等级保护1.0和等级保护2.0区别及详解

2020-06-23  本文已影响0人  JJJoeee

等保起源于国务院的147号令,为响应国务院147号令,公安部第三研究所(专门管IT行业的公安研究所)开始着手信息安全标准的推进,随后出过一些指导性的国标,但都没有引起很多企业和单位的ICT建设参考。
随着近年来网络安全法和国家层面的安全指示国标变得越来越重要了,各个监管部门对安全的要求越来越大,而监管部门要求安全建设中遵循的标准大多都是等级保护;国家网信办公安部都在主推等级保护,发现安全事件的单位没有落实等级保护肯定会被责令整改,甚至被处罚。
等级保护整变得越来越重要,越来越多的企业、政府部门、事业单位参与到等级保护标准的制定和执行中来,使得等级保护越来越完善,越来越合理。

等级保护1.0发布时间:2008年 参考国标:GB/T 22239-2008
参与制定单位:公安部第三研究所、中国信息测评中心等
1.0技术部分:

缺点:仍有些不完善的地方,甚至有些要求不符合常理,导致单位和企业建设的成本过高。

等级保护2.0发布时间:2019年 参考国标:GB/T 22239-2019 声明是取代2008年的指标,12月1日正式实行该标准,之前的标准自此更新为。
参与制定单位:公安部第三研究所、信息安全测评中心、华为、启明星辰、新华三、阿里云、

为什么要做等保?

  1. 主动:进行安全建设的时候等级保护是国内最权威、最流行、推广力度最大的标准,说白了就是做了一堆所谓的安全建设,不受社会和监管部门的认可,建设的方向错了,应该先符合标准,再考虑其它的安全建设。
  2. 被动:网信办的推动,网信办是主管互联网内容合规政府部门,所有有网站和应用的企业都受网信办的监管,一旦你的网站传播了不良信息都会被网信办处罚,如果是因为黑客造成的不良信息传播该公司就会被要求限期整改落实等级保护等安全建设。
  3. 被动:公安部的推动,如果企业发生安全事件或信息财产损失去公安网监部门报案追回损失的话,首先网监部门会检查你有没有落实等级保护,如果是因为安全能力不够造成的损失,网监会在破案前先处罚企业。但如果你落实了等级保护,那网监就无话可说。(所以一般的安全事件如果没有财产损失是不会去报警的,因为网警会以破案优先,不会在乎你的死活,再者也不是什么光彩的事情。)
  4. 被动:政府部门、事业单位等监管部门的推动,比如市政府、市委、卫健委、教育局等监管部门要求加强安全建设,但又不清楚具体怎么加强,于是要求被监管部门按照等保标准来建设。

关于收费:

等保1.0参考《中关村信息安全测评联盟等级测评项目收费指导意见(试行)》

等级测评和年检等级越高花费的人力越大,所以收费越高。
实际上toB的商品和服务价格都是不透明的,但是能做测评的就当地两三家企业和单位,价格基本没得商量,而且当地测评中心基本都只给政府优先服务,不会先接私企的单;私有的拥有测评资质的企业往往会坐地起价。你跟他们销售谈5w就是5w,10w就是10w,降价基本是不可能,最多卖点安全服务给你提升满意度。
ps:测评机构可以卖服务但是不能卖自己公司产品的,这也就是安全厂商为什么拿不到测评资质的原因,因为卖自己公司产品就不能客观的做评测了。
等保2.0收费参考标准:

信息系统等级 测评指标项数量 单项收费标准(元/项) 收费基数(万元)
二级 175 500 9
三级 290 550 16
四级 318 650 21

根据国泰君安的研究数据表明:目前市场上等保2.0测评服务为二级8万元,三级16万元,等保2.0咨询服务的价格为二级5万左右,三级8万~10万元(按9万计算)。

怎么通过等保评测?

