等保2.0时代有哪些新变化

最新推荐文章于 2022-04-27 13:37:02 发布

互联互通社区

最新推荐文章于 2022-04-27 13:37:02 发布

阅读量854

点赞数

文章标签：数据安全物联网人工智能大数据 java

在开始讲等保2.0之前，让我们先回顾一下等保1.0。等保1.0发布距今已经有10多年的时间，在这些日子里，网络安全也越来越被人们所重视。

在1.0的初期，企业只要有安全意识，能开始做等保，开始测评就已经很不错了；到了中期，整体防护，渗透测试，合规开始等于安全。行业等级保护全面开展，等保开始逐渐的深入人心；再到1.0的后期，无论是企业层面还是国家层面，都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行，云安、大数据、工控安全和移动安全开始占领主要趋势。

等保1.0普及了等保概念，强化了安全意识，从单个系统到部门、到行业，再到上升到国家层面从合规到攻防对抗，整体提升了网络安全保障能力技术并且不断进行人才的积累，这些都对等保2.0提供了有力的支撑。

等保2.0是什么？

等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保2.0有哪些不变？

1.五个级别不变

从第一级到第五级依次是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

等级保护五个级别

2.规定动作不变

规定动作分别为：定级、备案、建设整改、等级测评、监督检查。

等级保护规定动作

3.主体职责不变

等级保护的主体职责为：网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

一、跨入2.0时代，发生的显著变化

1.标准的命名发生变化：等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》中的相关法律条文保持一致。

2.扩展需求的增加：为了配合《网络安全法》的实施，同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展，新标准针对共性安全保护需求提出安全通用要求，针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

3.安全通用要求控制域发生变化：等保2.0由旧标准的10个分类调整为8个分类，分别为技术部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；管理部分：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

4.定级对象的扩展：

5.定级矩阵的变化：加重了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级，其中特别严重损害由过去的第二级升级为第三级。

等保2.0

二、数据成为核心保护内容

随着数据价值的最大化释放，我们逐渐认识到：数据是等级保护安全建设的核心内容，物理环境、网络通信、设备计算、应用安全是数据前四道防线，围绕数据、人、平台、管理制度是未来网络安全主动防御体系的发展方向。

前面我们也提到，等保2.0补充提出了五项安全扩展要求：云计算安全、移动互联网安全、物联网安全、大数据安全和工业控制系统安全。由原来的物理安全、网络安全、主机安全、应用安全、数据安全及恢复，调整为四个部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。而安华金和当前全线数据库安全产品能够全面对标等保2.0。

举例来说，等保分五级，明确指出了五个规定动作：定级、备案、建设、测评、监督，测评是通过访谈、现场检查、测试三种方式，数据库安全的测评指标来自于“主机安全”和“数据安全及恢复”，面向中国所有非涉密信息系统，都要按照等级保护进行建设。

一般等级保护二级以上系统主要集中在党、政、央企、金融、能源、通信、铁路等行业里。数据库审计是等保二、三级必选。

其中，等保四级是结构化保护级，公安机关每半年检查一次，要求在第三级自主和强制访问控制扩展到所有主体与客体之外，还要考虑隐蔽通道，可信计算基结构化，增强鉴别机制和配置管理控制，具有相当的抗渗透能力，数据保密性提出数据库系统提供加密存储机制，数据库加密系统可以应对该项等保测评要求。