5月13日下午,國家標準新聞發布會在市場監管總局馬甸辦公區新聞發布廳召開,網絡安全等級保護制度2.0標準正式發布,實施時間為2019年12月1日。
2017年,網絡安全法實施,強制要求等級保護工作,強調關鍵基礎設施三同步。根據網絡安全法的規定,等級保護是我國信息安全保障的基本制度。
《網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列全保護義務:保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》被稱為“等保1.0”。但是“等保1.0”不僅缺乏對一些新技術和新應用的等級保護規范,比如云計算、大數據和物聯網等,而且風險評估、安全監測和通報預警等工作以及政策、標準、測評、技術和服務等體系不完善。
為適應新技術的發展,解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入2.0時代。
據悉,網絡安全等級保護技術1.0版本主要強調物理主機、應用、數據、傳輸,2.0版本將在云計算、大數據、物聯網、工業控制等新技術新應用方面有涉及。
從等保1.0到等保2.0,變化主要體現在五個方面:
1. 體系框架和保障思路的變化;
2. 定級對象的變化
3. 測評的變化
4. 等保要求的組合變化
5. 控制點和要求項的變化
等保2.0充分體現了“一個中心三重防御“的思想,一個中心指“安全管理中心”,三重防御指“安全計算環境、安全區域邊界、安全網絡通信”,同時等保2.0強化可信計算安全技術要求的使用。
它的發布,不僅對加強中國網絡安全保障工作,提升網絡安全保護能力具有重要意義,而且整個信息安全行業需求將在2019年迎來重要的邊際改善。