2019年12月1日,网络安全等级保护2.0时代正式开始。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
2019年12月1日,等保2.0开始实施,这标志着国家网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家空间安全具有重要的意义。
等保1.0主要强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。相较于等保1.0,等保2.0发生了以下主要变化:
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
等保2.0依旧保留技术和管理两个维度。
在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。
等保2.0的实施对网站群平台安全防护提出了更高的要求,面临更严格的监管、测评标准,学校在对网站及新媒体管理过程中更具挑战:
等保2.0在等保1.0的基础上覆盖范围更广,内容更精简但内涵更丰富,要求更高,更注重全方位主动防御、动态防御、整体防控和精准防护。按照等保2.0标准对网站群进行全方面主动防御,提供对事前、事中、事后的感知预警、动态防护、安全检测、以及应急响应。
同时,等保2.0新增个人信息保护内容,需要系统具备对文章信息、互动留言内容、附件信息、图片、微博、微信等内容在事前、事中、事后全过程提供敏感信息检测提醒、快速一键处理。
移动互联网和移动终端设备的迅速普及,人们不再只通过电脑浏览信息,也催生了移动终端网站的出现,如手机版网站、PAD版网站等,如何低成本高效率的实现移动化,考虑未来移动化的需求进行长远规划,保证PC网站和移动网站的安全也是高校面临的一大挑战。
此外,随着新技术的发展,人脸识别、大数据、AI等技术逐渐普及,如何更好的利用这些先进、智能化的工具实现网站的快速管理和运维,也是未来高校网站群重点发展的方向。
技术服务过度被动化,
站群平台安全监控缺乏及时掌握
当前学校网站在日常维护的过程中,面对网站突发问题的处理,主要侧重于事后被动补救而不是事前监控预防。导致技术服务限于被动模式,无法实时掌握问题,及时提供解决办法。
因此,需要采用主动的安全监控方式,对包含站点、底层环境、安全应用、系统安全设置等情况进行全程跟踪监控,遇到异常情况,能够即时发现、即时预警、及时处理。
等保2.0标准的发布为企业合规提出了更高的要求,作为网站群服务厂商在满足国家法律法规和标准体系的前提下,通过系统提升,帮助用户满足等保2.0的相关标准和合规要求。
系统登录密码规则可定,强度可选;提供超时自动退出机制;可配SSL证书保证加密传输;能够实现密码、验证码等多重身份鉴别验证。
分级分权、细粒化的权限分配,各司其职的登录入口;多角色的访问控制,特定资源特定访问;全系统全方位日志记录、强制180天日志的审计保护。
对数据输入安全过滤,系统及应用双重防火墙主动防御数据注入及脚本攻击;通过漏洞扫描、渗透测试和源代码审计,实现漏洞的全面修复。
根据网络安全法及等级保护相关要求,企业或单位应该按照网络安全法要求严格落实等级保护制度、履行网络安全责任、加强网络安全防护、不断提高网络抗攻击能力,因此还应定期开展网络的等级测评、风险评估、渗透测试、安全培训、安全运维、重要时期的安全保障、日常的应急响应和安全通报等工作。通过这些工作夯实网络安全工作的各个层面,提高安全水平和防御能力,保障企业或单位的网络系统稳定运行。