摘要:
2019年5月13日,平等保险2.0三大标准发布,2019年12月1日正式实施。在新标准发布前,新设立的网络安全建设或整改项目已按照新标准提前开始推进。值此周年之际,本文从用户、制造商和产品三个维度详细分析和探讨了该标准自发布以来带来的影响和变化。
2019年5月13日下午,网络安全等级保护的一系列标准(基本要求、设计要求、评估要求)正式发布,并于2019年12月1日正式实施。至此,等级保护正式开启了2.0时代。
值此等级保护2.0标准发布一周年之际,我们从用户、厂商、产品三个维度来看看标准的发布带来的影响和变化。
从用户的角度来看
什么是保护级别2.0?
以gb17859-1999《计算机信息系统安全防护分类标准》为基本标准,以gb/t22239-2008《信息安全技术信息系统安全防护基本要求》为基本标准,推进重要信息系统和基础网络的分级、备案、评估、整改和监督检查。基本要求及其支持标准的2008版称为
网络安全等级保护2.0,简称等同保护2.0,2014年开始编制,修订了一般安全要求,增加了云计算、物联网、移动互联网、工控系统、大数据等安全扩展要求,包括网络安全等级保护的一般安全要求和安全扩展要求,标志着2.0等级时代的到来。
在1.0的基础上,Equal Protection 2.0注重全方位主动防御、动态防御、整体防控、精准防护,实现云计算、物联网、移动互联网、工控系统、大数据等保护对象全覆盖。
等保1.0实施十年后,大部分行业用户已经基本了解了网络安全等级保护体系。但是新发布的等额保险2.0是什么呢?用户更关心的是等保2.0和1.0的区别?为了满足新标准的要求,我们需要增加哪些产品、服务和措施?如何顺利通过平等保险2.0的考核?
Isobao 2.0有哪些变化?
Isobao 2.0的变化可以用一句话概括,就是三不变,四变。
三个不变的级别保护五个不变的级别
1999年,我国颁布的强制性标准《计算机信息系统安全防护分类标准》(gb 17859-1999)规定了计算机系统的五级安全防护能力,五级安全防护1.0和2.0一直沿用。
五个等级平等保险的基础2.0
3.保护水平在五个阶段保持不变
公安部、国家保密局、国家密码管理局、国务院信息办联合发布的《信息安全等级保护管理办法》(国办发[2007]43号)规定了进行等级保护的五个步骤:分级、备案、安全建设(或安全整改)、等级评估、监督检查。等级保护1.0和等级保护2.0是围绕这五个规定步骤实施的,这五个阶段或步骤保持不变。
平等保险2.0五项规定的实施步骤
3.保护水平保持不变,主体的责任保持不变
《信息安全等级保护管理办法》(工统字〔2007〕43号)规定了四级主要职责:分级对象的运营使用单位的等级保护职责、下级单位的上级主管单位的安全管理职责、第三方评估机构对分级对象的安全评估职责、公安机关对分级对象的备案受理和监督检查职责。在2.0级保护中,这四个主要职责保持不变。
四大变化是指四大变化,包括等级保护法律地位的变化、实施环节的变化、标准和要求的变化、安全体系的变化。
法律地位的变化有四种变化
平等保护1.0标准所依据的最高国家政策是1999年颁布的国务院第147号令,平等保护2.0标准所依据的最高国家政策是2017年6月1日颁布的《中华人民共和国网络安全法》,该法已从法规层面提升到国家法律层面,这意味着不进行级别保护的单位和个人是违法的,并承担相应的法律后果。
《中华人民共和国网络安全法》对网络安全等级保护有明确要求:
第二十一条国家实行网络安全等级保护制度。
第五十九条网络经营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者造成危害网络安全等后果的,处以一万元以上十万元以下罚款,对直接负责的主管人员处以五千元以上五万元以下罚款。
标准要求的变化有四种变化
在Isowarranty 2.0中使用新技术的信息系统需要同时满足通用需求和安全扩展的要求。与等保1.0相比,等保2.0优化简化了一般要求,删除了过时的安全要求。
平等保护2.0的范围已经扩大,包括云计算、物联网、移动互联网、工控系统、大数据。
Isobao 2.0统一了标准的分类结构,统一了等级保护的基本要求、评估要求和设计要求的分类框架。这三个标准都采用了集中的三重保护架构,包括:安全通信网络、安全区域边界、安全计算环境和安全管理中心。
Isosecurity 2.0标准加强了可信计算技术的使用要求。安全通信网络、安全区域边界、安全计算环境和安全管理中心都提到了可信验证。可信验证包含在各个层次,并逐步提出相应的可信验证要求。
Isosecurity 2.0标准在标准名称、保护对象、安全要求、章节结构、分类结构等方面有所变化,增加了云计算、物联网、移动互联网、工控系统、大数据等安全扩展要求,也增加了相应的应用场景描述。
安全系统的四大变化
从被动防御的保障体系向事前预防、事中应对、事后审核的动态保障体系转变,更多体现了对抗性思维,从实战出发,一切注重,逐步构建主动防御、安全可信、动态感知、综合审核、应急保障的动态保障体系。
基于实战的动态安全系统
实施评价的四个变化
等级保护2.0在评估结果和评估周期方面进行了调整。评价得分达到70分以上基本达到等级保护2.0,三级及以上系统要求每年进行一次等级评价。
等额保险2.0评估结论及判断依据
针对等额保险2.0的这些变化,用户需要做些什么?
