不禁想問,一個耗時多年的國家級政策和標準,就這么輕而易舉的被解決了?
對此,網絡安全行業等保領域的老兵、山石網科高級副總裁楊慶華在接受采訪時表示——不能將等級保護2.0庸俗化,只談技術不談管理的等保2.0都是耍流氓。
作為網絡安全行業從業22年的資深專家,楊慶華認為等級保護是科學發展觀,是網絡安全建設的科學方法論、具有“單一技術搞不定、單一產品搞不定”的復雜特點,不僅要將管理的重視程度提高至技術層面同級別,還要建立一套科學自律的網絡安全“生活習慣”。因為持續穩定保障企業的業務運行,才是等保的核心意義。
等保2.0是否已經變成廠商新商機的狂歡?用戶面對類目繁多的等保2.0還有哪些“坑”要繞開?楊慶華先生的觀點如下:
1、等保2.0是系統發展觀非單一標準
等級保護是網絡安全建設的科學方法論,通過等級保護的政策指導、技術要求建立一套良性發展的安全體系,才是等級保護制度的意義。而不是淺顯地理解成一套執行要求、標準集合。
如今市場出現的各種快速通過的等保2.0藥方,相當于把等保庸俗化。就好比想要一個強健的身體,不能光靠吃藥。吃藥甚至是有害的,更重要被認真對待的是健康的生活方式。等保就是在要求用戶在網絡安全建設方面,培養健康的生活方式。
2、等保2.0是技術+管理非產品堆疊
用戶的安全體系想要健康,必須做到:技術過關,管理夠硬。
在技術層面,等保2.0不是一款產品可以解決的,譬如:新標準的三級系統有71個控制點,211個控制項,每一個控制項都需要依靠2-3個設備才能實現;再比如:在等保2.0要求中,三級系統的邊界防護,有4條明確的要求項,而這4個要求項至少需要依靠4種技術2-3個產品及安全管理系統才能同時實現……所以說包治百病的“神藥”是根本不存在的。
另外,等保也不是購買一堆產品堆疊在一起就可以滿足要求的,更不要提什么“套餐”,而是產品的功能、配置、策略以及產品間的協調、配合、聯動。
同時要特別注意的是:等級保護將管理要求上升到和技術要求同等重要的位置,管理要求包括人員、機構、制度、運維、建設等方面,其中管理制度僅這一項就包括了策略制定、制度執行、審批流程等細節內容;安全進程管理、安全運維管理的控制點及要求項的數量,甚至超過了技術要求中的分類。
由此可見,即使技術層面可以通過購買產品解決,但管理軟實力的修煉,整個體系的搭建需要用戶在運維方面多下功夫,不能期望一蹴而就。
而對于廠商而言,不談管理的等保2.0都是在耍流氓式的進行市場誤導。
3、等保測評只是手段非等保目的
企業的網絡安全是一個大生命周期。在這個周期里,每個系統之間需要不斷調整和完善。隨著安全環境的變化,需要隨時動態調整策略和結構,因為新的攻擊和新的漏洞的網絡危險也一直在進化。
在這樣大的生命周期里,等保的測評只是手段,用戶和廠商都不能把通過測評當成目的。舉個例子,不能說通過等保2.0三級的建設標準,就能滿足三級標準的安全。因為測評只是及格分,而及格分并不代表合規。真正的安全建設應該大大超出60分。
山石網科觀點
綜合以上觀點,山石網科認為,結合市場現狀可以看出,如果有用戶認為購買網絡安全產品通過等保2.0測評就能保證系統、數據的安全運行,這是沒將等保的原理和目的搞清楚。而部分廠商進行“打保票”式的夸張宣傳,也是極不負責任的。
等保2.0作為網安行業具有里程碑意義的建設體系工程,廠商不應將合規需求單純理解成簡單的商機,用戶也不應該將等保2.0理解成一次簡單的安全考試。
廠商和用戶都該本著科學發展觀的態度來正確解讀等保2.0
廠商以解決用戶實際問題的態度研發產品,以實事求是的態度進行宣傳;
用戶則應該對自身提出更高的網絡安全管理技術要求,扎扎實實將安全體系建設作為企業業務高效運轉的第一護城河。
