网络安全等保2.0国家标准宣贯会上,各位专家都说了些什么?

2019-05-28

2017年6月1日,《网络安全法》的正式实施标志着等级保护已经进入2.0时代,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,对等级保护制度提出了新的要求。

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准,并将于2019年12月1日开始实施。


2019年5月16日下午,由公安部网络安全保卫局指导、公安部第三研究所、公安部第一研究所主办,深信服承办的“网络安全等级保护制度2.0国家标准宣贯会”在北京隆重召开。公安部网络安全保卫局、国家市场监管总局、重要行业部门、企事业单位的领导嘉宾,以及测评机构和安全建设整改机构的技术负责人、互联网企业代表等近千人参加宣贯会。

本次宣贯会究竟传达了哪些内容?今天笔者就为大家划一下重点。


领导、专家齐聚宣贯会,权威解读网络安全等保2.0

首先,我们来看看宣贯会上大会致辞环节,领导们都说了些什么。

在大会致辞环节,公安部网络安全保卫局王瑛玮书记表示,等级保护制度2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家保护空间安全具有重要的意义。

此外,他还提出以下四点意见:

一是要高度重视,深刻领会。各单位要认真学习领会标准各项要求,加快推动国家标准的贯彻和实施。

二是要加强宣传,强化培训。各地区各部门要加强对2.0标准的宣传,加强对标准的解读和培训,形成广泛共识,保证标准的整体落地。

三是要推动行标,指导实践。重点行业部门要根据2.0国家标准,结合本行业实践,加快修订完善本行业等级保护行业标准。

四是加强督导,推动落实。各地公安机关各行业主管部门要加强对本地区本行业网络安全等级保护工作的监督、检查和指导,在做好当前网络安全等级保护工作的基础上,逐步向2.0国家标准有关要求过渡,不断提升本地区本行业本部门网络安全保护能力。

公安部第一研究所于锐副所长透露,自2016年开始,在公安部网络安全保卫局支持和指导下,第一研究所针对信息安全服务企业,安全提供商开展了15期国家网络安全等级保护安全建设专业技术人员培训工作,共培训了3000多名网络安全等级保护安全建设专业技术人员。通过审核获得网络安全等级合格证书单位达到126家。

今年,在公安部网安局指导下,第一研究所正积极筹建中关村网络安全等级保护安全建设创新联盟,旨在强化整改环节规范化管理,整合网络安全行业资源,共同推进网络安全等级保护重大问题等进行联合的技术攻关。

对于等保2.0国家标准后续的工作,国家市场监管总局标准技术管理司王莉处长给出了三点建议:一是要加强标准的推广应用,提高标准实施的效率;二是支撑国家重大战略,持续优化标准体系结构。三是重视开展国际交流与合作,推动标准与国际接轨。跟踪研究本领域的标准国际技术和标准发展趋势,组织有关单位和专家推动中国标准进入国际标准化舞台。

国信安标委秘书处杨建军秘书长在致辞中指出,等保系列标准是我国网络安全国家体系的重要组成部分,目前全国信安标委会有268项,在其中有将近40项是等级保护相关的国家标准,其中涉及一些系统的定级、管理要求、技术要求、测试评估等等工作。

他还强调,网络安全等级保护基本要求、设计要求是等保系列标准中的核心标准,作为指导网络运营者履行网络安全保护责任重要依据。广泛应用于各个行业相关领域,但是这个标准随着技术的发展,需要进行修订和维护,所以及时修订等保标准,保持这些标准科学性、合理性、有效性,是推动网络安全工作的技术保障。

公安部网络安全保卫局郭启全总工程师指出了网络安全等级保护制度进入2.0时代的典型标志,强调了网络安全等级保护制度的重大意义,总结了新时期国家网络安全等级保护制度的鲜明特点。

谈及等级保护和关键信息基础设施保护的关系,他表示:

第一,要依据法律规定。网络安全法规定:国家实行网络安全等级保护制度;关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

第二,要保持一致性。关键信息基础设施安全保护与网络安全等级保护,在法律法规、政策、标准、措施等方面必须保持一致。

第三,要明确二者关系。等级保护是国家的基本制度,具有普适性,全覆盖;关键信息基础设施是等级保护制度保护的重点,加强保护、保卫和保障。

在主题演讲中,中国工程院沈昌祥院士发表了《重启可信革命,夯实网络安全等级保护基础》的主题演讲。他指出没有网络安全,信息社会将会成为黑暗中的废墟。强调要有科学的网络安全观,国家等级保护制度2.0标准要求全面使用安全可信的产品和服务来保障关键基础设施安全,要用科学的网络安全观来理解法律安全可信。

他强调,等级保护2.0的时代特征是要确保关键信息基础设施安全,主要分为三个层面:

