guān)備案,，整體定級更加嚴格,，將促進定級過程更加規(guī)范，系統(tǒng)定級更加合理,。

6,、測評周期的變化：

相較于等保1.0，等保2.0標準測評周期,、測評結(jié)果評定有所調(diào)整,。等保2.0標準要求，第三級以上的系統(tǒng)每年開展一次測評,，修改了原先1.0時期要求四級系統(tǒng)每半年進行一次等保測評的要求,。

7、測評結(jié)果的變化

等保2.0里,，測評達到75分以上才算基本符合,。基本分高了,，要求變得更高,，過等保相對以往一是沒那么容易了,，另一點也需要投入更多,。

8、集中管控的變化

安全管理中心中對集中管控做出了明確要求,，未來統(tǒng)一的集中管理平臺將成為剛需,。集中管控具體要求如下：

a) 應劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控,；

b) 應能夠建立一條安全的信息傳輸路徑,，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理

c) 應對網(wǎng)絡(luò)鏈路、安全設(shè)備,、網(wǎng)絡(luò)設(shè)備和服務器等的運行狀況進行集中監(jiān)測,；

d) 應對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求,；

e) 應對安全策略,、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理,；

f) 應能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別,、報警和分析；