Isobao 2.0发布后需要为用户做些什么?按等保1.0标准的原建筑是否需要按新标准进行改建?随着保护对象的变化,一些新的信息系统需要保护。如何设计和构建这些受保护的对象?
新标准发布时,用户最重要的是首先了解标准发生了什么变化,这些变化对我们提出了什么要求,我们应该怎么做。对于用户来说,Equal Protection 2.0的发布还是在乎标准说了什么。随着国家相关部门和各种安全厂商的不断推广,经过近一年的了解和学习,基本对Equal Protection 2.0有了深入的了解。从用户的角度来看,平等保护2.0不仅改变了被保护对象的保护范围,也改变了等级保护的工作流程。
等级保护2.0不再要求简单、独立的分级,安全保护等级初步确定为二级及以上等级保护对象,其网络运营商按此标准组织专家评审、主管部门审批、备案审核,最终确定其安全保护等级。
等级保护2.0分级过程如下:
同等担保2.0分级流程图
从网络安全厂商的角度来看,
等保2.0系列标准发布后,作为参与标准制定的各个安全厂商,也成为宣传等保2.0系列标准的主力军,让用户对等保2.0的内容和变化有了深入的了解。
从安全厂商的角度来看,实施equal security 2.0可以扩大网络安全市场的规模。根据CCID咨询2019年2月给出的预测数据,2019年国内网络信息安全市场规模约为608.1亿元。乐观估计显示,与equal insurance 2.0相关的行业约占50%。多年来,网络安全市场的主要参与者是政策依赖性强的行业,如政府、金融、能源、交通等。Isobao 2.0的发布和推广必然会引发网络安全市场的进一步爆发。
赛迪咨询2016-2021年国内网络安全市场预测图
对于平等保险2.0的发布和实施来说,这是个好消息
从2014年2月27日中央网络安全与信息化领导小组成立,到2017年6月1日《中华人民共和国网络安全法》正式实施,2018年3月中央网络安全与信息化领导小组改为中共中央网络安全与信息化委员会,2019年5月13日国家市场监管总局召开新闻发布会,期待已久的安全2.0正式发布。
2014年4月15日,习近平总书记在中央国家安全委员会首次提出国家整体安全概念,包括政治、经济、文化、军事、资源、生态、社会、土地、科技、信息安全、核安全等11种安全。信息安全(network security)已经成为整个国家安全概念的一部分,这充分表明了空网络之间安全的重要性,并向我们提出了巨大的挑战。
2016年至2018年,国内电信行业第二大厂商中兴通讯两次被美国制裁。2019年,华为被美国列入特殊贸易名单(实体名单)。除非获得特别批准,否则美国企业不得向华为及其子公司出售所有重要技术和配件,从而中断华为与许多美国企业的合作。这些卡脖子事件为中国it信息化自主产业生态链的构建,尤其是网络安全产业的发展提供了非常有力的推动和引领作用。
Equal security 2.0是在一系列政策和严峻形势下发布和实施的,必将进一步刺激国内网络安全市场。网络安全和信息化是两翼两轮。实施equal security 2.0必将提高中国网络安全防护水平,提高中国信息化建设的质量和水平,维护中国网络空.的主权完整
此外,西方国家对中国信息技术产业的封锁必然会刺激中国信息产业的发展。发展it信息技术,刺激创新技术的应用,构建中国信息产业生态圈,建立完善的产业链和生态应用环境,将再次刺激网络安全市场的爆发。
与平等保险2.0相关的产品和服务
全国二级系统估计有10万左右,三级系统5万左右。为了保护这些系统,从产品和服务的角度来看,市场容量是相当大的。很多网络安全厂商也看到了商机,加大了与平安保险2.0相关的宣传力度,从市场角度全面加强产品布局和拓展,尤其是在云安全、物联网、移动互联网、工控系统、大数据等方面。
网络安全产品和服务全景
网络安全产品
等级保护2.0发布和实施的最大市场是网络安全产品市场。从厂商的角度来看,网络安全厂商往往看重网络安全产品的采购和部署,这是同等保护2.0最大的市场。除了反垃圾邮件、apt、集中管控、可信验证等新产品市场,传统网络安全市场仍然是最大的,产品类型包括网络安全、终端安全、安全管理、数据安全、身份和访问管理、应用安全、业务安全、安全支持工具。
