等保2.0科普
市场调研:
- 等保2.0预计带来的新增市场需求超过200亿元。产品端:新增安全产品市场空间193亿元。从逻辑上说,等保2.0偏重于事后审计、回溯、分析,新增的产品多与此功能相关,如APT,流量回溯,堡垒机,数据库审计,集中日志审计,态势感知平台等。服务端:新增服务市场空间59亿元。按照新增20%的单位选择等保咨询服务计算,对应的新增市场空间为59亿元。此外,还有云安全市场,物联网市场的需求也将提升,因此整个等保2.0带来的总新增市场需求达到271亿元。
- 等保2.0利好全产品线的信息安全头部公司。等保2.0的定级、备案、安全建设和整改、测评、检查全过程相对比较专业,对于政府部门或企业IT人员而言,自行处理存在一定的难度,通过等保有不确定性,为了降低风险,往往会选择产品线比较全的信息安全头部公司,这些公司能够满足等保2.0对于新产品和全流程咨询服务要求,如启明星辰、360企业安全、绿盟科技、天融信、安恒信息等公司。
- 根据公安部发布的《信息安全等级保护管理办法》(公通字[2007]43 号),信息系统的安全保护等级由低到高分为五级,主要划分依据是危害的范围和严重程度。根据我们草根调研的结果,目前一级系统不需要备案,因为影响程度很小,五级系统基本没有,只是安全概念。二级系统大概50万个左右,三级系统大概5万个,四级系统大概1000个(如中央电视台播出系统)。
什么是等级保护
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
过等保的重要性
等保不达标违法!等保不达标违法!等保不达标违法!
如何过等保
什么是等保2.0
等保 2.0 就是网络安全等级保护制度 2.0 国家标准,该标准已于 5 月 13 日正式发布,并将于 2019 年 12 月 1 日正式实施。目前58%的国家已制定国家网络安全战略,主要国家和地区都已制定专门的网络立法。
等保2.0安全设计技术要求的设计思想:
以PPDR(以策略为中心,构建防护-检测-响应防护机制)为核心思想,以可信认证为基础、访问控制为核心,构建可信-可控-可管的立体化纵深防御体系。
- 可信-以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
- 可控-以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
- 可管-通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我们现在重机制、轻管理的不足,保证信息系统安全可管。
等保 2.0 的重大变化
以“一个中心,三重防护”为网络安全技术设计的总体思路,其中一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安全通信网络。
安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护。
三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。
| 等保1.0 | 等保2.0 |
|---|---|
| 事前预防、事中响应、事后审计的纵深防御思路。 | 在“一个中心、三重防护”的理念基础商,注重全方位主动防御、安全可信、动态感知和全面审计。 |
| 60分以上基本符合,三级系统每年一次,四级系统每半年一次。 | 75分以上基本符合,三级、四级每年一次。 |
对加密管理提出了严格要求
等保 2.0 明确要求,从建设初期设计和采购阶段就应该考虑加密需求,同时在网络通信传输、计算环境的身份鉴别、数据完整性、数据保密性明确了使用加密技术实现安全防护的要求,另外,云上还特别提出镜像和快照的加固和完整性校验保护要求,以及对密码应用方案的国密化提出了明确的采购标准要求。
确立了可信计算技术的重要地位
这是等保 2.0 文件中特别强调的安全特性,不仅要求对配置文件及参数的可信执行进行验证,同时检测到完整性问题时也应进行报警和应对。云计算安全扩展要求,针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括:基础设施的位置、虚拟化安全保护、镜像和快照保护、云服务商选择和云计算环境管理等方面。
公有云开展等级保护的两个部分:
一、云平台本身。在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,在提供云服务。
二、云租户信息系统。比如某政府单位门户网站系统,在嵌入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同云计算服务模式需要采取不同职责划分方式:
- IaaS基础设置服务模式:云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责反问包括操作系统、中间件和应用数据。
- PaaS平台即服务的服务模式:云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
- SaaS软件服务模式:云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
阿里云配置审计服务如何帮助用户过等保
配置审计服务即将推出针对等保2.0的独立预审场景,从资源层面出发,对企业用户在阿里云上的产品配置进行等保一键预检,同时对不合规的条款给出整改办法,助力企业过等保,同时会针对适用于资源维度的配置信息进行持续评估,为您的企业对外和对内的审计工作提供支持。传送门:
https://www.aliyun.com/product/config业内声音
华为5G引发的安全思考
- 万物互联的时代,网络安全防护的边界在哪里?
我们痛苦于边界的模糊,本质上痛苦于无法区分哪些是可信的,哪些是不可信的。在5G时代,安全的边界已不再固定,他只依附于业务本身。业务变了,边界就变了。
- 极速的网络环境,如何快速有效的发现和处置安全风险?
安全威胁不可避免,关键是如何应对和处置,韧性是关键!
工行面临的安全风险和挑战
公安部第三研究所集中管控
安奇信零信任架构
深信服等保2.0带来云等保建设新需求
- 从单一标准到n个标准,云平台合规到租户/业务合规。
备注
- 等保2.0二级系统:145项。
- 等保2.0三级系统:231项。
- 等保2.0四级系统:241项。
参考文献:
- 市场调研摘自【计墨社】分析文章