【等保实践】等级保护仅仅是合规吗?
等保的前世今生
数一数,等级保护从提出到应用已经有二十多年了,各行各业的信息化系统都发生了翻天覆地的变化。
记忆回到2000年,那一年单位引进了互联网,新建的微机室中整整齐齐摆放着50台电脑,等待着检阅。但我们更感兴趣的是,这么多台电脑如何接入互联网,所以我们先进入了微机室隔壁的“神秘房间”。它没有想象中的那么大,桌子上摆放着两个插满了线的闪着亮光的盒子,后来我们才知道这是交换机。还有一台很大的机箱,连着一根从外面接入的粗粗的线缆,同时也用网线连着交换机,它们组成了原始的拨号代理上网系统。
这套系统运行了好多年,中间所有电脑坏过几次,听说是中了几次病毒,安装杀毒软件后情况有所好转。后来又坏过几次,听说是系统被入侵,删除木马启动文件、添加外网防火墙后情况改善了。
从0到1
围绕信息化快速发展产生的各种安全威胁,1999年我国发布了《计算机信息系统安全等级保护划分准则》(GB17859),2008年发布了《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),也发布了等级保护相关的各类指南文件。从1999年到2008年,开启了等级保护1.0的春天,网络安全建设进入了快车道,“裸奔”的信息系统成为了过去。
有人问,等级保护1.0是什么?初入网络世界的我回答,1.0是三大件,防火墙、入侵检测和防病毒。1.0是重交换组网、轻安全防护的年代,以至于我们遇到了大量攻击事件和病毒感染事件,对数据丢失变得习以为常。后来,在逐渐增强防护的过程中,我们探索出了一条适应我国国情的网络安全之路,带来了全民安全思想的第一次启航。
在2005年以前,互联网和企业网的IT应用相对简单,以制版打印、数据汇总、信息发布等业务应用为主,这些业务大都在单机上完成,模式简单。安全的最大需求是计算机病毒防护,要保证文件不被感染、破坏;网络攻击也大都是个人行为。总体来讲,信息化程度不高,人们也没有太多的安全需求。
在这个时期,作为信息系统的建设方,企业想要按照业务变化逐步扩建信息系统,但不知道该如何建设相应的安全防护体系,只能根据“你攻我防”的威胁现状,见招拆招,被动防御。各级网络监管部门作为检查方,发现安全事件不断涌现、严重程度越来越高,却不知道怎么去规范企业做好安全防御。双方都亟需一个适用于各类信息系统安全建设的方法论,指导大家进行信息系统的安全防护。在这个的背景下,2007年发布《信息安全等级保护管理办法》、2008年发布等级保护基本要求就应运而生了。
那么,再次自问等级保护1.0是什么?它是信息化的引领过程,是信息化发展带来的安全需求落地指南,是业务驱动和需求驱动的结果。
等保1.0带来的价值
等级保护1.0基本要求发布后,形成了一个部署“三大件+审计安全产品”的建设方法,基本可以应对当时的安全威胁。同时企业单位建立一定的安全管理制度,慢慢使得信息系统趋于稳定的安全状态。
现在再来看等级保护1.0,我认为它是全民意识、信息化进程、安全行业格局带来的一种安全形态,全面提高了我国信息系统安全建设和安全管理的整体水平。
在中国,2008年以前大家熟悉的是三大安全厂商。随着信息安全的多元化发展,参与者如雨后春笋般出现,一步步发展成了多维的安全生态圈。2008年能够上市的安全企业凤毛麟角,市值规模只有十来亿;2019年,上市的安全企业有19家,市值总规模突破2000亿,比十年前提升了百倍不止。等级保护1.0带动了安全产业的高速发展。
从1到2
生产力系统发展成熟,必然会出现生产场景和生产工具的革新。新技术、新业务在发展,物联网、云计算、工控、移动、大数据等新的网络形态,使传统信息系统的安全范畴进一步拓展,要求网络安全体系也要随之升级。态势感知、攻防对抗、主动防御等安全理念开始流行,等级保护1.0的安全设计显得力不从心。
2013年的“斯诺登”事件,让安全威胁上升到了国家层面,网络安全体系的全面升级变得更加迫切。我国对等级保护1.0从适用性、易用性、时效性、可操作性等方面进行完善,开展了从顶层设计到下层应用的新进程。
2014年,中共中央网络安全和信息化领导小组成立;
2017年,《网络安全法》正式实施,为等级保护工作的开展、国家关键信息基础设施的安全保护提供了法律依据;
2018年,公安部发布《网络安全等级保护条例》征求意见稿,等级保护开始迈入2.0时代;
2019年,发布《信息安全技术网络安全等级保护基本要求》GB/T22239-2019及其他等级保护系列指南。
从此,等级保护2.0成为网络安全保障的基本制度,其根本目的是保护关键信息基础设施安全,维护国家网络空间安定。
【等保实践】等级保护仅仅是合规吗?相关推荐
- 隐私保护、数据合规类的认证考试
随着国家信息保护相关法规标准的不断完善,企业组织 关于隐私保护,数据合规的人才需求蓬勃旺盛. 一般隐私合规类的岗位,50W起步:根据业务体量和组织复杂程度可能上浮5-10倍. 职场薪水往往直接反应岗位 ...
