2020年,全球在经历疫情防控、经济增长低迷等巨大考验的同时,也面临着数字化转型、网络安全保障等全新挑战。
2019年5月13日,由国家市场监督管理总局、国家标准化管理委员会共同发布等保2.0标准并于同年12月1日正式实施以来,伴随着等保2.0的发布也标志着我国网络安全等级保护已进入全新时代。
等保2.0标准中的技术要求分类体现了从外部到内部的纵深防御思想,对等保对象的安全防护应考虑从通信网络、区域边界到计算环境的从外到内的整体防护。本次论坛邀请等保建设行业专家,将从政策解读及热点问题等方面做独道见解分享。
2020年8月13日,ISC 2020“致知力行、继往开来——迈向等级保护2.0新阶段”分论坛顺利在线上召开,来自国内网络安全专家、学者围绕 “等级保护与数据安全”“在等保中引入密码测评” “加快贯彻落实网络安全等级保护制度”“按等保2.0可信计算3.0筑牢新基建网络安全防线”等议题展开观点碰撞,思维对话。
本次论坛由中国计算机学会计算机安全专业委员会承办,由该委员会主任、公安部第一研究所副所长于锐发布论坛致辞。于锐表示,网络安全等级保护制度2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代。
等级保护2.0是网络安全的一次重大升级,其保护对象范围在传统系统的基础上扩大到了云计算、移动互联、物联网、大数据等,对等级保护制度也提出了新的要求。
公安部第一研究所副所长
中国计算机学会计算机安全专业委员会主任于锐
本论坛的重磅嘉宾还有中国工程院院士、国家集成电路产业发展咨询委员会委员、国家三网融合专家组成员、中央网信办专家咨询委员会顾问沈昌祥;公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全;中国计算机学会计算机安全专业委员会副主任、中国科学院大学教授荆继武;公安部第三研究所所长助理、中国计算机学会计算机安全专委会副主任金波。公安部第一、第三研究所原所长、中国计算机学会计算机安全专业委员会荣誉主任严明担任本次对话论坛主持人。
公安部第一、第三研究所原所长
中国计算机学会计算机安全专业委员会荣誉主任严明
可信计算普及
构建网络安全主动免疫新体系
没有网络安全就没有国家安全,当前,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间。按照国家网络安全法律、战略和等级保护制度要求,推广安全可信产品和服务,守住网络安全底线是历史的使命。
基于此,中国工程院院士、国家集成电路产业发展咨询委员会委员、国家三网融合专家组成员、中央网信办专家咨询委员会顾问沈昌祥在演讲中指出,新型基础设施是以数据和网络为核心,其发展前提是用主动免疫的可信计算筑牢安全防线。
中国工程院院士、
国家集成电路产业发展咨询委员会委员、
国家三网融合专家组成员、
中央网信办专家咨询委员会顾问沈昌祥
沈昌祥表示,从认知科学上看,设计IT系统不能穷尽所有逻辑组合,必定存在逻辑不全的缺陷。利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。安全可信是指逻辑缺陷不被威胁者所利用,实行免疫机制。
而主动免疫可信计算是一种运算同时进行安全防护的新计算模式,以密码为基因抗体实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质,相当于为网络信息系统培育了免疫能力。
网络安全始终有新任务与新要求。据公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全透露,今年3月中央决定,公安部负责指导监督关键信息基础设施安全保护工作。近期,公安部印发了有关贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见。
公安部网络安全保卫局一级巡视员、
副局长兼总工程师郭启全
郭启全表示,组织认定应将基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。
夯实数据安全
强化等级保护2.0制度“落地”
在可信计算普及的时代,密码是否正确使用对网络安全至关重要。
