信息來源：比特網(wǎng)

近日，由公安部主辦的第六屆全國等級保護(hù)技術(shù)大會在南京舉行，國家等級保護(hù)體系開始了進(jìn)一步的明確。此次大會提出了哪些等級保護(hù)工作的新主題和新重點(diǎn)？作為等級保護(hù)相關(guān)負(fù)責(zé)人又該如何去理解和應(yīng)對？東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)部資深等級保護(hù)咨詢專家王華鐸，針對等保2.0以及《國家網(wǎng)絡(luò)安全法》關(guān)于等保的新要求為我們進(jìn)行了深層解讀。

東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)部資深等級保護(hù)咨詢專家王華鐸

一、什么是等保2.0

網(wǎng)絡(luò)安全等級保護(hù)已經(jīng)進(jìn)入2.0時代，等級保護(hù)制度已被打造成新時期國家網(wǎng)絡(luò)安全的基本國策和基本制度。應(yīng)急處置、災(zāi)難恢復(fù)、通報(bào)預(yù)警、安全監(jiān)測、綜合考核等重點(diǎn)措施全部納入等保制度并實(shí)施，對重要基礎(chǔ)設(shè)施重要系統(tǒng)以及“云、物、移、大、工控”納入等保監(jiān)管，將企業(yè)納入等級保護(hù)管理。

去年和今年等保大會的一個共同的重點(diǎn)是新等保標(biāo)準(zhǔn)——等保2.0，現(xiàn)在正在征詢意見，預(yù)計(jì)于今年年底或明年年初正式發(fā)布。今年等保工作信息化建設(shè)的整體思路是緊跟隨網(wǎng)絡(luò)安全法的步伐， 以此為核心延伸出了關(guān)鍵基礎(chǔ)設(shè)施、態(tài)勢感知平臺、應(yīng)急響應(yīng)等重點(diǎn)方面的話題。

對于我們來說等保大會是指引方向的路標(biāo)，今年是方向感非常強(qiáng)的一年，因?yàn)橛芯W(wǎng)絡(luò)安全法的實(shí)施，并伴隨著等保2.0的逐漸建立。現(xiàn)在無論在哪個城市，哪個行業(yè)進(jìn)行等保相關(guān)的會議，網(wǎng)絡(luò)安全法和等保2.0都無疑是主旋律。

二、等保2.0與網(wǎng)絡(luò)安全法的關(guān)系

等保2.0的標(biāo)準(zhǔn)是國內(nèi)非涉密信息系統(tǒng)的安全集成標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全法是作為法律、中國信息安全的基本法。網(wǎng)絡(luò)安全法中明確的提到信息安全的建設(shè)要遵照等級保護(hù)標(biāo)準(zhǔn)來做建設(shè)。

網(wǎng)絡(luò)安全法從立法到配套法律法規(guī)的確定完善，到市場上反映出來一定的效果是需要一定的過程的。這個過程在于執(zhí)法是否落實(shí)到位，規(guī)定的標(biāo)準(zhǔn)是否真的符合業(yè)務(wù)安全痛點(diǎn)。目前來看市場上大部分單位都以合規(guī)性建設(shè)為主，事實(shí)上我認(rèn)為網(wǎng)絡(luò)安全法考慮的非常全面，從立法角度來看，如果一步一步按照法律落實(shí)好，是一部非常健全的體系，做好了并不只是能達(dá)到合規(guī)這個價值層面，而是會使業(yè)務(wù)的風(fēng)險管控、網(wǎng)絡(luò)安全能力會上升到一個新的高度。

三、等保2.0與原信息安全等保標(biāo)準(zhǔn)的不同

從名稱上來看，原信息安全等保標(biāo)準(zhǔn)叫做信息安全等級保護(hù)制度，現(xiàn)在2.0叫做網(wǎng)絡(luò)安全等級保護(hù)制度。這意味著，等級保護(hù)上升到了網(wǎng)絡(luò)空間安全的層面。這個名稱的改變意味著等級保護(hù)的對象全面升級：之前保護(hù)的對象是計(jì)算機(jī)信息系統(tǒng)，而現(xiàn)在上升到網(wǎng)絡(luò)空間安全了，除了包含之前的計(jì)算機(jī)信息系統(tǒng)，還包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、云、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)安全等對象。

