重点!专家在网络安全等防护2.0国家标准宣贯会上怎么说?而应用,新的网络安全隐患也随之而来。面对挑战,等级保护工作也应超越传统的信息系统概念,与时俱进,升级壮大,充分考虑新技术、新应用带来的各种安全威胁。2017年6月1日,《网络安全法》的正式实施,标志着分级保护进入2.0时代。分级保护对象的范围在云计算、移动互联网、物联网、大数据等传统系统的基础上有所扩展。制度提出了新的要求。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准等与MLPS2.0相关的国家标准,将2019年发布,12月1日起实施。2019年5月16日下午,在公安部网安局指导下,公安部第三研究所、公安部研究所主办,公安部承办。深信服“网络安全等级保护体系2.0国家标准宣贯会”在京召开。公安部网安局、市场监管总局、重要行业部门、企事业单位领导及测评机构、安建整治机构技术负责人、代表等近千人互联网企业,参加宣贯会。这次宣传会的内容是什么?今天,笔者就为大家划重点。领导专家齐聚宣讲会权威解读网络安全等安全2.0首先,我们来看看宣讲会上的发言环节,领导们怎么说。公安部网络安全保卫局局长王英伟在会上致辞。公安部网络安全保护局局长王英伟表示,等级保护体系2.0国家标准的发布是一个里程碑式的事件,标志着国家网络安全保护水平迈出了第一步。进入新时代,对保障和促进国家信息化发展、提升国家网络安全防护能力、维护国家防护空间安全具有重要意义。此外,他还提出以下四点:一是要高度重视,深刻认识。各单位要认真学习领会标准要求,加快贯彻落实国家标准。二是加强宣传,强化培训。各地区、各部门要加强2.0标准推广工作,加强标准解读和培训,形成广泛共识,确保标准全面落地。三是推动行业标准,指导实践。行业重点部门要按照2.0国家标准,结合行业实际,加快制修订完善行业等级保护行业标准。四是强化督促落实。地方公安机关和各行业主管部门要加强对本地区行业网络安全等级保护工作的监督检查和指导。本地区行业、部门网络安全防护能力。公安部研究所副所长余睿透露,2016年以来,在公安部网安局的支持和指导下公安研究院对信息安全服务企业和安全提供商进行了调研。第十五届全国网络安全等级保护与安全建设专业技术人才培训工作共培训网络安全等级保护安全建设专业技术人员3000余人。共有126家单位通过审核取得网络安全等级资质证书。今年,研究所在公安部网安局的指导下,积极筹建中关村网络安全等级保护安全建设创新联盟,旨在加强整改过程规范化管理,整合网络安全产业资源,共同推进网络安全等级保护等重大问题。联合技术研究。国家市场监督管理总局标准与技术管理司司长王丽国家市场监督管理总局标准与技术管理司司长王丽对等保后续工作提出三点建议2.0国标:一是加强标准推广应用,提高标准实施效率;二是支持国家重大战略,不断优化标准体系结构。三是重视国际交流与合作,推动标准与国际接轨。跟踪研究该领域标准国际技术和标准的发展趋势,组织有关单位和专家推动中国标准进入国际标准化阶段。国家安全标准委员会秘书处秘书长杨建军国家安全标准委员会秘书处秘书长杨建军在致辞中指出,系列安全标准是我国国家网络的重要组成部分保安系统。目前,国安标委会有268项,其中与等级保护相关的国家标准有近40项,涉及到一些系统定级、管理要求、技术要求、检测评价等方面。他还强调,网络安全等级保护基本要求和设计要求是等级保护系列标准中的核心标准,是指导网络运营者履行网络安全保护责任的重要依据。广泛应用于各行业相关领域,但该标准需要随着技术的发展不断修订和维护,因此及时修订安全标准,保持标准的科学性、合理性、有效性是促进网络安全的技术保障保安工作。公安部网络安全保卫局总工程师郭启权公安部网络安全保卫局总工程师郭启权指出网络安全等级保护体系进入的典型迹象2.0时代,强调了网络安全等级保护体系的重要意义,总结了新时代国家网络安全。等级保护制度特色鲜明。在谈及分级保护与关键信息基础设施保护的关系时,他表示:必须以法律规定为准。《网络安全法》规定:国家实行网络安全等级保护制度;依托网络安全等级保护制度,对关键信息基础设施进行保护。第二,保持一致。关键信息基础设施安全保护与网络安全分级保护在法律法规、政策、标准、措施等方面要保持一致。第三,必须厘清两者的关系。分级保护是国家的基本制度,具有普遍性和全覆盖性;关键信息基础设施是分级保护体系的保护重点,强化保护、防御和保障。在沉长祥院士的主旨演讲中,沉长祥院士发表了《重启可信革命,夯实网络安全等级保护基础》的主旨演讲。他指出,没有网络安全,信息社会将成为黑暗中的废墟。强调要有科学的网络安全观。国家级保护体系2.0标准要求综合使用安全可靠的产品和服务保障关键基础设施的安全,必须用科学的网络安全观理解法律安全和可信度。他强调,等级保护2.0时代的特点是保障关键信息基础设施的安全,主要分为三个层面:法律支持,即我国计算机系统等级保护法规已经升级为国家基础设施。