公安部第三研究所所長助理金波、公安部網絡安全保衛局副處長祝國邦、上海市公安局網絡安全保衛總隊通報隊隊長劉嶺、公安部信息安全等級保護評估中心副研究員馬力、深信服安全事業部副總經理歐陽熹、上海市國資委信息中心主任王宇穎、國家網絡與信息系統安全產品質量監督檢驗中心陳妍博士、國家網絡與信息系統安全產品質量監督檢驗中心鄒春明、元達律師事務所資深律師史宇航出席并做精彩演講。現場超過400人參加會議,同時吸引了4000多位線上直播用戶共同參會。
▲大會現場
公安部第三研究所所長助理金波致辭表示,網絡安全等級保護制度2.0國家標準發布,對加強我國安全保護工作、提升安全保護能力具有重要意義。本次宣貫會,目的在于讓大家共同學習等級保護的相關標準。運營者必須按照網絡安全等級保護制度,采取技術防范措施,履行相應的網絡安全保護義務。
▲公安部第三研究所所長助理
金波
公安部網絡安全保衛局副處長祝國邦詳細介紹了網絡安全等級保護制度2.0,并強調了其重要意義,網絡安全等級保護制度是國家網絡安全領域的基本政策、基本制度;是借鑒國外先進網絡安全保護方法、保護技術與中國特色相結合的創舉;是行業部門、企事業單位開展網絡安全保障工作的基本方法;是網絡安全領域專家學者、科研機構、企業等集體智慧的結晶;是維護國家安全、社會秩序和公共利益的根本保障。
同時他還介紹了網絡安全等級保護制度2.0與1.0的不同及變化,強調網絡安全等級保護制度2.0國家標準進一步強化“一個中心、三重防護”的安全保護體系,并為各單位、各部門落實網絡安全等級保護制度2.0提供相應的指導和工作建議。
▲公安部網絡安全保衛局副處長
祝國邦
公安部信息安全等級保護評估中心副研究員馬力對網絡安全等級保護制度2.0標準體系及重要標準進行解讀,并詳細剖析了網絡安全等級保護2.0標準的變化。
1.名稱的變化
由《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》,與《網絡安全法》保持一致。
2.對象的變化
由信息系統改為等級保護對象。將網絡基礎設施(廣電網、電信網、專用通信網絡等)、云計算平臺/系統、采用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
3.安全要求的變化
由安全要求改為安全通用要求和安全擴展要求。安全通用要求是不管等級保護對象形態如何都必須滿足的要求,針對云計算、移動互聯、物聯網和工業控制系統提出了特殊要求,稱為安全擴展要求。
4.章節結構的變化
以三級安全要求為例,三級要求下有安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。不同的三級定級對象,使用的要求根據定級對象采用的技術不同而應用不同的擴展要求。
5.分類結構的變化
技術部分調整為:安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心。
管理部分調整為:安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
6.增加新的擴展要求
新增的擴展要求包括“云計算安全”、“移動互聯安全”、“物聯網安全”、“工業控制系統安全”等方面。
7.增加了應用場景的說明
增加附錄C描述等級保護安全框架和關鍵技術,增加附錄D描述云計算應用場景,附錄E描述移動互聯應用場景,附錄F描述物聯網應用場景,附錄G描述工業控制系統應用場景,附錄H描述大數據應用場景。
▲公安部信息安全等級保護評估中心副研究員
馬力
深信服安全事業部副總經理歐陽熹帶來了《網絡安全事業,立于等保基石》的演講,他從安全廠商的角度出發,介紹了其對網絡安全等級保護2.0的思考和理解。深信服根據網絡安全等級保護2.0國家標準提出的三種防御技術要求,進行了相應的創新和實踐:
1.對于云場景下的保護要求
深信服發布了基于云技術架構的安全防護產品XSec,在適應云計算業務應用所需的彈性擴展要求同時,進行個性化的安全編排,實現安全服務化的交付。
2.對于態勢感知工作的要求
深信服開發了基于用戶內網的態勢感知系統,通過采集網絡流量信息和終端數據,結合人工智能的分析框架以及安全專家的人工服務,對用戶內部網絡安全狀況進行實時分析,并且清晰地呈現出來。
3.對于惡意代碼的防范
深信服研發了SAVE安全智能檢測引擎,能夠識別代碼的行為,通過它的內在關聯動作判斷惡意屬性,從而更有效地對新型惡意病毒、惡意代碼進行查殺。同時深信服還提出了云網端聯動的技術,實現在勒索病毒發起攻擊的瞬間,迅速檢測到其橫向攻擊動作,切斷其對系統的威脅。
4.對于管理方面要有新的有效手段
深信服提供基于本地大腦和人機共智的安全托管服務,有效克服了傳統安全服務基于人的堆砌、基于人的判斷,而導致服務效果不同的問題。同時在其基礎上,深信服提出的人機共智安全架構,有效實現了等保防護能力的全面落地。
▲深信服安全事業部副總經理
歐陽熹
上海市國資委信息中心主任王宇穎帶來了“上海國資企業面臨的網絡安全挑戰和對策”的演講,并通過對國資系統2018年網絡安全通報情況進行分析,將主要問題分為五類:網絡安全意識普遍比較薄弱;安全事件報告不及時;應急預案落實不到位;防護保障能力薄弱;防護合力尚未形成。并且他建議通過制度+科技+人才相結合的方式,更好地落實信息安全。
▲上海市國資委信息中心主任
王宇穎
國家網絡與信息系統安全產品質量監督檢驗中心陳妍博士針對網絡安全等級保護2.0的云計算應用場景進行相關解讀,并為大家著重介紹了責任共擔模型。云服務商的責任是底層硬件和虛擬化層的保護,云服務用戶的責任是中間件層保護,以及應用和數據的保護。
▲國家網絡與信息系統安全產品質量監督檢驗中心
陳妍博士
國家網絡與信息系統安全產品質量監督檢驗中心鄒春明帶來了針對網絡安全等級保護2.0工控應用場景的解讀,他在講話中提出,首先需要有安全的工控設備和計算設備;另外,要采用可靠的工控信息安全產品,針對全生命周期進行安全管理,做好工控系統的信息安全。
▲國家網絡與信息系統安全產品質量監督檢驗中心
鄒春明
元達律師事務所資深律師史宇航進行了“等級保護賦能企業數據合規”的主題分享,他強調,網絡安全等級保護制度是法律義務,信息安全人員和法律從業者要及時進行雙向溝通,清晰公司業務對網絡架構可能產生的影響。
▲元達律師事務所資深律師
史宇航
深信服秉持著“面向未來,有效保護”的安全理念,在網絡安全等級保護2.0的新時代下,積極參與,全情投入,踐行網絡安全等級保護2.0,與監管單位、測評機構和其他安全廠商一起共建生態,共同為中國廣大用戶的網絡安全保駕護航。
