昨日,「FreeBuf 企業安全俱樂部」系列沙龍活動「等級保護2.0研討專場」在北京舉行,那些沒能到場的朋友,也可以通過閱讀本文來了解昨日的研討會上,大咖們都講了哪些乾貨。
等保2.0下的企業轉變
等保即網絡安全等級保護,指對網絡和信息系統按照重要性等級分級別保護的一種工作。等保2.0具有更加普適性,覆蓋行業範圍更廣,技術領域更加全面的特點。
它以保護業務與數據安全為核心,要求身份可信與業務邊界安全,並且對安全工作過程提高要求,增加工作量與安全責任的負重。
進行乾貨分享的第一位嘉賓是來自正保遠程教育安全負責人李晨,帶來的主題是《等保2.0下的企業轉變》。從等保的差異簡介講到企業該如何應對轉變。
李晨認為,企業需在這幾個方面進行轉變:
1.態度轉變:等級保護2.0提供了企業網絡安全戰略規劃目標,配套網絡安全法,將對企業管理者提供方向上的指引,避免為了“合規”而合規。
2.體系轉變:根據等級保護要求中的網絡安全綜合防禦體系,由被動轉主動、由靜態轉動態、由單點轉整體、由粗放轉精準。
3.能力轉變:對企業安全負責人綜合能力提高了要求,應同時具備縱向管理與水平管理能力,以及技術層面一專多能的要求。
4.技術轉變:完善技術生態,提高團隊能力,安全的本質在於人的對抗與資本的對抗。
5.運營轉變:基於數據驅動的安全運營體系,包括識別、檢測、防護、響應的持續能力。
動態安全 構建等保2.0時代的主動防禦
數字化時代,主動防禦成為實現商業安全保障的基石,而移動目標式的動態防禦,成為主動防禦技術領域的技術方向。
來自數瑞信息技術總監關福君,從產品的落地與實踐方面,向大家分享了《動態安全-構建等保2.0時代的主動防禦》。
在他的理解中,主動防禦的技術趨勢大體上可以分為四種情況:
移動目標式的主動防禦:迫使攻擊者不斷重新適應,並對動態轉移的薄弱點作出反應,從而有效防止攻擊者使用自動化殭屍程序。
機器學習: 利用大數據和機器學習解析法,熟悉和學習企業的正常流量,從而判定企業業務的異常訪問。
主動行為分析:主動行為分析和指紋識別來識別客戶端的正常流量,用戶使用模式和用量來檢測和啟發式推測可疑活動。
安全情報及主動預測 :通過情報交流和第三方數據收集安全威脅情報,包括詐騙風險情報數據庫讓企業知悉最新的攻擊信息。
雲計算環境下的等保2.0應用實踐
伴隨著《網絡安全法》的出臺,安全等級保護工作進入2.0時代,等級保護對象由原來單純的信息系統擴展到更多領域,雲計算是其中需重點關注的一個領域。
今天的會場上,主辦方邀請到了來自金山雲高級安全經理張娜,向大家分享《雲計算環境下的等保2.0應用實踐》。
雲計算技術正在或已成為當前數據中心建設的核心技術。如何識別雲計算技術的安全風險,並將其納入到數據中心整體風險管理體系,通過一系列的安全治理將其控制到一個可以接受的範圍,成為企業需要解決的重要問題。
在雲計算環境中,應將雲服務方側的雲計算平臺單獨作為定級對象定級。在對雲服務方的雲計算平臺上進行等級測評時,應選擇全部《安全測評通用要求》+《雲計算安全測評擴展要求》 中適用於雲計算平臺的部分指標。
雲租戶側的等級保護對象也應作為單獨的定級對象定級。在對雲租戶業務應用系統進行等級測評時,應選擇全部《安全測評通用要求》和《雲計算安全測評擴展要求》中適用於雲租戶業務系統的部分指標。
網絡安全等級保護2.0要求解讀
等級保護2.0較1.0相比,主要變化體現在等級保護工作內容擴展、保護對象擴展、保護力度提升這幾個方面。
從工作內容上來比較,除了滿足等保1.0時代五個規定動作以外,它也把風險評估、安全監測、通報預警、案件調查等方面的工作都納入到等級保護的範圍之內。
來自公安部第三研究所的公安部信息安全等級保護評估中心安全諮詢部主任陳廣勇為大家分享《網絡安全等級保護2.0要求解讀》,從網絡安全法具體條款的解讀出發,重點介紹網絡安全等級保護制度在2.0階段的新特徵和新變化,並對新發布的關鍵網絡安全等級保護相關標準進行詳細介紹,為企業在新形勢下的等級保護如何建設提供思路。
在分享中,他提到:等級保護2.0從技術方面強調採用“一箇中心、三層防護”的網絡安全架構。這些諸多細粒度的變化,從制度層面給用戶帶來了一次知識更新的要求,同時也是為用戶構建更加強大的安全能力提供了體系化的制度保障。
互聯網企業落地等保2.0實踐分享
接下來,從落實網絡安全等級保護,履行《網絡安全法》規定的責任和義務,提升互聯網企業信息的安全管理和防護水平,承擔社會責任,保護國家關鍵信息基礎設施和大數據,實現客戶服務增值,提升服務安全保障和個人信息保護等方面,來自深同程藝龍信息安全部負責人張博分享了《互聯網企業落地等保2.0實踐》。
