網(wǎng)站首頁
產(chǎn)品中心
解決方案
客戶案例
新聞資訊
伙伴合作
服務(wù)與支持
關(guān)于敏捷
行業(yè)資訊
等保2.0時代到來!企業(yè)如何做好數(shù)據(jù)安全防護工作
發(fā)布時間:2019-05-23    作者:admin

2019年5月13日,網(wǎng)絡(luò)安全等級保護制度2.0國家標準(以下簡稱“等保2.0”)正式發(fā)布,將于2019年12月1日開始實施。至此,我國網(wǎng)絡(luò)安全等級保護進入了2.0時代。


開展網(wǎng)絡(luò)安全等級保護工作是保護信息化發(fā)展、維護網(wǎng)絡(luò)安全的根本保障,是網(wǎng)絡(luò)安全保障工作中國家意志的提現(xiàn)。作為國家信息安全的基本制度,貫徹落實等級保護2.0是企業(yè)義不容辭的信息安全義務(wù),而未落實等保的企業(yè)將面臨被有關(guān)部門責(zé)令整改、行政處罰、暫停注冊、暫停運營等處罰。


小編對等保2.0的變化進行分析和解讀,并結(jié)合敏捷科技在數(shù)據(jù)安全領(lǐng)域的技術(shù)和實踐經(jīng)驗,為您解讀等保2.0時代下的數(shù)據(jù)安全防護要求,旨在助力企業(yè)網(wǎng)絡(luò)安全防護能力和信息安全管理能力的提升,合理規(guī)避風(fēng)險。


等保2.0的改變與升級

等保2.0標準與等保1.0標準相比,在保持等級保護“五個級別”不變、五個“規(guī)定動作”不變、等級保護工作相關(guān)參與主體“主體職責(zé)”不變的基礎(chǔ)上,在如下一些方面進行了改變和升級:

1.標準名稱的變化

等保2.0將《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》改為《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》,與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致,意味著等級保護對象與網(wǎng)絡(luò)安全防護理念等的變化。


2.法律法規(guī)的變化

等保2.0法律地位明顯提升,從法規(guī)條例“國務(wù)院147號令”上升到《網(wǎng)絡(luò)安全法》的法律層面。《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條要求,國家實行網(wǎng)絡(luò)安全等級保護制度;第三十一條則要求,關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護。


3.標準要求的變化

等保1.0標準只有安全通用要求,等保2.0標準在對等保1.0標準基本要求進行優(yōu)化(刪除了一些過時的要求項,對一些要求項進行精簡與合理性改寫,新增對新型網(wǎng)絡(luò)攻擊行為防范、垃圾郵件防范和個人信息保護等一些新的要求)的同時,針對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴展要求。

t01fa491dc0cb67c2db.jpg

內(nèi)容的變化


t01c95d22bc71e5d631.jpg

安全通用要求控制點變化


t012ba8ef24a7f14ed8.jpg

安全通用要求要求項變化

注:安全通用要求是不管等級保護對象的形態(tài)如何都必須滿足的要求;安全擴展要求則是針對特殊技術(shù)場景所提出的特殊保護要求,使用新技術(shù)的信息系統(tǒng)需要同時滿足安全通用要求和新技術(shù)的安全擴展要求。


4.等保定級的變化

(1)定級對象的改變:等保1.0定級的對象是信息系統(tǒng),等保2.0標準的定級的對象擴展至:基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)以及大數(shù)據(jù)平臺等多個系統(tǒng),覆蓋面更廣。

(2)在系統(tǒng)遭到破壞后,對公民、法人和其他組織的合法權(quán)益造成特別嚴重損害的由原來的最高定為二級改為現(xiàn)在的最高可以定為三級

(3)定級對象的安全等級確定更加科學(xué),系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核,才能到公安機關(guān)備案,定級更加嚴格。


5.等保測評的變化

等保2.0標準的測評要求更加嚴格,第三級以上的系統(tǒng)每年要開展一次測評,測評達到75分以上才算基本符合要求,而且還在測評標準中增加了高風(fēng)險判例。


6.安全體系的變化

等保2.0標準依然沿用等保1.0標準的“一個中心、三重防護” 的理念,只是從等保1.0標準的被動防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變。


