近日,由公安部主辦的第六屆全國網路安全等級保護技術大會在南京舉行,國家等級保護體系開始了進一步的明確。此次大會提出了哪些等級保護工作的新主題和新重點?作為等級保護相關負責人又該如何去理解和應對?東軟集團網路安全事業部資深等級保護諮詢專家王華鐸,針對等保2.0以及《國家網路安全法》關於等保的新要求為我們進行了深層解讀。
東軟集團網路安全事業部資深等級保護諮詢專家王華鐸
一、什麼是等保2.0
網路安全等級保護已經進入2.0時代,等級保護制度已被打造成新時期國家網路安全的基本國策和基本制度。應急處置、災難恢復、通報預警、安全監測、綜合考核等重點措施全部納入等保制度並實施,對重要基礎設施重要系統以及「雲、物、移、大、工控」納入等保監管,將網際網路企業納入等級保護管理。
去年和今年等保大會的乙個共同的重點是新等保標準——等保2.0,現在正在徵詢意見,預計於今年年底或明年年初正式發布。今年等保工作資訊化建設的整體思路是緊跟隨網路安全法的步伐, 以此為核心延伸出了關鍵資訊基礎設施、態勢感知平台、應急響應等重點方面的話題。
對於我們來說等保大會是指引方向的路標,今年是方向感非常強的一年,因為有網路安全法的實施,並伴隨著等保2.0的逐漸建立。現在無論在哪個城市,哪個行業進行等保相關的會議,網路安全法和等保2.0都無疑是主旋律。
二、等保2.0與網路安全法的關係
等保2.0的標準是國內非涉密資訊系統的安全整合標準,網路安全法是作為法律、中國資訊保安的基本法。網路安全法中明確的提到資訊保安的建設要遵照等級保護標準來做建設。
網路安全法從立法到配套法律法規的確定完善,到市場上反映出來一定的效果是需要一定的過程的。這個過程在於執法是否落實到位,規定的標準是否真的符合業務安全痛點。目前來看市場上大部分單位都以合規性建設為主,事實上我認為網路安全法考慮的非常全面,從立法角度來看,如果一步一步按照法律落實好,是一部非常健全的體系,做好了並不只是能達到合規這個價值層面,而是會使業務的風險管控、網路安全能力會上公升到乙個新的高度。
三、等保2.0與原資訊保安等保標準的不同
從名稱上來看,原資訊保安等保標準叫做資訊保安等級保護制度,現在2.0叫做網路安全等級保護制度。這意味著,等級保護上公升到了網路空間安全的層面。這個名稱的改變意味著等級保護的物件全面公升級:之前保護的物件是計算機資訊系統,而現在上公升到網路空間安全了,除了包含之前的計算機資訊系統,還包含網路安全基礎設施、雲、移動網際網路、物聯網、工業控制系統、大資料安全等物件。
另外還有乙個重點,是等保定級方式的改變,這次在等保大會上有乙個新的資訊,就是等級保護2.0的定級並不是使用者自主定級,而是要參照定級指南進行定級,這是各單位需要特別注意的一點。
四、如何做好等保2.0
等保的基本框架包含技術和管理,兩個核心維度:
如上圖所示,等保2.0將等保工作的技術要求和管理要求細分為了更加具體的八大類:物理和環境安全、網路和通訊安全、裝置和計算安全、應用和資料安全;全策略和管理制度、全管理機構和人、安全建設管理、安全運維管理。而等保2.0在以上基本要求之外,提出了雲安全、移動網際網路安全、物聯網安全、工業控制系統安全、大資料安全等網路空間擴充套件要求,且每個部分都有詳細的安全標準。這些都是等保工作需要做的重點工作。
事實上,在等保的規範中,並沒有要求使用任何一種產品,它只是要求你的網路安全空間達到乙個什麼樣的安全程度的標準。但是我們如何去實現這個標準?在達成要求的整個過程中,網路安全產品是最低成本最高效率的路徑。
怎麼理解呢?我們以「訪問控制」為例,比如我們網路安全的辦公網路和辦公場所,沒有防火牆和門禁卡,那就要人工去進行網路准入審核,記錄外來訪問是什麼時候來的、做了什麼、什麼時候離開的。如果是非法闖入,還要有足夠的能力和時間及時阻止。這個工作量和成本得多大?而防火牆和門禁系統分卻能夠長時間、細粒度、準確、大量的進行安全記錄和管理,如果用乙個帶有ips功能的防火牆,還能夠進行入侵檢測。所以說在同等的成本下,安全產品是最高效率的達到安全防護目的的途徑。我們可以參照網路安全法和等級保護標準的具體標準,選擇不同的安全產品,包括防火牆、入侵檢測、入侵防禦、資料運維管理、資料審計、雲安全解決方案、上網行為管理、web應用防護等等。
五、給資訊保安從業者的管理建議
網路安全法的實施使我們資訊保安從業者身上擔負的責任更重了,特別是量刑的設立使我們身上的壓力更大,工作屬性上公升到了新的高度。我們需要做的就是深入的了解網路安全法的要求,了解國家的標準,結合自己的業務去做好安全工作。我們都是在學習的過程中,如果要提出什麼建議的話,建議大家加強應急處置預案的能力和關鍵資訊基礎設施的保護。各單位資訊化從業者值得注意的是,網路安全建設的成熟度不意味著網路安全產品數量和種類的堆疊,建議從安全體系的角度合理規劃、合理建設、甚至適度精簡,將資源和建設能力投放在如何抵禦新時代的網路安全風險上,同時建議在資訊化建設的同時統籌考慮網路安全的建設,做到同步規劃、同步建設、同步執行。盡量做到四個「w」,就是who(誰),what(做了什麼、改了什麼、拿了什麼),where(資料拿到**去了),when(什麼時候拿的)。通過我們每個人的努力,網路安全法以及等級保護2.0制度的落實,將會更加順利有效。
原文發布時間為:2023年10月10日
跳槽,你準備好了嗎?
前天有個同事想跳槽,給我溝通了一下,諮詢我的意見。該同事進公司兩年,從事qa工作,能力超群,責任心好,做事有魄力,但這裡不對她工作做評價,也不對她將要去的工作做評價,只對跳槽本身進行談一些自己的看法。本人來深六年有餘,經歷公司5家,其中第一家公司經歷1年半,目前在職的公司近三年,結合自己的情況,覺得...
跳槽,你準備好了嗎
做為挨踢界的一員,我工作在祖國北方只有一家公司的城市 我想大家能猜到 吧 面對每月微薄的 工資,一種想法時常浮現在腦海,跳還是不跳?做為典型的戀家的爺們,畢業後就沒打算離開生我養我的城市,想想就這樣吧,儘管工資不高,同樣的物 價水平也不高嗎,還基本上能過上小資的生活。但時過境遷,物價的飛漲,現在過上...
你真的準備好了嗎
這二天來到了繁華的上海,在思想與觀念上受到了一些 謹用一篇隨筆記錄下來,以便在日後的工作 生活中能夠不時挑望今天的思路,不斷警醒自己,幫助自己修正方向與思路,強化觀念以矢志不渝地推進相關事宜,強大自己的內心。為什麼會產生這種感覺呢!還得從這二天學習到新的理論中去找答案,在新的理論中主導一切最核心的是...