5月16日,由公安部第三研究所、公安部第一研究所主办,深信服承办的网络安全等级保护制度2.0国家标准宣贯会在北京举行。等保1.0已经实行多年,但是网络技术却也在不断发展,网络空间的领域更是在不断扩展延伸,等保2.0正是国家对持续变化的网络环境与攻防迭代做出的回应。
等保2.0的三大标准、三大特点与十大变化
公安部信息安全等级保护评估中心马力
在会上,公安部信息安全等级保护评估中心马力副研究员对等保2.0标准体系以及主要标准进行了介绍。
这次发布的等保2.0包括了最为核心的三个标准:基本要求、设计要求和测评要求。在这三个核心标准之上,相比等保1.0,马力副研究员介绍了等保2.0的三大特点和十大变化。
第一大特点是等保2.0标准覆盖了新的技术和应用场景,将云计算、物联网等技术都纳入了等保范围之内。由于技术的多样性以及非完全的泛用性,等保2.0采用了通用要求+新型应用安全扩展要求的设计。不同的组织和机构,在满足通用要求的基础上,根据自身的信息技术环境,满足扩展要求。
第二大特点则是等保2.0采用了一中心三重防御(安全管理中心+安全通讯网络、安全区域边界、安全计算环境)的统一安全架构,将安全标准作为一个完整的体系进行落地。
第三大特点就是将可信验证加入了标准范围之内,从一级到四级都提出了可信验证空间。在会上,马力也提到,在标准的试用期期间,对于可信验证的落地确实遇到了一点困难,他也希望相关的硬件厂商、软件厂商、安全服务商能够共同努力,把可信验证、可信计算这方面的产品产业化,从而更有效地支撑新标准。
根据这三大特点,等保2.0与等保1.0有着以下的十大特点:
1. 1.0标准的名称在2.0时期全部调整为网络安全等级保护,比如网络安全等级保护基本要求,网络安全等级保护而且要求,网络安全等级保护测评要求,2.0标准全部以网络安全等级保护命名。
2. 1.0的等保对象称之为信息系统,2.0标准使用的名称叫等级保护对象。这些等级保护对象基本上全囊括了所有计算机控制的相关系统。
3. 通用要求与扩展要求相结合。共性化保护需求称之为通用要求,个性化保护需求称之为扩展要求或者叫特殊要求。因此标准的使用,是通用要求+扩展要求。
4. 目录架构发生了变化。等保1.0第三级要求底下分技术要求、管理要求;而等保2.0在第三级分类下分通用要求和扩展领域要求。在等保1.0环境,三级系统需要技术要求和管理要求的全实现,而在等保2.0需要去选择自己适合的扩展领域要求去满足。
5. 形成一中心三重防护加上安全物理环境的技术分类结构,以及由安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理的管理分类结构。
6. 增加了云计算安全扩展要求,主要增加内容包括 “基础设施位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择” 和 “云计算环境管理” 等方面。
7. 增加了移动互联安全扩展要求,包括无线网关,无线通讯,移动终端,移动APP等方面。
8. 增加了物联网安全扩展要求,主要增加内容包括 “感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理” 和 “数据融合处理” 等方面。
9. 增加了工业控制系统安全扩展要求,主要增加内容包括 “室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制” 和 “控制设备安全” 等方面。
10. 增加了应用场景的说明,对于不同的技术增加了应用场景的说明,其中附录H描述了大数据应用场景(以及安全扩展要求)。
这些新的改变构成了等保2.0对组织和机构网络安全能力的更进一步的要求,使得组织和机构需要更进一步地建设有效的网络安全防线,真正落实 “没有网络安全,就没有国家安全”。
另一方面,在今后,将有另外两个标准被发布,分别是实施指南与定级指南,帮助企业更好地落地等保2.0要求。
