網(wǎng)絡(luò)安全發(fā)展歷程
1994年,國務(wù)院發(fā)布147號令;
1999年,GB17859,等保雛形;
2005年,等保1.0規(guī)范試運行2007年,等保1.0形成正式規(guī)范;
2015年,成立《網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組》;
2017年,頒布《網(wǎng)絡(luò)安全法》;
2019年,等保2.0標準正式實施;
什么是等級保護?
等級保護(簡稱等保),全稱信息安全等級保護,是指導(dǎo)網(wǎng)絡(luò)安全建設(shè)的重要指導(dǎo)文件。由公安下面的網(wǎng)絡(luò)安全保衛(wèi)大隊(簡稱網(wǎng)安)負責(zé)管理和檢查。等級保護對象主要包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)(IoT)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的(黑底為等保2.0新增)系統(tǒng)等。
等保根據(jù)系統(tǒng)重要程度和被破壞后的危害程度,劃分為5個等級:
等保一級:安全性太低,沒人做;
等保五級:安全性太高,一般涉密,執(zhí)行分保;
等保項目都是二、三和四級:
等保二級:縣級單位,比如區(qū)縣醫(yī)院,學(xué)校等
等保四級:金融、軍工、電力等高安全單位
等保三級:除去二級和四級,三級最多
阿里云公共云平臺定級為三級,金融云定級四級。
等保2.0標準簡讀
2019年5月10日正式頒布等保2.0標準,并計劃2019年12月1日正式實施。
如圖為等保標準更新,總體變化不大,等保2.0精簡了控制項。
等保2.0最大變化是,除了安全通用要求外,增加了擴展要求,涉及云計算安全、移動互聯(lián)安全、物聯(lián)網(wǎng)、工控安全、大數(shù)據(jù)安全。
哪些單位需要做等保?
等保項目主要集中在政府、醫(yī)院、法院、銀行、電力、軍工、學(xué)校等單位,大型企業(yè)比如阿里云,由于要為租戶提供服務(wù),安全問題也比較突出,也是公安網(wǎng)安部門檢查的重點,其他中小企業(yè)目前沒有強制要求,但未來就說不定了。
等級保護五步驟
等保官方規(guī)定了五個步驟:系統(tǒng)定級、備案、建設(shè)整改、等級評測、監(jiān)督檢查。
? 系統(tǒng)定級: 確定建設(shè)幾級等保,常規(guī)三級
? 備案:二級以上需要到公安機關(guān)備案(也就是到公安網(wǎng)安備案,注明你哪個系統(tǒng)做了等保,以后公安有定期檢查的義務(wù)和權(quán)力)
? 建設(shè)整改:根據(jù)等保標準,進行安全建設(shè)改造(比如漏.洞系統(tǒng)掃出哪些漏.洞,需要打補丁或升級,邊界需要部署防火墻,IPS等,這是發(fā)現(xiàn)問題,解決問題的過程。有錢的單位問題解決得徹底些,沒錢的解決部分也行,畢竟過等保滿不用拿滿分。
? 等級評測:具備評測資格的等保評測機構(gòu)進行評測,評測條目非常細,參考《等保三級基線要求判分標準》。
? 監(jiān)督檢查:公安網(wǎng)安部門可以定期抽查,這就是定期查水表,很好理解。
(本文屬知識庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權(quán)歸原作者所有)
