2020年8月13日,ISC2020“致知力行、繼往開來——邁向等級保護2.0新階段”分論壇順利在線上召開。
本次論壇由中國計算機學會計算機安全專業委員會承辦,由該委員會主任、公安部第一研究所副所長於鋭發佈論壇致辭。於鋭表示,網絡安全等級保護制度2.0國家標準的發佈,是具有里程碑意義的一件大事,標誌着國家網絡安全等級保護工作步入新時代。等級保護2.0是網絡安全的一次重大升級,其保護對象範圍在傳統系統的基礎上擴大到了雲計算、移動互聯、物聯網、大數據等,對等級保護制度也提出了新的要求。
可信計算普及 構建網絡安全主動免疫新體系
沒有網絡安全就沒有國家安全,當前,網絡空間已經成為繼陸、海、空、天之後的第五大主權領域空間。按照國家網絡安全法律、戰略和等級保護制度要求,推廣安全可信產品和服務,守住網絡安全底線是歷史的使命。
基於此,中國工程院院士沈昌祥在演講中指出,新型基礎設施是以數據和網絡為核心,其發展前提是用主動免疫的可信計算築牢安全防線。
沈昌祥表示,從認知科學上看,設計IT系統不能窮盡所有邏輯組合,必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。安全可信是指邏輯缺陷不被威脅者所利用,實行免疫機制。
而主動免疫可信計算是一種運算同時進行安全防護的新計算模式,以密碼為基因抗體實施身份識別、狀態度量、保密存儲等功能,及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質,相當於為網絡信息系統培育了免疫能力。
郭啓全表示,組織認定應將基礎網絡、大型專網、核心業務系統、雲平台、大數據平台、物聯網、工業控制系統、智能製造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。
夯實數據安全 強化等級保護2.0制度“落地”
在可信計算普及的時代,密碼是否正確使用對網絡安全至關重要。中國計算機學會計算機安全專業委員會副主任、中國科學院大學教授荊繼武介紹了在等保中引入密碼測評的意義,荊繼武表示,網絡空間安全保護數字經濟發展,密碼技術是基礎支撐。
“數字財富的保護,不僅僅是數據的保護,是一種所有關係的保護,是數字經濟時代生產關係的安全。” 荊繼武稱,等級保護制度的目標,是要保護我國數字經濟的發展,引入密碼測評符合未來數字經濟發展的趨勢。
數字化時代,數據已成為國家基礎性戰略資源。
等保基本要求中的數據安全問題同樣不容小覷。中國計算機學會計算機安全專委會副主任金波着重介紹了數據安全的頂層設計要求。
金波建議,可通過等保合規落實數據安全,加強管理體系建設,包括覆蓋數據活動全流程的數據安全管理制度,人員數據安全法律法規、標準、知識和技能培訓,採用密碼技術保護數據保密性和完整性,採用備份措施保護數據可用性,數據安全管理責任和崗位設置等幾個方面來推進。同時,加強安全風險管控、加強數據活動管控。
在防護過程中,將構建以密碼技術、可信計算、人工智能、大數據分析等為核心的網絡安全保護體系,提升關鍵信息基礎設施內生安全、主動免疫和主動防禦能力。
值得一提的是,在本場論壇中還特別設置了十人熱點對話環節,中國計算機學會計算機安全專業委員會榮譽主任嚴明擔任論壇主持人,來自不同背景、不同企業的行業專家繼續圍繞等保2.0的貫徹落實展開深入探討。
在該環節中,公安部網絡安全保衞局十八處處長祝國邦指出,等級保護制度是我國網絡安全領域的基本制度,以此為標準推動行業部門來落實相應的政策要求,有效提高了我國網絡安全保護能力。
公安部信息安全等級保護評估中心測評部主任、研究員馬力表示,從等保1.0到等保2.0有幾項重要的演變,等級保護進入一個全新的階段。等級保護的四項主要工作包括定級備案、建設整改、登記測評和監督檢查配套標準,並且都已經陸續和大家見面了。
杭州安恆信息技術股份有限公司首席安全官、高級副總裁劉志樂認為,在等保2.0制度的引領下,圍繞一箇中心三個防護進行了很多實踐,包括為客户提供保姆供應式服務、升級產品防護和運營體系等等。
亞信安全科技有限公司亞信安全首席研發官吳湘寧表示,在本質上看,網絡安全是一個動態的過程,伴隨信息技術架構的變化而演進。並且,網絡安全最終的問題都是人的問題,所以每個網絡安全學家也都是“心理學家”,網絡安全應以人為本。
北京國舜科技股份有限公司副總裁湯志剛表示,等保2.0在應用中有很多具體的實踐,在以為金融業做安全規劃時,就以此為參考和標準,等保2.0不是一個測評的事情,而是有關框架建設的事情。
啓明星辰信息技術集團股份有限公司副總裁文坊指出,我國安全行業的高速長期穩定的發展依賴於國家對網絡安全的重視,等級保護制度改變了用户需求市場和企業的發展模式,並且為安全產業的發展起到了保駕護航的作用。
遠江盛邦(北京)網絡安全科技股份有限公司副總裁王潤合認為,摸清關鍵基礎設施的資產才能更好的為企業服務,在等保2.0的指導下,安全運營會提供立體化的防禦、等保合規、監測預警、應急處置等工作。
北京數字觀星科技有限公司運營中心負責人張錚表示,自身主要通過聚焦資產的威脅監測管理參與廣大用户的等級保護建設,幫助客户識別到互聯網側和內網側分別面臨什麼樣的威脅,併為其描述威脅畫像。
360企業安全戰略創新研究院副院長吳露渟表示,基於等保2.0制度,360構建了安全能力框架,包括一個安全大腦,一套互聯互通的標準,一套整體的安全基礎設施體系,靈活運營的戰法,頂級安全專家隊伍以及實戰演練的經驗。
最後,中國計算機學會計算機安全專業委員會榮譽主任嚴明總結到,等保2.0的標準指導了網絡安全和信息安全的建設與保護工作,在這個過程中也會面臨很多問題,譬如等級保護和關鍵基礎設施保護之間的關係,對於幾大新應用的擴充要求是否需要再提高,等等,而我們正以創新的思路來解決層出不窮的遇到的挑戰。
未來,將有更多的部門聯合合作,從政務服務、公共服務、社會治理、基礎設施等多領域統籌推進,共享“可信+”紅利,相關領域和網絡安全企業的羣策羣力下,共同推動政府服務和羣眾生活全面邁入“可信+”的新時代,同時推動等保2.0制度的持續深化。