红沙漠>论坛 红沙漠法律问答 网络纠纷
发新帖 返回列表
查看: 84|回复: 0

科技前沿—网络安全等级保护—从等保1.0到等保2.0的演变

[复制链接]
似念似恋

1

主题

1

帖子

3

积分

新手上路

Rank: 1

积分
3
发表于 2022-12-4 17:33:39 | 显示全部楼层 |阅读模式
等级保护定义:网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
概括讲,就是把信息系统按照重要性划分成不同等级,采取相应的防护措施,让信息系统与防护措施门当户对。既不能保护不足也不能过度保护,既要保证安全也要兼顾效率。
等级保护发展历程。等级保护这项工作是从1994年开始的,1994年的时候国务院发布了《中华人民共和国计算机信息系统安全保护条例》(俗称“147号令”),首次提出了国家信息安全工作信息系统是分等级实施保护的。但由于信息化才刚刚起步,信息安全其实还无从谈起,之后9年基本上没有再更新内容。直到2003年国信办再次强调重申了要实施等级保护,在“27号文”强调加紧制定网络安全等级制度的保护工作。公安部在2004年就这项工作提出了“66号文”实施意见,在这个里面大致拟定了一个具体的工作路线。在接下来的几年公安部就联合四部委开展等级保护的试点工作。到2007年,正式发布了《网络安全管理办法》,该办法明确了等级保护所有的相关的工作以及各种参与决策的职责分工等等。从此确立了等级保护这项工作就正式开始实施。在往后若干年当中,国家的各个部委相继出台相关配套文件并在全国推进等级保护工作。
直到2016年发布了《网络安全法》,其中明确提出“国家实行网络等级保护制度”,等级保护上升为法律。国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代。2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等的“征求意见稿”,公安部十一局郭启全总工11月9日在2018合肥网络安全大会中提到,目前等保2.0标准已在国家安标委最终审批,正式标准有望出台。



等级保护主要工作内容:等级保护的工作主要分为五大部分:定级、备案、建设整改、等级测评和监督检查。
(一)安全保护等级:网络系统分为五级,一到五级,逐级增高。综合考虑网络系统规模、价值等因素,根据其重要程度,以及其遭到破坏后的危害程度等因素确定安全保护等级。
(二)定级流程:包括5个环节,确定定级对象——初步定级——专家评审——主管部门审核——公安机关备案审查
(三)向公安机关备案。网络系统运营者将网络系统定级材料向同级公安机关网安部门备案,公安机关对符合要求的发放备案证明。
(四)开展等级测评。网络系统运营者选择符合国家规定条件的测评机构,对三级以上系统每年开展等级测评,二级系统原则上每两年至少测评一次。
(五)安全建设整改。网络系统运营者根据系统安全保护等级,按照国家标准开展安全建设整改。
(六)监督检查。公安机关每年开展执法检查。
等保2.0的定级,不是自主定级,而是参照定级指南进行定级,是一种强制定级。管理策略也由之前等保1.0的“自主定级、自主保护、监督指导”转向为等保2.0的“明确等级、增强保护、常态监督”修改后的定级工作包括5个环节:确定定级对象——初步定级——专家评审——主管部门审核——公安机关备案审查,相比等保1.0增加了专家评审和主管部门审核两个环节。
等保定级(定级工作已于2008年完成):根据《信息安全等级保护定级指南》,信息系统的安全保护等级分为以下五级:
第一级信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
第二级信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
第三级信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
第四级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
第五级信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。





第2章
2、等保2.0范围更广、力度更大且对新兴领域安全提出要求

等级保护2.0较1.0相比,主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面。工作内容上丰富了等级保护方法;保护对象也从传统的网络和信息系统,向“云大物智移”上扩展;等保由原来的规定上升到了法律,执行力度加大;为适应新的威胁变化,等保也增加主动防御的要求。等级保护2.0是一次网络安全的重大升级。
2.1、名称变化

将原来的信息系统安全等级保护相关标准名称更改为信息安全等级保护,再更名为网络安全等级保护相关标准,与《中华人民共和国网络安全法》保持一致。
2.2、等级保护上升为法律

《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。等级保护已经从原有的规定上升到了法律层面,作为系统建设者和运营者,有义务做好信息安全等级保护建设。从中也可以看出等保2.0未来的执行力度和强制力度更大。
2.3、保护对象扩展,实际监管的范围扩大