网络安全:防火墙、网关、ids/ips、ddos、vpn/加密机、安全审计
终端安全:av,终端管理,edr,主机加固,移动安全加固
安全管理:态势感知、soc、日志审计、安全策略管理、基线管理、漏洞管理和网络管理
数据安全:数据防泄漏、文档透明加解密、数据库保护和审计、大数据安全管控系统、数据脱敏、数字水印
身份和访问管理:4a、ca认证、运维审计sso
应用安全:网页扫描、waf、邮件安全网关、网页防篡改、代码审计
商业安全:反欺诈、反钓鱼、ueba
安全支持工具:配置验证、等保工具箱、工控工具箱、评估工具箱
网络安全服务
等级保护2.0实施后,等级保护1.0期间通过评估的项目需要过渡到等级保护2.0标准的要求。此外,保护等级2.0对新项目的需求也引发了保护等级2.0咨询服务市场的新一轮热潮,尤其是涉及保护等级2.0标准的咨询项目。平等保险2.0涉及的安全服务包括:定级备案咨询服务、缺口分析服务、风险评估服务、安全整改咨询服务、评估协助服务、日常运维服务等。
平等保险2.0的另一个重要市场是平等保险评估。平等保险2.0要求每年至少评估一次3级及以上。如果单纯按照10万元的三级系统测评费来估算,仅测评服务的市场规模就有50亿元。从网络安全等级保护的官方网络可以发现,全国有多达198家评估机构。包括国家级评估机构(公安部信息安全等级保护评估中心、国家信息技术安全研究中心、中国信息安全评估中心)、行业评估机构(电力行业信息安全等级保护评估中心、教育信息安全等级保护评估中心、中国金融电子公司评估中心等。)和各省、直辖市评估小组(北京信息安全评估中心、河北信息安全评估中心、山西信息化与信息安全评估中心等。),随着equal security 2.0的不断推广,
同等保险2.0安全服务示意图
同等安全2.0网络安全整体解决方案
分层保护系统实施十多年来,各安全厂商都推出了信息系统安全的整体解决方案。平等安全2.0新标准发布后,各安全厂商也纷纷推出基于平等安全2.0的网络安全整体解决方案,进一步占领网络安全市场份额。
平安保险2.0整体解决方案包括:平安保险2.0咨询服务、平安保险2.0解决方案、平安保险2.0产品集成、平安保险2.0安全运维服务、大周期安全保障服务及相关产品和服务。
纵观整个网络安全市场,从营收增速来看,网络安全行业仍保持稳定增长态势,超过一半的上市公司营收高速增长,增速超过20%,部分大型企业增速达到30%-40%以上,也说明了网络安全行业的繁荣。
同等担保整体解决方案示意图2.0
从网络安全产品的角度来看,
Isoinsurance 2.0从标准需求的角度提出了很多产品类型,如apt、可信验证、集中控制、入侵防御、反垃圾邮件、集中日志审计等。新产品市场容量200亿左右,最大的热点是可信验证。新标准加强了对可信计算技术使用的要求,包括各个层面的可信验证,并逐步提出了各个环节的可信验证要求。
可信验证产品和技术
Isosecurity 2.0的核心思想是基于业务流程的特点,建立可信、可控、可管理的安全防护体系,使系统能够按预期运行,避免信息安全攻击和破坏。
安全通信网络可信验证:基于可信根,可以对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验证。
安全区边界可信验证:基于可信根,边界设备的系统引导程序、系统程序、重要配置参数、边界保护应用程序可以可信。
安全计算环境的可信验证:基于可信根,可以验证计算设备的系统引导程序、系统程序、重要配置参数和应用程序。
可信验证的技术要求
就技术实现而言,可信验证是标准的和前瞻性的。IPAS 2.0发布后,制造商、用户、监管机构等。所有人都有许多关于可信验证的问题。什么是可信验证,如何实现已经成为最大的问题。在Isosecurity 2.0的一至四级增加可信验证控制点,可以通过可信计算技术验证系统中的应用、配置文件和参数,保证系统在可信环境下运行,试图解决信息安全核心技术设备受制于人的问题。
无论是pc机还是服务器,无论是网络设备还是安全设备,其概念原型都是基于可信计算的信任传递,类似于多年前提出的tcg的可信计算概念。目前,在硬件层面实现可信验证在技术上很难。
可信电脑可以说是基于可信计算的最佳实践。早在十年前,许多电脑制造商已经推出了安全电脑或可信电脑的商业产品。
