不禁想问,一个耗时多年的国家级政策和标准,就这么轻而易举的被解决了?
对此,网络安全行业等保领域的老兵、山石网科高级副总裁杨庆华在接受采访时表示——不能将等级保护2.0庸俗化,只谈技术不谈管理的等保2.0都是耍流氓。
作为网络安全行业从业22年的资深专家,杨庆华认为等级保护是科学发展观,是网络安全建设的科学方法论、具有“单一技术搞不定、单一产品搞不定”的复杂特点,不仅要将管理的重视程度提高至技术层面同级别,还要建立一套科学自律的网络安全“生活习惯”。因为持续稳定保障企业的业务运行,才是等保的核心意义。
等保2.0是否已经变成厂商新商机的狂欢?用户面对类目繁多的等保2.0还有哪些“坑”要绕开?杨庆华先生的观点如下:
1、等保2.0是系统发展观非单一标准
等级保护是网络安全建设的科学方法论,通过等级保护的政策指导、技术要求建立一套良性发展的安全体系,才是等级保护制度的意义。而不是浅显地理解成一套执行要求、标准集合。
如今市场出现的各种快速通过的等保2.0药方,相当于把等保庸俗化。就好比想要一个强健的身体,不能光靠吃药。吃药甚至是有害的,更重要被认真对待的是健康的生活方式。等保就是在要求用户在网络安全建设方面,培养健康的生活方式。
2、等保2.0是技术+管理非产品堆叠
用户的安全体系想要健康,必须做到:技术过关,管理够硬。
在技术层面,等保2.0不是一款产品可以解决的,譬如:新标准的三级系统有71个控制点,211个控制项,每一个控制项都需要依靠2-3个设备才能实现;再比如:在等保2.0要求中,三级系统的边界防护,有4条明确的要求项,而这4个要求项至少需要依靠4种技术2-3个产品及安全管理系统才能同时实现……所以说包治百病的“神药”是根本不存在的。
另外,等保也不是购买一堆产品堆叠在一起就可以满足要求的,更不要提什么“套餐”,而是产品的功能、配置、策略以及产品间的协调、配合、联动。
同时要特别注意的是:等级保护将管理要求上升到和技术要求同等重要的位置,管理要求包括人员、机构、制度、运维、建设等方面,其中管理制度仅这一项就包括了策略制定、制度执行、审批流程等细节内容;安全进程管理、安全运维管理的控制点及要求项的数量,甚至超过了技术要求中的分类。
由此可见,即使技术层面可以通过购买产品解决,但管理软实力的修炼,整个体系的搭建需要用户在运维方面多下功夫,不能期望一蹴而就。
而对于厂商而言,不谈管理的等保2.0都是在耍流氓式的进行市场误导。
3、等保测评只是手段非等保目的
企业的网络安全是一个大生命周期。在这个周期里,每个系统之间需要不断调整和完善。随着安全环境的变化,需要随时动态调整策略和结构,因为新的攻击和新的漏洞的网络危险也一直在进化。
在这样大的生命周期里,等保的测评只是手段,用户和厂商都不能把通过测评当成目的。举个例子,不能说通过等保2.0三级的建设标准,就能满足三级标准的安全。因为测评只是及格分,而及格分并不代表合规。真正的安全建设应该大大超出60分。
山石网科观点
综合以上观点,山石网科认为,结合市场现状可以看出,如果有用户认为购买网络安全产品通过等保2.0测评就能保证系统、数据的安全运行,这是没将等保的原理和目的搞清楚。而部分厂商进行“打保票”式的夸张宣传,也是极不负责任的。
等保2.0作为网安行业具有里程碑意义的建设体系工程,厂商不应将合规需求单纯理解成简单的商机,用户也不应该将等保2.0理解成一次简单的安全考试。
厂商和用户都该本着科学发展观的态度来正确解读等保2.0
厂商以解决用户实际问题的态度研发产品,以实事求是的态度进行宣传;
用户则应该对自身提出更高的网络安全管理技术要求,扎扎实实将安全体系建设作为企业业务高效运转的第一护城河。