早在1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。而后在2003年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”。
为了配合《网络安全法》的实施,同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作需要,2017年颁布的新标准对保护对象从横向和纵向都进行扩展,除了信息系统之外,将基础信息网络和大数据这样的内容纳入进来,在纵向上,也把信息系统对象做了扩展,除了有传统的信息系统以外,还有像云计算平台、工控、物联网、移动互联等新系统都纳入到等级保护的范围,等级保护对象扩展。
从监管的角度来讲,在“等级保护2.0”时代,因为等级保护的对象发生了变化,监管对象也有所扩展,等保2.0则把云计算、大数据、物联网、工业控制、物联网、基础信息网络、其他信息网络等新业态也纳入了监管。此外,《管理办法》在《网络安全法》出台以前,由于法律责任规定所限,实际只能对第三级以上信息系统运营、使用单位具有一定的约束效力,但是在以《网络安全法》和未来《网络安全等级保护条例》为基础的等保2.0制度下,所有网络运营者都将受到网络安全等级保护制度的约束,并有相应的法律责任予以威慑,其中第二级以上网络的运营者将面临更为实质性的监督管理,等级保护制度的实际监管范围大为拓宽。





2.4、增加一批新的等保技术标准(标准体系大升级)

传统等级保护主要有几大核心的标准,包括基本要求、测评要求、设计要求,这都是等级保护传统核心的标准。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,等保2.0把核心的标准在各个领域做了扩展,除了有传统系统对应的相应的标准以外,像云计算、大数据、移动互联等等我们在每个领域都做了扩展,形成了一个新的标准的体系。
2014年3月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作。2015年初,标委会批准立项,建议形成基本要求测评要求的系列标准。2015年中,标委会批准设计要求修订立项,形成设计要求系列标准。



2.5、工作内容扩展(丰富了保护方法)

从工作内容上来比较,等保1.0时代的工作是五个规定动作,定级、备案、建设整改、等级测评和监督检查。在等保2.0时代,除了满足以上五个以外,把风险评估、安全监测、通报预警,案事件调查、数据防护、自主可控、供应链安全、效果评价、综治考核等方面的工作都纳入到等级保护的范围之内。
2.6、新增主动防御和外包运维要求

在等保2.0通用要求中,在网络和通讯安全层面新增了一些的安全要求:1、应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;2、应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新;3、应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控等等。在应用和数据安全层面新增了应仅采集和保存业务必需的用户个人信息和应禁止未授权访问和使用用户个人信息等方面的要求。
从以上新增的通用要求可以看出有以下几方面的变化:1、增加了主动防御的要求。等保2.0也是首次提出要对网络攻击特别是“未知攻击”的检测分析要求。这里面主要是指APT这些新兴的威胁的检测分析能力;同时也首次增加了安全集中管控的要求,建设集中安全管理系统成为必要。从中可以看出,信息安全涉及的技术也从防火墙、杀病毒软件、IDS等传统被动防御手段上升到威胁情报、态势感知和SOC等主动防御体系。2、等保2.0也特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。对公司内部安全运维的要求降低和对外包运维的要求增多,这也从侧面体现了等保2.0对安全服务的认可,体现了安全服务正越来越成为一种趋势。3、个人信息的保护首次纳入,等保对个人信息的重视将进一步影响涉及个人信息的系统的定级,未来有望带动包含个人信息的系统在安全方面的投入增加。


3、等保2.0刺激信息安全需求增加,新兴安全受益明显

等保2.0范围更广、力度更大且对新兴领域安全提出要求,这有望带动信息安全整体市场需求增加,其中受益最大的是威胁情报、态势感知、SOC等主动防御领域、云安全、数据安全和工控安全等新兴安全领域及安全服务领域和个人信息安全防护。目前新兴安全领域整体市场规模较小,未来空间巨大。
3.1、等保2.0刺激信息安全需求增加

