中國網(wǎng)財經(jīng)12月1日訊 近日,“2020北京國際金融安全論壇”在北京召開���。本屆論壇以“
新金融�����、新基建����、新安全”為主題�����。公安部信息安全等級保護評估中心主任助理李明參加了論壇并發(fā)表了演講�����。李明從定級指南的三個變化要點����、安保工作的五個步驟��、以及具體落實的六個步驟等方面做出了演講��。他談到:“無論是從《網(wǎng)絡安全法》���,還是前段時間公安部頒布的196號文件,為金融行業(yè)來落實等級保護工作��,或者是以等級保護工作為抓手���,提升整個網(wǎng)絡安全保障工作提供了很好的指導意義����?!?/p>
以下為部分演講實錄:
李明:很高興有這個時間和機會,和各位交流一下���,如何來落實等級保護制度���。
大家可以看到,無論是從《網(wǎng)絡安全法》�,還是前段時間公安部頒布的196號文件,為金融行業(yè)來落實等級保護工作��,或者是以等級保護工作為抓手,提升整個網(wǎng)絡安全保障工作提供了很好的指導意義����,明確指出了六項工作,后面我會進一步展開����。
這六項工作里面,深化定級備案和同步安全建設是我們整個工作當中的重中之重��,如何來開展呢?我就結(jié)合整個標準體系里面的兩個核心標準�,定級指南和基本要求給大家解讀一下�����,如何落實等級保護工作�。
首先,定級指南這個標準����,要深化定級備案工作,沒有規(guī)矩不成方圓�����,這個規(guī)矩就是定級指南,定級指南與之前的標準相比��,主要有三個變化��,希望大家注意�。
1、對象擴充���?!毒W(wǎng)絡安全法》把網(wǎng)絡安全工作的范疇界定為網(wǎng)絡空間���,而且信息技術也推升了新的業(yè)務形態(tài)�����,等保的工作對象不僅僅有信息系統(tǒng)和網(wǎng)絡���,延伸到現(xiàn)在新技術、新應用出來的云計算�����、物聯(lián)網(wǎng)�、大數(shù)據(jù)等等這些新的業(yè)態(tài)�,所以大家要注意這一點��。
2��、因為對象擴充了���,所以對它的方法�����,怎樣來確定對象���,如何確定它的級別�,方法也進行了升級。
3�����、流程日趨完善�����,這也是回答大家實際工作當中��,定級工作是不是按照我自己的理解定一個級別就行?回答是非常明確的。一個完整的定級工作流程���,包括了確定定級對象��、初步確定等級��、專家評審��、主管部門核準��、備案審核這5個環(huán)節(jié)����。
前面我也提到了��,一個完整的等保工作有5個步驟����,對于這5個步驟,提出4個要求幫助大家理解怎么落實這5個步驟����。
1、完成定級備案工作的時候,要注意定級的時機�����,千萬不要等到系統(tǒng)要上線了��,再去考慮定級�����,這是錯誤的���。在項目立項之初�����,開展建設之前�,你就要完成定級工作�����,否則你對象不全���,級別確定不準,很明顯可以知道�,你的需求就錯了���,需求錯了,后面的開發(fā)�����、集成���,包括你的管理體系的建設����,全都是錯的���?���!毒W(wǎng)絡安全法》里面明確要求的“三同步”就成為了空中樓閣�,所以大家一定要注意,定級備案工作的第一點�����,時機非常重要。
2���、對象要全�,劃分要合理����。因為我們有這么多新的形態(tài)對象,所以大家一定要注意這一點���,對象一定要全�����,面向一個單位整體的梳理�����,既有老的業(yè)態(tài)���,也有新的業(yè)態(tài),這里面等級保護對象一定要全����。
3、級別要準確��。確定對象的基礎上��,我們要全面分析它們的功能�����,服務的對象��,服務的地域�����,以及關鍵數(shù)據(jù)的情況���,綜合來確定級別����。
4�����、定級的流程�����。前面也提到了,從第1步到第5步�����,只有完成了公安機關的備案審核�,出具了備案證明之后,你的這個定級工作才完成����,這個時候,你確定的級別才是所有后續(xù)工作的依據(jù)����。大家一定要注意,第2步���,初步確定的等級不是你最終的級別�����,如果在專家評審���,或者是備案審核中����,出現(xiàn)不一致的情況���,我們作為網(wǎng)絡的運營者,一定要慎重對待�����。
