等级保护1.0和等级保护2.0区别及详解
2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过10余年的实践,等保1.0为保障我国信息安全打下了坚实的基础。
等保2.0
等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。这是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。
等保2.0与等保1.0的区别
等保1.0主要强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。
相较于等保1.0,等保2.0发生了以下主要变化:
1、名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
2、定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
3、安全要求变化。等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
4、控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。
在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
5、内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。
等保起源于 国务院 的147号令,为响应国务院147号令, 公安部 第三研究所(专门管IT行业的公安研究所)开始着手信息安全标准的推进,随后出过一些指导性的国标,但都没有引起很多企业和单位的ICT建设参考。
随着近年来网络安全法和国家层面的安全指示国标变得越来越重要了,各个监管部门对安全的要求越来越大,而监管部门要求安全建设中遵循的标准大多都是等级保护; 国家网信办 和 公安部 都在主推等级保护,发现安全事件的单位没有落实等级保护肯定会被责令整改,甚至被处罚。
等级保护整变得越来越重要,越来越多的企业、政府部门、事业单位参与到等级保护标准的制定和执行中来,使得等级保护越来越完善,越来越合理。
等级保护1.0发布时间 :2008年 参考国标:GB/T 22239-2008
参与制定单位:公安部第三研究所、中国信息测评中心等
1.0技术部分:
缺点:仍有些不完善的地方,甚至有些要求不符合常理,导致单位和企业建设的成本过高。
等级保护2.0发布时间 :2019年 参考国标:GB/T 22239-2019 声明是取代2008年的指标,12月1日正式实行该标准,之前的标准自此更新为。
参与制定单位:公安部第三研究所、信息安全测评中心、华为、启明星辰、新华三、阿里云、
等保1.0参考《中关村信息安全测评联盟等级测评项目收费指导意见(试行)》
等级测评和年检等级越高花费的人力越大,所以收费越高。
实际上toB的商品和服务价格都是不透明的,但是能做测评的就当地两三家企业和单位,价格基本没得商量,而且当地测评中心基本都只给政府优先服务,不会先接私企的单;私有的拥有测评资质的企业往往会坐地起价。你跟他们销售谈5w就是5w,10w就是10w,降价基本是不可能,最多卖点安全服务给你提升满意度。
ps:测评机构可以卖服务但是不能卖自己公司产品的,这也就是安全厂商为什么拿不到测评资质的原因,因为卖自己公司产品就不能客观的做评测了。
等保2.0收费参考标准:
根据国泰君安的研究数据表明:目前市场上等保2.0测评服务为二级8万元,三级16万元,等保2.0咨询服务的价格为二级5万左右,三级8万~10万元(按9万计算)。
其实流程无所谓,只是个大致的过程;关键是【测评机构】的员工俗称《测评师》会去现场访谈,问你各种这个要求做了没有,能不能看下你做得对不对?随后会对你需要过等保的系统进行风险评估(不能有中高危漏洞才算合格,不合格就得继续整改到合格为止),最后把访谈内容和风险评估整理成报告提交到公安网监部门的系统上,网监复核后颁发等保备案证书才算过等保了。还有关于三级等保一年评测一次的说法都是测评机构自说自话并无相关标准和依据。
共分五级,通常做2级和3级(最好满二追三);由【测评机构】提交给【专家】定级,然后定级好后到公安部门进行备案,做四级等保的普通企业就BAT这种级别的。
市级政府事业单位app:定两级
市级政府事业单位网站:定两级
省级政府事业单位app:定三级
省级政府事业单位网站:定三级
p2p金融机构:定三级
普通企业网站:定两级
普通互联网企业网站:定三级
BAT之类的国民级互联网:定四级
国家级公开应用系统(如公安部、教育部):定五级
基本都定二级,因为相对外部危害较小。
国家级别的应用系统可能往三级定,这就需要公安三所和国测专家来判断了。
PS:定一级基本不用做太多整改,直接叫测评机构来就行,实际上也不会叫你定一级,起码两级起步。
三种安全控制点:(比如三级有一个到达3即可,如:G3S2A1、G2S3A1)
通用安全保护类要求(简记为 G)
数据安全保护类要求(简记为 S)
应用系统保护类要求(简记为 A)
PS:这是1.0的,2.0改成G对应该等级,A和S会根据企业情况变化;但必须有一个对应等级;也就是有两个对应等级。
数据中心定三级,备份数据中心要三级吗?