法律体系,即《网络安全法》第二个层次是科技层次,从分层被动保护发展到科学安全框架下的主动免疫保护;第三层次是工程应用层次,从传统的计算机系统防护转向新计算环境下的网络空间主动防护体系建设。随后,公安部信息安全等级保护测评中心测评部主任、等级保护国家标准主要起草人马力副研究员介绍了网络安全等级保护2.0标准体系及主要标准,阐述了网络安全等级保护2.0标准的特点和变化,以及框架和内容。他表示,网络安全等级保护2.0标准主要有三个特点:一是扩大了对象范围。新标准将云计算、移动互联网、物联网、工控系统等纳入标准范围,构成“通用安全要求+新应用安全扩展要求”的要求。二是分类结构统一。统一了新标准“基本要求、设计要求、评价要求”的分类框架,形成了以“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理”为支撑的三重保护架构中心”。三是加强可信计算。新标准强化了对可信计算技术的使用要求,将可信验证纳入了各个层面,并逐级提出了各个环节的主要可信验证要求。他强调,GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》将取代原来的GB/T2239-2008《信息安全技术 信息系统安全等级保护基本要求》,呼吁大家认真研究新版保障要求。践行网络安全防护2.0,听安全厂商怎么说,网络安全等级保护体系的全面落地,离不开监管机构、评估机构、用户和网络安全厂商的全面协同。MLPS2.0的发布对企业合规提出了更高的要求,网络安全厂商作为提供安全能力的第三方,在MLPS2.0的推广实施中也应承担相应的责任。下面,我们就来看看深信服、亚信、奇安信三位主讲人对平等保护2.0落地的一些看法。深信服科技CEO何超喜深信服科技CEO何超喜认为,所有网络安全厂商其实都是等级保护制度实施的受益者,网络安全厂商也有落实分级保护制度的责任和义务。网络安全等级保护体系的实施需要监管部门、测评机构、用户和厂商共同努力,各司其职。网络安全厂商的主要职责是按照网络安全等级保护2.0标准开发安全技术,开发与之配套的安全产品,尽最大努力提供网络安全服务,帮助用户构建不仅合规,而且真正有效的网络保安系统。.何兆禧表示,要履行好这一责任,要做好三个方面的工作:一是通过宣传培训,帮助用户了解和运用保险知识。二是通过产品创新和场景适配,为用户提供真正有效的MEP2.0解决方案。三是厂商要与监管部门、评价机构等厂商共同努力,推动类保2.0工作不断推进。事实上,为了保障网络安全等级保护2.0建设的顺利实施,深信服已经做好了充分的准备。例如:针对新增的云计算安全场景,深信服专门研发了XSec安全资源池产品,通过汇集用户所需的各种安全功能,满足云计算环境弹性扩展的需求;为了帮助用户打击勒索软件,深信服按照2.0级防护的技术要求,开发了一套完整的勒索软件防范解决方案。亚信科技安全运营官卢光明也针对网络安全防护2.0如何落地发表了几点看法:观点一:构建基于身份的网络空间信任体系;观点二:攻守兼备观点三:以联动为策略,提升网络安全事件智能化应对能力;观点四:以运维为重点,加强统一集中管控平台建设;观点五:从实战出发,构建自适应安全体系。奇安信集团副总裁韩永刚奇安信集团副总裁韩永刚表示,分级保护不应只是为了合规,在安全防护2.0时代,安全建设必须与新一代安全深度融合。信息系统全面覆盖,构建创新保障体系。奇安信结合安全2.0门槛向前推进,与信息基础设施深度融合,提出了“44333”的新安全思想,即:四个假设:系统运行是否存在被发现的漏洞,必然存在发现漏洞打补丁,系统被黑,必有内幕。四大新战略:战争新工具(第三代网络安全技术)、新战力(数据驱动安全)、新战法(动态授权和访问控制)、新战法(人+机安全作战)。三位一体:高位能力、中位能力、低位能力。三同步:同步规划、同步建设、同步运行。三方制衡:用户、云服务商、安全公司。自然资源部信息中心总工程师顾炳忠自然资源部信息中心总工程师顾炳忠作为重要的行业代表,分享了自然资源行业开展分级管理的宝贵经验和做法防护工作,并发表主旨演讲《网络安全等级保护制度2.0的行业实践》。他表示,2.0时代,国内操作系统厂商、路由交换厂商、边界安全设备厂商等,真正应该从国家安全利益出发,从产业发展出发,投资可信计算,投资2.0标准。例如:国产操作系统可以提供可靠的操作系统,而不用购买加固软件打补丁。从操作系统的角度来看,信任是比较容易实现的,而不是依赖可信厂商提供的可信包。等级保护体系2.0国家标准的发布是一个里程碑式的事件,标志着国家网络安全等级保护工作进入了一个新时代。对保障和促进国家信息化发展,增强国家网络安全防护能力,维护国家网络空间安全具有重要意义。展望未来,我们相信,通过多方的共同努力,在公安部的大力推动下,网络安全等级保护2.0标准必将开创网络安全保护新局面,取得更大成就。为建设网络安全强国贡献力量。【原创稿件,合作网站转载请注明原作者和出处为.com】
