5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,通报国家标准制定流程改革的有关情况,同时发布了一批重要国家标准。

在网络安全领域,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准今日正式发布,2019年12月1日开始实施。此系列标准可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力,保障网络的稳定运行。

关于等保2.0的部分新变化如下:

1、结构的变化:将安全管理中心从管理层面提升至技术层面。

2、要求项数量的变化

等保2.0第三级安全要求结构:

3、覆盖范围的变化

等保2.0标准在1.0标准的基础上,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。

对于使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。

4、防护理念的变化

通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。

5、定级流程的变化:

等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格,将促进定级过程更加规范,系统定级更加合理。

6、测评周期的变化:

相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,修改了原先1.0时期要求四级系统每半年进行一次等保测评的要求。

7、测评结果的变化

等保2.0里,测评达到75分以上才算基本符合。基本分高了,要求变得更高,过等保相对以往一是没那么容易了,另一点也需要投入更多。

8、集中管控的变化

安全管理中心中对集中管控做出了明确要求,未来统一的集中管理平台将成为刚需。集中管控具体要求如下:

a)  应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;

b)  应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理

c)   应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

d)  应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;

e)  应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

f)   应能对网络中发生的各类安全事件进行识别、报警和分析;

9、新技术要求的变化

对于等保2.0中可信计算及密码技术的应用提出了明确要求,这将很大促进可信计算及密码技术的推广及应用。