等級保護的大復盤和新思考
培訓伊始����,深信服安全業(yè)務CTO郝軼強調:等級保護多方位升級����,安全業(yè)務需求也進一步擴大,這對大家都是一個機會�����。如何抓住等保2.0贏在未來,重點是提升自身戰(zhàn)斗力����。對于公司來講,有職業(yè)技能�����、專業(yè)素養(yǎng)的等保人才是公司進行2.0時代戰(zhàn)略布局的關鍵����;對于個人來講,很多從業(yè)人員的知識�����、觀念都還停留在1.0時期�����,急需“再回爐”進行新知識的補充�����,學習新的標準和要求����,能夠指導我們在新形勢下更好地開展工作�����。深信服非常重視等保人才的培養(yǎng)和儲備�����,多年來和益安在線達成深度合作����,在人才培養(yǎng)上持續(xù)投入����,為業(yè)務人員賦能�����!結束他表示要將本次培訓納入深信服的內部考核中�����,可見對本次培訓的重視程度����。
深信服堅信技術創(chuàng)新是必須不斷修煉的內功.奉賢區(qū)數據等保概況
等保2.0時代����,安全可以看成一場魔高一尺道高一丈的技術較量�����,為了有效應對新挑戰(zhàn)����,等級保護在原有技術基礎上,又疊加了預警通報�����、安全監(jiān)測�����、態(tài)勢感知����、應急處置等眾多創(chuàng)新技術。
“伴隨技術作用的凸顯�����,我們必須加大技術創(chuàng)新的杠桿?����!崩顭ú◤娬{����。深信服堅信技術創(chuàng)新是必須不斷修煉的內功,為了讓自身功力更深厚����,深信服堅持將年收入的20%投入到研發(fā),從而能夠與時俱進地提出創(chuàng)新的安全框架和技術手段����,實現(xiàn)更簡單有效的安全。與此同時����,為了保障深信服能夠更好地為用戶提供更專業(yè)的服務����,深信服也定期機構員工參加e安在線等級保護(CIIP-A)的培訓����,提升員工技術水平�����,確保深信服等級保護方案的有效落地�����,讓用戶真正體會到等級保護建設帶來的實際價值�����,保證網絡穩(wěn)定�����、安全����、合規(guī)地運行。
等保2.0時代要真的做到安全����,對企業(yè)而言并不容易����,尤其是如何利用新技術更好地落實等級保護�����。對此�����,李煥波有一些獨到的見解�����,他認為更好地保障等保2.0主動防御體系的有效落地需要具備三種能力:首先是打造安全可視能力�����,讓用戶看清業(yè)務����,看清威脅;其次構建動態(tài)感知能力�����,實時地感知全網的安全情況�����;結束�����,構建閉環(huán)聯(lián)動能力����,實現(xiàn)從預警、防御�����、檢測到響應的整體安全閉環(huán)�����。
浦東新區(qū)原則等保一體化等保1.0的定級����、備案����、建設整改����、等級評測與監(jiān)督檢查五個規(guī)定動作。
近年來����,國內的云計算產業(yè)發(fā)展迅猛,云建設IT架構升級助力業(yè)務發(fā)展成為主流�����,據中國信息通信研究院《云計算發(fā)展白皮書 2019年》顯示:2018年我國云計算整體市場規(guī)模達962.8億元����,增速39.2%,預計到2022年市場規(guī)模將達到1172億元�����。
云計算迅猛發(fā)展的同時也面臨著不少安全風險����,根據國家互聯(lián)網應急中心發(fā)布的《2018年中國互聯(lián)網網絡安全態(tài)勢報告》顯示�����,云平臺成為發(fā)生網絡攻擊的重災區(qū)����,在各類網絡安全事件數量中����,云平臺上的DDoS攻擊次數����、植入后門的網站數量、被篡改網站數量占比均超過50%�����。
等保2.0的典型變化
兩個全覆蓋
? 一是覆蓋各地區(qū)�����、各單位�����、各 部門、各企業(yè)����、各機構,也就是 覆蓋全社會����。除個人及家庭自建 網絡的全覆蓋。
? 二是覆蓋所有保護對象����,包括 網絡、信息系統(tǒng)����,以及新的保護 對象,云平臺�����、物聯(lián)網�����、工控系 統(tǒng)����、大數據����、移動互聯(lián)等各類新 技術應用�����。
三個特點
? 等級保護2.0基本要求�����、測評要 求����、安全設計技術要求框架統(tǒng)一����, 即:安全管理中心支持下的三重 防護結構框架。
? 通用安全要求+新型應用安全 擴展要求�����,將云計算�����、移動互聯(lián)、 物聯(lián)網�����、工業(yè)控制系統(tǒng)等列入標 準規(guī)范�����。
? 把可信驗證列入各級別和各環(huán) 節(jié)的主要功能要求����。
等保從1.0走到2.0是需要機構和機構從整個安全架構出發(fā)去考慮如何做好安全。
什么是等級保護2.0����?
