freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

五标合一,等级保护迈入“新篇章”
  • 关注
五标合一,等级保护迈入“新篇章”
2018-04-13 11:06:10

微信引导图片2.jpg

(本文原创,源自微信公众号:世平信息,转载请注明来源“杭州世平信息科技有限公司”)

解读等保2.0

等保2.0将信息安全等级保护引入到了网络安全等级保护的新时代,将“安全通用要求、云计算安全、移动互联安全、物联网安全、工业控制系统安全”五标合一。

尤其是《中华人民共和国网络安全法》,以下简称《网络安全法》,第二十一条明文规定:国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

《网络安全法》对网络安全等级保护的开展做了明确的要求,实现了网络安全等级保护领域依法治理有法可依,因此开展网络安全等级保护建设意义重大。

 

1.找差异

解读等保2.0(GB/T 22239-XXXX)(送审稿)的内容,首先我们还是要关注到新旧标准之间的差异:

  • 名称之变,两字之差,依法命名,地位不同,旧标准为信息安全等级保护,等保2.0定义为网络安全等级保护,也就是《网络安全法》里面说的网络安全等级保护;


  • 五标合一,内容紧凑,效率更高,将等级保护之前在编的5个基本要求分册标准(安全通用要求、 云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展及大数据安全扩展要求)进行了合并形成《网络安全等级保护基本要求》一个标准


  • 措施整合,合理分类,有效落地,控制措施分类由原先的10个分类调整为8个分类,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理);


具体分类对接如下图所示:


等保内页1.jpg

  • 条款减少,粒度更细,操作更强,新标准里面2级和3级对应的要求项总数分别为145项和231项,相对以前变少了。


2.划重点

  • 1)应用和数据安全创新,个人信息保护进入全新的时代,《网络安全法》及等保2.0都对个人信息保护列了明确的条款及说明,尤其是等保2.0中,对数据安全中个人信息保护做了扩展及说明,对数据过度采集、未授权访问等作出了明确要求,这个与《信息安全技术 个人信息安全规范》(GB/T 35273-2017 )遥相呼应,相辅相成。也就是说后面对于个人信息保护这个领域,一定是网络安全等级保护的重点关注对象,也是相关机构重点查处及管理的方向。

建议:个人信息保护,《网络安全法》是有明确定义,国标里面也有明确的说明,这个领域关键还是要定期对个人信息进行风险管理与审计,尤其是个人信息属于内容层面,更应该通过专业的技术、工具等来开展相应的工作,确保在合理利用个人信息的同时,能够做到合规


  • 2)入侵防范不止针对外部,更应该关注内部安全,等保2.0网络安全入侵防范明确要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。内部发起的攻击主要关注数据,特别是一些敏感数据,容易导致信息泄漏。

建议:根据统计,数据泄露有超过80%的事件是从内部发起的,所以从入侵防范的等保要求出发,内部攻击行为我们更应该关注内部的数据安全,确保敏感数据能够在内部安全使用的过程中,做好数据泄露防护工作

 

  • 3)网络安全审计更加关注数据分析,网络安全审计中新增加了一条:应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

建议:数据分析是网络安全的重要创新与手段,新时期网络安全风险管控,离不开数据分析,基于内容+行为的安全审计,是开展网络安全的不二之选

 

3.需总结

 

利用好网络安全等级保护制度,我们迫切需要做的就是深入的了解《网络安全法》的要求,了解国家的标准结合自己的业务去做好安全工作与安全规划尤其是数据层面的风险管理与审计,必须引起各方的足够重视。在学习的过程中,合理规划自身的网络安全,提升应急处置预案的能力和关键信息基础设施的保护

网络安全建设的成熟度并不意味着网络安全产品数量和种类的堆叠,建议从安全体系的角度合理规划、合理建设、甚至适度精简,将资源和建设能力投放在如何抵御新时代的网络安全风险上,同时建议在信息化建设的同时统筹考虑网络安全的建设,做到同步规划、同步建设、同步执行。尽量做到四个“W”,就是who(谁),what(做了什么、改了什么、拿了什么),where(数据拿到哪里去了),when(什么时候拿的),《网络安全法》以及等保2.0的落实,将会更加顺利有效。


往期新闻精彩链接

“只动手不动脚” 世平助力司法 “零跑”

你知道DCAP和你有哪些关联吗?

我们对隐私到底敏不敏感?今天我们看图说话

Facebook泄漏5000万用户信息,大数据真是让人又爱又恨

世平信息与可信华泰战略合作—共享新机遇 共赢新商机

此处应有掌声!世平成功中标北京市政府协议采购项目


杭州世平信息科技有限公司

成立于2010年,聚焦数据安全治理和数据价值挖掘领域的核心技术与创新成果。围绕数据保护和价值挖掘,通过智能化技术的应用,建立起符合用户应用场景的数据可视化模型,从关键基础设施信息安全风险评估、数据库保密检查、隐私信息安全评估、数据安全检查、数据价值利用、数据安全服务等模块实现数据的智能化安全管理与应用。


640.gif

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者