网络安全发展历程
1994年,国务院发布147号令;
1999年,GB17859,等保雏形;
2005年,等保1.0规范试运行2007年,等保1.0形成正式规范;
2015年,成立《网络安全领导小组》;
2017年,颁布《网络安全法》;
2019年,等保2.0标准正式实施;
什么是等级保护?
等级保护(简称等保),全称信息安全等级保护,是指导网络安全建设的重要指导文件。由公安下面的网络安全保卫大队(简称网安)负责管理和检查。等级保护对象主要包括基础信息网络、信息系统、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的(黑底为等保2.0新增)系统等。
等保根据系统重要程度和被破坏后的危害程度,划分为5个等级:
等保一级:安全性太低,没人做;
等保五级:安全性太高,一般涉密,执行分保;
等保项目都是二、三和四级:
等保二级:县级单位,比如区县医院,学校等
等保四级:金融、军工、电力等高安全单位
等保三级:除去二级和四级,三级最多
阿里云公共云平台定级为三级,金融云定级四级。
等保2.0标准简读
2019年5月10日正式颁布等保2.0标准,并计划2019年12月1日正式实施。
如图为等保标准更新,总体变化不大,等保2.0精简了控制项。
等保2.0最大变化是,除了安全通用要求外,增加了扩展要求,涉及云计算安全、移动互联安全、物联网、工控安全、大数据安全。
哪些单位需要做等保?
等保项目主要集中在政府、医院、法院、银行、电力、军工、学校等单位,大型企业比如阿里云,由于要为租户提供服务,安全问题也比较突出,也是公安网安部门检查的重点,其他中小企业目前没有强制要求,但未来就说不定了。
等级保护五步骤
等保官方规定了五个步骤:系统定级、备案、建设整改、等级评测、监督检查。
❶ 系统定级: 确定建设几级等保,常规三级
❷ 备案:二级以上需要到公安机关备案(也就是到公安网安备案,注明你哪个系统做了等保,以后公安有定期检查的义务和权力)
❸ 建设整改:根据等保标准,进行安全建设改造(比如漏.洞系统扫出哪些漏.洞,需要打补丁或升级,边界需要部署防火墙,IPS等,这是发现问题,解决问题的过程。有钱的单位问题解决得彻底些,没钱的解决部分也行,毕竟过等保满不用拿满分。
❹ 等级评测:具备评测资格的等保评测机构进行评测,评测条目非常细,参考《等保三级基线要求判分标准》。
❺ 监督检查:公安网安部门可以定期抽查,这就是定期查水表,很好理解。
(本文属知识库及科普性质,资料来源互联网,版权归原作者所有)