专家评论

裴智勇:白话评说等保2.0的十一个问题

编辑/作者:李木然 2019-12-02 我要评论

从2019年12月1日起,等保2.0制度开始正式实施。本文希望能够通过通俗简单的解读,帮助大家更好的了解等保2.0。 1. 等保2.0是怎么来的 网络安全的政策法规,最早可以追溯...

  从2019年12月1日起,等保2.0制度开始正式实施。本文希望能够通过通俗简单的解读,帮助大家更好的了解等保2.0。

  1. 等保2.0是怎么来的

  网络安全的政策法规,最早可以追溯到1994年发布的“计算机信息系统安全保护条例”。那一年,中国接入了国际互联网。

  2007年,“信息安全等级保护管理办法”开始实施,随后几年,有关部门又先后颁布了“基本要求”、“定级指南”、“测评指南”等一系列配套措施。条例 + 办法 + 配套措施,就构成了我们一般所说的等保1.0。

  2017年6月“网络安全法”颁布实施,其中明确规定:国家实行网络安全等级保护制度。等保的顶层规划从法规上升为法律。

  2019年5月,新版的“基本要求”、“测评要求”、“安全设计技术要求”颁布,相关措施于2019年12月1日正式实施,这就是等保2.0。

  2. 等保2.0有哪些规定动作

  跳水、体操等体育比赛都有规定动作和自选动作,等保制度也有类似的要求。

  例如,等保2.0给出了5个基本的“规定动作”和一些“重要建议”。

  5个规定动作包括:定级、备案、建设整改、等级测评和监督检。这些规定动作在等保1.0时代就已经明确了。参与评级的机构只有完成了这些规定动作,才能算是达到了相应级别的网络安全保护基本要求。

  而在政企机构的安全建设过程中,等保2.0还给出了很多“重要建议”,包括风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、以及综治考核等等。

  3. 我们单位应该做等保吗

  我们单位应该做等保吗?当您问出这个问题的时候,就说明您已经对等保有了一些误解。

  首先,等保的保护对象并不是特定的机构,而是机构所使用的特定的信息系统。等保关心的是信息系统和信息系统运转依赖的数据、设备、网络、系统和人员。

  第二,评价一个系统是否应该做等保,核心问题并不是这个系统有多大,而是这个系统一旦遭受破坏,是否会给国家安全、社会秩序、公共利益以及其他公民、法人或组织的合法权益造成严重损害。

  例如,一个大型企业的OA系统一般需要进行等保保护,但该单位的食堂点餐系统通常并不需要做等保。

  4. 一个机构该定几级级,关键依据是什么

  要给一个信息系统定级,需要考虑的核心因素是系统一旦遭到破坏,可能产生的损失有多大。等保2.0的“定级指南”给出了定级要素与保护等级的关系:

  一般来说,如果受损的是侵害公民、法人或其他组织的合法权益,一般定级为三级以下。如果受损的是社会秩序、公共利益,那么一般定级为二级到四级——实际应用中,三级最常见。如果受损的是国家安全,那么定级一定就在三级以上了。

  特别的,等保2.0扩大了等保三级的覆盖范围。在等保1.0中,当受害者的是公民、法人和其他组织时,最高定位二级。而在等保2.0中,最高可定为三级。

  不过,在实际操作中,往往还需要具体问题具体分析,不能一概而论。

  此外,等保1.0采用机构自主定级,而等保2.0则要求经过专家评审和主管部门审核才能定级。

  5. 等保2.0的三大变革是什么

  等保2.0的重要变革就是在监管和保护的范围、内容和技术手段三个方面大大扩展。

  范围的扩展:从“信息系统”到“网络空间”。

  等保1.0更多关注的事系统、人员、物理环境的安全;而等保2.0更多关注的是数据、网络、系统、人员的网络空间体系的安全。

  内容的扩展:从传统IT到新一代IT

  等保2.0充分考虑了云计算、物联网、大数据、人工智能、移动互联网等新一代IT基础设施,并将原本相互分离的技术与管理融合在了一起。

  技术的扩展:引入大数据和人工智能

  等保2.0引入了以威胁情报、态势感知为代表的大数据安全与运营技术,同时还引入了多项人工智能的威胁分析技术。

  等保2.0的三大变革,使得等保制度更具实战意义。

  6. 不履行等保义务会面临刑事处罚吗

  等级保护制度是国家法律,不履行等保义务,有可能面临刑事处罚。

  在等保1.0时代,等保制度属于法规条例,网络运营者如果没有履行等保义务,可能会面临公安执法机关的行政处罚,但一般不会构成犯罪,更不会被追究刑事责任。

  但2017年实施的《网络安全法》第二十一条明确规定:国家实行网络安全等级保护制度。等保制度就此从法规、条例,上升为法律。

  二十一条同时进一步要求:网络运营者应当按照网络安全等级保护制度的要求进行网络安全保护,网络运营者不履行等保义务的,将被给予警告并处以罚款,构成犯罪的,依法追究刑事责任。

