等保2.0丨5分钟速览:小白都能理解的等保2.0简介

等保2.0的概念

等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。以1.0的规范为基础,等级保护标准以积极的防御为重点,由被动的防御发展为安全可信、动态感知和全过程的事前、事中和事后的全过程的全方位的审核,从而达到对传统的信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工控信息系统的等级保护目标的覆盖。

实施原则

根据《信息系统安全等级保护实施指南》精神,明确了以下基本原则:

自主保护原则:信息系统的运行和使用单位及其主管机关,根据国家有关法律、规范,决定信息系统的安全防护水平,并自行组织执行。

重点保护原则:按照信息系统的重要性和业务特征,对信息系统进行不同的安全防护,对涉及到核心业务和重要信息资产的信息系统进行优先保护。

同步建设原则:在新建、改建和扩建信息系统时,要对安全计划进行相应的规划和设计,并按一定的比例进行信息安全设施的建设,保证信息的安全性符合信息化建设的需要。

动态调节原则:根据信息系统的变动,及时地对安全防护措施进行调整。如果因为信息系统的应用类型、范围等条件发生了改变,而导致的安全防护级别发生了变化,那么,要按照等级保护的管理规范以及技术标准的规定,对信息系统的安全保护级别进行重新界定,并在此基础上,按照信息系统的安全保护级别的调整,对其进行再一次的执行。

等保2.0不变之处

1、5个等级不变

从一至五个层次依次为:使用者自治保护水平、指导保护水平、监督保护水平、强制保护水平和监视保护水平。

2、规定动作不变

规定动作包括:分级,备案,建设整改,等级评定,督导检查。

3、主体职责不变

等级保护的主要责任包括:网安部门负责受理分级目标的登记和监督检查;第三方测评机构负责定级目标的安全评价;上级主管部门负责下级单位的安全管理;运营使用单位负责定级目标的等级保护责任。

2.0与1.0变化之处

1、名称变化

《信息系统安全等级保护基本要求》 改为:《网络安全等级保护基本要求》,与《网络安全法》保持一致。

2、定级对象变化

随着等保2.0的到来,将保护目标由传统的网络与信息系统拓展到“云移物工大”,将基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公共服务平台等都纳入到了等级保护的范畴之中。

3、安全要求变化

等保2.0从单一的基础需求演化为“一般安全需求+新技术安全拓展需求”,其中“安全通用需求”是指无论何种级别保护对象形式都要满足的需求,特别适用于云计算、移动互联、物联网、工控等领域。

4、控制措施分类结构变化

“一个中心,三级保护”的理念,在“等保2.0”管控措施分级结构上进行了调整。在此基础上,提出了安全物理环境,安全通讯网络,安全域边界,安全计算环境,安全管理中心等内容。管理方面的内容作了修改:安全管理体系,安全组织,安全人员,安全施工管理,安全运行管理。

5、工作内涵变化

等保2.0,不仅对1.0时期的定级、备案、安全建设、等级测评、监督检查等做了进一步的界定,更重要的是,要将安全检测、通报预警、案事件调查等措施,都纳入到等级保护体系中,并予以执行。

实施等保2.0原因

由于等保1.0缺少对大数据、云计算、物联网等新技术、新应用的分级保护规范;在风险评估、安全监控、通报和预警等工作以及政策、标准、测试、技术与服务等方面也存在不足。为满足云计算、物联网、移动互联、工业控制等领域的新技术发展需求,在公安部的指导下,启动了信息技术新领域等级保护重点标准的申报工作,标志着等级保护正式进入2.0时代。

等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。

网络安全等级保护注意事项

1、等级测评并非安全认证

在许多人看来,等保测试就像是网络安全认证一样,但是,现在的等级保护测试,是由公安部委托的上百家测试机构,对一个信息系统进行安全测试,测试合格后,会发出一份《等级保护测评报告》,如果你能得到一份测试报告,那就说明这个信息系统已经达到了等级保护的标准。

