等保的夏天 ——請啟明星辰等保專家閃亮登場!

發布時間 2019-09-04
這個夏天,在搖滾圈里,幾十支樂隊匯聚在一起,打造了盛大的《樂隊的夏天》,點燃了搖滾樂迷們的激情

同樣,在信息安全領域,等保2.0也掀起一層層熱浪,迎來了專屬于它的夏天——等保的夏天。

據說,在《等保的夏天》這個舞臺上,有一只神秘的隊伍,出場就自帶BGM,開口即燃爆整個舞臺。它就是來自啟明星辰的“想低調可實力不允許”隊,隊員是經過啟明星辰內部層層選拔,多場Battle,脫穎而出的兩位等保專家組成~~~

現在,有請“想低調可實力不允許”隊成員閃亮登場??!

趙呈東

啟明星辰集團首席安全專家、啟明星辰VF專家團成員、中國科學院數學與系統科學研究院博士、《信息安全技術 信息系統安全等級保護基本要求》(等保1.0)標準編制組成員。

馬閩

啟明星辰集團網御星云技術總監、《信息安全技術 網絡安全等級保護基本要求》和《信息安全技術 網絡安全等級保護測評要求》(等保2.0)標準的起草人。

俗話說,酒香不怕巷子深。這不,記者就慕名前來,就等保2.0的相關問題對“想低調可實力不允許”隊進行了專訪,兩位大咖以“一線”視角為廣大用戶解讀了等保2.0,并為企業用戶做到標準合規提出建議。

Question 1

記者:


當今,互聯網發展“一日千里”,變革日新月異?;ヂ摼W就像一匹脫韁的野馬,正“蒙眼狂奔”,而網絡安全則是“這匹野馬的韁繩”。當互聯網這匹野馬跑得越來越快,老舊的“韁繩”卻遏制不住它的速度?,F在,有請“想低調可實力不允許”隊介紹一下等保2.0的誕生歷程。

想低調可實力不允許:


1994年,國務院發布《計算機信息系統安全保護條例》147號令。該條例首次提出“計算機信息系統實行安全等級保護”,安全等級保護理念由此誕生;伴隨國家信息化的高速發展,2007年,公安部發布《信息安全等級保護管理辦法》,俗稱等保1.0,這標志著全國范圍的網絡安全等級保護工作正式拉開序幕,并成為我國網絡安全方面的主要依據。

由于新技術、新應用、新業務形態的大量出現,尤其是大數據、物聯網、云計算等的大量應用,同時安全趨勢和形勢的變化,等保1.0已經不再適用于當前安全要求,或者在新技術和新應用下已經不能滿足,需要重新制定新的等?;A要求標準。

等保2.0的發布充分貫徹《中華人民共和國網絡安全法》,實現我國網絡安全戰略目標,落實分等級保護、突出重點、積極防御、綜合防護的總體要求,變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護,堅持同步規劃、同步建設、同步運行網絡安全保護措施的“三同步”要求,提升我國的網絡安全綜合防護能力。

等保2.0起草的具體過程:


? 2013年12月,公安部第三研究所、國家能源局信息中心以及啟明星辰信息技術集團股份有限公司成立了《信息安全技術 信息系統安全等級保護基本要求》標準編制組;
? 2014年1月-3月,標準編制組按照計劃調研國際、國內新技術和新應用的情況,完成研究報告;
? 2014年4月-2016年11月,標準編制組修訂出標準草案的第一稿至第七稿,組織多次專家評審會,形成標準征求意見稿;
? 2017年2月,公安部根據征求意見稿收集建議并修改,形成標準送審稿;
? 2019年5月13日正式發布,12月1日正式實施。

Question 2

記者:


等保2.0體系復雜,涉及面廣,那么等保2.0的關鍵信息是什么?它想要向外界傳達哪些信息?

想低調可實力不允許:


等保1.0解決的是PC互聯網時代的問題,但經過十年發展,中國互聯網已經發展深入,進入移動互聯網時代。我們看到,基于云計算、大數據和人工智能,移動互聯網的底層IT基礎設施正在加速迭代,企業上云、數據遷移和微服務以及容器化等,讓一些網絡安全問題變得更復雜,涉及面更廣。另一方面,移動互聯網的成熟,讓各種互聯網應用“蓬勃發展”,新應用不斷產生,網絡安全問題也隨之而來。因此,等保2.0是要解決移動互聯網時代新形勢下產生的網絡安全問題。

已經發布的等保2.0設計要求、基本要求、測評要求和測評指南系列標準,信息量之多、跨度之大、覆蓋之廣,即覆蓋所有對象,包括網絡、信息系統、信息,以及云平臺、物聯網、工控系統、大數據和移動互聯等各種新技術應用,且覆蓋社會的各地區、各單位、各部門、各企業和各機構。等保2.0建設整改過程包括定級、規劃設計、建設整改、風險評估和等級測評,而測評周期變為三級以上每年測評,且測評對象綜合得分不低于70分才算基本符合要求,基本上實施過程需要6個月。

Question 3
 

記者:


與等保1.0相比,等保2.0有哪些變化呢?

想低調可實力不允許:


與等保1.0相比,等保2.0在等保1.0的基礎上做出全面的升級調整,這體現在網絡安全防護思維的變化,從被動防御到主動防御、從一套標準走天下到細分領域定要求,更加強調整體管控能力,既能解決基礎問題又可應對新的安全風險。最大的變化是網絡安全等級保護制度2.0國家標準在1.0的基礎上,實現對新技術、新應用安全保護對象和安全保護領域的全覆蓋,將云計算、物聯網、移動互聯、工業控制系統和大數據等相關新技術應用全部納入保護范疇。

Question 4

記者:


對企業來說,如何更好地理解并在企業中實踐等保2.0的要求?

想低調可實力不允許:


企業可以從五個方面來做:


第一,加強等級保護2.0的培訓宣傳;
第二,與高校等機構合作,發揮企業網絡安全優勢,產教結合;
第三,服務引導用戶向等保2.0規劃建設,將等級保護2.0的思想融入企業提供的網絡安全解決方案和安全服務中;
第四,配合公安部等國家監管部門網絡安全等級保護2.0的落地實施;
第五,加大與行業客戶的溝通,助推國家標準在行業的落地,推動行業等級保護標準的編寫和發布。

2019年5月13日,國家市場監督管理總局召開新聞發布會,正式發布《信息安全技術網絡信息安全等級保護基本要求》,俗稱“等保2.0”。等保2.0的發布,標志著我國正式進入“等保2.0時代”。據悉,等保2.0將于2019年12月1日正式實施。

作為唯一全部參與等保2.0三個部分(基本要求、測評要求、安全設計技術要求)起草單位的安全廠商,啟明星辰多年來始終踐行網絡安全等級保護工作,擁有眾多優秀的等保專家,積累了超豐富的等保經驗,積極參與等保標準的制訂、推進和落地,為用戶提供專業的安全產品、服務和解決方案。

未來,啟明星辰將繼續專注研究,實現技術突破和創新,為中國的網絡安全事業建設貢獻力量。






|文章部分素材來源于天極網采訪內容|