四川建站好消息,新网云通过等保2.0啦
等保2.0是什么?
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。等保2.0与1.0有什么异同?
从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
规定动作不变
规定动作分别为:定级、备案、建设整改、等级测评、监督检查。
主体职责不变
等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。
标准依据的变化
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。
标准要求变化
等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。通用要求方面,等保2.0标准的核心是优化。删除了过时的测评项,对测评项进行合理改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。 扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。
安全体系变化
等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
等级规定动作
保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。
(1)定级对象的变化。
等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
(2)定级级别的变化。
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T1389)。
(3)定级流程的变化。
等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
(4)测评合格要求提高
相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
新网混合云平台以81.1分的优异成绩完成了等保测评工作。
新网通过等保和您息息相关
现在很多公司基于成本、便捷性的考虑,渐渐把一些业务系统或者公司对外网站移到了公有云上。刚开始很多公司应该是由于缺乏技术人员和IT维护人员,所以选择了公有云,觉得托管的方式,可以省去很多运维的工作。但是,随着等保2.0的到来,云上系统和网站也需要开展等级保护工作了,是否需要进行定级备案,需要根据实际情况而定。因此,云租户不要急于开展等保工作,先来弄清这些内容。
首先,弄清楚使用的公有云是否通过了等级保护三级或者四级定级备案。为什么要弄清楚这个呢?因为云平台没有备案证明的话,将影响到该云平台上的租户的信息系统等保备案或者网站等保备案。
划重点
依据:
根据《网络安全法》的规定,云平台的等级不可以低于云上租户的业务应用系统的最高级,并且明确规定“国家关键信息基础设施(云计算平台)的安全保护等级不低于三级”。
职责界限:
根据网络安全法规定“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
因此,在云计算环境中,将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象作为单独的定级对象定级。
云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。
其次,要弄清楚,目前使用的哪种类型的云平台服务。
系统上云后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。因此,不同模式下的测评内容有一些区别。上图是针对上述模式提出一些等级保护建设的一些参考,具体情况需要结合具体云服务商的具体情况而定。新网作为优秀的云服务提供商,一直在通过不断的努力为用户的业务安全保驾护航。