中國(guó)網(wǎng)財(cái)經(jīng)12月1日訊 近日,“2020北京國(guó)際金融安全論壇”在北京召開(kāi)。本屆論壇以“ 新金融、新基建、新安全”為主題。公安部信息安全等級(jí)保護(hù)評(píng)估中心主任助理李明參加了論壇并發(fā)表了演講。李明從定級(jí)指南的三個(gè)變化要點(diǎn)、安保工作的五個(gè)步驟、以及具體落實(shí)的六個(gè)步驟等方面做出了演講。他談到:“無(wú)論是從《網(wǎng)絡(luò)安全法》,還是前段時(shí)間公安部頒布的196號(hào)文件,為金融行業(yè)來(lái)落實(shí)等級(jí)保護(hù)工作,或者是以等級(jí)保護(hù)工作為抓手,提升整個(gè)網(wǎng)絡(luò)安全保障工作提供了很好的指導(dǎo)意義。”
以下為部分演講實(shí)錄:
李明:很高興有這個(gè)時(shí)間和機(jī)會(huì),和各位交流一下,如何來(lái)落實(shí)等級(jí)保護(hù)制度。
大家可以看到,無(wú)論是從《網(wǎng)絡(luò)安全法》,還是前段時(shí)間公安部頒布的196號(hào)文件,為金融行業(yè)來(lái)落實(shí)等級(jí)保護(hù)工作,或者是以等級(jí)保護(hù)工作為抓手,提升整個(gè)網(wǎng)絡(luò)安全保障工作提供了很好的指導(dǎo)意義,明確指出了六項(xiàng)工作,后面我會(huì)進(jìn)一步展開(kāi)。
這六項(xiàng)工作里面,深化定級(jí)備案和同步安全建設(shè)是我們整個(gè)工作當(dāng)中的重中之重,如何來(lái)開(kāi)展呢?我就結(jié)合整個(gè)標(biāo)準(zhǔn)體系里面的兩個(gè)核心標(biāo)準(zhǔn),定級(jí)指南和基本要求給大家解讀一下,如何落實(shí)等級(jí)保護(hù)工作。
首先,定級(jí)指南這個(gè)標(biāo)準(zhǔn),要深化定級(jí)備案工作,沒(méi)有規(guī)矩不成方圓,這個(gè)規(guī)矩就是定級(jí)指南,定級(jí)指南與之前的標(biāo)準(zhǔn)相比,主要有三個(gè)變化,希望大家注意。
1、對(duì)象擴(kuò)充。《網(wǎng)絡(luò)安全法》把網(wǎng)絡(luò)安全工作的范疇界定為網(wǎng)絡(luò)空間,而且信息技術(shù)也推升了新的業(yè)務(wù)形態(tài),等保的工作對(duì)象不僅僅有信息系統(tǒng)和網(wǎng)絡(luò),延伸到現(xiàn)在新技術(shù)、新應(yīng)用出來(lái)的云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等等這些新的業(yè)態(tài),所以大家要注意這一點(diǎn)。
2、因?yàn)閷?duì)象擴(kuò)充了,所以對(duì)它的方法,怎樣來(lái)確定對(duì)象,如何確定它的級(jí)別,方法也進(jìn)行了升級(jí)。
3、流程日趨完善,這也是回答大家實(shí)際工作當(dāng)中,定級(jí)工作是不是按照我自己的理解定一個(gè)級(jí)別就行?回答是非常明確的。一個(gè)完整的定級(jí)工作流程,包括了確定定級(jí)對(duì)象、初步確定等級(jí)、專家評(píng)審、主管部門(mén)核準(zhǔn)、備案審核這5個(gè)環(huán)節(jié)。
前面我也提到了,一個(gè)完整的等保工作有5個(gè)步驟,對(duì)于這5個(gè)步驟,提出4個(gè)要求幫助大家理解怎么落實(shí)這5個(gè)步驟。
