等保2.0科普
市場調研:
- 等保2.0預計帶來的新增市場需求超過200億元。産品端:新增安全産品市場空間193億元。從邏輯上說,等保2.0偏重于事後審計、回溯、分析,新增的産品多與此功能相關,如APT,流量回溯,堡壘機,資料庫審計,集中日志審計,态勢感覺平台等。服務端:新增服務市場空間59億元。按照新增20%的機關選擇等保咨詢服務計算,對應的新增市場空間為59億元。此外,還有雲安全市場,物聯網市場的需求也将提升,是以整個等保2.0帶來的總新增市場需求達到271億元。
- 等保2.0利好全産品線的資訊安全頭部公司。等保2.0的定級、備案、安全建設和整改、測評、檢查全過程相對比較專業,對于政府部門或企業IT人員而言,自行處理存在一定的難度,通過等保有不确定性,為了降低風險,往往會選擇産品線比較全的資訊安全頭部公司,這些公司能夠滿足等保2.0對于新産品和全流程咨詢服務要求,如啟明星辰、360企業安全、綠盟科技、天融信、安恒資訊等公司。
- 根據公安部釋出的《資訊安全等級保護管理辦法》(公通字[2007]43 号),資訊系統的安全保護等級由低到高分為五級,主要劃分依據是危害的範圍和嚴重程度。根據我們草根調研的結果,目前一級系統不需要備案,因為影響程度很小,五級系統基本沒有,隻是安全概念。二級系統大概50萬個左右,三級系統大概5萬個,四級系統大概1000個(如中央電視台播出系統)。
什麼是等級保護
資訊安全等級保護(以下簡稱等保)是指對國家秘密資訊、法人和其他組織及公民的專有資訊以及公開資訊和存儲、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊安全産品實行按等級管理,對資訊系統中發生的資訊安全事件分等級響應、處置。
過等保的重要性
等保不達标違法!等保不達标違法!等保不達标違法!
如何過等保
什麼是等保2.0
等保 2.0 就是網絡安全等級保護制度 2.0 國家标準,該标準已于 5 月 13 日正式釋出,并将于 2019 年 12 月 1 日正式實施。目前58%的國家已制定國家網絡安全戰略,主要國家和地區都已制定專門的網絡立法。
等保2.0安全設計技術要求的設計思想:
以PPDR(以政策為中心,建構防護-檢測-響應防護機制)為核心思想,以可信認證為基礎、通路控制為核心,建構可信-可控-可管的立體化縱深防禦體系。
- 可信-以可信計算技術為基礎,建構一個可信的業務系統執行環境,即使用者、平台、程式都是可信的,確定使用者無法被冒充、病毒無法執行、入侵行為無法成功。可信的環境保證業務系統永遠都按照設計預期的方式執行,不會出現非預期的流程,進而保障了業務系統安全可信。
- 可控-以通路控制技術為核心,實作主體對客體的受控通路,保證所有的通路行為均在可控範圍之内進行,在防範内部攻擊的同時有效防止了從外部發起的攻擊行為。對使用者通路權限的控制可以確定系統中的使用者不會出現越權操作,永遠都按系統設計的方式進行資源通路,保證了系統的資訊安全可控。
- 可管-通過建構集中管控、最小權限管理與三權分立的管理平台,為管理者建立了一個工作平台,使其可以借助于本平台對系統進行更好的管理,進而彌補了我們現在重機制、輕管理的不足,保證資訊系統安全可管。
等保 2.0 的重大變化
以“一個中心,三重防護”為網絡安全技術設計的總體思路,其中一個中心即安全管理中心,三重防護即安全計算環境、安全區域邊界、安全通信網絡。
安全管理中心要求在系統管理、安全管理、審計管理三個方面實作集中管控,從被動防護轉變到主動防護,從靜态防護轉變到動态防護,從單點防護轉變到整體防護,從粗放防護轉變到精準防護。
三重防護要求企業通過安全裝置和技術手段實作身份鑒别、通路控制、入侵防範、資料完整性、保密性、個人資訊保護等安全防護措施,實作平台的全方位安全防護。
| 等保1.0 | 等保2.0 |
|---|---|
| 事前預防、事中響應、事後審計的縱深防禦思路。 | 在“一個中心、三重防護”的理念基礎商,注重全方位主動防禦、安全可信、動态感覺和全面審計。 |
| 60分以上基本符合,三級系統每年一次,四級系統每半年一次。 | 75分以上基本符合,三級、四級每年一次。 |
對加密管理提出了嚴格要求
等保 2.0 明确要求,從建設初期設計和采購階段就應該考慮加密需求,同時在網絡通信傳輸、計算環境的身份鑒别、資料完整性、資料保密性明确了使用加密技術實作安全防護的要求,另外,雲上還特别提出鏡像和快照的加強和完整性校驗保護要求,以及對密碼應用方案的國密化提出了明确的采購标準要求。
确立了可信計算技術的重要地位
這是等保 2.0 檔案中特别強調的安全特性,不僅要求對配置檔案及參數的可信執行進行驗證,同時檢測到完整性問題時也應進行報警和應對。雲計算安全擴充要求,針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的内容包括:基礎設施的位置、虛拟化安全保護、鏡像和快照保護、雲服務商選擇和雲計算環境管理等方面。
公有雲開展等級保護的兩個部分:
一、雲平台本身。在等保2.0裡面明确提出:對于公有雲定級流程為雲平台先定級測評,在提供雲服務。
二、雲租戶資訊系統。比如某政府機關門戶網站系統,在嵌入公有雲平台後,還需要對這個門戶網站獨立定級備案、進行等保測評。其中,涉及雲平台部分的内容可以不重複測評,測評結論直接引用即可。
不同雲計算服務模式需要采取不同職責劃分方式:
- IaaS基礎設定服務模式:雲服務商的職責範圍包括虛拟機螢幕和硬體,雲租戶的職責反問包括作業系統、中間件和應用資料。
- PaaS平台即服務的服務模式:雲服務商的職責範圍包括硬體、虛拟機螢幕、作業系統和中間件。雲租戶的職責範圍為應用和資料。
- SaaS軟體服務模式:雲服務商的職責範圍包括硬體、虛拟機螢幕、作業系統、中間件和應用,雲租戶的職責範圍包括部分應用職責及使用者使用職責。
阿裡雲配置審計服務如何幫助使用者過等保
配置審計服務即将推出針對等保2.0的獨立預審場景,從資源層面出發,對企業使用者在阿裡雲上的産品配置進行等保一鍵預檢,同時對不合規的條款給出整改辦法,助力企業過等保,同時會針對适用于資源次元的配置資訊進行持續評估,為您的企業對外和對内的審計工作提供支援。傳送門:
https://www.aliyun.com/product/config業内聲音
華為5G引發的安全思考
- 萬物互聯的時代,網絡安全防護的邊界在哪裡?
我們痛苦于邊界的模糊,本質上痛苦于無法區分哪些是可信的,哪些是不可信的。在5G時代,安全的邊界已不再固定,他隻依附于業務本身。業務變了,邊界就變了。
- 極速的網絡環境,如何快速有效的發現和處置安全風險?
安全威脅不可避免,關鍵是如何應對和處置,韌性是關鍵!
工行面臨的安全風險和挑戰
公安部第三研究所集中管控
安奇信零信任架構
深信服等保2.0帶來雲等保建設新需求
- 從單一标準到n個标準,雲平台合規到租戶/業務合規。
備注
- 等保2.0二級系統:145項。
- 等保2.0三級系統:231項。
- 等保2.0四級系統:241項。
參考文獻:
- 市場調研摘自【計墨社】分析文章