公安部第三研究所所长助理金波、公安部网络安全保卫局副处长祝国邦、上海市公安局网络安全保卫总队通报队队长刘岭、公安部信息安全等级保护评估中心副研究员马力、深信服安全事业部副总经理欧阳熹、上海市国资委信息中心主任王宇颖、国家网络与信息系统安全产品质量监督检验中心陈妍博士、国家网络与信息系统安全产品质量监督检验中心邹春明、元达律师事务所资深律师史宇航出席并做精彩演讲。现场超过400人参加会议,同时吸引了4000多位线上直播用户共同参会。
▲大会现场
公安部第三研究所所长助理金波致辞表示,网络安全等级保护制度2.0国家标准发布,对加强我国安全保护工作、提升安全保护能力具有重要意义。本次宣贯会,目的在于让大家共同学习等级保护的相关标准。运营者必须按照网络安全等级保护制度,采取技术防范措施,履行相应的网络安全保护义务。
▲公安部第三研究所所长助理
金波
公安部网络安全保卫局副处长祝国邦详细介绍了网络安全等级保护制度2.0,并强调了其重要意义,网络安全等级保护制度是国家网络安全领域的基本政策、基本制度;是借鉴国外先进网络安全保护方法、保护技术与中国特色相结合的创举;是行业部门、企事业单位开展网络安全保障工作的基本方法;是网络安全领域专家学者、科研机构、企业等集体智慧的结晶;是维护国家安全、社会秩序和公共利益的根本保障。
同时他还介绍了网络安全等级保护制度2.0与1.0的不同及变化,强调网络安全等级保护制度2.0国家标准进一步强化“一个中心、三重防护”的安全保护体系,并为各单位、各部门落实网络安全等级保护制度2.0提供相应的指导和工作建议。
▲公安部网络安全保卫局副处长
祝国邦
公安部信息安全等级保护评估中心副研究员马力对网络安全等级保护制度2.0标准体系及重要标准进行解读,并详细剖析了网络安全等级保护2.0标准的变化。
1.名称的变化
由《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》,与《网络安全法》保持一致。
2.对象的变化
由信息系统改为等级保护对象。将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。
3.安全要求的变化
由安全要求改为安全通用要求和安全扩展要求。安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
4.章节结构的变化
以三级安全要求为例,三级要求下有安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。不同的三级定级对象,使用的要求根据定级对象采用的技术不同而应用不同的扩展要求。
5.分类结构的变化
技术部分调整为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
管理部分调整为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
6.增加新的扩展要求
新增的扩展要求包括“云计算安全”、“移动互联安全”、“物联网安全”、“工业控制系统安全”等方面。
7.增加了应用场景的说明
增加附录C描述等级保护安全框架和关键技术,增加附录D描述云计算应用场景,附录E描述移动互联应用场景,附录F描述物联网应用场景,附录G描述工业控制系统应用场景,附录H描述大数据应用场景。
▲公安部信息安全等级保护评估中心副研究员
马力
深信服安全事业部副总经理欧阳熹带来了《网络安全事业,立于等保基石》的演讲,他从安全厂商的角度出发,介绍了其对网络安全等级保护2.0的思考和理解。深信服根据网络安全等级保护2.0国家标准提出的三种防御技术要求,进行了相应的创新和实践:
1.对于云场景下的保护要求
深信服发布了基于云技术架构的安全防护产品XSec,在适应云计算业务应用所需的弹性扩展要求同时,进行个性化的安全编排,实现安全服务化的交付。
2.对于态势感知工作的要求
深信服开发了基于用户内网的态势感知系统,通过采集网络流量信息和终端数据,结合人工智能的分析框架以及安全专家的人工服务,对用户内部网络安全状况进行实时分析,并且清晰地呈现出来。
3.对于恶意代码的防范
深信服研发了SAVE安全智能检测引擎,能够识别代码的行为,通过它的内在关联动作判断恶意属性,从而更有效地对新型恶意病毒、恶意代码进行查杀。同时深信服还提出了云网端联动的技术,实现在勒索病毒发起攻击的瞬间,迅速检测到其横向攻击动作,切断其对系统的威胁。
4.对于管理方面要有新的有效手段
深信服提供基于本地大脑和人机共智的安全托管服务,有效克服了传统安全服务基于人的堆砌、基于人的判断,而导致服务效果不同的问题。同时在其基础上,深信服提出的人机共智安全架构,有效实现了等保防护能力的全面落地。
▲深信服安全事业部副总经理
欧阳熹
上海市国资委信息中心主任王宇颖带来了“上海国资企业面临的网络安全挑战和对策”的演讲,并通过对国资系统2018年网络安全通报情况进行分析,将主要问题分为五类:网络安全意识普遍比较薄弱;安全事件报告不及时;应急预案落实不到位;防护保障能力薄弱;防护合力尚未形成。并且他建议通过制度+科技+人才相结合的方式,更好地落实信息安全。
▲上海市国资委信息中心主任
王宇颖
国家网络与信息系统安全产品质量监督检验中心陈妍博士针对网络安全等级保护2.0的云计算应用场景进行相关解读,并为大家着重介绍了责任共担模型。云服务商的责任是底层硬件和虚拟化层的保护,云服务用户的责任是中间件层保护,以及应用和数据的保护。
▲国家网络与信息系统安全产品质量监督检验中心
陈妍博士
国家网络与信息系统安全产品质量监督检验中心邹春明带来了针对网络安全等级保护2.0工控应用场景的解读,他在讲话中提出,首先需要有安全的工控设备和计算设备;另外,要采用可靠的工控信息安全产品,针对全生命周期进行安全管理,做好工控系统的信息安全。
▲国家网络与信息系统安全产品质量监督检验中心
邹春明
元达律师事务所资深律师史宇航进行了“等级保护赋能企业数据合规”的主题分享,他强调,网络安全等级保护制度是法律义务,信息安全人员和法律从业者要及时进行双向沟通,清晰公司业务对网络架构可能产生的影响。
▲元达律师事务所资深律师
史宇航
深信服秉持着“面向未来,有效保护”的安全理念,在网络安全等级保护2.0的新时代下,积极参与,全情投入,践行网络安全等级保护2.0,与监管单位、测评机构和其他安全厂商一起共建生态,共同为中国广大用户的网络安全保驾护航。