2022等保合規指南 第二篇
山石網科帶你科學開展【等保】
上一篇短文——《等保合規2022系列 | 今年,關于等保你該了解什麼?》中介紹了我國等級保護制度的相關内容,相信各位通過四個核心問題的問答能夠對等級保護有了大緻的了解,本文将針對2022年該怎麼科學地開展等級保護建設以及等級保護建設對于企業有什麼價值做進一步介紹。
一、等級保護核心建設思想
在上一篇文章中我們明确了開展等級保護建設工作的必要性,而等級保護建設的核心思想是 “一個中心,三重防護”,其主旨是要求等級保護對象的營運者建設“一個中心”管理下的“三重防護”體系,設計統一的安全管理中心分别對計算環境、區域邊界、通信網絡進行管理,建立以計算環境安全為基礎,以區域邊界安全、通信網絡安全為保障,以安全管理中心為核心的網絡安全整體縱深防禦體系。“一個中心,三重防護”為等保建設指明了主線方向,是等保後續詳細技術方案的主體架構。
二、山石等級保護2.0安全體系架構
山石網科設計的總體安全保護架構以等級保護“一個中心、三重防護”為核心指導思想,建構集技術、管理、營運于一體的全面的安全保障體系,以全面貫徹落實等級保護核心思想為目标,打造科學實用的網絡安全防護能力、動态風險控制能力、可持續安全營運能力及閉環安全管理能力,切實保障使用者的網絡安全總體防護水準。
其中,安全管理體系:是為指引總體安全體系架構持續有效運作而采取的一系列管理措施的總和,内容主要包括建立健全網絡安全管理制度、網絡安全組織機構、風險管理安全政策等。
安全技術體系:是總體網絡安全架構的重要抓手,是所有技術措施的總和,内容主要包括安全實體環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心以及核心産品自主可控安全等。
安全營運體系:是為保障管理措施和技術措施有效實作網絡安全可持續營運而采取的一系列活動的總和,該體系是山石網科經過了十多年的技術積累,提出了全息、量化、智能、協同的全網可持續安全營運體系。總體思路是從被動防禦變主動探查,深入内部找到潛在風險,圍繞發展主線,以營運為核心,做到發展與安全并重,持續的加強網絡,讓使用者看的全、摸得清、打得準、防得好,實作可持續安全營運。
三、2022年,
從企業自身安全考慮做等保有什麼價值
1、指導企業體系化建構自身網絡安全能力
等級保護工作的開展很多時候都是伴随着企業合規建設需求而來,就像上篇軟文所述,很多企業是為了不違法而去進行等保合規建設的,但其實作為網絡的建設方,很多時候企業想要按照業務變化逐漸擴建資訊系統,但不知道該如何建設相應的安全防護體系,隻能根據“你攻我防”的威脅現狀,見招拆招,被動防禦。很多企業亟需一個适用于各類網絡安全建設的方法論,指導大家進行網絡安全防護。
而等級保護建設正是指導企業進行完整體系化建設的最優解,事實上完成等級保護建設隻是國家對于企業網絡安全建設的基線要求,為企業建構了最基礎的體系架構。在此基礎上,企業應當針對自身實際業務情況,有針對性的進行網絡安全能力增強建設,為自身業務的安全穩定運作保駕護航。
2、指引企業網絡安全防護重心
在等級保護1.0時代,企業進行網絡安全合規建設的時候往往選擇針對易得分的安全要求進行響應,而不是針對高風險問題重點響應,這樣做的後果就是導緻很多企業的網絡安全防護水準無法适應目前日趨嚴峻的網絡安全形勢,基于這一情況,等級保護2.0陸續出台了《網絡安全等級保護測評高風險判定指引》和新版測評要求,對企業應當重點防護的方向給出了指引。