行業(yè)動(dòng)態(tài)

深層解讀:等保2.0 你準(zhǔn)備好了嗎?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-10-10    瀏覽次數(shù):
 

信息來源:比特網(wǎng)


近日,由公安部主辦的第六屆全國等級(jí)保護(hù)技術(shù)大會(huì)在南京舉行,國家等級(jí)保護(hù)體系開始了進(jìn)一步的明確。此次大會(huì)提出了哪些等級(jí)保護(hù)工作的新主題和新重點(diǎn)?作為等級(jí)保護(hù)相關(guān)負(fù)責(zé)人又該如何去理解和應(yīng)對(duì)?東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)部資深等級(jí)保護(hù)咨詢專家王華鐸,針對(duì)等保2.0以及《國家網(wǎng)絡(luò)安全法》關(guān)于等保的新要求為我們進(jìn)行了深層解讀。

東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)部資深等級(jí)保護(hù)咨詢專家王華鐸

一、什么是等保2.0

網(wǎng)絡(luò)安全等級(jí)保護(hù)已經(jīng)進(jìn)入2.0時(shí)代,等級(jí)保護(hù)制度已被打造成新時(shí)期國家網(wǎng)絡(luò)安全的基本國策和基本制度。應(yīng)急處置、災(zāi)難恢復(fù)、通報(bào)預(yù)警、安全監(jiān)測、綜合考核等重點(diǎn)措施全部納入等保制度并實(shí)施,對(duì)重要基礎(chǔ)設(shè)施重要系統(tǒng)以及“、物、移、大、工控”納入等保監(jiān)管,將企業(yè)納入等級(jí)保護(hù)管理。

去年和今年等保大會(huì)的一個(gè)共同的重點(diǎn)是新等保標(biāo)準(zhǔn)——等保2.0,現(xiàn)在正在征詢意見,預(yù)計(jì)于今年年底或明年年初正式發(fā)布。今年等保工作信息化建設(shè)的整體思路是緊跟隨網(wǎng)絡(luò)安全法的步伐, 以此為核心延伸出了關(guān)鍵基礎(chǔ)設(shè)施、態(tài)勢感知平臺(tái)、應(yīng)急響應(yīng)等重點(diǎn)方面的話題。

對(duì)于我們來說等保大會(huì)是指引方向的路標(biāo),今年是方向感非常強(qiáng)的一年,因?yàn)橛芯W(wǎng)絡(luò)安全法的實(shí)施,并伴隨著等保2.0的逐漸建立。現(xiàn)在無論在哪個(gè)城市,哪個(gè)行業(yè)進(jìn)行等保相關(guān)的會(huì)議,網(wǎng)絡(luò)安全法和等保2.0都無疑是主旋律。

二、等保2.0與網(wǎng)絡(luò)安全法的關(guān)系

等保2.0的標(biāo)準(zhǔn)是國內(nèi)非涉密信息系統(tǒng)的安全集成標(biāo)準(zhǔn),網(wǎng)絡(luò)安全法是作為法律、中國信息安全的基本法。網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級(jí)保護(hù)標(biāo)準(zhǔn)來做建設(shè)。

網(wǎng)絡(luò)安全法從立法到配套法律法規(guī)的確定完善,到市場上反映出來一定的效果是需要一定的過程的。這個(gè)過程在于執(zhí)法是否落實(shí)到位,規(guī)定的標(biāo)準(zhǔn)是否真的符合業(yè)務(wù)安全痛點(diǎn)。目前來看市場上大部分單位都以合規(guī)性建設(shè)為主,事實(shí)上我認(rèn)為網(wǎng)絡(luò)安全法考慮的非常全面,從立法角度來看,如果一步一步按照法律落實(shí)好,是一部非常健全的體系,做好了并不只是能達(dá)到合規(guī)這個(gè)價(jià)值層面,而是會(huì)使業(yè)務(wù)的風(fēng)險(xiǎn)管控、網(wǎng)絡(luò)安全能力會(huì)上升到一個(gè)新的高度。

三、等保2.0與原信息安全等保標(biāo)準(zhǔn)的不同

從名稱上來看,原信息安全等保標(biāo)準(zhǔn)叫做信息安全等級(jí)保護(hù)制度,現(xiàn)在2.0叫做網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。這意味著,等級(jí)保護(hù)上升到了網(wǎng)絡(luò)空間安全的層面。這個(gè)名稱的改變意味著等級(jí)保護(hù)的對(duì)象全面升級(jí):之前保護(hù)的對(duì)象是計(jì)算機(jī)信息系統(tǒng),而現(xiàn)在上升到網(wǎng)絡(luò)空間安全了,除了包含之前的計(jì)算機(jī)信息系統(tǒng),還包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、云、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)安全等對(duì)象。

