“網(wǎng)絡(luò)安全等級保護制度2.0國家標準的發(fā)布,是具有里程碑意義的一件大事,標志著國家網(wǎng)絡(luò)安全等級保護工作步入新時代。”近日,在由公安部第三研究所等主辦的我國網(wǎng)絡(luò)安全等級保護制度2.0國家標準(簡稱“等保2.0標準”)宣貫會上,公安部網(wǎng)絡(luò)安全保衛(wèi)局黨委書記王瑛瑋說。
沒有網(wǎng)絡(luò)安全就沒有國家安全。從1.0到2.0,我國等級保護制度走過了十幾年。等級保護2.0是網(wǎng)絡(luò)安全的一次重大升級,等級保護對象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴大了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等,對等級保護制度提出了新的要求。新的形勢下,國家網(wǎng)絡(luò)空間安全面臨著哪些新的挑戰(zhàn),又該如何守護呢?
與1.0標準相比內(nèi)涵更豐富
在業(yè)界,網(wǎng)絡(luò)安全等級保護制度被譽為一項偉大創(chuàng)舉,是中國網(wǎng)絡(luò)安全的基石,是維護國家安全、社會秩序和公共利益的根本保障。
公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示,新時期國家網(wǎng)絡(luò)安全等級保護制度具有鮮明特點,其實現(xiàn)了兩個全覆蓋,一是覆蓋各地區(qū)、各單位、各部門、各企業(yè)、各機構(gòu),也就是覆蓋全社會;二是覆蓋所有保護對象,如網(wǎng)絡(luò)、信息系統(tǒng)、云平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、大數(shù)據(jù)、移動互聯(lián)等各類技術(shù)應(yīng)用,無一例外都要落實等級保護制度,這兩個全覆蓋是它的核心,是重中之重。
“與1.0相比,等保2.0標準內(nèi)涵更加豐富,除進行1.0時代網(wǎng)絡(luò)定級及備案審核、等級測評、安全建設(shè)整改、自查等規(guī)定動作外,還增加了測評活動安全管理、網(wǎng)絡(luò)服務(wù)管理、產(chǎn)品服務(wù)采購使用管理、技術(shù)維護管理、監(jiān)測預(yù)警和信息通報管理、數(shù)據(jù)和信息安全保護要求、應(yīng)急處置要求等內(nèi)容。”郭啟全說。
確實,在會議承辦方、深信服科技股份有限公司CEO何朝曦看來(以下簡稱“深信服”),相對1.0,等保2.0標準有一個很大的變化,就是加入了對各種新場景的保護要求。針對云計算的場景,深信服就專門研發(fā)了安全XSec資源池的方案,目前資源池方案已經(jīng)應(yīng)用到十幾個省市,通過把用戶需要的各種功能進行細化,從而做到能夠適應(yīng)云計算環(huán)境下彈性擴展的要求。再通過和云平臺廠商合作,或者使用深信服自身云計算產(chǎn)品,做到各個安全組件都能夠統(tǒng)一編排,從而實現(xiàn)了安全服務(wù)化交互,而不是產(chǎn)品化交互。“用戶有一個外部的業(yè)務(wù)系統(tǒng)需要保護,只需要在云平臺上勾選一下就可以了,不用考慮如何部署設(shè)備,這樣操作就很簡單。”何朝曦說。
確立可信計算的重要技術(shù)地位
“等保2.0標準一個很大的特點是把可信計算使用寫入了標準范圍,從一級開始到四級全部提出了可信驗證空間。”公安部信息安全等級保護評估中心副研究員馬力說。
馬力介紹,如可信驗證一級可基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序等進行驗證,并在檢測到其可信性受到破壞后進行報警;可信驗證四級可基于可信根對設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心,并進行動態(tài)關(guān)聯(lián)感知。
在等級保護2.0的安全框架當(dāng)中,明確提出了要態(tài)勢感知,而且在等保2.0標準當(dāng)中也提出要具備對新型攻擊分析的能力,要能夠檢測對重點節(jié)點及其入侵的行為,對各類安全事件進行識別報警和分析。
在現(xiàn)場,何朝曦演示了一些態(tài)勢感知功能界面,其平臺可以讓用戶看到,內(nèi)網(wǎng)的重要節(jié)點正在及已經(jīng)遭受了哪些攻擊,這些攻擊還可能擴散和影響到哪些別的系統(tǒng),有何潛在危害。平臺會進行預(yù)警,并且給出建議。
何朝曦表示,傳統(tǒng)安全服務(wù)往往是階段性的,并且服務(wù)質(zhì)量嚴重依賴于實施服務(wù)的個人。以漏洞檢測為例,傳統(tǒng)的服務(wù)就是定期拿工具去找,或者人工做滲透測試。做時發(fā)現(xiàn)很多問題去修,但做完以后,客戶業(yè)務(wù)可能發(fā)生變動了,又會有新的風(fēng)險和漏洞。
“為破解這些問題,我們實施安全服務(wù)中心的管理,通過人工加上自動化的人工智能服務(wù),達到了人機共智的安全服務(wù)效果,實現(xiàn)7×24小時的持續(xù)安全運營服務(wù),并通過自動化的服務(wù)平臺和遠端的專家服務(wù)平臺,將服務(wù)水平標準化。”何朝曦說。(記者 付麗麗)