中国计算机学会计算机安全专业委员会副主任、中国科学院大学教授荆继武介绍了在等保中引入密码测评的意义,荆继武表示,网络空间安全保护数字经济发展,密码技术是基础支撑。
中国计算机学会计算机安全专业委员会副主任
中国科学院大学教授荆继武
“数字财富的保护,不仅仅是数据的保护,是一种所有关系的保护,是数字经济时代生产关系的安全。” 荆继武称,等级保护制度的目标,是要保护我国数字经济的发展,引入密码测评符合未来数字经济发展的趋势。
数字化时代,数据已成为国家基础性战略资源。
等保基本要求中的数据安全问题同样不容小觑。公安部第三研究所所长助理、中国计算机学会计算机安全专委会副主任金波着重介绍了数据安全的顶层设计要求。
公安部第三研究所所长助理、
中国计算机学会计算机安全专委会副主任金波
金波建议,可通过等保合规落实数据安全,加强管理体系建设,包括覆盖数据活动全流程的数据安全管理制度,人员数据安全法律法规、标准、知识和技能培训,采用密码技术保护数据保密性和完整性,采用备份措施保护数据可用性,数据安全管理责任和岗位设置等几个方面来推进。同时,加强安全风险管控、加强数据活动管控。
在防护过程中,将构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,提升关键信息基础设施内生安全、主动免疫和主动防御能力。
值得一提的是,在本场论坛中还特别设置了十人热点对话环节,公安部第一、第三研究所原所长、中国计算机学会计算机安全专业委员会荣誉主任严明担任论坛主持人,来自不同背景、不同企业的行业专家继续围绕等保2.0的贯彻落实展开深入探讨。
在该环节中,公安部网络安全保卫局十八处处长祝国邦指出,等级保护制度是我国网络安全领域的基本制度,以此为标准推动行业部门来落实相应的政策要求,有效提高了我国网络安全保护能力。
公安部信息安全等级保护评估中心测评部主任、研究员马力表示,从等保1.0到等保2.0有几项重要的演变,等级保护进入一个全新的阶段。等级保护的四项主要工作包括定级备案、建设整改、登记测评和监督检查配套标准,并且都已经陆续和大家见面了。
杭州安恒信息技术股份有限公司首席安全官、高级副总裁刘志乐认为,在等保2.0制度的引领下,围绕一个中心三个防护进行了很多实践,包括为客户提供保姆供应式服务、升级产品防护和运营体系等等。
亚信安全科技有限公司亚信安全首席研发官吴湘宁表示,在本质上看,网络安全是一个动态的过程,伴随信息技术架构的变化而演进。并且,网络安全最终的问题都是人的问题,所以每个网络安全学家也都是“心理学家”,网络安全应以人为本。
北京国舜科技股份有限公司副总裁汤志刚表示,等保2.0在应用中有很多具体的实践,在为金融业做安全规划时,就以此为参考和标准,等保2.0不是一个测评的事情,而是有关框架建设的事情。
启明星辰信息技术集团股份有限公司副总裁文坊指出,我国安全行业的高速长期稳定的发展依赖于国家对网络安全的重视,等级保护制度改变了用户需求市场和企业的发展模式,并且为安全产业的发展起到了保驾护航的作用。
远江盛邦(北京)网络安全科技股份有限公司副总裁王润合认为,摸清关键基础设施的资产才能更好的为企业服务,在等保2.0的指导下,安全运营会提供立体化的防御、等保合规、监测预警、应急处置等工作。
北京数字观星科技有限公司运营中心负责人张铮表示,自身主要通过聚焦资产的威胁监测管理参与广大用户的等级保护建设,帮助客户识别到互联网侧和内网侧分别面临什么样的威胁,并为其描述威胁画像。
360企业安全战略创新研究院副院长吴露渟表示,基于等保2.0制度,360构建了安全能力框架,包括一个安全大脑,一套互联互通的标准,一套整体的安全基础设施体系,灵活运营的战法,顶级安全专家队伍以及实战演练的经验。
最后,公安部第一、第三研究所原所长、中国计算机学会计算机安全专业委员会荣誉主任严明总结到,等保2.0的标准指导了网络安全和信息安全的建设与保护工作,在这个过程中也会面临很多问题,譬如等级保护和关键基础设施保护之间的关系,对于几大新应用的扩充要求是否需要再提高,等等,而我们正以创新的思路来解决层出不穷的遇到的挑战。
未来,将有更多的部门联合合作,从政务服务、公共服务、社会治理、基础设施等多领域统筹推进,共享“可信+”红利,相关领域和网络安全企业的群策群力下,共同推动政府服务和群众生活全面迈入“可信+”的新时代,同时推动等保2.0制度的持续深化。