OBT商业科技观察

等保2.0于2019年12月1日正式实施

5月13日下午,国家市场监督管理总局召开新闻发布会,正式发布“等保2.0”。等保2.0将于2019年12月1日正式实施。

  从等保1.0到等保2.0

2017年,网络安全法实施。《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》被称为“等保1.0”。但是“等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。

  “等保2.0”的五个变化

为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。

据悉,网络安全等级保护技术1.0版本主要强调物理主机、应用、数据、传输,2.0版本将在云计算、大数据、物联网、工业控制等新技术新应用方面有涉及。

从等保1.0到等保2.0,变化主要体现在五个方面:

1. 体系框架和保障思路的变化;

2. 定级对象的变化

3. 测评的变化

4. 等保要求的组合变化

5. 控制点和要求项的变化
 

  等保1.0与等保2.0区别、落地步骤

等级1.0保护的内容:关键信息基础设施安全保护义务、敏感信息保护义务、每年风险监测评估等。

等保1.0的5个运行步骤:定级、备案、建设和整改、等级测评、检查。

5个等级:信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。

目前一级系统不需要备案,影响程度很小;五级系统基本没有,只是安全概念;二级系统大概50万个左右;三级系统大概5万个;四级系统大概1000个(如中央电视台播出系统)。

等保1.0存在的问题:

(1)云计算、物联网等新技术平台的等级保护规范缺乏;

(2)除了传统5步骤外,风险评估、安全监测、通报预警,应急处置等工作不完善;

(3)政策、标准、测评、技术、服务等体系不完善。

等保2.0变化:等保2.0标准为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要。

(1)由被动防御为主转到包含事前、事中、事后的全方面主动防御,具体有感知预警、动态防护、安全检测、应急响应等;

(2)安全防御在云大物移智等新兴领域的拓展;

(3)评测要求由60提升到75分。
 

等级保护2.0要点对比:


等保2.0主要新增要求

(引用国君预测)

产品端:新增安全产品市场空间193亿元。从逻辑上说,等保2.0偏重于事后审计、回溯、分析,新增的产品多与此功能相关,如APT,流量回溯,堡垒机,数据库审计,集中日志审计,态势感知平台等。APT在等保三级里面新增渗透率假定为36%,流量回溯40%,堡垒机、数据库审计、集中日志审计在等保二级里面新增渗透率假定为2%,4%,4%。

服务端:新增服务市场空间59亿元。按照新增20%的单位选择等保咨询服务计算,对应的新增市场空间为59亿元。

等保2.0升级新增市场超250亿元(引用国君预测数据)