等保2.0时代已经到来,信息系统站群还好吗?

等级保护2.0时代已经到来!

2019年12月1日,网络安全等级保护2.0时代正式开始。


什么是等保?

1

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

2019年12月1日,等保2.0开始实施,这标志着国家网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家空间安全具有重要的意义。


等保2.0相比等保1.0有哪些区别/进步?

2

等保1.0主要强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。相较于等保1.0,等保2.0发生了以下主要变化:


名称变化。

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。


定级对象变化。

等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。


安全要求变化。

基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。


控制措施分类结构变化。

等保2.0依旧保留技术和管理两个维度。

在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;

在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。


内容变化。

从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。


等保2.0下网站群用户安全建设挑战

3

等保2.0的实施对网站群平台安全防护提出了更高的要求,面临更严格的监管、测评标准,学校在对网站及新媒体管理过程中更具挑战:

01

等保2.0安全标准难以满足

等保2.0在等保1.0的基础上覆盖范围更广,内容更精简但内涵更丰富,要求更高,更注重全方位主动防御、动态防御、整体防控和精准防护。按照等保2.0标准对网站群进行全方面主动防御,提供对事前、事中、事后的感知预警、动态防护、安全检测、以及应急响应。

同时,等保2.0新增个人信息保护内容,需要系统具备对文章信息、互动留言内容、附件信息、图片、微博、微信等内容在事前、事中、事后全过程提供敏感信息检测提醒、快速一键处理。


02

网站群智能化、便捷化

运维管理水平有待提升

移动互联网和移动终端设备的迅速普及,人们不再只通过电脑浏览信息,也催生了移动终端网站的出现,如手机版网站、PAD版网站等,如何低成本高效率的实现移动化,考虑未来移动化的需求进行长远规划,保证PC网站和移动网站的安全也是高校面临的一大挑战。

此外,随着新技术的发展,人脸识别、大数据、AI等技术逐渐普及,如何更好的利用这些先进、智能化的工具实现网站的快速管理和运维,也是未来高校网站群重点发展的方向。


03

技术服务过度被动化,

站群平台安全监控缺乏及时掌握

当前学校网站在日常维护的过程中,面对网站突发问题的处理,主要侧重于事后被动补救而不是事前监控预防。导致技术服务限于被动模式,无法实时掌握问题,及时提供解决办法。

因此,需要采用主动的安全监控方式,对包含站点、底层环境、安全应用、系统安全设置等情况进行全程跟踪监控,遇到异常情况,能够即时发现、即时预警、及时处理。


基于等保2.0要求的安全建设思路

4

全面支持等级保护2.0

等保2.0标准的发布为企业合规提出了更高的要求,信息系统厂商应为网站群服务厂商在满足国家法律法规和标准体系的前提下,通过系统提升,帮助用户满足等保2.0的相关标准和合规要求

01

身份鉴别

系统登录密码规则可定,强度可选;提供超时自动退出机制;可配SSL证书保证加密传输;能够实现密码、验证码等多重身份鉴别验证。

02

访问控制

分级分权、细粒化的权限分配,各司其职的登录入口;多角色的访问控制,特定资源特定访问;全系统全方位日志记录、强制180天日志的审计保护。

03

入侵防范

对数据输入安全过滤,系统及应用双重防火墙主动防御数据注入及脚本攻击;通过漏洞扫描、渗透测试和源代码审计,实现漏洞的全面修复。


等保2.0只是开始

根据网络安全法及等级保护相关要求,企业或单位应该按照网络安全法要求严格落实等级保护制度、履行网络安全责任、加强网络安全防护、不断提高网络抗攻击能力,因此还应定期开展网络的等级测评、风险评估、渗透测试、安全培训、安全运维、重要时期的安全保障、日常的应急响应和安全通报等工作。通过这些工作夯实网络安全工作的各个层面,提高安全水平和防御能力,保障企业或单位的网络系统稳定运行。


部分资料来源:

信息安全国家工程研究中心