深層解讀:等保2.0 你準備好了嗎?
近日,由公安部主辦的第六屆全國網絡安全等級保護技術大會在南京舉行,國家等級保護體系開始了進一步的明確。此次大會提出了哪些等級保護工作的新主題和新重點?作為等級保護相關負責人又該如何去理解和應對?東軟集團網絡安全事業部資深等級保護咨詢專家王華鐸,針對等保2.0以及《國家網絡安全法》關于等保的新要求為我們進行了深層解讀。
一、什么是等保2.0
網絡安全等級保護已經進入2.0時代,等級保護制度已被打造成新時期國家網絡安全的基本國策和基本制度。應急處置、災難恢復、通報預警、安全監測、綜合考核等重點措施全部納入等保制度并實施,對重要基礎設施重要系統以及“云、物、移、大、工控”納入等保監管,將互聯網企業納入等級保護管理。
去年和今年等保大會的一個共同的重點是新等保標準——等保2.0,現在正在征詢意見,預計于今年年底或明年年初正式發布。今年等保工作信息化建設的整體思路是緊跟隨網絡安全法的步伐, 以此為核心延伸出了關鍵信息基礎設施、態勢感知平臺、應急響應等重點方面的話題。
對于我們來說等保大會是指引方向的路標,今年是方向感非常強的一年,因為有網絡安全法的實施,并伴隨著等保2.0的逐漸建立。現在無論在哪個城市,哪個行業進行等保相關的會議,網絡安全法和等保2.0都無疑是主旋律。
二、等保2.0與網絡安全法的關系
等保2.0的標準是國內非涉密信息系統的安全集成標準,網絡安全法是作為法律、中國信息安全的基本法。網絡安全法中明確的提到信息安全的建設要遵照等級保護標準來做建設。
網絡安全法從立法到配套法律法規的確定完善,到市場上反映出來一定的效果是需要一定的過程的。這個過程在于執法是否落實到位,規定的標準是否真的符合業務安全痛點。目前來看市場上大部分單位都以合規性建設為主,事實上我認為網絡安全法考慮的非常全面,從立法角度來看,如果一步一步按照法律落實好,是一部非常健全的體系,做好了并不只是能達到合規這個價值層面,而是會使業務的風險管控、網絡安全能力會上升到一個新的高度。
三、等保2.0與原信息安全等保標準的不同
從名稱上來看,原信息安全等保標準叫做信息安全等級保護制度,現在2.0叫做網絡安全等級保護制度。這意味著,等級保護上升到了網絡空間安全的層面。這個名稱的改變意味著等級保護的對象全面升級:之前保護的對象是計算機信息系統,而現在上升到網絡空間安全了,除了包含之前的計算機信息系統,還包含網絡安全基礎設施、云、移動互聯網、物聯網、工業控制系統、大數據安全等對象。
另外還有一個重點,是等保定級方式的改變,這次在等保大會上有一個新的信息,就是等級保護2.0的定級并不是用戶自主定級,而是要參照定級指南進行定級,這是各單位需要特別注意的一點。
四、如何做好等保2.0
等保的基本框架包含技術和管理,兩個核心維度。
如上圖所示,等保2.0將等保工作的技術要求和管理要求細分為了更加具體的八大類:物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全;全策略和管理制度、全管理機構和人、安全建設管理、安全運維管理。而等保2.0在以上基本要求之外,提出了云安全、移動互聯網安全、物聯網安全、工業控制系統安全、大數據安全等網絡空間擴展要求,且每個部分都有詳細的安全標準。這些都是等保工作需要做的重點工作。
事實上,在等保的規范中,并沒有要求使用任何一種產品,它只是要求你的網絡安全空間達到一個什么樣的安全程度的標準。但是我們如何去實現這個標準?在達成要求的整個過程中,網絡安全產品是最低成本最高效率的路徑。
怎么理解呢?我們以“訪問控制”為例,比如我們網絡安全的辦公網絡和辦公場所,沒有防火墻和門禁卡,那就要人工去進行網絡準入審核,記錄外來訪問是什么時候來的、做了什么、什么時候離開的。如果是非法闖入,還要有足夠的能力和時間及時阻止。這個工作量和成本得多大?而防火墻和門禁系統分卻能夠長時間、細粒度、準確、大量的進行安全記錄和管理,如果用一個帶有IPS功能的防火墻,還能夠進行入侵檢測。所以說在同等的成本下,安全產品是最高效率的達到安全防護目的的途徑。我們可以參照網絡安全法和等級保護標準的具體標準,選擇不同的安全產品,包括防火墻、入侵檢測、入侵防御、數據運維管理、數據審計、云安全解決方案、上網行為管理、Web應用防護等等。
五、給信息安全從業者的管理建議
網絡安全法的實施使我們信息安全從業者身上擔負的責任更重了,特別是量刑的設立使我們身上的壓力更大,工作屬性上升到了新的高度。我們需要做的就是深入的了解網絡安全法的要求,了解國家的標準,結合自己的業務去做好安全工作。我們都是在學習的過程中,如果要提出什么建議的話,建議大家加強應急處置預案的能力和關鍵信息基礎設施的保護。各單位信息化從業者值得注意的是,網絡安全建設的成熟度不意味著網絡安全產品數量和種類的堆疊,建議從安全體系的角度合理規劃、合理建設、甚至適度精簡,將資源和建設能力投放在如何抵御新時代的網絡安全風險上,同時建議在信息化建設的同時統籌考慮網絡安全的建設,做到同步規劃、同步建設、同步執行。盡量做到四個“W”,就是who(誰),what(做了什么、改了什么、拿了什么),where(數據拿到哪里去了),when(什么時候拿的)。通過我們每個人的努力,網絡安全法以及等級保護2.0制度的落實,將會更加順利有效。
東軟集團網絡安全事業部資深等級保護咨詢專家王華鐸