  1. 联系当地有资质等保【测评机构】(在当地网监备案过)

  2. 【测评机构】收集单位和应用系统信息提交给专家定级

  3. 填写备案表,到公安局备案(需要带上需测评方的相关材料)

  4. 进行整改(也可以在提交备案材料前整改,但最好确定等级后再整改)

  5. 【测评机构】进行访谈和风险评估等测评工作(具体参照评测指南)

  6. 【测评机构】将访谈结果提交到公安局进行审核,审核通过后颁发等保备案证书视为通过等保。

  7. 后续:三级等保一年测评一次,二级等保建议两年测评一次(暂无强制要求)。

其实流程无所谓,只是个大致的过程;关键是【测评机构】的员工俗称《测评师》会去现场访谈,问你各种这个要求做了没有,能不能看下你做得对不对?随后会对你需要过等保的系统进行风险评估(不能有中高危漏洞才算合格,不合格就得继续整改到合格为止),最后把访谈内容和风险评估整理成报告提交到公安网监部门的系统上,网监复核后颁发等保备案证书才算过等保了。还有关于三级等保一年评测一次的说法都是测评机构自说自话并无相关标准和依据。

关于定级:定级谁来定?要定几级?

共分五级,通常做2级和3级(最好满二追三);由【测评机构】提交给【专家】定级,然后定级好后到公安部门进行备案,做四级等保的普通企业就BAT这种级别的。

对外系统定级标准(互联网每个人都能访问到)

市级政府事业单位app:定两级
市级政府事业单位网站:定两级
省级政府事业单位app:定三级
省级政府事业单位网站:定三级
p2p金融机构:定三级
普通企业网站:定两级
普通互联网企业网站:定三级
BAT之类的国民级互联网:定四级
国家级公开应用系统(如公安部、教育部):定五级

对内系统定级标准(只有授权用户能访问)

基本都定二级,因为相对外部危害较小。
国家级别的应用系统可能往三级定,这就需要公安三所和国测专家来判断了。
PS:定一级基本不用做太多整改,直接叫测评机构来就行,实际上也不会叫你定一级,起码两级起步。

三种安全控制点:(比如三级有一个到达3即可,如:G3S2A1、G2S3A1)
通用安全保护类要求(简记为 G)
数据安全保护类要求(简记为 S)
应用系统保护类要求(简记为 A)

PS:这是1.0的,2.0改成G对应该等级,A和S会根据企业情况变化;但必须有一个对应等级;也就是有两个对应等级。

数据中心定三级,备份数据中心要三级吗?

答案:不需要,只需要满足主干网络线路冗余、网络硬件冗余等四项要求即可

三级等保需要网闸吗?

答案:1.0需要,2.0不需要(更合理,减少不必要的开支)。

1.0和2.0多少分可以过等保?

答案:1.0需要60分以上(达到60%的指标),2.0需要75分以上,难度增加了很多;其实2.0的指标数变多了,达到一定比例的指标数就可以了。

一级等保需要采购什么?

二级等保需要采购什么?

三级等保需要采购什么?

1.0和2.0管理要求上的区别

1.0管理要求:
2.0管理要求:
2.0之云计算安全部分
  1. 基础设施位置:要求在中国境内(未说明包不包含港澳台,主要是香港)
  2. 安全通信网络
  1. 安全区域边界
  1. 安全计算环境
  1. 安全管理中心(控制台)
  1. 安全建设管理
  1. 安全运维管理
2.0之移动互联网安全部分(这个标准刚出来,内容很少,很多地方不成熟,也不是很合理,建设成本偏高)
  1. 安全物理环境:避免无线过度覆盖和电磁干扰
  2. 安全区域边界(由无线控制器或上网行为管理实现)
  1. 安全计算环境(可用EMM实现)
  1. 安全建设管理
  1. 安全运维管理
2.0之物联网安全部分(大同小异,现阶段还不完善)
  1. 安全物理环境
  1. 安全区域边界
  1. 安全计算环境
  1. 安全运维管理
2.0之工业控制系统安全部分(大同小异,现阶段还不完善)
  1. 安全物理环境
  1. 安全通信网络
  1. 安全区域边界
  1. 安全计算环境
  1. 安全建设管理
上一篇下一篇

猜你喜欢

热点阅读