近日,由公安部主办的第六届全国网络安全等级保护技术大会在南京举行,国家等级保护体系开始了进一步的明确。此次大会提出了哪些等级保护工作的新主题和新重点?作为等级保护相关负责人又该如何去理解和应对?东软集团网络安全事业部资深等级保护咨询专家王华铎,针对等保2.0以及《国家网络安全法》关于等保的新要求为我们进行了深层解读。
一、什么是等保2.0
网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施,对重要基础设施重要系统以及“云、物、移、大、工控”纳入等保监管,将互联网企业纳入等级保护管理。
去年和今年等保大会的一个共同的重点是新等保标准——等保2.0,现在正在征询意见,预计于今年年底或明年年初正式发布。今年等保工作信息化建设的整体思路是紧跟随网络安全法的步伐, 以此为核心延伸出了关键信息基础设施、态势感知平台、应急响应等重点方面的话题。
对于我们来说等保大会是指引方向的路标,今年是方向感非常强的一年,因为有网络安全法的实施,并伴随着等保2.0的逐渐建立。现在无论在哪个城市,哪个行业进行等保相关的会议,网络安全法和等保2.0都无疑是主旋律。
二、等保2.0与网络安全法的关系
等保2.0的标准是国内非涉密信息系统的安全集成标准,网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。
网络安全法从立法到配套法律法规的确定完善,到市场上反映出来一定的效果是需要一定的过程的。这个过程在于执法是否落实到位,规定的标准是否真的符合业务安全痛点。目前来看市场上大部分单位都以合规性建设为主,事实上我认为网络安全法考虑的非常全面,从立法角度来看,如果一步一步按照法律落实好,是一部非常健全的体系,做好了并不只是能达到合规这个价值层面,而是会使业务的风险管控、网络安全能力会上升到一个新的高度。
三、等保2.0与原信息安全等保标准的不同
从名称上来看,原信息安全等保标准叫做信息安全等级保护制度,现在2.0叫做网络安全等级保护制度。这意味着,等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级:之前保护的对象是计算机信息系统,而现在上升到网络空间安全了,除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。
另外还有一个重点,是等保定级方式的改变,这次在等保大会上有一个新的信息,就是等级保护2.0的定级并不是用户自主定级,而是要参照定级指南进行定级,这是各单位需要特别注意的一点。
四、如何做好等保2.0
等保的基本框架包含技术和管理,两个核心维度。
如上图所示,等保2.0将等保工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。而等保2.0在以上基本要求之外,提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。这些都是等保工作需要做的重点工作。
事实上,在等保的规范中,并没有要求使用任何一种产品,它只是要求你的网络安全空间达到一个什么样的安全程度的标准。但是我们如何去实现这个标准?在达成要求的整个过程中,网络安全产品是最低成本最高效率的路径。
怎么理解呢?我们以“访问控制”为例,比如我们网络安全的办公网络和办公场所,没有防火墙和门禁卡,那就要人工去进行网络准入审核,记录外来访问是什么时候来的、做了什么、什么时候离开的。如果是非法闯入,还要有足够的能力和时间及时阻止。这个工作量和成本得多大?而防火墙和门禁系统分却能够长时间、细粒度、准确、大量的进行安全记录和管理,如果用一个带有IPS功能的防火墙,还能够进行入侵检测。所以说在同等的成本下,安全产品是最高效率的达到安全防护目的的途径。我们可以参照网络安全法和等级保护标准的具体标准,选择不同的安全产品,包括防火墙、入侵检测、入侵防御、数据运维管理、数据审计、云安全解决方案、上网行为管理、Web应用防护等等。
五、给信息安全从业者的管理建议
网络安全法的实施使我们信息安全从业者身上担负的责任更重了,特别是量刑的设立使我们身上的压力更大,工作属性上升到了新的高度。我们需要做的就是深入的了解网络安全法的要求,了解国家的标准,结合自己的业务去做好安全工作。我们都是在学习的过程中,如果要提出什么建议的话,建议大家加强应急处置预案的能力和关键信息基础设施的保护。各单位信息化从业者值得注意的是,网络安全建设的成熟度不意味着网络安全产品数量和种类的堆叠,建议从安全体系的角度合理规划、合理建设、甚至适度精简,将资源和建设能力投放在如何抵御新时代的网络安全风险上,同时建议在信息化建设的同时统筹考虑网络安全的建设,做到同步规划、同步建设、同步执行。尽量做到四个“W”,就是who(谁),what(做了什么、改了什么、拿了什么),where(数据拿到哪里去了),when(什么时候拿的)。通过我们每个人的努力,网络安全法以及等级保护2.0制度的落实,将会更加顺利有效。
东软集团网络安全事业部资深等级保护咨询专家王华铎