劃重點(diǎn)!網(wǎng)絡(luò)安全等保2.0國(guó)家標(biāo)準(zhǔn)宣貫會(huì)上,各位專家都說(shuō)了些什么?
原創(chuàng)【51CTO.com原創(chuàng)稿件】近年來(lái),移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)迅速發(fā)展和應(yīng)用,新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之而來(lái)。面對(duì)挑戰(zhàn),等級(jí)保護(hù)工作也應(yīng)超越傳統(tǒng)的信息系統(tǒng)概念,與時(shí)俱進(jìn),進(jìn)行升級(jí)和擴(kuò)展,充分考慮新技術(shù)、新應(yīng)用帶來(lái)的各種安全威脅。
2017年6月1日,《網(wǎng)絡(luò)安全法》的正式實(shí)施標(biāo)志著等級(jí)保護(hù)已經(jīng)進(jìn)入2.0時(shí)代,等級(jí)保護(hù)對(duì)象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)大了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等,對(duì)等級(jí)保護(hù)制度提出了新的要求。
2019年5月13日,國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)召開新聞發(fā)布會(huì),正式發(fā)布了等保2.0相關(guān)的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn),并將于2019年12月1日開始實(shí)施。
2019年5月16日下午,由公安部網(wǎng)絡(luò)安全保衛(wèi)局指導(dǎo)、公安部第三研究所、公安部研究所主辦,深信服承辦的“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)宣貫會(huì)”在北京隆重召開。公安部網(wǎng)絡(luò)安全保衛(wèi)局、國(guó)家市場(chǎng)監(jiān)管總局、重要行業(yè)部門、企事業(yè)單位的領(lǐng)導(dǎo)嘉賓,以及測(cè)評(píng)機(jī)構(gòu)和安全建設(shè)整改機(jī)構(gòu)的技術(shù)負(fù)責(zé)人、互聯(lián)網(wǎng)企業(yè)代表等近千人參加宣貫會(huì)。
本次宣貫會(huì)究竟傳達(dá)了哪些內(nèi)容?今天筆者就為大家劃一下重點(diǎn)。
領(lǐng)導(dǎo)、專家齊聚宣貫會(huì),權(quán)威解讀網(wǎng)絡(luò)安全等保2.0
首先,我們來(lái)看看宣貫會(huì)上大會(huì)致辭環(huán)節(jié),領(lǐng)導(dǎo)們都說(shuō)了些什么。
公安部網(wǎng)絡(luò)安全保衛(wèi)局王瑛瑋書記
在大會(huì)致辭環(huán)節(jié),公安部網(wǎng)絡(luò)安全保衛(wèi)局王瑛瑋書記表示,等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)的發(fā)布,是具有里程碑意義的一件大事,標(biāo)志著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入新時(shí)代,對(duì)保障和促進(jìn)國(guó)家信息化發(fā)展,提升國(guó)家網(wǎng)絡(luò)安全保護(hù)能力,維護(hù)國(guó)家保護(hù)空間安全具有重要的意義。
此外,他還提出以下四點(diǎn)意見:
一是要高度重視,深刻領(lǐng)會(huì)。各單位要認(rèn)真學(xué)習(xí)領(lǐng)會(huì)標(biāo)準(zhǔn)各項(xiàng)要求,加快推動(dòng)國(guó)家標(biāo)準(zhǔn)的貫徹和實(shí)施。
二是要加強(qiáng)宣傳,強(qiáng)化培訓(xùn)。各地區(qū)各部門要加強(qiáng)對(duì)2.0標(biāo)準(zhǔn)的宣傳,加強(qiáng)對(duì)標(biāo)準(zhǔn)的解讀和培訓(xùn),形成廣泛共識(shí),保證標(biāo)準(zhǔn)的整體落地。
