撰稿 | 流蘇
距離等保2.0正式實施的日子越來越近,作為和大多數企業息息相關的標準之一,等保2.0的頒佈和實施都引起了安全人員的密切關注。
等保2.0和等保1.0有哪些具體的差別,拓展要求中有哪些地方企業需要了解,等保2.0的執行和處罰都有哪些變化以及哪些是企業需要特別注意的地方......
近年來,企業數據洩露事件層出不窮,其中不乏有著龐大用戶數據規模的大型企業。隨著企業數據的價值不斷提升,未來類似的數據洩露事件將會越來越多,因此,企業應該如何構築數據防洩露體系已經成為很多企業迫切關心的問題。
此外,在企業網絡安全防禦日趨重要的今天,WAF、IDS、防火牆等設備紛紛落戶企業網絡關鍵節點後,為何網絡安全入侵卻還是頻頻發生?網絡安全運維人員每每疲於奔命呢?網絡安全與運維的風險多來源於網絡隔離下的終端隱患,如末端防護缺失、管理乏力、風險源難以定位、數據管理不完善等等。因此,如何更有效、低成本、易管理的降低該風險是每個安全負責人應該考慮的問題。
參會嘉賓合影
為了進一步探究以上問題的解決之道,安在組織了本次網絡安全沙龍活動,並邀請上港海勃、上海識裝科技、上海聯合交易所、稅務局信息中心、oyo酒店、唯品會、安進製藥、阿里巴巴、日產、賽麟汽車、上海建工電子商務、上海聯通安全、華誼信息安全主管、華通銀行、SMG上海電視臺、上海科銀創展投資集團有限公司、立邦中國、禾賽科技、上海高世邁船舶、上海恆能泰企業、1藥網、伊墁投資管理、聯創電子、商米、信號旗智能、貝塔斯曼歐唯特、電信一所、市衛計委、上汽通用、申通地鐵、深圳壹賬通等企事業單位部門領導與技術骨幹為活動嘉賓,積極探討信息安全工作的心得和體會。
同時,安在還特邀上海市信息安全測評認證中心餘棟、聯軟科技張彥、地鐵維保沈青等嘉賓發表主題演講,分享在等保2.0、數據防洩漏、企業網絡安全中“域”與管理等方面的研究和解決方案。
本次沙龍活動由安在新媒體(AnZer_SH)發起,上海市信息安全測評認證中心支持,安在張威為沙龍活動主持人。
沙龍活動主持人 張威
此前,安全圈一直處於相對封閉的狀態,而安在舉辦的特色系列活動——網絡安全創新沙龍恰好滿足了“交流”這一需求。在活動中,現場嘉賓可以隨時向演講嘉賓提出自己的疑問,輸出自己在網絡安全方面的研究和心得;演講嘉賓也會第一時間進行解答。
毫無疑問,這是一種效率極高的交流模式。網絡安全沙龍活動的私密性和舒適氛圍使得嘉賓們可以暢所欲言,而參會人員皆是網絡安全部門領導、技術專家、骨幹則決定了會議的技術水準,正所謂談笑有鴻儒,往來無白丁,故而該系列活動收到安全圈參會人士的一致肯定。
在本次活動中,演講嘉賓和現場嘉賓,現場嘉賓和現場嘉賓之間技術探討的激烈程度更勝以往。除了技術討論外,活動現場還對如何才能把工作做得更好,如何引起領導的重視,甚至是安全人員的終極追求、未來發展、如何變現等問題進行深入的探討。
議題介紹及專家觀點
上海市信息安全測評認證中心 餘棟
等級保護2.0時代態勢展望
2019年5月13日,《信息安全技術 網絡安全等級保護基本要求》等3個等保基礎標準正式發佈;5月16日,公安部召開千人宣貫會,標誌著2.0正式啟航。
總的來說,和2008版本的等級保護1.0相比,等級保護2.0在名稱、等級保護對象、總體結構上都有相應的改變,譬如:原來的安全要求改為安全通用要求和安全擴展要求。
上海市信息安全測評認證中心 餘棟
在安全控制層面上,等級保護2.0充分體現了“一箇中心,三重防禦”的安全保護體系,也對安全控制點做了一些結構性調整,包括新增、拆分、合併部分控制點,更加突出標準的實用性、新穎性。
在技術部分各層面上,安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心皆有相應的調整;在管理部分各層面上,安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理也有部分變化。
隨後,上海市信息安全測評認證中心專家餘棟就等保2.0擴展要求中的雲計算安全、移動互聯安全、物聯網安全、工業控制安全、大數據標準進行詳細解讀,包括控制點、要求項、適用對象、主要思想、如何定級、如何開展測評等方面。
最後,餘棟就等保2.0中企業關心的熱點問題,譬如為什麼對安全管理中心的認知會產生誤差;什麼是可信技術以及系統建設上的難點和現場嘉賓進行探討。
專家觀點
嘉賓:什麼等級的信息系統必須由外部第三方測評機構來測評?
餘棟:按照國家相關規定,對定級標準達到二級或者二級以上的信息系統的等級保護測評工作,必須由具備資質的第三方等級保護測評機構來完成。對定級標準低於二級的信息系統由系統的管理單位自行進行安全評估。
嘉賓:現在有沒有類似等級保護測評工具,企業可以拿來對信息系統進行檢查和衡量?