2、过等保不能一劳永逸

通过测试和修正,以及实施分级保障体系,可以有效地避免大多数的安全隐患。但是从现有的测试情况来看,所有测试的系统都不能完全达到安全保护的要求。一般来说,在现在的等级保护测试中,只要没有被检测出高风险,就能通过考核。然而,安全是一种动态的、不是静态的,不能只靠一次评估就能解决。企业在实施了等保安全规定后,通过对各种安全管理制度的严格执行,基本上可以保证整个体系的安全、稳定地运转。不过,这也不是百分之百的安全。

3、内网系统也需要做等级测评

首先,一切不涉及机密的系统,都是有级别保护的,不管你是在外网,还是在内网上。《网络安全法》明确了中华人民共和国境内建立、运行、维护和使用的计算机网络和信息系统的分级保护。所以,无论是内部网,还是外部网,都必须满足级别保护的安全需求。

其次,内网系统的安全防护措施常常做得不好,而且很多系统都受到了严重的干扰。2017年,“永恒之蓝”勒索病毒在世界范围内肆虐,造成多个内网系统瘫痪,给我们敲响了警钟。因此,不管是内网,还是外网,都要做好防护措施。

4、系统上云或者托管在其他地方也需做等级测评

现在,更多的小公司用户更倾向于在云计算和 IDC机房中部署自己的系统。这些云计算平台, IDC机房一般都是经过等级测试的。但是,按照“谁经营谁负责,谁使用谁负责”的原则,系统的责任主体依然是网络运营者本身,因此,它必须对网络安全负有一定的责任。

5、谨慎定级

当前,将等级保护对象(信息系统)的安全等级划分为5个级别:1是最低级的,5是最高级的(5级是预留的,市场上已经评定的等级为4级)。如果是1级,那就不用测试了,直接保护就行。如果是2级以上,那就要做等级测试了。确定系统层次必须基于其重要程度来确定。如果把价格定得太高,就会导致投资浪费;如果设定得太低,就会导致关键资讯系统无法得到适当的保护,因此,评级时应谨慎。

等保1.0的要求为:自行定级,有主管部门的,由主管部门审核,最后上报公安机关。2.0版的定级程序,增加了“专家评审”、“上级审批”两个步骤,使定级工作更加标准化、准确性更高。

6、系统备案场所

根据《信息安全等级保护管理办法》,对信息系统的运行和使用单位进行了分级保护。通常情况下,注册的主体不是开发商,也不是系统集成商,而是终端使用者。目前,一些企业的登记地和经营地并不是同一个地方,一般都是要到当地网安部门进行备案的。

一些企业的云系统是在云计算平台上部署的,其真实的物理地址常常与运营商所处的位置不同,这就给企业带来了很大困难。此外,一些单位的运营队伍与登记的营业地址也不尽相同。如果是这样的话,应该在系统管理员所在的城市网安部门注册,这样才能更好地监督系统。

所以,更多的时候,还是要去运维那里登记一下。当然,对于某些特定的产业,也会有一定的要求,像是某些涉及到金融安全的领域,例如互联网金融系统、支付系统等,都需要在注册地进行定级备案,才能符合当地的监管要求。

7、等保测评按需选择

这项花费多大的成本,这要看你的信息系统级别,目前的系统安全保护情况,和运营商对评价得分的期望。

主要包括:完善安全体系,安全加固等安全服务,增加安全设备。在安全制度和安全加固方面,网络运营者可以自行进行大量的整改工作,也可以委托系统集成方对其进行加固,一般情况下,这些都不是要另外付费的,也不是你跟系统集成方的合同里有协议的,只要把这两部分处理好,再加上一些安全技术措施,基本就能达成基本一致的结论。因此,花费多少取决于你如何做或你对它的期望。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/44813.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

函数式接口、匿名内部类、lambda表达式

一、函数式接口 只有一个抽象方法的接口叫函数式接口,不能有两个,也不能有方法实现。 FunctionalInterface注解标记,在idea中可以用这个注解验证是不是函数式接口。实现函数式接口可以转成lambda表达式。 二、匿名内部类 匿名内部类的格式&a…