三是要推動(dòng)行標(biāo),指導(dǎo)實(shí)踐。重點(diǎn)行業(yè)部門要根據(jù)2.0國(guó)家標(biāo)準(zhǔn),結(jié)合本行業(yè)實(shí)踐,加快修訂完善本行業(yè)等級(jí)保護(hù)行業(yè)標(biāo)準(zhǔn)。
四是加強(qiáng)督導(dǎo),推動(dòng)落實(shí)。各地公安機(jī)關(guān)各行業(yè)主管部門要加強(qiáng)對(duì)本地區(qū)本行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的監(jiān)督、檢查和指導(dǎo),在做好當(dāng)前網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的基礎(chǔ)上,逐步向2.0國(guó)家標(biāo)準(zhǔn)有關(guān)要求過(guò)渡,不斷提升本地區(qū)本行業(yè)本部門網(wǎng)絡(luò)安全保護(hù)能力。
公安部研究所于銳副所長(zhǎng)
公安部研究所于銳副所長(zhǎng)透露,自2016年開始,在公安部網(wǎng)絡(luò)安全保衛(wèi)局支持和指導(dǎo)下,研究所針對(duì)信息安全服務(wù)企業(yè),安全提供商開展了15期國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)專業(yè)技術(shù)人員培訓(xùn)工作,共培訓(xùn)了3000多名網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)專業(yè)技術(shù)人員。通過(guò)審核獲得網(wǎng)絡(luò)安全等級(jí)合格證書單位達(dá)到126家。
今年,在公安部網(wǎng)安局指導(dǎo)下,研究所正積極籌建中關(guān)村網(wǎng)絡(luò)安全等級(jí)保護(hù)安全建設(shè)創(chuàng)新聯(lián)盟,旨在強(qiáng)化整改環(huán)節(jié)規(guī)范化管理,整合網(wǎng)絡(luò)安全行業(yè)資源,共同推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)重大問(wèn)題等進(jìn)行聯(lián)合的技術(shù)攻關(guān)。
國(guó)家市場(chǎng)監(jiān)管總局標(biāo)準(zhǔn)技術(shù)管理司王莉處長(zhǎng)
對(duì)于等保2.0國(guó)家標(biāo)準(zhǔn)后續(xù)的工作,國(guó)家市場(chǎng)監(jiān)管總局標(biāo)準(zhǔn)技術(shù)管理司王莉處長(zhǎng)給出了三點(diǎn)建議:一是要加強(qiáng)標(biāo)準(zhǔn)的推廣應(yīng)用,提高標(biāo)準(zhǔn)實(shí)施的效率;二是支撐國(guó)家重大戰(zhàn)略,持續(xù)優(yōu)化標(biāo)準(zhǔn)體系結(jié)構(gòu)。三是重視開展國(guó)際交流與合作,推動(dòng)標(biāo)準(zhǔn)與國(guó)際接軌。跟蹤研究本領(lǐng)域的標(biāo)準(zhǔn)國(guó)際技術(shù)和標(biāo)準(zhǔn)發(fā)展趨勢(shì),組織有關(guān)單位和專家推動(dòng)中國(guó)標(biāo)準(zhǔn)進(jìn)入國(guó)際標(biāo)準(zhǔn)化舞臺(tái)。
國(guó)信安標(biāo)委秘書處楊建軍秘書長(zhǎng)
國(guó)信安標(biāo)委秘書處楊建軍秘書長(zhǎng)在致辭中指出,等保系列標(biāo)準(zhǔn)是我國(guó)網(wǎng)絡(luò)安全國(guó)家體系的重要組成部分,目前全國(guó)信安標(biāo)委會(huì)有268項(xiàng),在其中有將近40項(xiàng)是等級(jí)保護(hù)相關(guān)的國(guó)家標(biāo)準(zhǔn),其中涉及一些系統(tǒng)的定級(jí)、管理要求、技術(shù)要求、測(cè)試評(píng)估等等工作。
他還強(qiáng)調(diào),網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求、設(shè)計(jì)要求是等保系列標(biāo)準(zhǔn)中的核心標(biāo)準(zhǔn),作為指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者履行網(wǎng)絡(luò)安全保護(hù)責(zé)任重要依據(jù)。廣泛應(yīng)用于各個(gè)行業(yè)相關(guān)領(lǐng)域,但是這個(gè)標(biāo)準(zhǔn)隨著技術(shù)的發(fā)展,需要進(jìn)行修訂和維護(hù),所以及時(shí)修訂等保標(biāo)準(zhǔn),保持這些標(biāo)準(zhǔn)科學(xué)性、合理性、有效性,是推動(dòng)網(wǎng)絡(luò)安全工作的技術(shù)保障。
