等保2.0必须关注的点

云管家chinaygj 2019-08-29

网络安全

一、等保2.0相比1.0标准新增定级流程

2.0的流程是确定定级对象→初步确认等级→专家评审→主管部门审核→机关备案审核→最终确定的等级
1.0的流程是确定定级对象→初步确认等级→机关备案审核→最终确定的等级
1

二、2.0重新对定级对象进行调整

2.0定级对象分为基础信息网络、信息系统和其他信息系统,其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。

三、安全控制域划分上有较大变化

安全控制域划分上有较大变化,原有十个安全域整合为八个,定义上更精确,内涵更为丰富。
1.0是物理安全→网络安全→主机安全→应用安全→数据安全→安全制度→安全管理机构→人员安全管理→系统建设管理→系统运维管理
2.0是物理和环境安全→网络和通信安全→设备和计算安全→应用和数据安全→安全策略和管理制度→安全管理机构和人员→安全建设管理→安全系统运维
2

四、物理和环境安全实质性变更

■ 降低物理位置选择要求,机房可设置在建筑楼顶或地下室,但需要加强相应防水防潮措施。
■ 降低了物理访问控制要求,不再要求人员值守出入口,不再要求机房内部分区,不再对机房人员出入进行具体要求。
■ 降低了电力供应的要求,不再要求必须配备后备发电机。
■ 降低了电磁防护的要求,不再要求必须接地。
■ 降低了防盗和防破坏要求,可部署防盗系统或视频监控系统。

五、网络和通讯实质性变更

■ 强化了对设备和通信链路的硬件冗余要求。
■ 强化了网络访问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。
■ 降低了带宽控制的要求,不再要求必须进行QOS控制。
■ 降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。
■ 强化了安全审计的统一时钟源要求。
■ 强化了对网络行为审计的要求。
■ 强化了网络边界的安全控制,特别是无线网络与有线网络的边界控制。
■ 强化了对网络攻击特别是“未知攻击”的检测分析要求。
■ 强化了对恶意代码和垃圾邮件的防范要求,强调在“关键网络节点”。
■ 降低了对审计分析的要求,不再要求必须生成审计报表。
■ 特别增加了安全集中管控的要求,建设集中安全管理系统成为必要。

六、设备和计算安全实质性变更

■ 强化了访问控制的要求,细化了主体和客体的访问控制粒度要求。
■ 强化了安全审计的统一时钟源要求。
■ 强化了入侵防范的控制要求,包括终端的准入要求、漏洞测试与修复。
■ 降低了对审计分析的要求,不再要求必须生成审计报表。
■ 降低了对恶意代码防范的统一管理要求和强制性的代码库异构要求。
■ 提出了采用可信计算技术防范恶意代码的控制要求。
■ 强化了将网络设备本身安全看作整体设备和计算安全的一部分,突出了“重要节点”的概念 。

七、应用和数据安全实质性变更

■ 特别增加了个人信息保护的要求。
■ 强化了对软件容错的要求,保障故障发生时的可用性。
■ 强化了对账号和口令的安全要求,包括更改初始口令、账号口令重命名、对多余/过期/共享账号的控制。
■ 强化了安全审计的统一时钟源要求。
■ 降低了对资源控制的要求,包括会话连接数限制、资源监测、资源分配控制。
■ 降低了对审计分析的要求,不再要求必须生成审计报表。

八、安全策略和管理制度实质性变更

降低了对安全管理制度的管理要求,包括版本控制、收发文管理等,其中不再要求必须由信息安全领导小组组织制度的审定。

九、安全管理机构和人员实质性变更

■ 对安全管理和机构人员的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如记录和文档的操作要求、制度的制定要求等,另一方面对岗位配备、人员技能考核等要求也有实质性的删减。
■ 强化了对外部人员的管理要求,包括外部人员的访问权限、保密协议的管理要求。

十、安全建设管理实质性变更

■ 对安全建设管理的要求整体有所降低,一方面对过细的操作层面要求进行删减,例如不再要求由专门部门或人员实施某些管理活动、不再对某些管理制度的制定作细化要求;另一方面对安全规划管理、测试验收管理也有实质性的删减。
■ 强化了对服务供应商管理、系统上线安全测试、工程监理控制的管理要求。
■ 强化了对自行软件开发的要求,包括安全性测试、恶意代码检测、软件开发活动的管理要求。

十一、安全运维管理实质性变更

■ 特别增加了漏洞和风险管理、配置管理、外包运维管理的管理要求。
■ 强化了对账号管理、运维管理、设备报废或重用的管理要求。

云上过等保优势

■ 大大降低成本,相对于传统线下机房建设的费用省了,云安全产品的投入也是传统安全设备投入的1/10。
■ 建设周期大大缩减,相对于传统线下机房机建设,安全产品的上架调试,云上的安全整改只需要数分种即可开通,配置后即可上线使用。
■ 不必提心冗余和单点故障,云上业务支持弹性伸缩机制,可随时跟业务的情况增配或降配。保证业务的连续性和高可用性。
■ 安全运维一站托管,从架构选型到开通到配置再到运维,一站式搞定,相对于传统的建设来说无需要协调多厂家的工程师,而导致互相“踢皮球”的现象。

必须过等保的行业

金融——尤其是互联网金融(不做等保不允许经营,监管最严)
医疗——各大医院系统必须做等保,互联网医疗系统也许做等保
教育——211,985,互联网+教育重要系统必须做等保
能源/交通/通信/工业数据安全/大数据/云计算——行业或甲方要求必须做等保
政府/企事业单位/央企——等保和负责人的绩效考核挂钩
征信/软件开发/物联网——行业或者甲方要求必须做等保
云计算——阿里云、华为云、云电话、云视频、云服务等
快递行业,不做等保不给换许可证
酒店行业,属于最近严查行业
3

**欢迎关注“山东云管家”微信号,山东云计算的动态,这里实时关注!

登录 后评论
下一篇
corcosa
9388人浏览
2019-10-08
相关推荐
0
0
0
243