等保2.0时代的网络安全工作
- 作者:文网文小编
- 发表时间:2020-08-20 18:07:32
等保2.0时代的网络安全工作2017年正式实施的《网络安全法》将网络安全正式带入了法治时代,这也就意味着,履行网络安全等级保护成为网络运营者的基本义务,假如信息系统没有定级备案、没有测评整改,都属于违法运维,从教育系统以及高校违反网络安全法的处理情况来看都是非常严格的,需要引起各高校信息化部门的高度重视。
《网络安全法》其中很重要的一方面就是网络安全等级保护制度。1994年,147号令提出”计算机信息系统全面实行信息安全等级保护”,等保这个提法正式出现,随着近年来云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保2.0标准应运而生。
相比1.0,网络安全等级保护2.0与网络安全法保持一致,《网络安全法》明确规定“国家实行网络安全等级保护制度”,等保2.0也与时俱进的将原标准的“信息系统安全等级保护改为“网络安全等级保护”,并且覆盖全社会、全行业和全对象,这个“网络是大的网络概念,基础网络、信息系统、移动互联网、云计算、物联网、工控等都包含在其中。相关标准将在今年12月1日正式实施,未来还将有相关标准和规定发布,需要我们及时关注。对于高校信息化部门来说,最重要的还是虚拟化、云平台、私有云以及未来的移动应用安全管控问题。
等保2.0要求从分层防护向综合防控、集中防护的思想转变。其主要技术思想方向可归结为:第一,“一个中心,三重防护的体系框架。一个中心是指”安全管理中心”。安全管理中心不是某一个平台,某一个系统,而是把安全管理,安全监测、安全审计等各类的设备和应用平台集中管控的体现。三重防护是指”安全通信环境”、“安全区域边界和“安全计算环境”;第二,可信计算。基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,一旦检测到可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。第三,通用+扩展要求。将云计算、移动互联、物联网、工业控制系统等列入标准规范。在通用要求的基础上叠加相关扩展要求。
具体到测评过程,应该注意以下几个方面,一是测评要求和测评内容增加,等保2.0中虽然表面测评项有所减少,实际上原网络、主机、应用层面的要求均合并至安全计算环境,实际测评对象并未减少,且网络层面扩充为”安全通信网络与安全区域边界”,增加了安全管理中心的要求,二是新标准进一步要求加强问题分析以及渗透性验证测试。三是新标准的测评结论由之前的“符合、基本符合、不符合“三项变为优(90分)、良(80分)、中(70分)、差(70分以下)四项量化比较成绩,汇总形成教育系统测评得分统计和分析并通报给有关部门。
相关文章:
Copyright © 2018-2028 深圳天磊联信科技有限公司(海南分公司) 版权所有