公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工程師
公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全總工程師指出了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度進(jìn)入2.0時(shí)代的典型標(biāo)志,強(qiáng)調(diào)了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的重大意義,總結(jié)了新時(shí)期國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的鮮明特點(diǎn)。
談及等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的關(guān)系,他表示:
要依據(jù)法律規(guī)定。網(wǎng)絡(luò)安全法規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
第二,要保持一致性。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)與網(wǎng)絡(luò)安全等級(jí)保護(hù),在法律法規(guī)、政策、標(biāo)準(zhǔn)、措施等方面必須保持一致。
第三,要明確二者關(guān)系。等級(jí)保護(hù)是國(guó)家的基本制度,具有普適性,全覆蓋;關(guān)鍵信息基礎(chǔ)設(shè)施是等級(jí)保護(hù)制度保護(hù)的重點(diǎn),加強(qiáng)保護(hù)、保衛(wèi)和保障。
院士沈昌祥
在主題演講中,沈昌祥院士發(fā)表了《重啟可信革命,夯實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)》的主題演講。他指出沒(méi)有網(wǎng)絡(luò)安全,信息社會(huì)將會(huì)成為黑暗中的廢墟。強(qiáng)調(diào)要有科學(xué)的網(wǎng)絡(luò)安全觀,國(guó)家等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)要求全面使用安全可信的產(chǎn)品和服務(wù)來(lái)保障關(guān)鍵基礎(chǔ)設(shè)施安全,要用科學(xué)的網(wǎng)絡(luò)安全觀來(lái)理解法律安全可信。
他強(qiáng)調(diào),等級(jí)保護(hù)2.0的時(shí)代特征是要確保關(guān)鍵信息基礎(chǔ)設(shè)施安全,主要分為三個(gè)層面:法律支撐,即我國(guó)的計(jì)算機(jī)系統(tǒng)等級(jí)保護(hù)條例提升為國(guó)家基礎(chǔ)性法律制度,即“網(wǎng)絡(luò)安全法”中的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度;
第二個(gè)層面是科學(xué)技術(shù)層面,由分層被動(dòng)防護(hù)發(fā)展到了科學(xué)安全框架下的主動(dòng)免疫防護(hù);
第三個(gè)層面為工程應(yīng)用層面,由傳統(tǒng)的計(jì)算機(jī)系統(tǒng)防護(hù)轉(zhuǎn)向了新型計(jì)算環(huán)境下的網(wǎng)絡(luò)空間主動(dòng)防護(hù)體系建設(shè)。
公安部信息安全等級(jí)保護(hù)評(píng)估中心測(cè)評(píng)部主任馬力副研究員
緊接著,公安部信息安全等級(jí)保護(hù)評(píng)估中心測(cè)評(píng)部主任、等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)的主要起草者,馬力副研究員介紹了網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系及主要標(biāo)準(zhǔn),講解了網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的特點(diǎn)和變化,以及框架和內(nèi)容。
