[原载:《中新网》][原文链接]
中新网5月15日电 为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,国家市场监督管理总局本周正式发布《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》《信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)》,标志着信息安全等级保护正式进入2.0时代。
云计算、大数据等技术列入新标准体系
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作,信息系统运营、使用单位应当选择符合国家要求的测评机构,依据信息安全等级保护等技术标准,定期对信息系统开展测评工作。
一直以来,我国在网络安全方面主要依据的是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。随着科技的发展,等保1.0的局限性逐渐显露,除了缺乏对一些新技术和新应用比如云计算、大数据和物联网等的保护规范,而且在风险评估、安全监测和通报预警等方面,以及政策、标准、测评、技术和服务等体系上都有待与时俱进的完善。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
业内人士分析,随着云计算、大数据、物联网等新技术的发展和落地应用,安全防护范围也顺应时代需求的扩大与升级。从等保1.0到等保2.0,安全防护的范围从原有的信息系统扩展到整个网络空间,涵盖了云计算平台、大数据、物联网、移动互联网等多个系统平台和工控安全等。从网络安全、系统安全过渡到网络空间安全,这个过程中传统的安全边界日益模糊,等保2.0正是顺应这个发展趋势而出台的。
此外,安全保护范围的升级,相应的带来了安全体系框架和思路理念上的升级,原有的传统安全在新的技术平台与形态上已经出现了明显不足。所以除了等保1.0要求的定级、备案、建设整改、等级评测与监督检查五个规定动作之外,等保2.0增加了风险评估、安全监测、通报预警、态势感知等新的安全要求。“总的来说,1.0所考虑的是经典的被动防御;而2.0的安全观念从被动转变到主动防御,要求企业加强安全管理建设,让安全管理必须贯穿企业基础设施建设和业务全过程,安全不仅仅是检测、响应、防御,而要全面整体的考虑到事前、事中、事后,要做到事前能够预警异常事件,事中可以及时阻断攻击和违规行为,并且在各个环节做到全方位、多层次审计,以便出现问题,事后可以快速溯源。”志翔科技产品副总裁伍海桑博士表示,同时,等保2.0的测评要求也更加严格。
百亿级安全市场将被打开
业内人士分析,从等保2.0的变化亮点来看,其对市场的拉动可以总结为三个方向:新要求、新产品和更高更严格标准。
首先,等保2.0带来对更多行业的覆盖,包含了云计算、大数据、移动平台,物联网和工控安全等。这就不再拘泥于原有的传统安全市场,而涵盖到了整个网络空间世界,是市场的广度上的极大扩展。
其次,在原有传统安全基础上,带来更多细分安全领域的拓展与覆盖,让此前野蛮生长的新兴安全市场,有了更健全的规范、标准和制度;从这一点来讲,市场的增量除了来自于原有安全项目的增强,主要还将集中于等保2.0带来的全新市场的安全规范。
在原有的被动防御安全市场基础上,基于主动防御、零信任、无边界、大数据分析等等新安全思路和理念安全的产品市场将快速打开,云安全、物联网和工控安全等很多新兴领域将出现大批新产品和新企业。很多企业已经致力于为政企数字化转型和数据业务上云提供云工作负载保护,利用大数据分析和用户行为分析(UEBA)等技术手段为企业构建安全可信环境,这些在大数据、云安全以及工控安全和物联网安全已经开始耕耘的新一代的安全厂商企业,如志翔科技,青藤云、威努特、昂楷等未来将大有可为。