張博對於等保2.0關於個人信息保護的要求總結說:網絡運營者應當建立並落實重要數據和個人信息安全保護制度;採取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷燬過程中的安全;建立異地備份恢復等技術措施,保障重要數據的完整性、保密性和可用性。
未經允許或授權,網絡運營者不得收集與其提供的服務無關的數據和個人信息;不得違反法律、行政法規規定和雙方約定收集、使用和處理數據和個人信息;不得洩露、篡改、損毀其收集的數據和個人信息;不得非授權訪問、使用、提供數據和個人信息。
等保2.0下的身份安全
等保2.0時代,身份鑑別、訪問控制、安全審計等身份安全相關的技術點,成為“可信、可控、可管”安全防護體系的重要組成部分,企業網絡安全建設之路更加堅定,對身份安全的要求也愈來愈嚴格。
來自上海派拉軟件股份有限公司創始人/CEO譚翔,為大家帶來《等保2.0下的身份安全》的分享,把身份安全解決方案落到實處,將企業內外部用戶的身份安全做到極致,助力企業提升網絡安全防護能力,築好網絡安全第一道防守線。
譚翔結合等級保護2.0標準以及與1.0的區別,對等級保護涉及身份鑑別(以等保3級為例),訪問控制,可信驗證,安全審計,數據保密性,數據完整性,個人信息保護的要點進行解讀。從實踐的角度探討標準落地的對應解決方案,為身份安全的防護措施提供實際參考。
等級保護2.0標準條款實踐案例
開展等保工作,能夠發現相關機構、單位和企業網絡和信息系統與國家安全標準之間存在的差距,找到目前系統存在的安全隱患和不足;另一方面,通過安全整改,提高網絡安全防護能力,降低系統被各種攻擊的風險。來自信息產業信息安全測評中心的副主任劉健,為大家帶來《等級保護2.0標準條款實踐案例》的議題分享。
劉健除了實際案例的講解之外,還特別強調,等保2.0加強了可信體系作為重要思想:
1.安全通信網絡可信驗證:可基於可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證。
2.安全區域邊界可信驗證:可基於可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證。
3.安全計算環境可信驗證:可基於可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證。
建設網絡空間“雪亮工程” 夯實網絡安全運營體系
等級保護是我國信息安全保障的基本制度性工作,是網絡空間安全保障體系的重要支撐,也是應對強敵APT攻擊的有效措施。
來自科來軟件產品運營部總監李飛在《構建設網絡空間“雪亮工程”,夯實網絡安全運營體系》的分享內容中,認為全流量回溯已成為等保2.0合規部署清單。
全流量回溯是安全運營體系的必要組件:由傳統安全設備(IPS、FW、WAF等)和全流量平臺、威脅情報的縱深檢測和防禦體系;以全流量分析為中心的安全事件溯源分析體系,實現對攻擊事件的全鏈復原和取證;以SOC平臺為中心的安全設備聯動體系,實現攻擊發現、攔截的自動化處理流程。
人工與智能,助力新等保
新的系統形態、新業態下的應用、新模式背後的服務、以及重要數據和資源統統進入了等保2.0的視野,特別是人工智能等新技術手段也劃入等保的範圍內,打破了之前我國人工智能安全標準主要集中在應用安全領域,缺乏人工智能自身安全或基礎共性的安全標準的現狀。
本次研討會上,鬥象科技高級安全研究專家張志鵬在《人工加智能,助力新等保》主題分享中,向大家說明了安全服務與智能安全如何在新等保下更好地應用。
他認為,在進行動態安全防禦之前,需明確等保重點工作內容:關鍵信息基礎設施的定義;關鍵信息基礎設施的安全保護義務(第三十四條 運營者設置專門機構和負責人、網絡安全教育培訓、容災備份、應急預案和演練等);敏感信息保護(第三十七條 境內收集產生的個人信息和重要數據應當在境內存儲。確需向境外提供的,應進行安全評估);風險評估(第三十八條 運營者每年至少組織一次安全風險檢測評估,並評估情況和改進措施報相關部門)。
因此,選擇一個擁有合規的以數據分析為核心,結合機器學習技術,構建雲端安全監測、多源威脅分析、未知威脅響應的全息安全體系更為重要。
本文主題:
科技創新 | 企業等級保護
閱讀更多 Techtreex 的文章