当前我们国家正面临经济社会结构调整和转型,信息技术已经成为新的增长动力;而且信息技术的快速发展,互联网普及率持续提高,信息技术对各行各业的影响也不断加大,也使得信息网络承载的个人、企业乃至国家数据越来越多,如果信息系统遭遇安全事件,对社会的影响面也越来越大,重要性带来的必然是信息系统安全保障的紧迫性。另一方面,随着技术的快速发展,安全的威胁也在不断的进化,这对传统信息安全防护手段提出了很大的挑战;与此同时,移动互联、云计算、大数据、物联网和工业控制等新技术、新应用快速发展,传统等级保护制度也不能很好的满足当下新兴领域的安全需求。因此当前环境下推出等保2.0一方面体现了国家层面对信息技术的重视;另一方面也是适应新的安全形势的发展的需要。
综合上述对从等保1.0到等保2.0的变化的分析,可以看出等保2.0对信息安全行业带来的影响可以总结为一下几大方面:
(1)等级保护已经从原有的规定上升到了法律层面,未来等保2.0的执行力度和强制力度将加大。整体执行上更加严格,对于违反相关法律规定的轻则警告重则罚款。考虑到信息安全行业受政策影响大,等保2.0的推出将提高大家在信息安全投入的积极性,长期带动信息安全需求增加。
(2)等级保护首次加入了“未知攻击”的检测、SOC等主动防御的要求,以前信息安全以防火墙、杀病毒、IDS等被动防御为主,随着安全威胁的升级,等保制度也积极响应,提出主动防御上的要求,这将有望带动威胁情报、态势感知、APT攻击检测与防护和SOC等主动防御产品的需求增加。
(3)信息系统除了需要满足通用要求的,还要满足云计算、移动互联、大数据、工业控制等领域的扩展要求。等保2.0相比于1.0另外一个比较大的变化就是保护对象的扩大,新增了移动互联、云计算、大数据、物联网和工业控制等新兴安全领域的内容和扩展要求,相应的新兴安全领域需求将受政策的出台推动带来需求增加。
(4)等保2.0也首次增加了外包运维管理的管理要求,这也从侧面体现了等保2.0对安全服务的认可,预计政策的出台也将带动安全服务的加速发展。
因此,等保2.0范围更广、力度更大且对新兴领域安全提出要求,这有望带动信息安全整体市场需求增加,其中受益最大的是威胁情报、态势感知、SOC等主动防御领域、云安全、数据安全和工控安全等新兴安全领域和安全服务领域。
3.2、当前新兴安全领域市场规模小,成长空间大

威胁情报:根据安全牛的估算,2017年威胁情报的各种形态带来的收入为5亿到8亿元,约占整个安全市场的1.25%到2%。预计到2020年,威胁情报市场的规模有可能超过12亿元,复合增速在24%左右。360企业安全、思科、绿盟等厂商市场份额领先。
态势感知:根据安全牛的统计,2017年国内态势感知市场规模约计20亿人民币,占整个安全市场的5%左右,预计到2020年,态势感知市场将达到50亿元左右,复合增速高达36%。360企业安全、安恒信息、华为、绿盟等厂商竞争力靠前。
云安全:根据CCDI的报告,2014-2016年我国云安全市场规模分别为9.8亿元、12.8亿元和18.2亿元,同比增速分别为21.3%、30.6%和42.2%,行业呈现爆发式增长趋势。阿里云、华为、腾讯云、360企业安全等厂商竞争力靠前。
数据安全:数据安全起步较早,2016年数据安全市场规模达18.1亿元,同比增长21%,随着大数据产业的快速发展将催生数据安全需求不断增加,预计数据安全未来还将保持20%以上增速增长。竞争格局方面,启明星辰、绿盟科技、天融信、神州泰岳和时代亿信等企业市场份额排名靠前。
工控安全:预计2018年国内市场工控安全市场将达到4.4亿元,占全国信息安全市场规模的比重仅为1%左右,仍处于市场导入期考虑到全球工控安全占整体市场规模的10%左右,随着未来几年在国家政策的持续推动,我国工控安全市场逐步升温,并有望在未来3~5年进入快速成长期。工控安全领域启明星辰、360企业安全等企业布局领先。
工控安全:根据工信部发布的《工业控制系统信息安全行动计划(2018-2020年)》的统计分析,预计2018年国内市场工控安全市场将达到4.4亿元,占全国信息安全市场规模的比重仅为1%左右,仍处于市场导入期。考虑到全球工控安全占整体市场规模的10%左右,随着未来几年在国家政策的持续推动,我国工控安全市场逐步升温,并有望在未来3~5年进入快速成长期。根据国家工业信息安全发展研究中心预计,5年后,我国工控安全市场规模将达到约20亿~30亿元,占信息安全市场规模的比重将达到5%~6%左右。工控安全领域启明星辰、360企业安全等企业布局领先。





回复

使用道具 举报

发新帖 返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表