近日,由公安部主辦的第六屆全國網絡安全等級保護技術大會在南京舉行,國家等級保護體系開始了進一步的明确。此次大會提出了哪些等級保護工作的新主題和新重點?作為等級保護相關負責人又該如何去了解和應對?東軟集團網絡安全事業部資深等級保護咨詢專家王華铎,針對等保2.0以及《國家網絡安全法》關于等保的新要求為我們進行了深層解讀。
東軟集團網絡安全事業部資深等級保護咨詢專家王華铎
一、什麼是等保2.0
網絡安全等級保護已經進入2.0時代,等級保護制度已被打造成新時期國家網絡安全的基本國策和基本制度。應急處置、災難恢複、通報預警、安全監測、綜合考核等重點措施全部納入等保制度并實施,對重要基礎設施重要系統以及“雲、物、移、大、工控”納入等保監管,将網際網路企業納入等級保護管理。
去年和今年等保大會的一個共同的重點是新等保标準——等保2.0,現在正在征詢意見,預計于今年年底或明年年初正式釋出。今年等保工作資訊化建設的整體思路是緊跟随網絡安全法的步伐, 以此為核心延伸出了關鍵資訊基礎設施、态勢感覺平台、應急響應等重點方面的話題。
對于我們來說等保大會是指引方向的路标,今年是方向感非常強的一年,因為有網絡安全法的實施,并伴随着等保2.0的逐漸建立。現在無論在哪個城市,哪個行業進行等保相關的會議,網絡安全法和等保2.0都無疑是主旋律。
二、等保2.0與網絡安全法的關系
等保2.0的标準是國内非涉密資訊系統的安全內建标準,網絡安全法是作為法律、中國資訊安全的基本法。網絡安全法中明确的提到資訊安全的建設要遵照等級保護标準來做建設。
網絡安全法從立法到配套法律法規的确定完善,到市場上反映出來一定的效果是需要一定的過程的。這個過程在于執法是否落實到位,規定的标準是否真的符合業務安全痛點。目前來看市場上大部分機關都以合規性建設為主,事實上我認為網絡安全法考慮的非常全面,從立法角度來看,如果一步一步按照法律落實好,是一部非常健全的體系,做好了并不隻是能達到合規這個價值層面,而是會使業務的風險管控、網絡安全能力會上升到一個新的高度。
三、等保2.0與原資訊安全等保标準的不同
從名稱上來看,原資訊安全等保标準叫做資訊安全等級保護制度,現在2.0叫做網絡安全等級保護制度。這意味着,等級保護上升到了網絡空間安全的層面。這個名稱的改變意味着等級保護的對象全面更新:之前保護的對象是計算機資訊系統,而現在上升到網絡空間安全了,除了包含之前的計算機資訊系統,還包含網絡安全基礎設施、雲、移動網際網路、物聯網、工業控制系統、大資料安全等對象。
另外還有一個重點,是等保定級方式的改變,這次在等保大會上有一個新的資訊,就是等級保護2.0的定級并不是使用者自主定級,而是要參照定級指南進行定級,這是各機關需要特别注意的一點。
四、如何做好等保2.0
等保的基本架構包含技術和管理,兩個核心次元:
如上圖所示,等保2.0将等保工作的技術要求和管理要求細分為了更加具體的八大類:實體和環境安全、網絡和通信安全、裝置和計算安全、應用和資料安全;全政策和管理制度、全管理機構和人、安全建設管理、安全運維管理。而等保2.0在以上基本要求之外,提出了雲安全、移動網際網路安全、物聯網安全、工業控制系統安全、大資料安全等網絡空間擴充要求,且每個部分都有詳細的安全标準。這些都是等保工作需要做的重點工作。
事實上,在等保的規範中,并沒有要求使用任何一種産品,它隻是要求你的網絡安全空間達到一個什麼樣的安全程度的标準。但是我們如何去實作這個标準?在達成要求的整個過程中,網絡安全産品是最低成本最高效率的路徑。
怎麼了解呢?我們以“通路控制”為例,比如我們網絡安全的辦公網絡和辦公場所,沒有防火牆和門禁卡,那就要人工去進行網絡準入稽核,記錄外來通路是什麼時候來的、做了什麼、什麼時候離開的。如果是非法闖入,還要有足夠的能力和時間及時阻止。這個工作量和成本得多大?而防火牆和門禁系統分卻能夠長時間、細粒度、準确、大量的進行安全記錄和管理,如果用一個帶有IPS功能的防火牆,還能夠進行入侵檢測。是以說在同等的成本下,安全産品是最高效率的達到安全防護目的的途徑。我們可以參照網絡安全法和等級保護标準的具體标準,選擇不同的安全産品,包括防火牆、入侵檢測、入侵防禦、資料運維管理、資料審計、雲安全解決方案、上網行為管理、Web應用防護等等。
五、給資訊安全從業者的管理建議
網絡安全法的實施使我們資訊安全從業者身上擔負的責任更重了,特别是量刑的設立使我們身上的壓力更大,工作屬性上升到了新的高度。我們需要做的就是深入的了解網絡安全法的要求,了解國家的标準,結合自己的業務去做好安全工作。我們都是在學習的過程中,如果要提出什麼建議的話,建議大家加強應急處置預案的能力和關鍵資訊基礎設施的保護。各機關資訊化從業者值得注意的是,網絡安全建設的成熟度不意味着網絡安全産品數量和種類的堆疊,建議從安全體系的角度合理規劃、合理建設、甚至适度精簡,将資源和建設能力投放在如何抵禦新時代的網絡安全風險上,同時建議在資訊化建設的同時統籌考慮網絡安全的建設,做到同步規劃、同步建設、同步執行。盡量做到四個“W”,就是who(誰),what(做了什麼、改了什麼、拿了什麼),where(資料拿到哪裡去了),when(什麼時候拿的)。通過我們每個人的努力,網絡安全法以及等級保護2.0制度的落實,将會更加順利有效。
原文釋出時間為:2017年10月10日
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。