目前服务器端可信验证产品不多,但过渡方案是通过软件实现可信验证。
对于网络设备或安全设备可信验证技术的实现,一些厂商已经开始大规模推广,比如可信边界网关,就是通过主板上的可信芯片建立可信根。从可信根开始,到bios启动,操作系统加载,应用系统加载,进行信任验证,如果完整性受损,自动恢复,达到系统免疫的效果。
对于Isobao 2.0来说,可信验证技术是一个广阔的蓝海市场,市场上可以直接购买的可信验证技术还很稀缺。服务器端可信验证技术多由个别厂商在软件上实现,而硬件实现仍然是单点效应,不形成规模经济和广泛认可的市场。可信验证技术的未来可以说是最值得期待的。
合规性审计产品
从某种意义上来说,equal insurance 2.0侧重于事后审计、流量回溯和攻击分析,所以新增的产品多与此需求相关。《中华人民共和国网络安全法》第二十一条明确要求采取技术措施,监控和记录网络运行状态和网络安全事件,并按规定保存相关网络日志不少于六个月。
在同等保护2.0的基本要求中,对安全区域边界、安全计算环境、安全管理中心等也是等级保护评估中的高风险评估项目,提出了安全审核的具体要求。
安全区域边界:安全审计应在网络边界和重要网络节点进行,覆盖每个用户,审计重要用户行为和重要安全事件。
安全计算环境:应启用安全审计功能,覆盖每个用户,审计重要用户行为和重要安全事件。
安全管理中心:对分散在各种设备上的审核数据进行收集、汇总和分析,确保审核记录的保存时间符合法律法规的要求。
针对网络安全审计的需求,如保险2.0的发布和实施,新产品最大的市场容量是审计产品,如终端审计、流量审计、在线行为审计、数据库审计、应用审计、网络运维审计、综合日志审计等。
恶意代码和入侵分析产品
在同等保险2.0第3级要求的恶意代码和垃圾邮件防护中,要求:
1.在关键网络节点检测并清除恶意代码,维护恶意代码保护机制的升级和更新;
2.应在关键网络节点检测和保护垃圾邮件,并升级和更新垃圾邮件保护机制。
Isosecurity 2.0明确提出了恶意代码检测和查杀的要求,明确要求垃圾邮件的安全保护。这一需求是网络杀毒、终端杀毒、服务器杀毒、反垃圾网关的爆炸性市场。
在入侵防御中,也明确要求要采取技术措施分析网络行为,实现对网络攻击尤其是新型网络攻击的分析,明确对新型网络攻击检测能力的要求,简单来说就是要有检测apt和发现未知恶意代码的能力。
集中控制
集中控制是等同保险2.0的新要求,具体要求如下:
1、应划分具体的管理区域,以控制网络中分布的安全设备或安全组件;
2.应当能够建立安全的信息传输路径,对网络中的安全设备或者安全组件进行管理;
3.应对网络链路、安全设备、网络设备和服务器的运行状态进行集中监控;
4.收集、汇总和分析分散在各种设备上的审计数据,确保审计记录的保留时间符合法律法规的要求;
5.集中管理安全策略、恶意代码、补丁升级等安全相关事宜;
6、应能识别、报警和分析网络中的各种安全事件。
这里所说的集中管控不是一个产品或多个产品,而是管理需求的技术实现,涉及的技术包括vpn、基于堡机、日志审计、终端管理软件、安全管理中心或安全态势感知平台。随着Isobao 2.0的发布和实施,各种技术和产品得到了广泛的应用和部署,这将促进此类产品的进一步发展,进一步提升网络安全防护水平。
等级保护新标准对用户、厂商和监管者来说都是一个新的课题和挑战,是通过不断探索逐步适应的。对于用户来说,安全整改和建设要在深入了解监管要求的基础上完成,避免不必要的法律法规和信息安全风险。对于厂商来说,等待2.0是一块巨大的蛋糕。每个厂商都想获得更大的市场份额,竞争必然会越来越激烈,价格战必然会再次抬头。
等级保护新标准的发布和实施,必将对网络安全产品市场起到助推作用,同等保护1.0时代网络安全产品创新能力不足的问题将得到极大改善。可信验证技术能否成为逆转干坤的关键技术,将随着平等保护2.0的不断推进而得到验证。
我们相信,随着平安保险2.0工作的不断深入,作为我们治网空基础工作的等级保护将不断完善,我国的网络安全保护水平将大大提高,我们治网空的主权将得到有效维护和捍卫。
标题:[科技界] 周年记 | “等保2.0”发布一周年 带来哪些影响和变化?
地址:http://www.heliu2.cn/xw/5708.html