- 【隐私合规】隐私保护和数据保护合规大合集
CPO(首席隐私官) | IT战略和运营分享.IT高管和企业高管的百宝箱. (cioctocdo.com) [隐私保护合规]Data Mapping 数据映射 [ADPPA]ADPPA对美国数据监管的 ...
- 等保合规2022系列 | 等级保护技术防护体系该怎样构建(上)
2022等保合规指南 第四篇 山石网科带你深入走进[等保] 通过<等保合规2022系列 | 今年,关于等保你该了解什么?>.<等保合规2022系列 | 一个中心+三重防护,助力企业等 ...
- 等保2.0标准发布一周年,行业用户如何有效落实合规建设
等保2.0标准发布一周年,行业用户如何有效落实合规建设 5月10日,等级保护2.0三项核心国家标准已经正式发布一周年.各行各业都非常重视等级保护建设,相继出台了行业等级保护政策及标准文件.新国标的发布 ...
- 即时通讯行业首个《安全合规白皮书》发布
前言 随着移动互联网和 5G 通信新技术的浪潮席卷全球,传统的通信方式已经发生了翻天覆地的变化.人们已经习惯了通过即时通讯软件和网络交流平台分享自己生活的方方面面,随着人们越来越公开自己的生活,人们也 ...
- 原点分享:《数据安全与合规运营之内部威胁防范》演讲实录
"在日前举办的中国寿险财险科技应用高峰论坛上,原点安全产品总监杨欣明做了主题为<数据安全与合规运营之内部威胁防范>的分享,以下为演讲实录." 原点安全产品部产品总监 ...
- 跨境电商行业行业乱象将合规化
虾皮电商主要面向东南亚,入驻虾皮电商平台的经营者普遍都觉得平台不包邮,导致商品价格高,销售额下降,并且有时候客户退款,但是由于平台的规则和现实物流关系,会存在退货但不退款的现象,成都扬帆志远教育公司给 ...
- 阿里云积极落实等级保护制度,政务云全国首个通过等保2.0合规评测
2019独角兽企业重金招聘Python工程师标准>>> 5月16日,阿里云"电子政务云平台系统"正式通过网络安全等级保护三级测评.这是等保2.0正式国家标准GB/ ...
- 等保合规2022系列 | 一个中心+三重防护,助力企业等级保护建设更科学
2022等保合规指南 第二篇 山石网科带你科学开展[等保] 上一篇短文--<等保合规2022系列 | 今年,关于等保你该了解什么?>中介绍了我国等级保护制度的相关内容,相信各位通过四个核心 ...
最新文章
- NLP --- 条件随机场CRF详解 重点 特征函数 转移矩阵
- html+txt+编辑器,txtPro Text Editor
- 9 个可以快速掌握的 Java 性能调优技巧
- 选择排序 C++代码实现及性能分析 恋上数据结构笔记
- 一阶网络相应特性的研究_36、 用一阶系统描述的传感器,其动态响应特征的优劣也主要取决于时间常数τ,τ越大越好。( )...
- python watchdog占用,python基于watchdog库全自动化监控目录文件
- GetLocalTime
- 程序员面试金典 - 面试题 10.02. 变位词组(哈希map)
- python中浮点型和十进制_Python3.2官方文件翻译-工具列表和十进制浮点计算
- OpenShift 4 之AMQ Streams(2) - 用Kafka Connect访问数据源
- django 1.11.16之环境搭建
- c语言编写面向对象的类
- scratch教程2-程序sb,sb2,sb3转换EXE,HTML
- 74系列芯片使用心得
- vmware tools下载缓慢问题解决
- 在 .NET 6 项目中使用 Startup.cs
- Unity图片优化神器 - Dither算法进阶方案
- LeCo-83.删除排序链表中的重复元素
- 太阳光轨迹软件_轻松画太阳视运动轨迹
- SAP ABAP PARAMETERS定义下拉列表