随着网络安全形势的变化和技术的发展,为解决重要行业在新技术、新应用环境下开展等级保护工作的需要,今年5月,等保2.0相关的国家标准正式发布。
网络安全等级保护建设如何实施完善,等保2.0有哪些新变化?
著名信息系统工程专家、中国工程院院士、国
舜
金融科技安全研究院指导委员会主席沈昌祥院士在不同场合表达了自己的观点。
沈院士指出,我国的等级保护制度是以整个网络空间的安全保护为对象,分三个层次。
层次一:
个体的、公民的,以及小的法人单位,应该是一、二级。
层次二:
公众利益、社会秩序,有可能是三级。
层次三:
国家安全的,这个实际上是涉及主权问题,因此涉及到四级了。
因此必须很严格,从单位提出来要评审,而且要逐个备案。
等级保护制订了一系列标准,要开始全面地建设,并且建完以后要严格测评,测评完了以后要整改,要采取各种的应急措施。等级保护不是静态的,也不是一个环节,是全过程的PDR(防护)检测、整改应急处理以及备份等,要做到主动应对、积极防御。总的看来要实现“三可”。
第一:
可信,
软硬件的计算资源的可信会被篡改。
第二:
可控,
证明数据信息访问是授权控制的。
第三:
可管理,
整个平台要有管理者,没有管理就没有安全。
信息安全等级保护要对大数据实行全过程的的保护,要科学定级,全面建设,准确划分保护系统对象,重要系统要经过评审和备案。
评审备案后,根据信息系统的保护需求,在此基础上确保建立好保护系统。
然后,对系统进行测评,进一步完善,改进。
最后坚持安全的运维,尤其是应急处理。
沈昌祥院士提出,运用国家计算机信息安全等级保护划分总则,采用一级自主保护,二级指导保护,三级监督检查,四级强制监督检查,五级专门监督检查,正确看待大数据信息等级。然后从信息系统和网络空间上保护好业务信息数据,其次要保护好系统处理服务的过程。
等级保护是要有制度性的,更重要是构建保护大数据终身防护的体系结构,从技术上解决问题。我们应加快构建多层次、高质量的多重防御大数据防护体系:
第一要加大数据资源、环境、系统保护。建设多重多元的防护、多级互联的体系结构,确保大数据处理环境的可信;
第二要加强处理流程控制,
提高计算结点自我免疫能力;
第三要加强全局层面安全机制。
等级保护由不同的访问规则确定的,制定数据控制的策略,梳理数据处理的流程,建立安全的数据处理模式;
第四加强技术平台支持下的安全管理。
要基于安全策略进行管理,与业务处理流程严密结合,监控与我们平时相关管理制度相结合。
总体来说,做到可信、可控、可管,就能保证大数据处理过程攻击人进不去;进去以后有用的大数据也拿不到,因为处理结果是加密的;拿到以后也看不懂——你进去以后系统和信息改不了,系统工作瘫不成,攻击行为赖不掉。
在谈到等保2.0有哪些变化时,沈院士提到,
等级保护由1.0 到2.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;
积极防护、内外兼防;
自身防御、主动免疫;
纵深防御、技管并重。
沈院士认为,等保2.0标准具有以下三大特点:第一,基本要求、测评要求和技术要求框架统一,采用安全管理中心支持下的三重防护结构框架;第二,通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范;第三,把基于可信根的可信验证列入各级别和各环节主要功能要求。
(来源:
沈昌祥院士金融信息安全峰会、中国计算机网络安全年会等演讲内容)