他表示,網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)主要具有三大特點(diǎn):
一是,對(duì)象范圍擴(kuò)大。新標(biāo)準(zhǔn)將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)范圍,構(gòu)成了“安全通用要求+新型應(yīng)用安全擴(kuò)展要求”的要求內(nèi)容。
二是,分類結(jié)構(gòu)統(tǒng)一。新標(biāo)準(zhǔn)“基本要求、設(shè)計(jì)要求和測(cè)評(píng)要求”分類框架統(tǒng)一,形成了“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全計(jì)算環(huán)境”和“安全管理中心”支持下的三重防護(hù)體系架構(gòu)。
三是,強(qiáng)化可信計(jì)算。新標(biāo)準(zhǔn)強(qiáng)化了可信計(jì)算技術(shù)使用的要求,把可信驗(yàn)證列入各個(gè)級(jí)別并逐級(jí)提出各個(gè)環(huán)節(jié)的主要可信驗(yàn)證要求。
他強(qiáng)調(diào),GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》將替代原來(lái)的GB/T2239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,并呼吁大家認(rèn)真學(xué)習(xí)新版等保要求。
踐行網(wǎng)絡(luò)安全等保2.0,聽聽安全廠商如何說(shuō)
全面落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,離不開監(jiān)管機(jī)構(gòu)、評(píng)測(cè)機(jī)構(gòu),以及用戶和網(wǎng)絡(luò)安全廠商建的全面協(xié)同。等保2.0的發(fā)布為企業(yè)合規(guī)提出了更高的要求,而作為提供安全能力的第三方,網(wǎng)絡(luò)安全廠商在等保2.0的推廣和落地當(dāng)中應(yīng)該承擔(dān)相應(yīng)的責(zé)任。下面,我們看看來(lái)自深信服、亞信安全和奇安信的三位演講嘉賓對(duì)于踐行等保2.0的一些觀點(diǎn)。
深信服科技有限公司CEO何朝曦
對(duì)此,深信服科技有限公司CEO何朝曦認(rèn)為,所有的網(wǎng)絡(luò)安全廠商其實(shí)都是等級(jí)保護(hù)制度推行的受益者,網(wǎng)絡(luò)安全廠商也有責(zé)任和義務(wù)投入到等級(jí)保護(hù)制度的落地當(dāng)中去,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度需要監(jiān)管部門、評(píng)測(cè)機(jī)構(gòu)、廣大用戶還有廠商各司其職,共同努力。
而網(wǎng)絡(luò)安全廠商主要的責(zé)任就是:根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的標(biāo)準(zhǔn)發(fā)展安全技術(shù),開發(fā)匹配的安全產(chǎn)品,全力做好網(wǎng)絡(luò)安全服務(wù),幫助用戶建設(shè)不僅僅是合規(guī),而且真正有效的網(wǎng)絡(luò)安全體系。
何朝曦表示,想要履行好這份責(zé)任,需要做好三方面工作:通過(guò)宣貫、培訓(xùn)幫助用戶理解和應(yīng)用等保方面的知識(shí)。
第二,通過(guò)產(chǎn)品的創(chuàng)新,場(chǎng)景的適配,向用戶交付真正有效果的等保2.0方案。
第三,廠商要和監(jiān)管部門、評(píng)測(cè)機(jī)構(gòu)和其他廠商通力協(xié)作,推進(jìn)等保2.0工作不斷發(fā)展。
其實(shí),為了保障網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的建設(shè)工作順利落地,深信服做了充分的準(zhǔn)備工作。比如:針對(duì)新增的云計(jì)算安全場(chǎng)景,深信服專門研發(fā)了XSec安全資源池產(chǎn)品,通過(guò)將用戶需要的各種安全功能池化,做到適應(yīng)云計(jì)算環(huán)境下彈性擴(kuò)展的要求;為了幫助用戶對(duì)抗勒索軟件,深信服按照等級(jí)保護(hù)2.0的技術(shù)要求開發(fā)了一整套防范勒索軟件的方案。
