提及网络安全,不得不提及网络安全等级保护。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管。网络运营、使用单位应当选择符合国家要求的测评机构,依据相关技术标准定期对网络(含信息系统、数据)开展测评工作。
自2007年以来,中国的网络安全等级保护技术主要应用1.0版本。随着云计算、大数据、物联网、移动互联、工业控制等新技术新应用的发展及安全要求的提升,同时也为了配合《网络安全法》顺利实施,相关部门在等保1.0基础上起草并制定了等保2.0相关标准。
值得说明的是,等保2.0并不是一个标准,而是一系列的标准与法律法规共同构成的安全体系。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,以上标准已于2019年12月1日开始实施,等级保护正式迈入2.0时代,这对加强我国网络安全保障工作,提升网络安全保护能力具有重要意义。
主管单位明确要求以下从业机构的信息系统要开展等级保护工作:金融、电力、广电、医疗、教育等行业。具体包括:
(一)省辖市以上党政机关的重要网站和办公信息系统;
(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
等保2.0 VS等保1.0,要求项有哪些变化?
从等保1.0跟2.0基本要求项对比可以看出,2.0对基本要求项进行了优化,通用安全要求中测评指标比之前减少了。分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个层面。参照下图:
在最新的国家标准《信息安全技术网络安全等级保护基本要求》中,有20多处提到了密码技术的应用,涉及身份鉴别、数据的完整性和保密性、抗抵赖等应用场景,同时对密码技术产品的使用也提出了要求,如:应遵循密码相关的国家标准和行业标准、应使用国家密码主管部门认证核准的密码技术和产品等。采用数字证书、服务器证书等密码产品不可或缺。数字证书能够有效解决线上身份认证及加密传输、防篡改的功能。服务器证书主要用于解决了网络站点的身份认证问题和数据传输的加密问题。此外,一些密码硬件产品也在各行业成熟应用,包括密码机、签名验签服务器、SSL数据安全网关等。可选择专业权威的第三方机构合作,满足监管要求,完善系统安全。
目前对于信息系统运营及使用单位而言,开展等级保护的重要性和迫切性不言而喻,但同时也困难重重。很多单位不知道哪些系统需要落实等级保护安全要求,不知道等级保护工作流程,不知道自身系统是否满足等级保护安全要求。想要快速落实监管部门的安全要求,可选择具备国家网络安全等级保护工作协调小组办公室颁发的“网络安全等级保护测评机构推荐证书”的机构,这些机构可提供安全高效的等保2.0整体解决方案。
中国金融认证中心(CFCA)可提供全流程的等级保护服务,从前期的定级、备案指导,到等保的合规咨询,再到等级测评等一些列安全服务,确保客户无忧通过等保测评,满足国家等级保护安全要求。以下根据等保工作流程列出工作内容、工时与工作成果,以供参考:
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询