  安全无小事,等保非儿戏。

  7. 一个中心、三重防护指的是什么

  等保2.0的核心文件之一《GBT22239-2019信息安全技术网络安全等级保护基本要求》,简称“基本要求”,给出了一个新的安全要求框架。这个框架可以概括为:一个中心、三重防护。

  一个中心即安全管理中心,三重防护分别是指安全计算环境、安全通信网络和安全区域边界。相关概念的具体内涵比较复杂,这里只给出一个通俗的解释。

  安全计算环境,即要求与信息存储和处理相关的软硬件环境是安全的。

  安全通信网络,即要求进行通信或信息传输的软硬件环境是安全的。

  安全区域边界,即要求不同的安全计算环境和不同安全通信网络之间的连接也是安全的。

  而安全管理中心,实际上就是对上述三重防护进行统一管理的平台或区域。

  8. 不同级别的系统需要具备哪些不同的安全能力

  等保将主要的安全威胁分成恶意攻击、自然灾难和其他相当程度的威胁,同时,也将网络运营者需要具备的安全能力分为威胁防护能力、威胁发现处置能力和系统恢复能力。不同等级的定级对象要求具有不同等级的安全保护能力和威胁对抗能力。

  从应对不同程度的恶意攻击能力来看,一级要能应对个人攻击,二级要能应对小型组织攻击,三级要能应对有组织攻击,四级以上则要至少能应对国家级攻击。

  从应对自然灾难的能力来看,一级、二级需能应对一般自然灾难,三级以上需能应对严重自然灾难。

  从威胁发现能力来看:一级不要求,二级要能发现重要漏洞,三级以上则要求能及时发现、监测和处置安全事件。

  从系统恢复能力来看:一级要求部分恢复;二级要求一段时间内恢复;三级要求较快恢复绝大部分;四级要求迅速恢复所有功能。

  9. 等保2.0对安全技术与产品有哪些新要求

  等保2.0在对抗外部威胁和风险方面,较1.0做了很多扩展。特别是在三级通用要求中明确提出:应采取技术措施对网络行为进行分析,实现对网络攻击,特别是新型网络攻击行为的分析。

  这也就意味着的:第一,等保2.0所要求采取的技术措施,不是局限的,而是开放的;第二,安全的技术与产品,从等保1.0时代的入侵检测或入侵防范,扩展到对新型网络攻击的行为分析。

  例如,高级威胁(APT)检测和威胁感知类产品都是等保2.0扩展的,针对行为分析的新要求。

  需要说明是,网络安全技术自诞生至今,先后经历了三代演变:第一代查黑,第二代查白,而第三代则是查行为。等保2.0的新要求也正是反映了网络安全技术发展的新趋势。

  10. 执行等保的三同步指的是什么

  信息系统要与网络安全同步规划、同步建设、同步运营。这就是网络安全的三同步原则。

  三同步原则是指导网络安全建设的重要方针之一。特别是同步规划,要求一个信息系统在刚开始设计规划的时候,就必须充分考虑网络安全问题。这就好比一座大楼,如果在图纸阶段没有充分考虑消防问题,那么楼一旦盖好,再怎么改造,也是不安全的。

  同样,等保制度的实施,也应当做到三同步。简单来说,一个信息系统在规划阶段就要进行等保的定级和备案;建设时要把等保的要求对应成产品技术或安全配置落实在信息系统中,并在正式运行前完成等级测评;最后,在运行阶段也要做好等级保护工作的监督检查。

  唯有如此,才能确保信息系统安全可靠,真正达到等保要求。

  11. 等保2.0如何帮助政企机构杜绝薄弱环节

  等保2.0从攻防实际出发,提出了很多基础、有效、实用的安全要求。

  比如,弱口令和已知漏洞往往是网络安全保障中最常见的薄弱环节。而网络安全工作遵循“木桶原理”,最短板决定了安全防御水平的总体高度。

  对此,等保2.0就提出了安全计算环境的要求。

  如,在身份验证方面,等保2.0要求身份鉴别信息应具有一定复杂度并定期更换;要求采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中必须有一种使用了密码技术。

  再比如,在漏洞管理方面,等保2.0要求采取必要的措施识别安全漏洞和隐患,并对发现的安全漏洞和隐患及时进行修补。

  安全,从0开始。安全,从弥补短板开始。

文章来源:移动安全网

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 基于Flink构建关联分析引擎Sabre的挑战和实践

    基于Flink构建关联分析引擎Sabre的挑战和实践

  • 裴智勇:白话评说等保2.0的十一个问题

    裴智勇:白话评说等保2.0的十一个问题

  • 齐向东:制衡式监督是发现漏洞最好的途径

    齐向东:制衡式监督是发现漏洞最好的途径

  • 齐向东:网络攻击面前每个国家都不能独善其身

    齐向东:网络攻击面前每个国家都不能独善其身