答案:不需要,只需要满足主干网络线路冗余、网络硬件冗余等四项要求即可
三级等保需要网闸吗?
答案:1.0需要,2.0不需要(更合理,减少不必要的开支)。
1.0和2.0多少分可以过等保?
答案:1.0需要60分以上(达到60%的指标),2.0需要75分以上,难度增加了很多;其实2.0的指标数变多了,达到一定比例的指标数就可以了。
一级等保需要采购什么?
二级等保需要采购什么?
三级等保需要采购什么?
一是标准名称变化
等保2.0将等保1.0的标准“信息系统安全等级保护”修改为“网络安全等级保护”。
二是保护对象变化
等保2.0的保护对象从等保1.0的信息系统扩大为网络,引入云计算、移动互联、工控、物联网等新领域。
三是安全要求变化
等保2.0将等保1.0的安全要求调整为安全通用要求和安全扩展要求。
四是内容变化
等保2.0在等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作基础上增加了新的安全要求,如风险评估、安全监测、通报预警以及态势感知等。
五是分类结构变化
等保2.0的结构调整充分体现了“一个中心,三重防御”的思想,一个中心是指安全管理中心,三重防御是指安全计算环境、安全区域边界以及安全网络通信。
~
等级保护标准
答:如果某类设备满足试验一般要求而且所选择的防护等级适用于该设备型式,则本标准也适用于该型式设备的空外壳。各类产品引用防护等级的程度和方式,留待产品标准决定,对具体的防护等级所采用的试验应符合本标准的规定,必要时,在有关产品标准中可增加补充要求。等保2.0国家标准对比等保1.0,在保护范围、法律...
什么是等保2.0?
答:等保2.0全称网络安全等级保护制度2.0标准(以下简称等保2.0标准),于2019年12月1日开始实施;网络安全等级保护制度是国家网络安全领域的基本国策,基本制度和基本方法;随着信息技术的发展和网络安全形势的变化;等保2.0标准在1.0的基础上;注重全方位主动防御,动态防御,整体防控和精准防护;实现了对云计算,...
什么是等保2.0?
答:国家法律法规及行业监管政策都要求展开等级保护工作。如2017年6月1日颁布的《中华人民共和国网络安全法》第十七条要求,国家实施网络安全等级保护制度;第二十一条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。2019年12月...
你知道等级保护分为几级吗
答:等级保护的划分 等级保护制度细致划分为了五个等级,每个级别都代表着不同的安全责任和保障要求:第一级:一旦遭受破坏,会对公民、法人权益产生一般影响,但不会威胁国家安全、社会秩序和公共利益。第二级:严重损害或特别严重损害权益,或对社会秩序和公共利益构成威胁,但国家安全仍保持安全。第三级:对...
在等保2.0中,等保保护对象包括哪些
答:等保保护对象包括网络、信息系统、云平台、物联网、工控系统、大数据、移动互联等各类技术应用。等保2.0与1.0标准相比内涵更丰富,公安部网络安全保卫局总工程师郭启全表示,新时期国家网络安全等级保护制度具有鲜明特点,实现覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会;覆盖所有保护...
信息安全等级保护有哪三级?
答:第一级 等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。通常适用于:小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级 等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会...
什么是信息安全等级保护?等保2.0是什么?
答:【信息安全等级保护】是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。等级保护制度是我国网络安全的基本制度。层次化保护是指对国家重要...
什么是等保2.0?
答:等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级...
网络安全等级保护
答:网络安全等级保护:等级划分与关键策略</ 随着GB/T 22239 2019(等保2.0)的出台,网络安全等级保护体系正式取代早期的信息系统安全标准,致力于全方位保障数据安全,确保数据的完整、保密和可用性。等级保护依据信息系统的重要性和潜在危害,划分为五个等级,覆盖业务信息系统、基础网络及云计算等领域,遵循...
网络安全等级保护2.0国家标准是什么
答:《中华人民共和国网络安全法》于2017年正式开始实施,这也表明网络等级保护2.0正式开始启动。网络等级保护2.0的标准主要有以下几方面:1、网络安全等级保护条例,这是总要求以及上位文件;2、计算机信息系统安全保护等级划分准则,这是上位标准;3、网络安全等级保护实施指南;4、网络安全等级保护定级指南;5...
