本帖最后由 杨乃玉 于 2018-12-27 06:56 编辑
12月25日,由中关村可信计算产业联盟主办、360企业安全集团等单位协办的等级保护新标准培训班在北京举行。
中国工程院院士沈昌祥、公安部网络安全保卫局副调研员范春玲、公安部信息安全等级保护评估中心副主任张宇翔360企业安全集团董事长齐向东等出席了本次活动,并就等级保护技术体系设计、标准、测评等与培训班学员进行了深入的交流。
等保2.0时代的网络安全升级
今年6月,公安部公布了《网络安全等级保护条例(征求意见稿)》(下称等保条例)指出,网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,还要求采取主动防御、可信计算、人工智能等技术,提升网络安全防范能力和水平。
沈昌祥院士在授课中详细讲述了如何利用可信计算筑牢网络安全防线。他认为,封堵查杀模式的网络安全已经过时,我们要用可信计算的架构来构筑可信计算免疫体系,也就是主动免疫可信计算,这是指计算运算的同时进行安全防护,计算全程可测可控,不被干扰,只有这样方能使计算结果总是与预期一样。
图 中国工程院院士沈昌祥
范春玲结合乌克兰电网攻击事件、美国大规模断网事件等网络攻击案例,详细介绍了我国网络安全等级保护制度建设的思路。
她表示,等保制度在接下来重点工作目标就是关键信息基础设施保护和大数据安全,一方面将我们国家现有的网络安全的保护措施,如风险评估、监测、通报预警等纳入到等保制度中实施;另一方面将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等保监管,保障重点领域、重点应用能够在投入运行之前,就让风险得到有效管控。
图 公安部网络安全保卫局副调研员范春玲
360企业安全集团副总裁韩永刚在授课培训时表示,从传统以网络防护为核心需要转变到以保护数据为核心,系统分层解耦,安全深度融合,防护对象做全面覆盖,在计算环境里构建一个以数据分析为基础的大脑,实现积极防御,最终把网络安全作为一种能力,让它具备更多的弹性,更好和信息化系统融合。
图 360企业安全集团副总裁韩永刚
等级保护的新标准
等保条例共八章七十三条,包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于此前的《信息安全等级保护管理办法》所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,标志着等级保护正式迈入2.0时代。
公安部第一研究所等保测评中心副主任、副研究员李秋香在授课中解读了信息系统类的等保标准。该标准的基础包括两个方面,第一是可信认证,可信认证是保障主体客体都是可信的,是一个正确的用户去访问一个正确的客体;第二是访问控制,主体对客体访问控制规则是正确的。该标准的核心思想是强调策略,强调保护措施,在统一策略和统一保护机制的情况下,达到基本的安全防护的最低目标。
图 公安部第一研究所等保测评中心副主任、副研究员李秋香
公安部信息安全等级保护评估中心副研究员陈广勇则详细介绍了等保条例的标准内容。他介绍道,为了配合《中华人民共和国网络安全法》的实施,同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展,新标准针对共性安全保护需求提出安全通用要求,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
图 公安部信息安全等级保护评估中心副研究员陈广勇
本次培训班五位授课讲师从外部网络安全环境的变化、企业自身的变化和等保标准的变化做了详细的解读分析,为未来等保新标准下网络安全的建设带来了全新思路。在等保条例即将发布之际,学员们纷纷表示在该培训班中获益匪浅。【来源:360企业安全】
更多资讯详见:360社区早报(2018-12-27)
|
评论
直达楼层