以上這4個要求里��,主要還是定級對象的劃分這一點����,大家會存在一些疑惑,尤其是新對象�����,這里面我會舉幾個例子�����,比如說對云計算��,對于云計算的劃分,我們有兩大原則���,第一原則是什么?兩個視角的切分�,平臺和租戶�����,不要混在一起�,所以我們的第一原則,就是云服務客戶側(cè)的等級保護對象和云服務商側(cè)的云計算平臺要單獨定級���,各管一套����。二是對于進一步細分���,如果公有云�����,大型的云平臺�,你可以繼續(xù)將基礎設施�、輔助平臺切分�����,對于更復雜的云平臺來講���,因為它要提供不同的服務模式�,比如說IaaS、SaaS�����、PaaS要分別定級�����,否則對于云客戶來講��,他不知道怎樣選擇一個合理的平臺�����。這里我用一個圖像的形式�����,因為云的場景里面特別復雜,所以我這里僅僅是舉了一個公有云提供IaaS服務的圖形�,我們的定級是這樣的。云平臺����、云租戶,如果在公有云的場景下���,可能有不同的云租戶����,可以根據(jù)不同的安全責任主體進一步切分�����,這是要注意的����。
第二個,尤其是在新金融里會遇到的移動互聯(lián)���,對于移動互聯(lián)來講�����,大家要注意的就是“三要素”��,移動終端����、移動應用、無線網(wǎng)絡����,這“三要素”是要統(tǒng)一��,不能切分����。當然這個要根據(jù)實際情況,統(tǒng)一起來是要和傳統(tǒng)的IT部分統(tǒng)一定級��,還是可以獨立�����,這要根據(jù)實際情況分析���,但是無論在哪種場景下�����,這三個要素都是不能夠單獨定級的���,千萬不能說我一個App的終端去定一個級別���,那是不對的。
另外要提一點的就是數(shù)據(jù)資源�����,尤其是在大數(shù)據(jù)應用越來越廣泛的情況下�����,一般場景下����,我們可以把大數(shù)據(jù)、大數(shù)據(jù)平臺���,像這個例子���,大數(shù)據(jù)的應用����、大數(shù)據(jù)的資源�����,統(tǒng)一定級��。但是隨著現(xiàn)在新技術�,或者是新的商務模式的推廣,數(shù)據(jù)資源和系統(tǒng)單位��,甚至于處理它的工具是日趨剝離的�,所以在極特殊的情況下��,比如說這三者的安全責任主體不一致的情況下�,我們是要求數(shù)據(jù)資源獨立定級,對于定級對象的確定�,這里有三個形態(tài),我單獨說一下�。
當我們完成定級工作之后,接下來很重要的一項工作就是安全建設�����,對于安全建設,首先看一下這個標準��,你一定要依據(jù)標準來走��,這個標準就是基本要求�����,全稱就是“網(wǎng)絡安全等級保護基本要求”���,編號是2239��。這個標準與以前08版的標準相比��,有三個升級��,一是對象擴充�,接下來兩個非常重要的點��,架構(gòu)的統(tǒng)一和能力的提升��。第一個要點�,是因為跟著整個《網(wǎng)絡安全法》的規(guī)定�,對象擴充了����,所以我的要求也擴充,但是在增強上面���,我們是有兩個�,大家可以看這張PPT��,給了大家一個演示����,我們?nèi)绾螐漠敵醯膶哟文P娃D(zhuǎn)回現(xiàn)在的架構(gòu)統(tǒng)一,這個架構(gòu)也是為了更好地體現(xiàn)新的標準所要求的“一中心三重防護”���,并不是說2008年這個模型不好�����,而在于我們現(xiàn)在等級保護2.0里面,已經(jīng)完成了08版的時候�,怎樣把一個標準和對象做一個簡單對應的工作,我們現(xiàn)在更加強調(diào)的是怎樣更加完整����,更加強地構(gòu)建一個彈性的網(wǎng)絡安全體系�����,這個時候我們“一中心三重防御”這種模型可以更好地體現(xiàn)我們的需求���。
因為時間的關系,標準我就不再展開��,這里面為了幫助大家理解���,我提出了六個要點��,具體落實基本要求����,可以從這六個點來走����。
