安全研究

等保2.0的落地和落实,监管、测评、运营部门可以这么干

等保2.0终于在2019年5月13日正式发布,这是继2008年正式发布等保1.0十余年来的重大突破,等级保护工作最重要的标准依据即将落地执行。等保2.0有很多变化,对系统运营单位、测评机构、监管部门也提出了更高的要求。下面,我们从等级保护相关单位自身职责出发,谈谈等保2.0带来的网络安全工作变化。

 

这里,需要重申下等级保护制度的重要性与工作内容:

 

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。

 

网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。定级对象建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对定级对象安全等级状况开展等级测评。

 

 

那么,请监管部门、测评机构、系统运营使用单位注意了,下面是为你们专项剖析的重点。

 

监管部门职责

监管单位作为督导部门,对信息系统网络安全情况负有监督、指导的职责。无论是《网络安全法》还是《网络安全等级保护条例(征求意见稿)》都讲到公安、网信、行业主管部门要协作履行监管职能。这就要求从技术能力与管理能力双向提升,以满足在等保2.0监管过程中的检查、处置、指导、协调、统筹等工作需求。

测评机构职责

测评机构是系统运营使用单位等保2.0建设情况的“裁判官”,必须对等保2.0涉及到的云计算、物联网、工控等新型系统具备充分的业务能力。并且测评机构一般还具有对外提供服务的业务,这就要求必须加强自身对等保2.0的贯彻理解,才能更好对外提供服务。

系统运营单位职责

首先,是自身安全需求驱动:数据重要性、业务重要性;其次,是政策方面要求,《网络安全法》规定要开展等级保护;《网络安全等级保护条例》要求每年开展自查;还有来自行业的要求,如三甲医院HIS系统必须满足等保三级要求;另外,还面临着公安、网信、主管部门、内部安全管理部门等的多方监管压力。这就要求必须做到自身信息系统的等级保护建设工作,满足在等保2.0下的安全合规要求。 

下面针对上面遇到的几个落地问题,我们可以从以下几个角度来关注,一一落实:

 

01

 建立等级保护常态化检查和自查工作闭环 

 

等保1.0的安全要求主要针对信息系统进行展开,强调物理、主机、应用、数据、传输,在等保2.0涉及到了云计算、移动互联、物联网、工控、大数据这些新型的系统形态。如何对等保2.0要求范围内的系统进行评估、研判其与等保2.0安全合规要求的差距与整改方向,成了当前迫切需要解决的问题;另外,就监管或者管理者的角度来说,如何对所管理的信息系统安全性建立良性的工作循环,能够最大程度的提高管理效率,也是迫切需要解决的问题。

 

安恒信息在第一时间完成了等保2.0与产品的融合。通过等级保护检查工具本地检查能力、态势感知平台数据管理能力充分结合,完成了等级保护2.0下的常态化工作闭环逻辑。能够有效帮助用户将等级保护纳入常态化工作,推动网络安全工作进入良性发展轨道。

图:等级保护常态化检查和自查工作闭环

图:明鉴网络安全等级保护检查工具箱

 

 

基于工业控制系统本身的特殊性和技术复杂性,安恒以等保2.0和《工业控制系统信息安全防护指南》为核心,深度结合工控系统安全特点,研发了可协助监管机构推进等保2.0落地的工控系统安全等级保护检查工具箱,弥补了工控系统安全等级保护检查手段上的不足。自动对检查过程中的数据进行智能关联分析、统计比对,直击系统安全弱点在。依托工控工具箱,可以全面掌握工业控制系统安全等级保护状况,为常态化、特殊重点时期监督、检查、指导工控系统信息安全检查工作提供重要支撑,保障工控系统安全取得良好社会效益。 

图:明鉴工控系统安全等级保护检查工具箱

 

 

02

 掌握网络安全事件应急处置能力  

 

无论是发生安全事件之后的实际处置需要,还是等保2.0当中的合规性要求,都要求监管单位、测评机构、系统运营使用单位能够对网络安全事件具备一定的应急处置能力。事前定期开展网络安全应急处置演练,事后开展高效应急处置减少损失。

 

图:等保2.0关于安全事件处置的要求

 

但是在实际工作过程中面临着发现难、分析难的问题。攻击者攻击手段多样,有时一个疏忽就可能错过一个重要线索;另外,事件现场涉及的数据量较大,如果没有较强经验与长时间的高度精力投入,难以有实质性的发现与结论。

明鉴网络安全事件应急处置工具箱,提供了自动取证、自动分析相结合的应急处置方案,有效地解决了发现难、分析难的问题。通过自动取证,对现场日志、环境、风险、威胁等一键提取固定;通过自动分析,将数据交由内置的经验算法模型进行分析,弥补了严重依靠个人经验、能力的缺点,丰富了分析结果并提高了准确性。

图:明鉴网络安全事件应急处置工具箱

 

 

03

 等级保护咨询服务 

 

等级保护工作是具备专业性的,尤其等级保护2.0发布之后,合规难度和复杂度增大,如何通过等级保护是客户面临的难题。安恒信息依托自身安全等级保护服务能力、安全产品体系和安全合规生态,为客户提供一站式的等保2.0安全合规咨询服务,帮助客户快速、低成本、省心省力的完成等级保护定级备案、安全整改、等级测评和监督检查,轻松满足等保合规和国家行业监管要求,达到有效、合规的安全目的。

 

等级保护全生命周期各阶段工作及分工情况如下表所示:

安恒等级保护咨询服务由如下服务包组成,服务包可根据需求组合拆分:

等级保护从来就不是某一个单位或某一个行业的事情,而是整个社会的在等级保护框架下各角色根据自身单位职责的协作协同的结果,体现了社会分工、协同的精细化与专业化。其优点之一,就是它作用过程是一个循环前进的良性过程,在事前通过一次次的检查、测评、整改的工作闭环,使得系统的安全性稳步向前,逐步提高网络安全水平;同时,建立网络安全事件应急处置体系,做到遇事不慌高效处置,减少损失并形成经验。

 

只有利用好专业的装备抓手和配套的安全服务,集合全社会相关单位的积极投入力量,才能将网络安全等级保护制度的作用发挥到最大,真正落地到实处,从整体上提升我国网络安全水平。