另外還有一個重點(diǎn)，是等保定級方式的改變，這次在等保大會上有一個新的信息，就是等級保護(hù)2.0的定級并不是用戶自主定級，而是要參照定級指南進(jìn)行定級，這是各單位需要特別注意的一點(diǎn)。

四、如何做好等保2.0

等保的基本框架包含技術(shù)和管理，兩個核心維度。

如上圖所示，等保2.0將等保工作的技術(shù)要求和管理要求細(xì)分為了更加具體的八大類：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和安全;全策略和管理制度、全管理機(jī)構(gòu)和人、安全建設(shè)管理、安全運(yùn)維管理。而等保2.0在以上基本要求之外，提出了云安全、移動互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全、大數(shù)據(jù)安全等網(wǎng)絡(luò)空間擴(kuò)展要求，且每個部分都有詳細(xì)的安全標(biāo)準(zhǔn)。這些都是等保工作需要做的重點(diǎn)工作。

事實(shí)上，在等保的規(guī)范中，并沒有要求使用任何一種產(chǎn)品，它只是要求你的網(wǎng)絡(luò)安全空間達(dá)到一個什么樣的安全程度的標(biāo)準(zhǔn)。但是我們?nèi)绾稳?shí)現(xiàn)這個標(biāo)準(zhǔn)？在達(dá)成要求的整個過程中，網(wǎng)絡(luò)安全產(chǎn)品是最低成本最高效率的路徑。

怎么理解呢？我們以“訪問控制”為例，比如我們網(wǎng)絡(luò)安全的辦公網(wǎng)絡(luò)和辦公場所，沒有防火墻和門禁卡，那就要人工去進(jìn)行網(wǎng)絡(luò)準(zhǔn)入審核，記錄外來訪問是什么時候來的、做了什么、什么時候離開的。如果是非法闖入，還要有足夠的能力和時間及時阻止。這個工作量和成本得多大？而防火墻和門禁系統(tǒng)分卻能夠長時間、細(xì)粒度、準(zhǔn)確、大量的進(jìn)行安全記錄和管理，如果用一個帶有IPS功能的防火墻，還能夠進(jìn)行入侵檢測。所以說在同等的成本下，安全產(chǎn)品是最高效率的達(dá)到安全防護(hù)目的的途徑。我們可以參照網(wǎng)絡(luò)安全法和等級保護(hù)標(biāo)準(zhǔn)的具體標(biāo)準(zhǔn)，選擇不同的安全產(chǎn)品，包括防火墻、入侵檢測、入侵防御、數(shù)據(jù)運(yùn)維管理、數(shù)據(jù)審計(jì)、云安全解決方案、上網(wǎng)行為管理、Web應(yīng)用防護(hù)等等。

五、給信息安全從業(yè)者的管理建議

網(wǎng)絡(luò)安全法的實(shí)施使我們信息安全從業(yè)者身上擔(dān)負(fù)的責(zé)任更重了，特別是量刑的設(shè)立使我們身上的壓力更大，工作屬性上升到了新的高度。我們需要做的就是深入的了解網(wǎng)絡(luò)安全法的要求，了解國家的標(biāo)準(zhǔn)，結(jié)合自己的業(yè)務(wù)去做好安全工作。我們都是在學(xué)習(xí)的過程中，如果要提出什么建議的話，建議大家加強(qiáng)應(yīng)急處置預(yù)案的能力和關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)。各單位信息化從業(yè)者值得注意的是，網(wǎng)絡(luò)安全建設(shè)的成熟度不意味著網(wǎng)絡(luò)安全產(chǎn)品數(shù)量和種類的堆疊，建議從安全體系的角度合理規(guī)劃、合理建設(shè)、甚至適度精簡，將資源和建設(shè)能力投放在如何抵御新時代的網(wǎng)絡(luò)安全風(fēng)險上，同時建議在信息化建設(shè)的同時統(tǒng)籌考慮網(wǎng)絡(luò)安全的建設(shè)，做到同步規(guī)劃、同步建設(shè)、同步執(zhí)行。盡量做到四個“W”，就是who(誰)，what(做了什么、改了什么、拿了什么)，where(數(shù)據(jù)拿到哪里去了)，when(什么時候拿的)。通過我們每個人的努力，網(wǎng)絡(luò)安全法以及等級保護(hù)2.0制度的落實(shí)，將會更加順利有效。