1、優(yōu)化網(wǎng)絡結(jié)構(gòu)��。對應的標準是這兩個條款(安全通信網(wǎng)絡����、安全區(qū)域邊界)�����,一是要有一個縱深���,優(yōu)化網(wǎng)絡結(jié)構(gòu)最終目標就是要實現(xiàn)縱深的防御,這里面可以細分為兩個要求�����,一是整體結(jié)構(gòu)上是劃區(qū)域的�,區(qū)域之間采用可靠的技術隔離,從而能夠?qū)崿F(xiàn)縱深�。二是收縮邊界,邊界應該有一個可靠的�����,受控的接口���,而且我們這個收縮后的邊界��,你要有措施來保證它是完整的�,不被繞過的�����,這一點特別重要��。近兩年����,一再出現(xiàn)這種情況,而且我覺得這一點對于我們金融機構(gòu)來說尤其重要�����,因為我們金融機構(gòu)有一個特點���,縱向來看有總部和分支�,橫向來講����,我們要和不同的部委,不同的商業(yè)機構(gòu)橫向互聯(lián)互通����。所以�,邊界的問題對于我們來講尤其關鍵�����。如果我們做不好這些���,后面所有的工作都是白廢�����。第一點�,優(yōu)化網(wǎng)絡結(jié)構(gòu)是所有安全建設工作的起點和基礎���。
2��、在這個基礎上關注的第二點����,要有關鍵設備的加固�����,如果沒有邊界的突破,就沒有后續(xù)的一系列的實踐��,但是這個邊界的加固不是那么簡單����,我們要做到幾件事情����。一是身份的鑒別,二是安全的配置�,三是實現(xiàn)精準的情報結(jié)合,我們發(fā)現(xiàn)漏洞的時候���,就要修補�,只有做到這個之后��,我們才可以說�����,我們的邊界守住了�����,從攻防的角度,最外面的這一道防線守住了����。
3、到了應用和數(shù)據(jù)���,這里我們要做好數(shù)據(jù)的分類分級�����,基于數(shù)據(jù)的分類分級做好防控��。這里面我要額外多說一句�����,因為我們現(xiàn)在有一些新的技術路線出來�,但是大家一定要注意�����,千萬不要把所謂新的理念�����、路線、體系����,與舊有的體系,以前已經(jīng)行之有效的體系對立起來�,比如說零信任,當然還有一些其他的思路����,我們一定要做好新舊的銜接����,千萬不要再說新的體系還沒有正常運行,比如說零信任里面�����,你的動態(tài)決策���,動態(tài)的授權還沒有實現(xiàn)的時候��,我就把邊界已經(jīng)解除掉了��,這些做法都是錯誤的���,我們一定要注意循序漸進�����。同樣的�����,我們控制應用和數(shù)據(jù)還要注意到另外一個���,軟件的開發(fā),綜合考慮開發(fā)之初就要利用編碼的部分�����,編碼的規(guī)范�,安全的審計,包括商業(yè)滲透測試等等�����,綜合保證代碼之初應用是安全的����,再保證數(shù)據(jù)的安全�,這是第三點����。
4、彈性的安全體系非常重要的是什么?是響應����,前面我們也提到安全理念里面,第一點���,安全不是靜態(tài)�����,它是動的,如果我要針對一個動態(tài)的場景做好安全����,及時發(fā)現(xiàn)安全威脅就是必不可少的,這里面我們要做好監(jiān)測態(tài)勢��,尤其是對于新型的網(wǎng)絡攻擊��,不要簡單地布一個IDS或者是IPS����,我們要注意邊界防好之后��,橫向移動里很重要的是什么?就是情報����、態(tài)勢和行為分析�,綜合這些手段來實現(xiàn)及時對安全威脅的應對。
5�����、所有的這些工作都離不開集中管理�,大家回想一下,我做一個強制防控����,或者說我要構(gòu)建一個態(tài)勢感知平臺,甚至于我要做一個零信任的體系�����,繞不過的是什么?繞不過的是一個統(tǒng)一的策略���,我們的安全管理中心���,所以大家一定要注意�����,所有的前面的工作�����,我都是要建立在安全管理中心的集中管控基礎之上的���,這里面我們需要重點地關注統(tǒng)一的策略,統(tǒng)一的監(jiān)測����,統(tǒng)一的分析����,只有這樣,我才能夠構(gòu)建前面提到的整體安全�。
聲明:本文來自中國財經(jīng)時報網(wǎng),版權歸作者所有��。文章內(nèi)容僅代表作者獨立觀點��,不代表我們立場,轉(zhuǎn)載目的在于傳遞更多信息����。如有侵權,請聯(lián)系刪除�。
等保測評咨詢
