常见问题 > 深层解读:等保2.0 你准备好了吗?

深层解读:等保2.0 你准备好了吗?

作者: 发表时间:2023-08-11 16:42

随着国家等级保护体系的进一步明确。作为等级保护的相关负责人,我们应该如何理解和应对?本文对《国家网络安全法》等级保护2.0和等级保护的新要求进行了深入解读。

1、什么是等保2.0?

网络安全等级保护已进入2.0时代,等级保护制度已成为新时期国家网络安全的基本国家政策和基本制度。应急处置、灾害恢复、通报预警、安全监测、综合考核等重点措施均纳入等级保护制度并实施,重要基础设施重要制度和“云、物、移动、大、工业控制”纳入等级保护监督,互联网企业纳入等级保护管理。

去年和今年等保大会的一个共同重点是新的等保标准——等保2.0,目前正在征求意见,预计将于今年年底或明年年初正式发布。今年等保工作信息化建设的总体思路是紧跟网络安全法的步伐,以此为核心,延伸关键信息基础设施、态势感知平台、应急响应等关键话题。

对我们来说,等待保险会议是指导方向的路标。今年是方向感很强的一年,因为网络安全法的实施伴随着等待保险2.0的逐步建立。现在,无论在哪个城市、哪个行业召开等保相关会议,网络安全法和等保2.0无疑是主题。

2、等保2.0与网络安全法的关系

等保2.0标准是国内非机密信息系统的安全集成标准,网络安全法是我国法律和信息安全的基本法。《网络安全法》明确规定,信息安全建设应当按照等级保护标准进行。

网络安全法需要一定的过程,从立法到配套法律法规的确定和完善,再到市场上反映出一定的效果。这个过程在于执法是否到位,规定的标准是否真的符合业务安全的痛点。目前市场上大部分单位主要是合规建设。其实我觉得网络安全法考虑的很全面。从立法的角度来看,如果按照法律一步一步落实,是一个非常健全的体系。如果做得好,不仅能达到合规的价值水平,还能将业务的风险控制和网络安全能力提升到一个新的高度。

3、等保2.0与原信息安全等保标准不同

从名称上看,原信息安全等级保护标准称为信息安全等级保护制度,现在2.0称为网络安全等级保护制度。这意味着等级保护已经上升到网络空间安全的水平。名称的变化意味着等级保护对象的全面升级:以前的保护对象是计算机信息系统,现在上升到网络空间安全,除了计算机信息系统之前,还包括网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。

此外,还有一个关键点,就是改变等保定级方式。这次等保大会上有一个新的信息,就是等保2.0的分级不是用户自主分级,而是参照分级指南进行分级,这是各单位需要特别注意的一点。

4、如何做好等保2.00

等保的基本框架包括两个核心维度:技术和管理。

如上图所示,等保2.0将等保工作的技术要求和管理要求分为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全八类;全策略和管理体系、全管理机构和人员、安全施工管理、安全运维管理。除上述基本要求外,等保2.0还提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,各部分均有详细的安全标准。这些都是等保工作需要做的关键工作。

事实上,在等待保险的规范中,不需要使用任何产品,它只需要你的网络安全空间达到什么样的安全标准。但是我们如何实现这个标准呢?在满足要求的整个过程中,网络安全产品是成本最低、效率最高的路径。

如何理解它?我们以“访问控制”为例,如我们的网络安全办公网络和办公空间,没有防火墙和门禁卡,然后手动进行网络访问审计,记录外国访问什么时候来,什么时候做,什么时候离开。如果是非法的,也有足够的能力和时间及时阻止它。这个工作量和成本是多少?但防火墙和门禁系统可以长时间、细粒度、准确、大量的安全记录和管理,如果使用具有IPS功能的防火墙,也可以进行入侵检测。因此,在相同的成本下,安全产品是实现安全保护目的的最高效的途径。我们可以参照网络安全法和等级保护标准的具体标准,选择不同的安全产品,包括防火墙、入侵检测、入侵防御、数据运维管理、数据审计、云安全解决方案、互联网行为管理、网络应用保护等。

5、给予信息安全从业人员管理建议

网络安全法的实施使我们的信息安全从业者承担了更重的责任,特别是量刑的设立使我们承受了更大的压力,工作属性上升到了一个新的高度。我们需要做的是深入了解网络安全法的要求,了解国家标准,结合自己的业务做好安全工作。在学习的过程中,如果要提出任何建议,建议大家加强应急预案的能力和关键信息基础设施的保护。各单位信息从业者值得注意的是,网络安全建设的成熟并不意味着网络安全产品的数量和类型的叠加。建议从安全体系的角度合理规划、合理建设,甚至适度简化,将资源和建设能力投入到如何抵御新时代网络安全风险上。同时,建议在信息化建设的同时考虑网络安全建设,实现同步规划、同步建设和实施。尽量做四个“四个”W就是who(谁),what(做了什么,改了什么,拿了什么),where(数据去了哪里),when(什么时候拿的)。通过大家的努力,网络安全法和等级保护2.0制度的实施将更加顺利有效。