信息安全等級保護進入2.0時代

日期 :2019-05-21 16:29

中新網5月15日電 為適應新技術的發展 ,解決雲計算 、物聯網、移動互聯和工控領域信息係統的等級保護工作的需要 ,國家市場監督管理總局本周正式發布《信息安全技術網絡安全等級保護基本要求(GB/T 22239-2019)》《信息安全技術網絡安全等級保護測評要求(GB/T 28448-2019)》 ,標誌著信息安全等級保護正式進入2.0時代 。

雲計算 、大數據等技術列入新標準體係

網絡安全等級保護是國家信息安全保障的基本製度 、基本策略 、基本方法 。網絡安全等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作 ,信息係統運營 、使用單位應當選擇符合國家要求的測評機構 ,依據信息安全等級保護等技術標準 ,定期對信息係統開展測評工作 。

一直以來 ,我國在網絡安全方麵主要依據的是2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》 。這部法規被稱為等保1.0 。隨著科技的發展 ,等保1.0的局限性逐漸顯露 ,除了缺乏對一些新技術和新應用比如雲計算 、大數據和物聯網等的保護規範 ,而且在風險評估 、安全監測和通報預警等方麵 ,以及政策 、標準 、測評 、技術和服務等體係上都有待與時俱進的完善 。

為適應新技術的發展 ,解決雲計算 、物聯網 、移動互聯和工控領域信息係統的等級保護工作的需要 ,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作 ,等級保護正式進入2.0時代 。

業內人士分析 ,隨著雲計算 、大數據 、物聯網等新技術的發展和落地應用 ,安全防護範圍也順應時代需求的擴大與升級 。從等保1.0到等保2.0 ,安全防護的範圍從原有的信息係統擴展到整個網絡空間 ,涵蓋了雲計算平臺 、大數據 、物聯網 、移動互聯網等多個係統平臺和工控安全等 。從網絡安全 、係統安全過渡到網絡空間安全 ,這個過程中傳統的安全邊界日益模糊 ,等保2.0正是順應這個發展趨勢而出臺的 。

此外 ,安全保護範圍的升級 ,相應的帶來了安全體係框架和思路理念上的升級 ,原有的傳統安全在新的技術平臺與形態上已經出現了明顯不足 。所以除了等保1.0要求的定級 、備案 、建設整改 、等級評測與監督檢查五個規定動作之外 ,等保2.0增加了風險評估 、安全監測 、通報預警 、態勢感知等新的安全要求 。“總的來說 ,1.0所考慮的是經典的被動防禦 ;而2.0的安全觀念從被動轉變到主動防禦 ,要求企業加強安全管理建設 ,讓安全管理必須貫穿企業基礎設施建設和業務全過程 ,安全不僅僅是檢測 、響應 、防禦 ,而要全麵整體的考慮到事前 、事中 、事後 ,要做到事前能夠預警異常事件 ,事中可以及時阻斷攻擊和違規行為 ,並且在各個環節做到全方位 、多層次審計 ,以便出現問題 ,事後可以快速溯源 。