1、完成定級(jí)備案工作的時(shí)候,要注意定級(jí)的時(shí)機(jī),千萬(wàn)不要等到系統(tǒng)要上線了,再去考慮定級(jí),這是錯(cuò)誤的。在項(xiàng)目立項(xiàng)之初,開(kāi)展建設(shè)之前,你就要完成定級(jí)工作,否則你對(duì)象不全,級(jí)別確定不準(zhǔn),很明顯可以知道,你的需求就錯(cuò)了,需求錯(cuò)了,后面的開(kāi)發(fā)、集成,包括你的管理體系的建設(shè),全都是錯(cuò)的。《網(wǎng)絡(luò)安全法》里面明確要求的“三同步”就成為了空中樓閣,所以大家一定要注意,定級(jí)備案工作的第一點(diǎn),時(shí)機(jī)非常重要。
2、對(duì)象要全,劃分要合理。因?yàn)槲覀冇羞@么多新的形態(tài)對(duì)象,所以大家一定要注意這一點(diǎn),對(duì)象一定要全,面向一個(gè)單位整體的梳理,既有老的業(yè)態(tài),也有新的業(yè)態(tài),這里面等級(jí)保護(hù)對(duì)象一定要全。
3、級(jí)別要準(zhǔn)確。確定對(duì)象的基礎(chǔ)上,我們要全面分析它們的功能,服務(wù)的對(duì)象,服務(wù)的地域,以及關(guān)鍵數(shù)據(jù)的情況,綜合來(lái)確定級(jí)別。
4、定級(jí)的流程。前面也提到了,從第1步到第5步,只有完成了公安機(jī)關(guān)的備案審核,出具了備案證明之后,你的這個(gè)定級(jí)工作才完成,這個(gè)時(shí)候,你確定的級(jí)別才是所有后續(xù)工作的依據(jù)。大家一定要注意,第2步,初步確定的等級(jí)不是你最終的級(jí)別,如果在專家評(píng)審,或者是備案審核中,出現(xiàn)不一致的情況,我們作為網(wǎng)絡(luò)的運(yùn)營(yíng)者,一定要慎重對(duì)待。
以上這4個(gè)要求里,主要還是定級(jí)對(duì)象的劃分這一點(diǎn),大家會(huì)存在一些疑惑,尤其是新對(duì)象,這里面我會(huì)舉幾個(gè)例子,比如說(shuō)對(duì)云計(jì)算,對(duì)于云計(jì)算的劃分,我們有兩大原則,第一原則是什么??jī)蓚€(gè)視角的切分,平臺(tái)和租戶,不要混在一起,所以我們的第一原則,就是云服務(wù)客戶側(cè)的等級(jí)保護(hù)對(duì)象和云服務(wù)商側(cè)的云計(jì)算平臺(tái)要單獨(dú)定級(jí),各管一套。二是對(duì)于進(jìn)一步細(xì)分,如果公有云,大型的云平臺(tái),你可以繼續(xù)將基礎(chǔ)設(shè)施、輔助平臺(tái)切分,對(duì)于更復(fù)雜的云平臺(tái)來(lái)講,因?yàn)樗峁┎煌姆?wù)模式,比如說(shuō)IaaS、SaaS、PaaS要分別定級(jí),否則對(duì)于云客戶來(lái)講,他不知道怎樣選擇一個(gè)合理的平臺(tái)。這里我用一個(gè)圖像的形式,因?yàn)樵频膱?chǎng)景里面特別復(fù)雜,所以我這里僅僅是舉了一個(gè)公有云提供IaaS服務(wù)的圖形,我們的定級(jí)是這樣的。云平臺(tái)、云租戶,如果在公有云的場(chǎng)景下,可能有不同的云租戶,可以根據(jù)不同的安全責(zé)任主體進(jìn)一步切分,這是要注意的。
第二個(gè),尤其是在新金融里會(huì)遇到的移動(dòng)互聯(lián),對(duì)于移動(dòng)互聯(lián)來(lái)講,大家要注意的就是“三要素”,移動(dòng)終端、移動(dòng)應(yīng)用、無(wú)線網(wǎng)絡(luò),這“三要素”是要統(tǒng)一,不能切分。當(dāng)然這個(gè)要根據(jù)實(shí)際情況,統(tǒng)一起來(lái)是要和傳統(tǒng)的IT部分統(tǒng)一定級(jí),還是可以獨(dú)立,這要根據(jù)實(shí)際情況分析,但是無(wú)論在哪種場(chǎng)景下,這三個(gè)要素都是不能夠單獨(dú)定級(jí)的,千萬(wàn)不能說(shuō)我一個(gè)App的終端去定一個(gè)級(jí)別,那是不對(duì)的。
