網絡安全發展歷程
1994年,國務院發佈147號令;
1999年,GB17859,等保雛形;
2005年,等保1.0規範試運行2007年,等保1.0形成正式規範;
2015年,成立《網絡安全領導小組》;
2017年,頒佈《網絡安全法》;
2019年,等保2.0標準正式實施;
什麼是等級保護?
等級保護(簡稱等保),全稱信息安全等級保護,是指導網絡安全建設的重要指導文件。由公安下面的網絡安全保衛大隊(簡稱網安)負責管理和檢查。等級保護對象主要包括基礎信息網絡、信息系統、雲計算平臺/系統、大數據應用/平臺/資源、物聯網(IoT)、工業控制系統和採用移動互聯技術的(黑底為等保2.0新增)系統等。
等保根據系統重要程度和被破壞後的危害程度,劃分為5個等級:
等保一級:安全性太低,沒人做;
等保五級:安全性太高,一般涉密,執行分保;
等保項目都是二、三和四級:
等保二級:縣級單位,比如區縣醫院,學校等
等保四級:金融、軍工、電力等高安全單位
等保三級:除去二級和四級,三級最多
阿里雲公共雲平臺定級為三級,金融雲定級四級。
等保2.0標準簡讀
2019年5月10日正式頒佈等保2.0標準,並計劃2019年12月1日正式實施。
如圖為等保標準更新,總體變化不大,等保2.0精簡了控制項。
等保2.0最大變化是,除了安全通用要求外,增加了擴展要求,涉及雲計算安全、移動互聯安全、物聯網、工控安全、大數據安全。
哪些單位需要做等保?
等保項目主要集中在政府、醫院、法院、銀行、電力、軍工、學校等單位,大型企業比如阿里雲,由於要為租戶提供服務,安全問題也比較突出,也是公安網安部門檢查的重點,其他中小企業目前沒有強制要求,但未來就說不定了。
等級保護五步驟
等保官方規定了五個步驟:系統定級、備案、建設整改、等級評測、監督檢查。
❶ 系統定級: 確定建設幾級等保,常規三級
❷ 備案:二級以上需要到公安機關備案(也就是到公安網安備案,註明你哪個系統做了等保,以後公安有定期檢查的義務和權力)
❸ 建設整改:根據等保標準,進行安全建設改造(比如漏.洞系統掃出哪些漏.洞,需要打補丁或升級,邊界需要部署防火牆,IPS等,這是發現問題,解決問題的過程。有錢的單位問題解決得徹底些,沒錢的解決部分也行,畢竟過等保滿不用拿滿分。
❹ 等級評測:具備評測資格的等保評測機構進行評測,評測條目非常細,參考《等保三級基線要求判分標準》。
❺ 監督檢查:公安網安部門可以定期抽查,這就是定期查水錶,很好理解。
閱讀更多 思恆科技 的文章