亞信科技安全運(yùn)營(yíng)官陸光明
對(duì)于如何踐行網(wǎng)絡(luò)安全等保2.0,亞信科技安全運(yùn)營(yíng)官陸光明也表達(dá)了幾大觀點(diǎn):
觀點(diǎn)一:以身份為基礎(chǔ),構(gòu)建網(wǎng)絡(luò)空間信任體系;
觀點(diǎn)二:以攻防為視角,提升全方位主動(dòng)防御能力;
觀點(diǎn)三:以聯(lián)動(dòng)為策略,提升網(wǎng)絡(luò)安全事件智能響應(yīng)能力;
觀點(diǎn)四:以運(yùn)維為關(guān)鍵,加強(qiáng)統(tǒng)一集中管控平臺(tái)建設(shè);
觀點(diǎn)五:從實(shí)戰(zhàn)出發(fā),建設(shè)自適應(yīng)安全體系。
奇安信集團(tuán)副總裁韓永剛
奇安信集團(tuán)副總裁韓永剛表示,等級(jí)保護(hù)不能只是為了應(yīng)對(duì)合規(guī),等保2.0時(shí)代,安全建設(shè)必須和新一代的信息化系統(tǒng)實(shí)現(xiàn)深度融合,全面覆蓋,從而構(gòu)建創(chuàng)新的安全體系。奇安信結(jié)合等保2.0關(guān)口前移,與信息化基礎(chǔ)設(shè)施深度融合,提出了“44333”的安全新思路,即是:
四個(gè)假設(shè):系統(tǒng)移動(dòng)有沒(méi)被發(fā)現(xiàn)的漏洞、一定有已發(fā)現(xiàn)漏洞沒(méi)打補(bǔ)丁、系統(tǒng)已經(jīng)被黑、一定有內(nèi)鬼。
四新戰(zhàn)略:新戰(zhàn)具(第三代網(wǎng)絡(luò)安全技術(shù))、新戰(zhàn)力(數(shù)據(jù)驅(qū)動(dòng)安全)、新戰(zhàn)術(shù)(動(dòng)態(tài)授權(quán)與訪問(wèn)控制)、新戰(zhàn)法(人+機(jī)器安全運(yùn)營(yíng))。
三位一體:高位能力、中位能力、低位能力。
三同步:同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)。
三方制衡:用戶、云服務(wù)商、安全公司。
自然資源部信息中心顧炳中總工程師
自然資源部信息中心顧炳中總工程師,作為重要行業(yè)代表分享了自然資源行業(yè)開展等級(jí)保護(hù)工作的寶貴經(jīng)驗(yàn)和做法,發(fā)表主題演講《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0的行業(yè)實(shí)踐》。
他表示,等保2.0時(shí)代,國(guó)產(chǎn)的操作系統(tǒng)廠商、路由與交換廠商、邊界安全設(shè)備廠商等,應(yīng)該真的從國(guó)家安全利益出發(fā),從產(chǎn)業(yè)發(fā)展出發(fā),投入到可信計(jì)算,投入到2.0標(biāo)準(zhǔn)上面。比如:國(guó)產(chǎn)的操作系統(tǒng)能提供可信的操作系統(tǒng),而不是去買一個(gè)加固軟件,去打補(bǔ)丁。如果從操作系統(tǒng),可信相對(duì)容易實(shí)現(xiàn),而不是靠可信廠商提供可信的包解決。
等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)的發(fā)布,是具有里程碑意義的一件大事,標(biāo)志著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入新時(shí)代。對(duì)于保障和促進(jìn)國(guó)家信息化發(fā)展,提升國(guó)家網(wǎng)絡(luò)安全保護(hù)能力,維護(hù)國(guó)家網(wǎng)絡(luò)空間安全具有重要的意義。
放眼未來(lái),我們相信,通過(guò)多方的共同努力,在公安部領(lǐng)導(dǎo)的大力推動(dòng)下,網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)一定能夠開創(chuàng)網(wǎng)絡(luò)安全保護(hù)的新局面,為網(wǎng)絡(luò)安全強(qiáng)國(guó)建設(shè)做出更大的貢獻(xiàn)。
【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】
