等级保护制度在1994年被首次提出。2007年发布等保1.0,2017年发表了《网络安全法》。2019年实施了等保2.0的新标准。从这个过程来看,我们可以判断不等保一定程度上是违反了国家法律。
用户在等保的过程中涉及一些参与工作内容的角色。首先是运营使用单位决定了等保的市场有多大,因为几乎所有的能够对外提供服务的网站、系统国家都规定要过等保,所以还是有大部分用户会选择等保;其次是GongAn机关,做监督检查的角色;除此之外,建设过程中还有两个角色,大型数据中心机房是建设方,提供安全设备和能力和稳定网络环境,以及相关等保测评机构,承接定级咨询服务,以及做测评,这四个角色构成了等级保护的整体流程。
技术体系要求和管理体系要求构成了等级保护制度。技术体系要求有五个技术组成部分。管理体系又包括相关的管理制度,安全管理机构,明确安全管理人员,安全建设未来怎么管理,包括出现问题以后怎么运维。
等级保护相关内容在此次修改上,技术及评价文件格式均发生变化,其次是数据资产也必须列入等级保护的评价对象。
技术范围的修订完全改变了评价得分的逻辑,公式复杂。这是代表性的,以前是加分制,现在是减分制。以前60个点,70个点就够了,现在是扣分。据说只是算法的变化,这次的减分有很大的变化,减分力变大,定义了一般、重要、重要的评价指标,如果不满足重要的评价指标,一次减少3倍,重要的指标一次减少2倍,如果不满足2倍3倍的减分,以前最多不能减少2倍。
包括重要数据、大数据等,对不同类型的数据进行总结和评价,需要相应的数据保护,保证数据的完整性和保密性。我认为这与以前的数据安全法有关。这次标志着数据安全迎来了很大的风口,具体多长时间,我认为一两年左右数据安全市场会有很大的发展。
等待2.0评价要求提高,各部门对安全投资的力量增加。如果说以前得分的设备不能等待的话,现在一定要买设备,预算会增加,这个影响是产业水平的增加。
其次是数据安全层面验证未来会成为很大的热点。但是这次没有明确说出怎么来保证,但是我自己推测,数据最根本承载的介质就是数据库,现在没有把数据库作为独立的测评对象来测评,未来是不是一个数据库或者一个数据库集来测评,是否要加数据库审计、防火墙以及加密等产品。
国家建立数据安全分类分级保护制度。未来是否会出现数据安全的等级保护制度,这个出来可能也有很大的市场。总之,安全市场变大,数据安全成为行业的风口。
安全等级保护已于6月18日强制执行新标准,建设中评价项目应按新标准要求。许多评价机构过去在等待保证会上推荐要塞机、日志审计、VPN、数据库审计等基础产品,这次变化后,根据等待保证的新标准来判断,无法达到的要点是APP检查、高级威胁检查、未来等待保证,相信情况感知也会再来一套。数据资产也成为单独的评价对象,数据库的产品也成为等级保护的增加量。根据我的经验,等待保险三级可能会花费50万美元,加上形势感知,业内销售额在30万美元左右,保守估计也是这个幅度。
等级保护制度条例明确规定,等保三级系统每年至少重新测定一次,二级系统每两年至少重新测定一次,四级系统每半年重新测定一次。再测量过程中必须按照新标准进行。头部企业也在增加业务系统,有这个需求。国内所有评价机构都要实施新方案。
数据库审计、数据库加密、数据库脱敏、数据库防火墙是最基本的4个产品,与上市公司有关的是深刻的接受、奇安信、安恒、绿联盟等。一些头部银行和金融机构请了IBM做,花了很多钱,用人工方法打标签,匹配到相应的人员和权限,但是使用效果不是特别好。就引入了一个问题,谁的产品能够更加高效的帮助大家做分类分级的工作了,未来的数据流转,交易可能都需要这样的产品。