看深信服如何落地等保2.0
深信服CEO何朝曦
作为宣贯会的协办方,深信服显然已经为等保2.0做好了准备。在会上,深信服CEO何朝曦从厂商的角度,分享了一些对等保2.0发布的意义和感悟。
何朝曦提到,等保2.0里将大量的重点技术创新,包括可信计算、态势感知等,融入到对用户安全建设的基本要求之中。同时,在指导最新的网络安全技术实践方面,等保2.0在修订过程中参考了各种新型攻击的防御方法,在标准中都对相关技术进行了指引。
在等保2.0的落地实践过程中,安全厂商也需要进行配合,开发匹配的安全产品,做好网络安全服务,不仅仅帮助用户建设合规的安全体系,更是在实际运作环境中有效的网络安全体系。何朝曦表示,深信服在这方面,会主要做好三方面工作:
1. 通过宣贯、培训帮助用户理解和应用等保方面的知识。
2. 通过产品的创新,场景的适配,向用户交付真正有效果的等保2.0方案。
3. 厂商要和监管部门、评测机构和其他厂商通力协作,推进等保2.0工作不断发展。
在推广过程中,深信服发现用户在落实等保2.0的过程中有两个困难:对等保制度细节缺乏了解,或者不理解其中的技术标准,从而不知道自己是否该做等保,包括2.0的标准和1.0有哪些变化,该如何解读;另一个问题,就是由于缺乏相关的实践经验,不知道如何将等保制度落地。
针对这两个问题,深信服通过组织各种类型的沙龙、研讨会、交流会等活动,对各个行业的客户进行等保制度的讲解,同时组织详细的技术培训,解决客户对等保2.0不够了解和理解的问题。同时,通过向客户提供等保的具体案例,让客户更直观地了解等保的落地过程,并且帮助客户根据等保建设、整改自己的安全防线。
作为一家安全厂商,自身过硬的产品才是对等保最好的配合。深信服在落实等保2.0的过程中,也在对自己的产品不断改进。针对等保2.0对各种场景的保护要求,深信服也相对地在自身的产品领域做出了对应的解决方案。针对云计算安全的场景,深信服研发了软件定义的集成安全平台XSec。通过把用户需要的各种功能进行细化,XSec能够适应云计算环境下弹性扩展的要求,对云平台厂商以及深信服自身的云计算产品进行统一的编排。
另一方面,深信服和其他安全厂商一起协作,在XSec平台上直接集成了等保2.0三级所需要的一系列安全组件,依据行业的实践,编排成统一的模板。对于云租户而言,只需要选择相对应的等保要求服务,就可以马上启用相关等级的等保2.0规范的云保护方案。XSec是一个完全开放的平台,上面已经承载了十几个安全厂商的不同安全能力组件,从而实现了各个厂商优势互补,为云环境中为用户提供安全有效的整体等保2.0方案。
正如之前提到的,等保2.0加入了大量新技术,其中之一就是态势感知。深信服针对性地开发了应用于用户内网的态势感知系统,通过采集网络流量、安全日志、终端信息等原始数据,辅以人工智能的分析引擎、安全专家建立的安全模型、和威胁情报,对用户内部网络的安全状况进行实时分析以及通报预警。
另外,深信服针对近年来肆虐的勒索病毒也开发了一整套的防勒索软件解决方案,通过终端的EDR软件,以及云网关联动,实现对安全攻击的全网快速处置和响应。事实上,不只是针对勒索病毒,该解决方案还能应用于检测和阻断其他高级威胁。
安全不仅仅只是产品,同样也有服务。深信服也为自己的客户提供持续性的安全服务。通过安全服务中心管理和自动化人工智能服务平台,为客户提供24小时的安全服务。
安全牛评
等保2.0的发布代表了我国的网络空间安全要求进入了新的篇章。等保2.0落地的关键,是安全厂商帮助客户更充分地了解等保2.0的内容,满足等保2.0的合规要求。另一方面,安全厂商自身作为安全产品、安全服务的提供者,只有完全学习和掌握等保2.0的内容,才能为客户提供最有价值的安全产品和解决方案。这一次由深信服协办的宣贯会,显然是帮助整个行业以及需要满足等保2.0的组织和机构加深了对等保2.0的了解,并且向行业分享了对自身责任的感悟。
相关阅读