第一个层面是法律支撑,即我国的计算机系统等级保护条例提升为国家基础性法律制度,即“网络安全法”中的网络安全等级保护制度;

第二个层面是科学技术层面,由分层被动防护发展到了科学安全框架下的主动免疫防护;

第三个层面为工程应用层面,由传统的计算机系统防护转向了新型计算环境下的网络空间主动防护体系建设。

紧接着,公安部信息安全等级保护评估中心测评部主任、等级保护国家标准的主要起草者,马力副研究员介绍了网络安全等级保护2.0标准体系及主要标准,讲解了网络安全等级保护2.0标准的特点和变化,以及框架和内容。

他表示,网络安全等级保护2.0标准主要具有三大特点:

一是,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

二是,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

三是,强化可信计算。新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

最后,他强调,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将替代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》,并呼吁大家认真学习新版等保要求。

践行网络安全等保2.0,听听安全厂商如何说

全面落实网络安全等级保护制度,离不开监管机构、评测机构,以及用户和网络安全厂商建的全面协同。等保2.0的发布为企业合规提出了更高的要求,而作为提供安全能力的第三方,网络安全厂商在等保2.0的推广和落地当中应该承担相应的责任。下面,我们看看来自深信服、亚信安全和奇安信的三位演讲嘉宾对于践行等保2.0的一些观点。

对此,深信服科技有限公司CEO何朝曦认为,所有的网络安全厂商其实都是等级保护制度推行的受益者,网络安全厂商也有责任和义务投入到等级保护制度的落地当中去,落实网络安全等级保护制度需要监管部门、评测机构、广大用户还有厂商各司其职,共同努力。

而网络安全厂商主要的责任就是:根据网络安全等级保护2.0的标准发展安全技术,开发匹配的安全产品,全力做好网络安全服务,帮助用户建设不仅仅是合规,而且真正有效的网络安全体系。

何朝曦表示,想要履行好这份责任,需要做好三方面工作:

第一,通过宣贯、培训帮助用户理解和应用等保方面的知识。

第二,通过产品的创新,场景的适配,向用户交付真正有效果的等保2.0方案。

第三,厂商要和监管部门、评测机构和其他厂商通力协作,推进等保2.0工作不断发展。

其实,为了保障网络安全等级保护2.0的建设工作顺利落地,深信服做了充分的准备工作。比如:针对新增的云计算安全场景,深信服专门研发了XSec安全资源池产品,通过将用户需要的各种安全功能池化,做到适应云计算环境下弹性扩展的要求;为了帮助用户对抗勒索软件攻击,深信服按照等级保护2.0的技术要求开发了一整套防范勒索软件的方案。

对于如何践行网络安全等保2.0,亚信科技安全首席运营官陆光明也表达了几大观点:

观点一:以身份为基础,构建网络空间信任体系;

观点二:以攻防为视角,提升全方位主动防御能力;

观点三:以联动为策略,提升网络安全事件智能响应能力;

观点四:以运维为关键,加强统一集中管控平台建设;

观点五:从实战出发,建设自适应安全体系。

奇安信集团副总裁韩永刚表示,等级保护不能只是为了应对合规,等保2.0时代,安全建设必须和新一代的信息化系统实现深度融合,全面覆盖,从而构建创新的安全体系。奇安信结合等保2.0关口前移,与信息化基础设施深度融合,提出了“44333”的安全新思路,即是:

四个假设:系统移动有没被发现的漏洞、一定有已发现漏洞没打补丁、系统已经被黑、一定有内鬼。

四新战略:新战具(第三代网络安全技术)、新战力(数据驱动安全)、新战术(动态授权与访问控制)、新战法(人+机器安全运营)。

三位一体:高位能力、中位能力、低位能力。

三同步:同步规划、同步建设、同步运营。

三方制衡:用户、云服务商、安全公司。

会议最后,自然资源部信息中心顾炳中总工程师,作为重要行业代表分享了自然资源行业开展等级保护工作的宝贵经验和做法,发表主题演讲《网络安全等级保护制度2.0的行业实践》。

他表示,等保2.0时代,国产的操作系统厂商、路由与交换厂商、边界安全设备厂商等,应该真的从国家安全利益出发,从产业发展出发,投入到可信计算,投入到2.0标准上面。比如:国产的操作系统能提供可信的操作系统,而不是去买一个加固软件,去打补丁。如果从操作系统,可信相对容易实现,而不是靠可信厂商提供可信的包解决。

写在最后

等级保护制度2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代。对于保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家网络空间安全具有重要的意义。

放眼未来,我们相信,通过多方的共同努力,在公安部领导的大力推动下,网络安全等级保护2.0标准一定能够开创网络安全保护的新局面,为网络安全强国建设做出更大的贡献。



本文系转载,作者:杜美洁来源:51CTO|