另外要提一點(diǎn)的就是數(shù)據(jù)資源,尤其是在大數(shù)據(jù)應(yīng)用越來(lái)越廣泛的情況下,一般場(chǎng)景下,我們可以把大數(shù)據(jù)、大數(shù)據(jù)平臺(tái),像這個(gè)例子,大數(shù)據(jù)的應(yīng)用、大數(shù)據(jù)的資源,統(tǒng)一定級(jí)。但是隨著現(xiàn)在新技術(shù),或者是新的商務(wù)模式的推廣,數(shù)據(jù)資源和系統(tǒng)單位,甚至于處理它的工具是日趨剝離的,所以在極特殊的情況下,比如說(shuō)這三者的安全責(zé)任主體不一致的情況下,我們是要求數(shù)據(jù)資源獨(dú)立定級(jí),對(duì)于定級(jí)對(duì)象的確定,這里有三個(gè)形態(tài),我單獨(dú)說(shuō)一下。
當(dāng)我們完成定級(jí)工作之后,接下來(lái)很重要的一項(xiàng)工作就是安全建設(shè),對(duì)于安全建設(shè),首先看一下這個(gè)標(biāo)準(zhǔn),你一定要依據(jù)標(biāo)準(zhǔn)來(lái)走,這個(gè)標(biāo)準(zhǔn)就是基本要求,全稱就是“網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”,編號(hào)是2239。這個(gè)標(biāo)準(zhǔn)與以前08版的標(biāo)準(zhǔn)相比,有三個(gè)升級(jí),一是對(duì)象擴(kuò)充,接下來(lái)兩個(gè)非常重要的點(diǎn),架構(gòu)的統(tǒng)一和能力的提升。第一個(gè)要點(diǎn),是因?yàn)楦麄€(gè)《網(wǎng)絡(luò)安全法》的規(guī)定,對(duì)象擴(kuò)充了,所以我的要求也擴(kuò)充,但是在增強(qiáng)上面,我們是有兩個(gè),大家可以看這張PPT,給了大家一個(gè)演示,我們?nèi)绾螐漠?dāng)初的層次模型轉(zhuǎn)回現(xiàn)在的架構(gòu)統(tǒng)一,這個(gè)架構(gòu)也是為了更好地體現(xiàn)新的標(biāo)準(zhǔn)所要求的“一中心三重防護(hù)”,并不是說(shuō)2008年這個(gè)模型不好,而在于我們現(xiàn)在等級(jí)保護(hù)2.0里面,已經(jīng)完成了08版的時(shí)候,怎樣把一個(gè)標(biāo)準(zhǔn)和對(duì)象做一個(gè)簡(jiǎn)單對(duì)應(yīng)的工作,我們現(xiàn)在更加強(qiáng)調(diào)的是怎樣更加完整,更加強(qiáng)地構(gòu)建一個(gè)彈性的網(wǎng)絡(luò)安全體系,這個(gè)時(shí)候我們“一中心三重防御”這種模型可以更好地體現(xiàn)我們的需求。
因?yàn)闀r(shí)間的關(guān)系,標(biāo)準(zhǔn)我就不再展開(kāi),這里面為了幫助大家理解,我提出了六個(gè)要點(diǎn),具體落實(shí)基本要求,可以從這六個(gè)點(diǎn)來(lái)走。
1、優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。對(duì)應(yīng)的標(biāo)準(zhǔn)是這兩個(gè)條款(安全通信網(wǎng)絡(luò)、安全區(qū)域邊界),一是要有一個(gè)縱深,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)最終目標(biāo)就是要實(shí)現(xiàn)縱深的防御,這里面可以細(xì)分為兩個(gè)要求,一是整體結(jié)構(gòu)上是劃區(qū)域的,區(qū)域之間采用可靠的技術(shù)隔離,從而能夠?qū)崿F(xiàn)縱深。