深层解读:等保2.0 你准备好了吗?

2017-10-10 08:54:00 作者:投稿 分类 : 比特网

  近日,由公安部主办的第六届全国网络安全等级保护技术大会在南京举行,国家等级保护体系开始了进一步的明确。此次大会提出了哪些等级保护工作的新主题和新重点?作为等级保护相关负责人又该如何去理解和应对?东软集团网络安全事业部资深等级保护咨询专家王华铎,针对等保2.0以及《国家网络安全法》关于等保的新要求为我们进行了深层解读。

  东软集团网络安全事业部资深等级保护咨询专家王华铎

  一、什么是等保2.0

  网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施,对重要基础设施重要系统以及“、物、移、大、工控”纳入等保监管,将互联网企业纳入等级保护管理。

  去年和今年等保大会的一个共同的重点是新等保标准——等保2.0,现在正在征询意见,预计于今年年底或明年年初正式发布。今年等保工作信息化建设的整体思路是紧跟随网络安全法的步伐, 以此为核心延伸出了关键信息基础设施、态势感知平台、应急响应等重点方面的话题。

  对于我们来说等保大会是指引方向的路标,今年是方向感非常强的一年,因为有网络安全法的实施,并伴随着等保2.0的逐渐建立。现在无论在哪个城市,哪个行业进行等保相关的会议,网络安全法和等保2.0都无疑是主旋律

  二、等保2.0与网络安全法的关系

  等保2.0的标准是国内非涉密信息系统的安全集成标准,网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。

  网络安全法从立法到配套法律法规的确定完善,到市场上反映出来一定的效果是需要一定的过程的。这个过程在于执法是否落实到位,规定的标准是否真的符合业务安全痛点。目前来看市场上大部分单位都以合规性建设为主,事实上我认为网络安全法考虑的非常全面,从立法角度来看,如果一步一步按照法律落实好,是一部非常健全的体系,做好了并不只是能达到合规这个价值层面,而是会使业务的风险管控、网络安全能力会上升到一个新的高度。

  三、等保2.0与原信息安全等保标准的不同

  从名称上来看,原信息安全等保标准叫做信息安全等级保护制度,现在2.0叫做网络安全等级保护制度。这意味着,等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级:之前保护的对象是计算机信息系统,而现在上升到网络空间安全了,除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网物联网、工业控制系统、大数据安全等对象。

  另外还有一个重点,是等保定级方式的改变,这次在等保大会上有一个新的信息,就是等级保护2.0的定级并不是用户自主定级,而是要参照定级指南进行定级,这是各单位需要特别注意的一点。

  四、如何做好等保2.0

  等保的基本框架包含技术和管理,两个核心维度。

  如上图所示,等保2.0将等保工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。而等保2.0在以上基本要求之外,提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。这些都是等保工作需要做的重点工作。

  事实上,在等保的规范中,并没有要求使用任何一种产品,它只是要求你的网络安全空间达到一个什么样的安全程度的标准。但是我们如何去实现这个标准?在达成要求的整个过程中,网络安全产品是最低成本最高效率的路径。

  怎么理解呢?我们以“访问控制”为例,比如我们网络安全的办公网络和办公场所,没有防火墙和门禁卡,那就要人工去进行网络准入审核,记录外来访问是什么时候来的、做了什么、什么时候离开的。如果是非法闯入,还要有足够的能力和时间及时阻止。这个工作量和成本得多大?而防火墙和门禁系统分却能够长时间、细粒度、准确、大量的进行安全记录和管理,如果用一个带有IPS功能的防火墙,还能够进行入侵检测。所以说在同等的成本下,安全产品是最高效率的达到安全防护目的的途径。我们可以参照网络安全法和等级保护标准的具体标准,选择不同的安全产品,包括防火墙、入侵检测、入侵防御、数据运维管理、数据审计、云安全解决方案、上网行为管理、Web应用防护等等。

  五、给信息安全从业者的管理建议

  网络安全法的实施使我们信息安全从业者身上担负的责任更重了,特别是量刑的设立使我们身上的压力更大,工作属性上升到了新的高度。我们需要做的就是深入的了解网络安全法的要求,了解国家的标准,结合自己的业务去做好安全工作。我们都是在学习的过程中,如果要提出什么建议的话,建议大家加强应急处置预案的能力和关键信息基础设施的保护。各单位信息化从业者值得注意的是,网络安全建设的成熟度不意味着网络安全产品数量和种类的堆叠,建议从安全体系的角度合理规划、合理建设、甚至适度精简,将资源和建设能力投放在如何抵御新时代的网络安全风险上,同时建议在信息化建设的同时统筹考虑网络安全的建设,做到同步规划、同步建设、同步执行。尽量做到四个“W”,就是who(谁),what(做了什么、改了什么、拿了什么),where(数据拿到哪里去了),when(什么时候拿的)。通过我们每个人的努力,网络安全法以及等级保护2.0制度的落实,将会更加顺利有效。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。