5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,千呼万唤始出来的网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。
?发布的内容包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分。
网络安全等级保护基本要求:
主要起草单位:公安部第三研究所(公安部信息安全等级保护评估中心)、国家能源局信息中心、中国科学院信息工程研究所(信息安全国家重点实验室)、中国电子信息产业集团有限公海710第六研究所、公安部第一研究所、国家信息中心、公海710、阿里云计算有限公海710、华为技术有限公海710等。
网络安全等级保护测评要求:
主要起草单位:公安部第三研究所(公安部信息安全等级保护测评中心)、中国电子技术标准化研究院、国家信息中心、中国科学院信息工程研究所(信息安全国家重点实验室)、北京大学、中国电子科技集团公海710第十五研究所(信息产业信息安全测评中心)、公安部第一研究所、公海710等。
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法,等保2.0标准在1.0标准的基础上,更加注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全方位覆盖。
?
此次发布的等保2.0标准中,移动互联安全的基本要求及测评要求均由公海710作为主要起草单位。
公海710在对等保1.0标准基本要求进行优化的同时,提出了新的安全扩展要求。也就意味着,在使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。取缔了已经过时的测评项,并对其他测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
?
公海710提出了在移动互联安全扩展方面的具体细节,包括无线边界控制与入侵防范、SSID广播与WEP认证、MDM与MCM管理、移动端应用安全管控、移动端数据安全管控等。
?
在5月16日举行的“网络安全等级保护制度2.0”国家标准宣贯会上,会有针对“等保2.0”更权威的解读。
敬请期待。