通過建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系,開展組織管理、機制建設(shè)、安全規(guī)劃、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作。


數(shù)據(jù)安全”相關(guān)的變化

等保1.0時代,數(shù)據(jù)安全主要劃歸在“技術(shù)要求-數(shù)據(jù)安全及備份恢復(fù)”條款、“技術(shù)要求-應(yīng)用安全”“技術(shù)要求-主機安全”的要求中。

等保2.0時代,數(shù)據(jù)安全上升為網(wǎng)絡(luò)安全空間,數(shù)據(jù)安全完全屬于“安全通用要求-安全計算環(huán)境”

t01a7d1517865461217.jpg

等保2.0中數(shù)據(jù)安全的要點及技術(shù)實現(xiàn)

(以第三級安全要求為例)

安全計算環(huán)境是針對邊界內(nèi)部提出的安全控制要求,主要對象為邊界內(nèi)部的所有對象,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)對象和其他設(shè)備等。其中數(shù)據(jù)對象的安全保護屬于安全計算環(huán)境中一個重要的環(huán)節(jié)。


數(shù)據(jù)的保護主要包括數(shù)據(jù)的安全防護和數(shù)據(jù)的備份恢復(fù),其中數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)備份恢復(fù)均屬于數(shù)據(jù)的安全防護要點。


對于數(shù)據(jù)保密性,可利用數(shù)據(jù)加密技術(shù),對敏感數(shù)據(jù)做加密處理,保證重要數(shù)據(jù)在存儲過程中的保密性。企業(yè)需要通過購買加密軟件對重要業(yè)務(wù)數(shù)據(jù)進行加密。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采用的是一種主動的智能安全加密策略,在從文件創(chuàng)建到刪除的整個生命周期都對其進行智能化的安全保護,且不會改變員工的正常操作模式,在安全性和方便性之間找到了一個非常好的平衡點。


對于數(shù)據(jù)完整性,可通過加密傳輸機制等,對數(shù)據(jù)進行全面的完整性保障。企業(yè)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲過程中能夠檢測出完整性是否受到破壞,并有必要的恢復(fù)措施。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS采取全方位、全內(nèi)容、全過程的數(shù)據(jù)管理與安全保護手段,為企業(yè)的各類電子文件提供全生命期的安全保護和有效管理。


對于數(shù)據(jù)備份恢復(fù),可通過數(shù)據(jù)備份機制,實現(xiàn)數(shù)據(jù)的自動備份。企業(yè)的本地數(shù)據(jù)具有備份和恢復(fù)功能,每天完全數(shù)據(jù)至少備份一次,同時將關(guān)鍵數(shù)據(jù)定時做異地備份。敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS可實時抓取系統(tǒng)數(shù)據(jù),文件主動備份功能可以自動增量備份核心數(shù)據(jù)資料。


敏捷科技數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS全面符合企業(yè)等保三級的數(shù)據(jù)完整性、保密性、備份和恢復(fù)等安全技術(shù)和安全管理要求,從事前預(yù)防、事中控制和事后審計對數(shù)據(jù)進行全生命周期的智能化安全防護,終端數(shù)據(jù)安全防護、移動端安全防護、數(shù)據(jù)溯源水印、打印安全控制、內(nèi)容外發(fā)管理、文檔安全管理等功能可確保企業(yè)信息安全達到全局應(yīng)用效果。


網(wǎng)絡(luò)安全等級保護制度2.0的正式發(fā)布是中國網(wǎng)絡(luò)安全保障工作的偉大創(chuàng)舉。敏捷科技以《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》為基礎(chǔ),以數(shù)據(jù)安全為核心,自主可控的加密防護技術(shù)為支撐,建立基于等保2.0標準的網(wǎng)絡(luò)安全防護體系,為企業(yè)用戶提供一站式等保整改與建設(shè)方案及風(fēng)險評估服務(wù),更高效、更合理地協(xié)助各行各業(yè)用戶的等級保護建設(shè)工作,為我國網(wǎng)絡(luò)安全建設(shè)工作做出更大貢獻。

電話:18120179909