自國家1994年提出等級保護概念以來,等級保護已經成為了國家的網絡安全基本制度�����,基本國策和基本方法�����。開展網絡安全等級保護工作是保護信息化發(fā)展,維護信息安全的基本保障����,是信息安全保障工作中國家意志的提現(xiàn)。隨著經濟社會發(fā)展和技術進步����,《中華人民共和國網絡安全法》及機關**網絡安全和信息化委員會對國家落實網絡安全等級保護制度都提出了明確要求,伴隨《信息安全技術 網絡安全等級保護基本要求》新國標正式發(fā)布�����,網絡安全等級保護已經進入2.0時代����。
等保2.0將安全要求的范圍擴大的同時�����,對安全的整體架構提出了要求����。徐匯區(qū)運營等保服務保障
安全不再是單點的防護手段,而是需要一個整體化的體系進行分類管控����。奉賢區(qū)數據等保概況
基于合規(guī)的安全保護
達到等級保護的要求�����,不僅*應該是機構與機構對國家法律的履行�����,更是為了機構與機構的正常運轉而存在�����。因此�����,深信服提出了自己的等保價值主張:持續(xù)保護�����,不止合規(guī)����。從安全可視提升機構安全管理效率、構建本地協(xié)同與云端聯(lián)動的動態(tài)保護體系����、對資產/威脅/網絡流量等進行持續(xù)檢測,三個角度在完成合規(guī)要求的基礎上����,對機構和機構的網絡空間與其中的系統(tǒng)建立體系化保護。
為了達成這個安全理念����,深信服建立了由技術體系、管理體系�����、服務體系構成的安全體系�����。由技術體系為機構和機構賦予滿足等保2.0合規(guī)需求的安全物理環(huán)境以及一中心三防護技術要求�����;由管理體系提供滿足等保2.0的安全管理制度�����、安全管理機構�����、安全管理人員�����、安全建設管理與安全運維管理需求�����;服務體系則是幫助機構和機構更好地落實安全能力����,通過風險評估、滲透測試�����、漏洞掃描與基線檢查�����,把握并確保事前的安全狀態(tài),應急響應服務加強事中的安全能力�����,同時提供等保咨詢和應急預案與演練����,幫助企業(yè)更確實地滿足等保需求并加強安全應對能力。
奉賢區(qū)數據等保概況
上海黑象信息科技有限公司致力于商務服務����,是一家其他型的公司。公司業(yè)務涵蓋技術開發(fā)����,技術轉讓,技術咨詢�����,技術服務等����,價格合理�����,品質有保證。公司秉持誠信為本的經營理念����,在商務服務深耕多年,以技術為先導�����,以自主產品為重點�����,發(fā)揮人才優(yōu)勢�����,打造商務服務良好品牌�����。黑象秉承“客戶為尊�����、服務為榮、創(chuàng)意為先�����、技術為實”的經營理念�����,全力打造公司的重點競爭力�����。