新闻资讯

等保测评-1.0与2.0对比
2020-05-20 14:18:07来源:100唯尔

这一期主要针对1.0与2.0的区别介绍。

等级测评

·1.0与2.0的区别

o了解等保测评

§信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

§等保1.0规定

§2007年和2008年颁布实施的<<信息安全等级保护管理办法>>《信息安全等级保护基本要求》

§等保2.0规定

§2019年5月10日正式发布,2019年12月1日开始实施。《信息安全技术网络安全等级保护基本要求》

§区别

§1.0:主要强调物理主机、应用、数据、传输

§2.0:在1.0的基础上增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖

o等级级别

§一级

§自主建设-

§二级

§非核心业务

§合法权益(企业个人)

§社会秩序/公共利益

§三级

§核心业务

§四级/五级

§中央核心系统

o整体区别

§法律规定的名称改变

§1.0:<<信息安全等级保护管理办法>>《信息安全等级保护基本要求》

§2.0:《信息安全技术网络安全等级保护基本要求》

§定级对象的改变

§1.0针对信息系统

§2.0针对:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。

§安全要求变化

§基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)

§控制措施分类结构变化

§等保2.0依旧保留技术和管理两个维度。

§在技术上:由物理安全、网络安全、主机安全、应用安全、数据安全、变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;

§在管理上:结构没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理、调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

§具体内容发生的变化

§从等保1.0的定级、备案、建设整改、等级评测和监督检测五个常规动作,变更为五个规定动作+新的安全要求(增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处理等)

§法律效力不同

§《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务。落实网络安全等级保护制度上升为法律义务。

o注意事项

§等级测试并非安全认证:国家信息安全管理制度,企业符合法律法规的需求。

§等级保护测评没有相应的证书。

§没有发现高危安全漏洞,都可以通过评测,

§不关在哪里,只要是贵公司的都需要做等保测评(系统上云或者托管在其他地方也需要做等保测评、云平台最少定级三级)

§公司不能根据自己意愿来做等保 (谁运营,谁负责,谁使用谁负责,谁主管谁负责的原则)

o等保2.0 细项数量变化

二级135项 三级211项,控制点:二级68个,三级71个

o测评参与角色

§公安机关网监部门——公安机关备案的测评机构——需要测评的用户单位——集成商、安全厂商

·售前文档编写

o1、概述

§1.1 背景介绍

§1.2 遵循依据

§法律法规

§法律标准

§1.3 编制原则

§符合性原则:

§标准性原则

§整体性原则:

§保密原则

§1.4 项目目标

§1.5项目必须性

o2、安全需求分析

§2.1网络安全现状

§2.2初步风险分析

§2.3系统评测指标

§等级保护二、三级测评指标(注:基本要求内加粗字体为等级保护三级所包含测评指标,为加粗字体为等级保护二级标准)

§分类 |子类| 基本要求| 测评项数

§2.4需求分析

o3、方案总体规划

§3.1方案总体规划

§3.2整改产品规划

§二级必须有的设备:防火墙/UTM、入侵检测系统、网络版防病毒软件

§三级必须有的设备:(双机)网络、应用防火墙 ,入侵检测系统,入侵防御系统、防病毒网关,综合日志审计系统,数据库审计系统,网络版防病毒软件

§3.2.1:网络结构优化

§3.2.1.1:核心交换机|基本参数

§3.2.2:边界安全防护

§3.2.2.1:服务器边界防火墙

§3.2.2.2:入侵检测系统

§3.2.2.3:网络准入控制系统

§3.2.3:网络环境安全防护

§3.2.3.1:安全管理中心 SOC

§3.2.3.2:运维管理审计系统(堡垒机)

§3.2.3.3:安全态势感知平台

§3.2.3.4:数据库审计系统

§3.2.3.5:综合日志管理系统 (最少保存6个月)

§3.2.4:主机安全防护:

§3.2.4.1:主机集中病毒防护软件

§3.2.5:应用安全防护

§3.2.5.1:web应用防火墙系统

§3.2.6:数据库安全防护

§3.2.6.1:数据防泄漏系统

§3.3整改信息安全服务规划

§3.3.1 定级备案协助

§3.3.2:安全差距评估

§3.3.2.1:评估目录

§3.3.2.2:差距评估流程

§1、确定评估方案

§2、准备差距分析表

§3、现场差距分析

§4、生成差距分析报告

§3.3.2.3:差距评估内容

§1、安全技术评估

§2、安全管理评估

§3.3.3 安全整改设计

§3.3.4 人工安全策略加固

§3.3.5 管理制度建设与优化

§3.3.6 等级保护验收测评

§3.3.6.1:测评流程

§1、测评准备阶段

§2、方案编制阶段

§3、现场测评阶段

§4、分析与报告编制阶段

§3.3.6.2:测评方式

§3.3.6.3:测评内容

§1、安全技术评测

§2、安全管理评测

§3、系统整体评测

o4、项目整体清单预算

§产品部分:

§安全服务部分: