昨日,「FreeBuf 企业安全俱乐部」系列沙龙活动「等级保护2.0研讨专场」在北京举行,那些没能到场的朋友,也可以通过阅读本文来了解昨日的研讨会上,大咖们都讲了哪些干货。
等保2.0下的企业转变
等保即网络安全等级保护,指对网络和信息系统按照重要性等级分级别保护的一种工作。等保2.0具有更加普适性,覆盖行业范围更广,技术领域更加全面的特点。
它以保护业务与数据安全为核心,要求身份可信与业务边界安全,并且对安全工作过程提高要求,增加工作量与安全责任的负重。
进行干货分享的第一位嘉宾是来自正保远程教育安全负责人李晨,带来的主题是《等保2.0下的企业转变》。从等保的差异简介讲到企业该如何应对转变。
李晨认为,企业需在这几个方面进行转变:
1.态度转变:等级保护2.0提供了企业网络安全战略规划目标,配套网络安全法,将对企业管理者提供方向上的指引,避免为了“合规”而合规。
2.体系转变:根据等级保护要求中的网络安全综合防御体系,由被动转主动、由静态转动态、由单点转整体、由粗放转精准。
3.能力转变:对企业安全负责人综合能力提高了要求,应同时具备纵向管理与水平管理能力,以及技术层面一专多能的要求。
4.技术转变:完善技术生态,提高团队能力,安全的本质在于人的对抗与资本的对抗。
5.运营转变:基于数据驱动的安全运营体系,包括识别、检测、防护、响应的持续能力。
动态安全 构建等保2.0时代的主动防御
数字化时代,主动防御成为实现商业安全保障的基石,而移动目标式的动态防御,成为主动防御技术领域的技术方向。
来自数瑞信息技术总监关福君,从产品的落地与实践方面,向大家分享了《动态安全-构建等保2.0时代的主动防御》。
在他的理解中,主动防御的技术趋势大体上可以分为四种情况:
移动目标式的主动防御:迫使攻击者不断重新适应,并对动态转移的薄弱点作出反应,从而有效防止攻击者使用自动化僵尸程序。
机器学习: 利用大数据和机器学习解析法,熟悉和学习企业的正常流量,从而判定企业业务的异常访问。
主动行为分析:主动行为分析和指纹识别来识别客户端的正常流量,用户使用模式和用量来检测和启发式推测可疑活动。
安全情报及主动预测 :通过情报交流和第三方数据收集安全威胁情报,包括诈骗风险情报数据库让企业知悉最新的攻击信息。
云计算环境下的等保2.0应用实践
伴随着《网络安全法》的出台,安全等级保护工作进入2.0时代,等级保护对象由原来单纯的信息系统扩展到更多领域,云计算是其中需重点关注的一个领域。
今天的会场上,主办方邀请到了来自金山云高级安全经理张娜,向大家分享《云计算环境下的等保2.0应用实践》。
云计算技术正在或已成为当前数据中心建设的核心技术。如何识别云计算技术的安全风险,并将其纳入到数据中心整体风险管理体系,通过一系列的安全治理将其控制到一个可以接受的范围,成为企业需要解决的重要问题。
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级。在对云服务方的云计算平台上进行等级测评时,应选择全部《安全测评通用要求》+《云计算安全测评扩展要求》 中适用于云计算平台的部分指标。
云租户侧的等级保护对象也应作为单独的定级对象定级。在对云租户业务应用系统进行等级测评时,应选择全部《安全测评通用要求》和《云计算安全测评扩展要求》中适用于云租户业务系统的部分指标。
网络安全等级保护2.0要求解读
等级保护2.0较1.0相比,主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面。
从工作内容上来比较,除了满足等保1.0时代五个规定动作以外,它也把风险评估、安全监测、通报预警、案件调查等方面的工作都纳入到等级保护的范围之内。
来自公安部第三研究所的公安部信息安全等级保护评估中心安全咨询部主任陈广勇为大家分享《网络安全等级保护2.0要求解读》,从网络安全法具体条款的解读出发,重点介绍网络安全等级保护制度在2.0阶段的新特征和新变化,并对新发布的关键网络安全等级保护相关标准进行详细介绍,为企业在新形势下的等级保护如何建设提供思路。
在分享中,他提到:等级保护2.0从技术方面强调采用“一个中心、三层防护”的网络安全架构。这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。
