等保2.0落地!十张图带你看国家网络安全基本国策

分享到:
20 王思婷 • 2019-06-18 09:20:01  来源:前瞻产业研究院 E2321G0

网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。

我国的等保工作最早是从1994年提出的,但直至2007年才发布《信息安全等级保护管理办法》及后续的系列政策,等保工作才正式开始。2008年,《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)的公布标志着等级保护制度的标准化,等保1.0时代正式到来。

随着新技术的不断精进,网络安全威胁也不断升级,等保1.0已经逐渐不能适应网络环境的变化。2019年5月13日下午,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)正式发布,替代了原先的《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008),并在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新,实施时间为2019年12月1日,标志着我国网络安全等级保护工作正式进入“2.0时代”。

图表1:我国等级保护工作发展历程

依据系统受破坏后危害的范围和严重程度,等保等级由低到高分为五级。其中1级系统影响小,无需备案;5级系统属于理想状态,目前尚未存在。从实践层面看,4级是等保等级中最难的级别了。值得一提的是,2018年6月,华为云高分通过等保2.0评测4级,为用户提供更加安全可靠的云服务。

图表2:信息系统的安全保护等级

体系框架和保障思路的变化

相比等保1.0,等保2.0更加契合当今的网络安全形势,将“云计算、物联网、移动互联网、大数据和工业控制系统”纳入等保监管,互联网企业也将纳入等级保护管理。等保1.0保护的对象是计算机信息系统,而等保2.0上升为网络空间安全,除了计算机信息系统,还包含网络安全基础设施、“云、物、移、大、工控”等对象。等保由原来的规定上升到了法律,执行力度加大,等级保护2.0是一次网络安全的重大升级。

图表3:等保2.0标准体系

等保2.0由旧标准的10个分类调整为8个分类。管理要求方面,调整为安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理;技术要求方面,调整为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。

图表4:等保1.0与等保2.0通用要求框架对比

等级保护工作的基本流程落实到系统建设全生命周期的每个环节,每一环都需要系统运营、使用单位重点留意。等保工作包括系统定级、系统备案、整改实施、系统测评和运维检查五大步骤,其中最重要的环节是信息系统安全等级测评,它用来验证信息系统能不能满足相应安全保护等级,包含安全控制测评和系统整体测评两个层次。

图表5:等级保护工作流程

测评的变化

从前等保1.0第四级系统每半年测评一次,现在第三级以上系统每年一次,测评周期有所放长;等保1.0里60分以上即符合测评结果,现在要求75分以上才能通过测评,测评门槛有所提高。

图表6:等保2.0测评的变化

标准控制点与要求项数量的变化

等保2.0的标准控制点数量与等保1.0基本持平,汇总来看相对于旧标准有所精简,三级与四级的控制点数量均削减至71个。

图表7:等保1.0与等保2.0标准控制点数量变化对比

要求项方面的精简程度更加明显,大量删减了冗杂条项。等保2.0的二级、三级、四级的要求项从旧标准的175个、290个、318个分别削减至148个、231个、246个。

图表8:等保1.0与等保2.0要求项数量变化对比

除删减冗杂项外,等保2.0通用要求中还根据互联网业态发展新增了重要要求项,主要集中在入侵防范、恶意代码防范、集中管控、安全审计和集中管控方面,与新增要求项一一对应的信息安全新增产品也将随之迎来巨大的发展空间。

图表9:新增要求项以及对应新增信息安全产品

等保2.0与1.0最大的区别在于系统防护由被动防御变为主动防御,从前被动防御要求防火墙、杀病毒、IDS,现在上升到主动防御,除了传统的安全设备防火墙、网络版杀毒软件以及网关层的防毒墙外,还需要部署安全准入系统、堡垒机、双因素认证设备、漏洞扫描器、数据库防火墙;另外还需要定期的安全服务,包括渗透测试服务、系统上线前安全测试服务与安全运维服务;最后,还需部署SOC平台、安全态势感知平台,从全局性角度去检测、感知、发现整体的安全趋势及可能存在的安全问题,部署防APT(高级持续性威胁)攻击的设备发现一些潜在的不定期的隐蔽的各类攻击。

图表10:等保2.0主动防御体系具体部署设施

我国信息安全行业具备强政策周期性,同时具备与宏观经济相关性较弱属性。未来两年,等保2.0落地效果逐步显现,随着监管范围与监管内容的拓宽叠加信息安全行业属性将加速信息安全行业投资。

更多数据参考前瞻产业研究院发布的《中国信息安全行业发展前景预测与投资战略规划分析报告

更多深度行业分析尽在【前瞻经济学人APP】,还可以与500+经济学家/资深行业研究员交流互动

相关深度报告 REPORTS

2020-2025年中国信息安全行业发展前景预测与投资战略规划分析报告
2020-2025年中国信息安全行业发展前景预测与投资战略规划分析报告

随着信息安全行业竞争的不断加剧,大型信息安全企业间并购整合与资本运作日趋频繁,国内优秀的信息安全企业愈来愈重视对行业市场的研究,特别是对企业发展环境和客户需求...

查看详情

本文来源前瞻产业研究院,转载请注明来源。本文内容仅代表作者个人观点,本站只提供参考并不构成任何投资及应用建议。(若存在内容、版权或其它问题,请联系:service@qianzhan.com) 品牌合作与广告投放请联系:0755-33015062 或 hezuo@qianzhan.com

p5 q0 我要投稿

分享:

品牌、内容合作请点这里:寻求合作 ››

前瞻经济学人

专注于中国各行业市场分析、未来发展趋势等。扫一扫立即关注。

前瞻产业研究院

中国产业咨询领导者,专业提供产业规划、产业申报、产业升级转型、产业园区规划、可行性报告等领域解决方案,扫一扫关注。

文章评价COMMENT

还可以输入2000个字

暂无网友的评论
前瞻数据库
企查猫
前瞻经济学人App二维码

扫一扫下载APP

与资深行业研究员/经济学家互动交流让您成为更懂趋势的人

作者 王思婷
前瞻产业研究员
157163
关注
83
文章
16

研究员周关注榜

企查猫(企业查询宝)App
×

扫一扫
下载《前瞻经济学人》APP提问

 
在线咨询
×
在线咨询

项目热线 0755-33015070

AAPP
前瞻经济学人APP下载二维码

下载前瞻经济学人APP

关注我们
前瞻产业研究院微信号

扫一扫关注我们

我要投稿

×
J