天极网亲访5位网络安全专家,为你全面专业解读“等保2.0”
5月13日,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术网络信息安全等级保护基本要求》,俗称“等保2.0”。据悉,等保2.0将于2019年12月1日正式实施。等保2.0的发布,标志着我国正式进入“等保2.0时代”。
天极网记者采访五位网络安全专家,以“一线”视角为广大用户解读等保2.0,并为企业用户做到标准合规提出建议。
等保2.0的发布,这是一件好事。启明星辰集团网御星云技术总监马闽认为,这标志着我国网络安全等级保护工作正式进入“2.0时代”。等保2.0的发布充分贯彻《中华人民共和国网络安全法》,实现我国网络安全战略目标,落实分等级保护、突出重点、积极防御、综合防护的总体要求,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,坚持同步规划、同步建设、同步运行网络安全保护措施的“三同步”要求,提升我国的网络安全综合防护能力。
当今,互联网发展“一日千里”,无论是底层的IT基础设施,还是普通消费者每天使用的互联网应用,变化随时发生,变革日新月异。互联网,就像一匹脱缰的野马,正“蒙眼狂奔”,而网络安全则是“这匹野马的缰绳”。当互联网这匹野马跑得越来越快,老旧的“缰绳”却遏制不住它的速度。
据工信部5月23日发布的《2019年第一季度信息通信行业网络安全监管情况通报》表明,公共互联网安全保护形势依旧严峻。
其中,一季度,恶意程序、各类钓鱼和欺诈网站仍不断出现,全行业共处置网络安全威胁约967万余个,包括恶意IP地址、恶意域名等恶意网络资源近170万个,木马、僵尸程序、病毒等恶意程序约698万余个,网络安全漏洞等安全隐患约4.8万个,主机受控、数据泄露、网页篡改等安全事件约93.5万个。
这些网络安全问题不仅严重威胁了企业信息网络安全、资金账户安全,而且影响企业声誉,造成严重的经济损失。
因此,等保2.0的出台,有利于提高企事业单位的网络安全意识,在等保合规框架内做好网络安全工作。
等保2.0的诞生历程
1994年,国务院发布《计算机信息系统安全保护条例》147号令。该条例首次提出“计算机信息系统实行安全等级保护”,安全等级保护理念由此诞生。伴随国家信息化的高速发展,2007年,公安部发布《信息安全等级保护管理办法》,俗称等保1.0,这标志着全国范围的网络安全等级保护工作正式拉开序幕,并成为我国网络安全方面的主要依据。
但是,等保1.0不仅缺乏对一些新技术和新应用的等级保护规范,比如云计算、物联网和移动互联网等,而且风险评估、安全监测和通报预警等工作以及政策、标准、测评和服务等体系不完善。
启明星辰集团首席安全专家赵呈东
据启明星辰集团首席安全专家赵呈东介绍,根据全国信息安全标准化技术委员会2013年下达的国家标准修订计划,国家标准《信息安全技术 信息系统安全等级保护基本要求》修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-002。
2013年12月,公安部第三研究所、国家能源局信息中心以及启明星辰信息技术集团股份有限公司成立了《信息安全技术 信息系统安全等级保护基本要求》标准编制组。
启明星辰集团网御星云技术总监马闽向天极网记者全面介绍了等保2.0的起草过程:
2013年12月,标准编制组成立;
2014年1月-3月,标准编制组按照计划调研国际、国内新技术和新应用的情况,完成研究报告;
2014年4月-2016年11月,标准编制组修订出标准草案的第一稿至第七稿,组织多次专家评审会,形成标准征求意见稿;
2017年2月,公安部根据征求意见稿收集建议并修改,形成标准送审稿;
2019年5月13日正式发布,12月1日正式实施。
经过6年时间,“等保2.0”正式完成并发布。深圳市网安计算机安全检测技术有限公司(简称“深圳网安公司”)副总工程师黄伟杰认为,随着云计算、移动互联、大数据和工业互联网以及物联网等一系列新技术、新产业的蓬勃发展,信息技术形态发生重大变化。与此同时,也带来新的安全威胁和挑战,网络空间的安全治理将进一步走向细分。
深圳市网安计算机安全检测技术有限公司副总工程师黄伟杰
他说,“深圳市网安计算机安全检测技术有限公司认为,在这种形势下,国家及时推出等级保护2.0,解决新阶段的网络安全问题,为我国的数字化快速发展保驾护航,是一种必然的趋势和时代的需要。”
在笔者看来,等保1.0解决的是PC互联网时代的问题。但经过十年发展,中国互联网已经发展深入,进入移动互联网时代。我们看到,基于云计算、大数据和人工智能,移动互联网的底层IT基础设施正在加速迭代,企业上云,数据迁移和微服务以及容器化等,让一些网络安全问题变得更复杂,涉及面更广。另一方面,移动互联网的成熟,让各种互联网应用“蓬勃发展”,新应用不断产生,网络安全问题也随之而来。
因此,等保2.0是要解决移动互联网时代新形势下产生的网络安全问题。
网络安全大咖为你解读等保2.0
等保2.0体系复杂,涉及面广。虽然笔者大致浏览完这份文件,但是仍然无法把握其精髓。对更多人来说,或许正面临同样的问题。因此,笔者关心的问题是:等保2.0的关键信息是什么?它想要向外界传达哪些信息?