7.11 cf div3 C

Problem - C - Codeforces 操作 根据给定的索引数组ind和字符串c,按照一定的顺序修改字符串s中对应位置的字符。具体来说,第i次操作会修改s中索引为indi的位置的字符,将其设置为ci。 将c字符串按照从小到大排序,替换ind数组所表…

可观察性优势:掌握当代编程技术

反馈循环是我们开发人员工作的关键。它们为我们提供信息,并让我们从用户过去和现在的行为中学习。这意味着我们可以根据过去的反应进行主动开发。 TestComplete 是一款自动化UI测试工具,这款工具目前在全球范围内被广泛应用于进行桌面、移动和Web应用的…

【DRAM存储器三十三】LPDDR4介绍--寻址、pin定义、命令真值表

👉个人主页:highman110 👉作者简介:一名硬件工程师,持续学习,不断记录,保持思考,输出干货内容 参考资料:《镁光LPDDR4数据手册》 、《JESD209-4B》 目录 LPDDR4的寻址 LPDDR4的pin脚定义 命令真值表 LPDDR4的寻址

【深度学习入门篇 ②】Pytorch完成线性回归!

🍊嗨,大家好,我是小森( ﹡ˆoˆ﹡ )! 易编橙终身成长社群创始团队嘉宾,橙似锦计划领衔成员、阿里云专家博主、腾讯云内容共创官、CSDN人工智能领域优质创作者 。 易编橙:一个帮助编程小…

vue3中antd上传图片组件及回显

实现效果&#xff1a; 调用后端接口后&#xff0c;后端返回的数据&#xff1a; 1.在项目components/base下新建UploadNew.vue文件&#xff08;上传图片公共组件&#xff09; <template><div class"clearfix"><a-uploadv-model:file-list"fileL…

发挥储能系统领域优势,海博思创坚定不移推动能源消费革命

随着新发展理念的深入贯彻&#xff0c;我国正全面落实“双碳”目标任务&#xff0c;通过积极转变能源消费方式&#xff0c;大幅提升能源利用效率&#xff0c;实现了以年均约3.3%的能源消费增长支撑了年均超过6%的国民经济增长。这一成就的背后&#xff0c;是我国能源结构的持续…

龙蜥Anolis OS基于开源项目制作openssh 9.8p1 rpm包 —— 筑梦之路

环境信息 制作过程和centos 7几乎没有区别&#xff0c;此处就不再赘述。 CentOS 7基于开源项目制作openssh9.8p1 rpm二进制包修复安全漏洞CVE-2024-6387 —— 筑梦之路_cve-2024-6387修复-CSDN博客 制作成果展示 tree RPMS/ RPMS/ └── x86_64├── openssh-9.8p1-1.an7.…

springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)

目录 身份认证&#xff1a; 1、创建一个spring boot项目&#xff0c;并导入一些初始依赖&#xff1a; 2、由于我们加入了spring-boot-starter-security的依赖&#xff0c;所以security就会自动生效了。这时直接编写一个controller控制器&#xff0c;并编写一个接口进行测试&…

【面试题】防火墙的部署模式有哪些?

防火墙的部署模式多种多样&#xff0c;每种模式都有其特定的应用场景和优缺点。以下是防火墙的主要部署模式&#xff1a; 一、按工作模式分类 路由模式 定义&#xff1a;当防火墙位于内部网络和外部网络之间时&#xff0c;需要将防火墙与内部网络、外部网络以及DMZ&#xff0…

事半功倍大法!财务数据API让企业工作智能化

在快速变化的商业环境中&#xff0c;财务管理的自动化已成为企业提升效率、降低成本和增强决策质量的关键。财务API&#xff0c;作为现代企业架构中不可或缺的一部分&#xff0c;提供了一种强大的工具&#xff0c;使得企业能够无缝集成各种财务服务和应用&#xff0c;实现数据的…