另外還有一個(gè)重點(diǎn),是等保定級(jí)方式的改變,這次在等保大會(huì)上有一個(gè)新的信息,就是等級(jí)保護(hù)2.0的定級(jí)并不是用戶自主定級(jí),而是要參照定級(jí)指南進(jìn)行定級(jí),這是各單位需要特別注意的一點(diǎn)。

四、如何做好等保2.0

等保的基本框架包含技術(shù)和管理,兩個(gè)核心維度。

如上圖所示,等保2.0將等保工作的技術(shù)要求和管理要求細(xì)分為了更加具體的八大類:物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和安全;全策略和管理制度、全管理機(jī)構(gòu)和人、安全建設(shè)管理、安全運(yùn)維管理。而等保2.0在以上基本要求之外,提出了安全、移動(dòng)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全、大數(shù)據(jù)安全等網(wǎng)絡(luò)空間擴(kuò)展要求,且每個(gè)部分都有詳細(xì)的安全標(biāo)準(zhǔn)。這些都是等保工作需要做的重點(diǎn)工作。

事實(shí)上,在等保的規(guī)范中,并沒有要求使用任何一種產(chǎn)品,它只是要求你的網(wǎng)絡(luò)安全空間達(dá)到一個(gè)什么樣的安全程度的標(biāo)準(zhǔn)。但是我們?nèi)绾稳?shí)現(xiàn)這個(gè)標(biāo)準(zhǔn)?在達(dá)成要求的整個(gè)過程中,網(wǎng)絡(luò)安全產(chǎn)品是最低成本最高效率的路徑。

怎么理解呢?我們以“訪問控制”為例,比如我們網(wǎng)絡(luò)安全的辦公網(wǎng)絡(luò)和辦公場所,沒有防火墻和門禁卡,那就要人工去進(jìn)行網(wǎng)絡(luò)準(zhǔn)入審核,記錄外來訪問是什么時(shí)候來的、做了什么、什么時(shí)候離開的。如果是非法闖入,還要有足夠的能力和時(shí)間及時(shí)阻止。這個(gè)工作量和成本得多大?而防火墻和門禁系統(tǒng)分卻能夠長時(shí)間、細(xì)粒度、準(zhǔn)確、大量的進(jìn)行安全記錄和管理,如果用一個(gè)帶有IPS功能的防火墻,還能夠進(jìn)行入侵檢測。所以說在同等的成本下,安全產(chǎn)品是最高效率的達(dá)到安全防護(hù)目的的途徑。我們可以參照網(wǎng)絡(luò)安全法和等級(jí)保護(hù)標(biāo)準(zhǔn)的具體標(biāo)準(zhǔn),選擇不同的安全產(chǎn)品,包括防火墻、入侵檢測、入侵防御、數(shù)據(jù)運(yùn)維管理、數(shù)據(jù)審計(jì)、云安全解決方案、上網(wǎng)行為管理、Web應(yīng)用防護(hù)等等。

五、給信息安全從業(yè)者的管理建議

網(wǎng)絡(luò)安全法的實(shí)施使我們信息安全從業(yè)者身上擔(dān)負(fù)的責(zé)任更重了,特別是量刑的設(shè)立使我們身上的壓力更大,工作屬性上升到了新的高度。我們需要做的就是深入的了解網(wǎng)絡(luò)安全法的要求,了解國家的標(biāo)準(zhǔn),結(jié)合自己的業(yè)務(wù)去做好安全工作。我們都是在學(xué)習(xí)的過程中,如果要提出什么建議的話,建議大家加強(qiáng)應(yīng)急處置預(yù)案的能力和關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)。各單位信息化從業(yè)者值得注意的是,網(wǎng)絡(luò)安全建設(shè)的成熟度不意味著網(wǎng)絡(luò)安全產(chǎn)品數(shù)量和種類的堆疊,建議從安全體系的角度合理規(guī)劃、合理建設(shè)、甚至適度精簡,將資源和建設(shè)能力投放在如何抵御新時(shí)代的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)上,同時(shí)建議在信息化建設(shè)的同時(shí)統(tǒng)籌考慮網(wǎng)絡(luò)安全的建設(shè),做到同步規(guī)劃、同步建設(shè)、同步執(zhí)行。盡量做到四個(gè)“W”,就是who(誰),what(做了什么、改了什么、拿了什么),where(數(shù)據(jù)拿到哪里去了),when(什么時(shí)候拿的)。通過我們每個(gè)人的努力,網(wǎng)絡(luò)安全法以及等級(jí)保護(hù)2.0制度的落實(shí),將會(huì)更加順利有效。


 
 

上一篇:2017年10月09日 聚銘安全速遞

下一篇:機(jī)票代理利用軟件漏洞出售明星航班記錄 28人落網(wǎng)