等保2.0时代的网络安全升级
今年6月,公安部公布了《网络安全等级保护条例(征求意见稿)》(下称等保条例)指出,网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,还要求采取主动防御、可信计算、人工智能等技术,提升网络安全防范能力和水平。
沈昌祥院士在授课中详细讲述了如何利用可信计算筑牢网络安全防线。他认为,封堵查杀模式的网络安全已经过时,我们要用可信计算的架构,构筑可信计算免疫体系,即主动免疫可信计算,是指计算运算的同时进行安全防护,计算全程可测可控,不被干扰,只有这样方能使计算结果总是与预期一样。
中国工程院院士 沈昌祥
范春玲处长结合乌克兰电网攻击事件、美国大规模断网事件等网络攻击案例,详细介绍了我国网络安全等级保护制度建设的思路。她表示,等保制度在接下来重点工作目标就是关键信息基础设施保护和大数据安全,一方面将我们国家现有的网络安全的保护措施,如风险评估、监测、通报预警等,纳入到等保制度中实施,另一方面将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等保监管,保障重点领域、重点应用能够在投入运行之前,风险能得到有效管控。
公安部网络安全保卫局副处长 范春玲
在下午的授课培训中,360企业安全集团副总裁韩永刚表示,传统从以网络防护为核心需要转变到以保护数据为核心,系统分层解耦,安全深度融合,防护对象做全面覆盖,在计算环境里,构建一个以数据分析为基础的大脑,实现积极防御。最终把网络安全作为一种能力,让它具备更多的弹性,更好的和信息化系统融合。
360企业安全集团副总裁 韩永刚
等级保护的新标准等保条例共八章七十三条,包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于此前的《信息安全等级保护管理办法》所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,标志着等级保护正式迈入2.0时代。
公安部第一研究所等保测评中心副主任、副研究员李秋香在授课中解读了信息系统类的等保标准。该标准的基础包括两个方面,第一是可信认证,可信认证是保障主体客体都是可信的,是一个正确的用户去访问一个正确的客体;第二是访问控制,主体对客体访问控制规则是正确的。该标准的核心思想是强调策略,强调保护措施,在统一策略和统一保护机制的情况下,达到基本的安全防护的最低目标。
公安部第一研究所等保测评中心副主任、副研究员 李秋香
公安部信息安全等级保护评估中心副研究员陈广勇则详细介绍了等保条例的标准内容。他介绍道,为了配合《中华人民共和国网络安全法》的实施,同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展,新标准针对共性安全保护需求提出安全通用要求,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。公安部信息安全等级保护评估中心副研究员 陈广勇
本次培训班五位授课人从外部网络安全环境的变化、企业自身的变化和等保标准的变化做了详细的解读,为等保新标准下网络安全建设带来了全新的思路。在等保条例即将发布之际,学员们皆获益匪浅。2017年6月1日,我国《网络安全法》正式实施。《网络安全法》规定,国家实行网络安全等级保护制度。为此,2018年6月公安部公布了《网络安全等级保护条例(征求意见稿)》,并对原有的等级保护基本要求标准进行了修订,抓紧完善等保标准体系。新等保标准对应用可信计算技术提出了明确要求,为构筑积极防御的国家网络安全防线提供了基本方法。
培训班听众普遍认为,在等保进入2.0时代、2019年即将到来的时刻,举行等保新标准培训班十分必要。他们建议,中关村可信计算产业联盟要继续发挥资源优势,定期举办类似的网络安全政策、技术培训班,链接“产、学、研、用”,培育可信计算生态环境,抓住机遇发展壮大产业,为建设国家网络安全保障体系发挥更大作用。