深度解读：等待2.0你准备好了吗？

近日，由公安部主办的第六届全国网络安全等级保护技术大会在南京召开，国家等级保护体系开始进一步明确。本次大会提出了哪些等级保护工作的新主题、新重点？作为分级保护的负责人，我们又该如何认识和应对呢？东软网络安全事业部高级等级保护咨询专家王华多指出，等级保护2.0和《国家网络安全法》新的保障要求给了我们深入的解读。一、什么是MLG2.0网络安全等级保护进入2.0时代，等级保护制度已纳入新时代国家网络安全基本国策和基本制度。应急响应、灾备恢复、通报预警、安全监测、综合评估等关键措施全部纳入保障体系并得到落实，重要基础设施和系统以及“云、物、移、大、工”控制”被纳入MLPS监管。企业纳入分级保护管理。去年和今年的MLPS会议共同关注的焦点是MLPS新标准——MLPS2.0，目前正在征求意见，预计将于今年年底或明年初正式发布。今年班保工作信息化建设总体思路是紧跟网络安全法步伐，以此为核心，延伸重点信息基础设施、态势感知平台等重点课题,和紧急响应。对我们来说，MLPS大会是指引方向的路标。今年是方向感很强的一年，因为网络安全法的实施和MLPS2.0的逐步建立。无论在哪个城市、哪个行业举办MLPS相关的会议，《网络安全法》和MLPS2.0无疑是主旋律。2.MLPS2.0与网络安全法的关系MLPS2.0标准是国内非涉密信息系统的安全集成标准，网络安全法是我国信息安全的法律和基本法。《网络安全法》明确提到，信息安全建设要按照分级保护标准进行。网络安全法从立法到配套法律法规的确定和完善，并在市场上体现出一定的效果，需要经过一定的过程。这个过程取决于执法是否到位，规定的标准是否真正满足业务安全的痛点。目前，市场上多数单位注重合规建设。其实我觉得网络安全法是很全面的。从立法的角度来看，如果按照法律的规定逐步实施，将是一个非常完善的制度。做得好不仅可以达到合规的价值水平，而且会将业务风险管理和网络安全能力提升到一个新的水平。3.MLPS2.0与原信息安全MLPS的区别从名称上看，原信息安全MLPS称为信息安全等级保护系统，现在2.0称为网络安全等级保护系统。这意味着分级保护已经上升到网络空间安全的层面。此次更名意味着分级保护的对象得到了全面升级：之前的保护对象是计算机信息系统，现在上升到网络空间安全，不仅包括以前的计算机信息系统，还包括网络安全基础设施、云和移动互联网。、物联网、工业控制系统、大数据安全等对象。另外，还有一个很重要的一点，就是等级保护分级方式的改变。这次类保会上有一个新的信息，那就是类保2.0的分级不是用户自己分级，而是分级指南。这是各单位需要特别注意的一点。4、如何做好保质保2.0保质保的基本框架包括技术和管理两个核心维度。如上图所示，MLPS2.0将MLPS的技术要求和管理要求细分为八个更具体的类别：物理与环境安全、网络与通信安全、设备与计算安全、应用与数据安全；完整的战略和管理体系，统筹管理机构和人员，安全施工管理，安全运维管理。除了上述基本要求外，MEP2.0还提出了云安全、移动互联网安全、物联网安全、工控系统安全、大数据安全等网络空间拓展要求，每一部分都有详细的安全标准。这些都是候机保护工作中需要做好的重点工作。其实安全规范并没有要求使用什么样的产品，只是要求你的网络安全空间达到一个什么样的安全标准。但是我们如何达到这个标准呢？在满足需求的整个过程中，网络安全产品是成本最低、效率最高的路径。如何理解？我们以“访问控制”为例。比如我们的网络安全办公网络和办公空间没有防火墙和门禁卡，所以需要人工进行网络访问审计，记录外部访问来了。你做了什么，什么时候离开的。如果是非法入侵，要有足够的能力和时间及时制止。这个工作量和成本是多少？而防火墙和门禁系统可以进行长期的、细粒度的、准确的、大规模的安全记录和管理。如果使用具有IPS功能的防火墙，还可以进行入侵检测。因此，在同等成本的情况下，安防产品是达到安全防护目的的最高效方式。我们可以参考网络安全法的具体标准和等级保护标准来选择不同的安全产品，包括防火墙、入侵检测、入侵防御、数据运维管理、数据审计、云安全解决方案、上网行为管理、Web应用保护等等等。5.信息安全从业人员管理建议。网络安全法的实施，让我们信息安全从业者承担了更多的责任。尤其是量刑的成立，给我们带来了更大的压力，我们的工作属性上升到一个新的高度。我们要做的是深入了解《网络安全法》的要求，了解国家标准，结合自身业务做好安全工作。我们都在学习的过程中。如果要提什么建议的话，建议大家加强应急预案能力和关键信息基础设施的保护。值得注意的是，网络安全建设的成熟并不意味着网络安全产品数量和种类的叠加。建议从保障体系的角度，合理规划、合理建设，甚至适度精简，结合资源和建设能力。着重探讨如何抵御新时代的网络安全风险。同时，建议在进行信息化建设的同时，将网络安全建设统筹考虑，做到同步规划、同步建设、同步执行。尽量做到四个“W”，即who（谁）、what（做了什么、改了什么、拿走了什么）、where（数据去了哪里）、when（什么时候拿走了）。通过我们每个人的努力，网络安全法和等级保护2.0制度的实施会更加顺畅、更加有效。东软集团网络安全事业部高级防护咨询专家王华多