黄伟杰称“等保2.0的关键信息是‘定位’,中华人民共和国《网络安全法》第二十一条明确提出‘国家实行网络安全等级保护制度’,确立了等级保护的地位。”
“这向外界清晰地传递了一个重要信息,即等保2.0已经上升到法律层面,是网络空间安全的基础,关乎国家安全,它所体现出来的基础性、包容性、适应性和扩展性等新特性,能够适应现阶段网络安全的新形势、新变化和新技术以及新应用发展的要求。”他说。
爱加密等保专家韩云则认为,等级保护2.0的关键信息是在原来1.0基础上增加的部分,例如云计算安全、移动互联安全、物联网安全、工业控制系统安全及应用场景。
爱加密等保专家韩云
从这点来看,等级保护2.0向外界传达的网络安全等级保护的标准不再是单一的,网络安全需要全面的、多方位的、多角度的共同发展,是全网络、全产业和全社会的责任及义务。
此外,我们注意到等保2.0从正式发布到实施,中间留出近6个月时间。
谈到这个做法时,“等保2.0是个新兴事物,从发布到实施这个区间是为等保2.0的普及和传播留下时间,为企业网络信息系统的转变升级提供过渡。这6个月是学习、学会、学懂网络安全等级保护、领悟其精髓的6个月,是从单一信息安全到网络安全思想转变的6个月,意义深远。”韩云说。
黄伟杰则简明扼要地指出,中间留出近6个月时间,有利于加强等保2.0理念的宣传贯彻、解读推广;对网络运营者能及时根据新的要求对贯彻落实工作预留充分时间。
启明星辰集团网御星云技术总监马闽
亲自参与等保2.0标准的起草人马闽更具体的解释道,已经发布的等保2.0设计要求、基本要求、测评要求和测评指南系列标准,信息量之多、跨度之大、覆盖之广,即覆盖所有对象,包括网络、信息系统、信息,以及云平台、物联网、工控系统、大数据和移动互联等各种新技术应用,且覆盖社会的各地区、各单位、各部门、各企业和各机构。
等保2.0建设整改过程包括定级、规划设计、建设整改、风险评估和等级测评,而测评周期变为三级以上每年测评,且测评结果变为75分以上才算基本符合要求,基本上实施过程需要6个月。
等保2.0与等保1.0的大不同
与等保1.0相比,等保2.0在等保1.0的基础上做出全面的升级调整,这体现在网络安全防护思维的变化,从被动防御到主动防御、从一套标准走天下到细分领域定要求,更加强调整体管控能力,既能解决基础问题又可应对新的安全风险。
“以期通过打造包含感知预警、安全分析、动态防护、全面检测和应急处置并重于一体的主动安全保障体系,在最大程度上全面提升网络安全防护能力。” 黄伟杰说。
启明星辰集团首席安全专家赵呈东则认为,最大的变化是网络安全等级保护制度2.0国家标准在1.0的基础上,实现对新技术、新应用安全保护对象和安全保护领域的全覆盖,将云计算、物联网、移动互联、工业控制系统和大数据等相关新技术应用全部纳入保护范畴。
锐捷网络安全产品事业部总经理项小升则指出,与等保1.0相比,等保2.0首先是标准顺应时代发展变化,精简删去部分已经过时的条款;其次,名称从“信息安全”变为“网络安全”,这意味着保护对象主体外延扩大到整个网络构成,不再仅仅是面向信息系统本身,同时也代表着物联网、移动互联网、工控网、云数据中心等新扩展标准的引入。
锐捷网络安全产品事业部总经理项小升
最后,“等保2.0跳出1.0时代‘被动防御’的体系思路,重点强调了对未知威胁进行‘主动防御’,并积极采用新型技术的开放观点,这是指导思想的一个重大革新。”他说。
等保2.0全面袭来 企业如何面对?
对企业来说,如何更好地理解并在企业中实践等保2.0的要求?
启明星辰集团首席安全专家赵呈东表示,企业可以从五个方面来做:
第一,加强等级保护2.0的培训宣传;
第二,与高校等机构合作,发挥企业网络安全优势,产教结合;
第三,服务引导用户向等保2.0规划建设,将等级保护2.0的思想融入企业提供的网络安全解决方案和安全服务中;
第四,配合公安部等国家监管部门网络安全等级保护2.0的落地实施;
第五,加大与行业客户的沟通,助推国家标准在行业的落地,推动行业等级保护标准的编写和发布。
深圳网安副总工程师黄伟杰则称,结合行业客户的实际需求,提出三个方面的建议:
首先,企业需建立等保2.0为核心的网络安全管理体系。等保2.0是从当前信息化的安全保护需求出发,经过十几年的实践基础而建立的一套新的安全体系,适合用户现阶段的风险管理需要,而且现在很多的企业信息技术形态包含了云计算、移动互联、大数据等多种新应用共存的情况,等保2.0管理体系有利于用户全局统筹。
其次,将等级保护合规融入日常安全运营流程中。等保2.0并非一次性的合规工作,许多控制项需要结合到日常网络安全管理流程中才能体现出效用,通过持续应用和优化,才能提高合规成熟度,获得真正的安全防护能力。
最后,定期开展等保2.0合规自查和专项检查。等保2.0的合规工作不能只依赖一年一次的测评机构检查,企业用户应结合自身安全保障需求,定期根据新的标准开展自查工作,在重要事情或发生了重大的网络安全事件后,开展专项性的检查。
写在最后:
等保2.0虽然不是十全十美,比如更多的考虑落地和可实施性、缺乏针对区块链和人工智能的要求等,但是它是一个很重要的进步。不仅在于等保2.0的思想“前进”,注重“主动安全”,而且它的发布和实施,有利于推动我国网络安全产业的发展。