等级保护2.0|网络安全服务
定义
对于国家秘密信息、法人和其他组织及公民专有信息以及公开信息的存储、传输、处理这些信息系统分等级实行安全保护,对信息系统中发生的信息安全时间分等级响应、处置。
思想
对信息安全实行等级化保护和等级化管理
目标
突出重点,保障重要信息资源和重要信息系统的安全,判断应用损毁后带来的影响程度是否在可接受范围内,将信息系统带来的业务风险控制在可接受范围内
核心
对于核心业务系统分等级、按标准进行建设、管理和监督
必要性
国家要求:《中华人民共和国网络安全法》、《信息安全等级保护管理办法》
行业监管:各行业监管部门在等级保护方面均有相关的监管要求和政策文件,部分行业存在等级保护行业标准,以指导行业开展等级保护工作。
安全能力提升:等保是我国唯一成体系化的信息安全政策和标准,通过等保能够提升信息安全保障能力,保障信息系统安全运行。
规避法律风险:等保工作因为《中华人民共和国网络安全法》的落地,已经上升到法律层面
等保规定动作
与等保1.0相比
要求更加细分,增加了:
- 云计算安全测评扩展要求
- 移动互联网安全测评扩展要求
- 物联网安全测评扩展要求
- 工业控制系统安全测评扩展要求
建设思路
三重防护
- 安全通信网络:网络结构、网络带宽、网络传输、可信验证
- 安全区域边界:边界防护、访问控制、入侵防范、安全审计、恶意代码防范、可信验证
- 安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、保密性、数据备份恢复、个人信息保护
一个中心
- 安全管理中心:安全管理、系统管理、安全审计、集中管控
安全要求:
技术:
- 物理安全
- 网络安全
- 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
- 应避免将重要网络区域部署在边界外,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,
- 主机安全
- 应用安全
- 数据安全
管理
- 安全管理制度
- 安全管理机构
- 人员安全管理
- 系统建设管理
- 系统运维管理