餘棟:如果用戶需要對信息系統按照等級保護的標準進行自評估,目前市場上有多款信息安全等保檢查工具箱可以滿足此類需求。測評能手是全國等級保護測評機構內部使用的等級保護測評工具,暫不對非測評機構單位和人員開放。
聯軟科技 張彥
如何構築數據防洩露體系
近年來,隨著數據的價值越來越大,企業數據安全形式十分嚴峻,各類數據安全事件層出不窮:在暗網上交易了的被盜信用卡數據超過2300萬張;俄羅斯聯邦安全局承包商被黑,7.5TB數據失竊;數百萬保加利亞人個人數據被竊取......
在如此嚴峻的形式下,企業又該如何構築數據防洩露體系?聯軟科技秉承著“構建可控的互聯世界”的理念,建立起一套完善的數據防洩漏基礎流程,助力企業保護自身數據安全。
如何快速全面地發現企業敏感數據是做好數據防洩漏的前提,畢竟只有瞭解敏感數據的分佈才能有針對性地進行保護。而聯軟科技的解決方案可以實現自動發現、自動收集、智能分類、統一管控、風險分析、流轉追溯,讓敏感數據發現不再複雜。
聯軟科技 張彥
同時,聯軟科技通過屏幕水印、強制屏保、強口令、漏洞修復等技術,防止企業敏感數據從網絡、即時通訊軟件、授權外發、郵件、外設、打印等外發通道洩露。
在企業內部,聯軟科技採用WMS系統將重要的業務系統、文檔系統保護起來,讓員工只能在線瀏覽,並增加水印防止拍照,結合外發通道防洩密系統,全方面保護文檔系統、應用系統的敏感信息。當敏感數據已經洩露後,水印也可以幫助企業精準定位洩密源頭,找到數據洩密嫌疑人。
值得一提的是,聯軟科技BYOD統一訪問設備可實現統一安全管控、統一開發框架、統一技術規範、統一身份認證,結合企業業務系統數據防洩露,最大限度保護企業數據安全。
專家觀點
嘉賓:企業在裝了聯軟科技的終端之後,對用戶體驗和性能有哪些影響?敏感數據匯聚到審計平臺之後安全如何保證?
張彥:基本上所有的用戶都會這個問題,總的來說管控的越嚴格,對於資源的消耗就越高,如果只是做審計的話用戶基本是無感的,但是要做管控的話,對於用戶體驗會有一定的影響。敏感文件操作時,審計後臺都會有記錄的。聯軟科技產品發佈時,對於系統的安全考慮到方方面面,這部分數據安全是有保障的。
地鐵維保 沈青
企業網絡安全實用至上——“域”與管理
企業網絡安全與運維的風險大多來源於網絡隔離下的終端隱患,其原因很簡單,如企業網絡隔離下的末端防護缺失,分散式的物理位置管理乏力,風險源準確定位的效果較差,資產臺賬與數據管理不完善等,那麼我們如何能更有效、低成本、易管理的降低該風險呢?
對此,沈青通過對“域”的分享以及相關安全軟件,探討如何降低此類風險。
地鐵維保 沈青
域控制器是指在“域”模式下,制定各種策略集中管理整個域。同時用戶名和密碼也放到域控制器去驗證,並在任意域內終端登錄。
其優勢十分明顯,包括權限管理集中、管理成本下降,安全性能加強、權限更加分明,賬戶漫遊和文件夾重定向,方便用戶使用各種共享資源,查詢機制靈活,擴展性能較好,方便在Microsoft軟件方面集成等;其劣勢主要有缺乏統一的主動殺毒措施,缺乏遠程線上支持,缺乏較好的資產管理,缺少其他統一安全管理措施等。
而在企業應用方面,“域”一個最大的優點就是便宜。部署時,企業可將將組策略、ISA防火牆策略、用戶驗證、文件訪問權限與備份、MS軟件集成等佈置在域控制器,將系統補丁、軟件升級、病毒查殺、軟硬件資產管理、遠程協助等佈置在安全軟件服務器。
最後,沈青表示,在人員、資金、能力有限的情況下,儘可能統一、主動的完成安全防護與運維;在無感、便捷、舒適提升的情況下,提供用戶更專業的服務域響應;在鞭策與考核之前,應做好主動防禦工作,並優先進行引導與激勵。
現場花絮
主題分享
上海市信息安全測評認證中心:簡稱上海測評中心或SHTEC,於2000年1月掛牌運行,是經上海市人民政府批准成立的專門從事信息技術產品、信息系統安全測評及相關資質認證等業務的第三方專業機構,具有獨立法人資格,是國內最早開展信息安全測評的機構之一。上海測評中心目前是華東地區檢測資質最全、規模最大、綜合性最強的信息安全專業測評機構。
聯軟科技:深圳市聯軟科技股份有限公司成立於2003年,擁有近200人的專業技術研發團隊,是業內領先的企業級網絡與信息安全方案供應商。通過十多年在網絡底層架構和各項網絡安全技術的研究,聯軟科技推出平臺級網絡與信息安全管控產品——LeagView安略統一管控平臺。目前,LeagView已在銀行、證券、電信、大型企業、政府、醫療、軍隊等行業的數千家企業級用戶中得到廣泛應用。
申通地鐵:上海申通地鐵股份有限公司是我國第一家從事軌道交通投資經營的上市公司。申通地鐵竭誠為乘客提供安全、快捷、舒適、優質的軌道交通服務,提升上海國際化大都市形象;通過規範化的公司運作,推進上海軌道交通的投融資體制改革和可持續發展。申通地鐵將進一步深化上海城市軌道交通投資經營管理理念及模式,深入進行全方位、多層次的綜合開發及經營業務。
閱讀更多 安在信息安全新媒體 的文章