互联网企业落地等保2.0实践分享
接下来,从落实网络安全等级保护,履行《网络安全法》规定的责任和义务,提升互联网企业信息的安全管理和防护水平,承担社会责任,保护国家关键信息基础设施和大数据,实现客户服务增值,提升服务安全保障和个人信息保护等方面,来自深同程艺龙信息安全部负责人张博分享了《互联网企业落地等保2.0实践》。
张博对于等保2.0关于个人信息保护的要求总结说:网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。
等保2.0下的身份安全
等保2.0时代,身份鉴别、访问控制、安全审计等身份安全相关的技术点,成为“可信、可控、可管”安全防护体系的重要组成部分,企业网络安全建设之路更加坚定,对身份安全的要求也愈来愈严格。
来自上海派拉软件股份有限公司创始人/CEO谭翔,为大家带来《等保2.0下的身份安全》的分享,把身份安全解决方案落到实处,将企业内外部用户的身份安全做到极致,助力企业提升网络安全防护能力,筑好网络安全第一道防守线。
谭翔结合等级保护2.0标准以及与1.0的区别,对等级保护涉及身份鉴别(以等保3级为例),访问控制,可信验证,安全审计,数据保密性,数据完整性,个人信息保护的要点进行解读。从实践的角度探讨标准落地的对应解决方案,为身份安全的防护措施提供实际参考。
等级保护2.0标准条款实践案例
开展等保工作,能够发现相关机构、单位和企业网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足;另一方面,通过安全整改,提高网络安全防护能力,降低系统被各种攻击的风险。来自信息产业信息安全测评中心的副主任刘健,为大家带来《等级保护2.0标准条款实践案例》的议题分享。
刘健除了实际案例的讲解之外,还特别强调,等保2.0加强了可信体系作为重要思想:
1.安全通信网络可信验证:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
2.安全区域边界可信验证:可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
3.安全计算环境可信验证:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。
建设网络空间“雪亮工程” 夯实网络安全运营体系
等级保护是我国信息安全保障的基本制度性工作,是网络空间安全保障体系的重要支撑,也是应对强敌APT攻击的有效措施。
来自科来软件产品运营部总监李飞在《构建设网络空间“雪亮工程”,夯实网络安全运营体系》的分享内容中,认为全流量回溯已成为等保2.0合规部署清单。
全流量回溯是安全运营体系的必要组件:由传统安全设备(IPS、FW、WAF等)和全流量平台、威胁情报的纵深检测和防御体系;以全流量分析为中心的安全事件溯源分析体系,实现对攻击事件的全链复原和取证;以SOC平台为中心的安全设备联动体系,实现攻击发现、拦截的自动化处理流程。
人工与智能,助力新等保
新的系统形态、新业态下的应用、新模式背后的服务、以及重要数据和资源统统进入了等保2.0的视野,特别是人工智能等新技术手段也划入等保的范围内,打破了之前我国人工智能安全标准主要集中在应用安全领域,缺乏人工智能自身安全或基础共性的安全标准的现状。
本次研讨会上,斗象科技高级安全研究专家张志鹏在《人工加智能,助力新等保》主题分享中,向大家说明了安全服务与智能安全如何在新等保下更好地应用。
他认为,在进行动态安全防御之前,需明确等保重点工作内容:关键信息基础设施的定义;关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等);敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估);风险评估(第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门)。
因此,选择一个拥有合规的以数据分析为核心,结合机器学习技术,构建云端安全监测、多源威胁分析、未知威胁响应的全息安全体系更为重要。
本文主题:
科技创新 | 企业等级保护
閱讀更多 Techtreex 的文章