数据分析理论

数据分析的概念 数据分析是指通过恰当的统计方法和分析手段&#xff0c;对数据进行收集汇总&#xff0c;并进行加工处理。对处理过后的有效数据进行分析&#xff0c;发现存在的问题&#xff0c;制定可行的方案、从而帮助人们采取更科学的行动 数据分析4个层次 著名咨询公司Gart…

【WEB前端2024】3D智体编程:乔布斯3D纪念馆-第59-agent自动获取喵星人资讯并保存至云文件夹

【WEB前端2024】3D智体编程&#xff1a;乔布斯3D纪念馆-第59-agent自动获取喵星人资讯并保存至云文件夹 使用dtns.network德塔世界&#xff08;开源的智体世界引擎&#xff09;&#xff0c;策划和设计《乔布斯超大型的开源3D纪念馆》的系列教程。dtns.network是一款主要由Java…

Oracle执行一条SQL的内部过程

一、SQL语句根据其功能主要可以分为以下几大类&#xff1a; 1. 数据查询语言&#xff08;DQL, Data Query Language&#xff09; 功能&#xff1a;用于从数据库中检索数据&#xff0c;常用于查询表中的记录。基本结构&#xff1a;主要由SELECT子句、FROM子句、WHERE子句等组成…

stm32h743 阿波罗v2 NetXduo http server CubeIDE+CubeMX

在这边要设置mpu的大小&#xff0c;要用到http server&#xff0c;mpu得设置的大一些 我是这么设置的&#xff0c;做一个参考 同样&#xff0c;在FLASH.ld里面也要对应修改&#xff0c;SECTIONS里增加.tcp_sec和 .nx_data两个区&#xff0c;我们用ram_d2区域去做网络&#xff…

生产英特尔CPU处理器繁忙的一天

早晨&#xff1a;准备与检查 7:00 AM - 起床与准备 工厂员工们早早起床&#xff0c;快速洗漱并享用早餐。为了在一天的工作中保持高效&#xff0c;他们会进行一些晨间锻炼&#xff0c;保持头脑清醒和身体活力。 8:00 AM - 到达工厂 员工们到达英特尔的半导体制造工厂&#…

电脑拼图软件有哪些?盘点7种简单好用电脑拼图软件

如今我们无时无刻不使用着社交媒体&#xff0c;图片已经成为我们日常生活中不可或缺的一部分。无论是社交媒体分享、工作汇报还是个人创作&#xff0c;拼图软件都扮演着至关重要的角色。今天&#xff0c;就让我们一起来盘点7款电脑拼图软件&#xff0c;帮助你轻松找到最适合自己…

AI应用行业落地100例 | 全国首个司法审判垂直领域AI大模型落地深圳法院

《AI应用行业落地100例》专题汇集了人工智能技术在金融、医疗、教育、制造等多个关键行业中的100个实际应用案例&#xff0c;深入剖析了AI如何助力行业创新、提升效率&#xff0c;并预测了技术发展趋势&#xff0c;旨在为行业决策者和创新者提供宝贵的洞察和启发。 随着人工智能…

研究突破:无矩阵乘法的LLMs 计算!

通过在推理过程中使用优化的内核&#xff0c;内存消耗可以比未优化模型减少超过10倍。&#x1f92f; 该论文总结道&#xff0c;有可能创建第一个可扩展的无矩阵乘法LLM&#xff0c;在数十亿参数规模上实现与最先进的Transformer相媲美的性能。 另一篇最新论文《语言模型物理学…

14 学习总结:指针 · 其二 · 数组

目录 一、数组名的理解 &#xff08;一&#xff09;【数组名】与【&数组名[0]】 &#xff08;二&#xff09;区别于 【 sizeof(数组名) 】 和 【 &数组名 】 &#xff08;三&#xff09;总结 二、使用指针访问数组 三、一维数组传参的本质 四、冒泡排序 五、二…