二是收縮邊界,邊界應(yīng)該有一個(gè)可靠的,受控的接口,而且我們這個(gè)收縮后的邊界,你要有措施來(lái)保證它是完整的,不被繞過(guò)的,這一點(diǎn)特別重要。近兩年,一再出現(xiàn)這種情況,而且我覺(jué)得這一點(diǎn)對(duì)于我們金融機(jī)構(gòu)來(lái)說(shuō)尤其重要,因?yàn)槲覀兘鹑跈C(jī)構(gòu)有一個(gè)特點(diǎn),縱向來(lái)看有總部和分支,橫向來(lái)講,我們要和不同的部委,不同的商業(yè)機(jī)構(gòu)橫向互聯(lián)互通。所以,邊界的問(wèn)題對(duì)于我們來(lái)講尤其關(guān)鍵。如果我們做不好這些,后面所有的工作都是白廢。第一點(diǎn),優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)是所有安全建設(shè)工作的起點(diǎn)和基礎(chǔ)。
2、在這個(gè)基礎(chǔ)上關(guān)注的第二點(diǎn),要有關(guān)鍵設(shè)備的加固,如果沒(méi)有邊界的突破,就沒(méi)有后續(xù)的一系列的實(shí)踐,但是這個(gè)邊界的加固不是那么簡(jiǎn)單,我們要做到幾件事情。一是身份的鑒別,二是安全的配置,三是實(shí)現(xiàn)精準(zhǔn)的情報(bào)結(jié)合,我們發(fā)現(xiàn)漏洞的時(shí)候,就要修補(bǔ),只有做到這個(gè)之后,我們才可以說(shuō),我們的邊界守住了,從攻防的角度,最外面的這一道防線守住了。
3、到了應(yīng)用和數(shù)據(jù),這里我們要做好數(shù)據(jù)的分類分級(jí),基于數(shù)據(jù)的分類分級(jí)做好防控。這里面我要額外多說(shuō)一句,因?yàn)槲覀儸F(xiàn)在有一些新的技術(shù)路線出來(lái),但是大家一定要注意,千萬(wàn)不要把所謂新的理念、路線、體系,與舊有的體系,以前已經(jīng)行之有效的體系對(duì)立起來(lái),比如說(shuō)零信任,當(dāng)然還有一些其他的思路,我們一定要做好新舊的銜接,千萬(wàn)不要再說(shuō)新的體系還沒(méi)有正常運(yùn)行,比如說(shuō)零信任里面,你的動(dòng)態(tài)決策,動(dòng)態(tài)的授權(quán)還沒(méi)有實(shí)現(xiàn)的時(shí)候,我就把邊界已經(jīng)解除掉了,這些做法都是錯(cuò)誤的,我們一定要注意循序漸進(jìn)。同樣的,我們控制應(yīng)用和數(shù)據(jù)還要注意到另外一個(gè),軟件的開(kāi)發(fā),綜合考慮開(kāi)發(fā)之初就要利用編碼的部分,編碼的規(guī)范,安全的審計(jì),包括商業(yè)滲透測(cè)試等等,綜合保證代碼之初應(yīng)用是安全的,再保證數(shù)據(jù)的安全,這是第三點(diǎn)。
4、彈性的安全體系非常重要的是什么?是響應(yīng),前面我們也提到安全理念里面,第一點(diǎn),安全不是靜態(tài),它是動(dòng)的,如果我要針對(duì)一個(gè)動(dòng)態(tài)的場(chǎng)景做好安全,及時(shí)發(fā)現(xiàn)安全威脅就是必不可少的,這里面我們要做好監(jiān)測(cè)態(tài)勢(shì),尤其是對(duì)于新型的網(wǎng)絡(luò)攻擊,不要簡(jiǎn)單地布一個(gè)IDS或者是IPS,我們要注意邊界防好之后,橫向移動(dòng)里很重要的是什么?就是情報(bào)、態(tài)勢(shì)和行為分析,綜合這些手段來(lái)實(shí)現(xiàn)及時(shí)對(duì)安全威脅的應(yīng)對(duì)。
5、所有的這些工作都離不開(kāi)集中管理,大家回想一下,我做一個(gè)強(qiáng)制防控,或者說(shuō)我要構(gòu)建一個(gè)態(tài)勢(shì)感知平臺(tái),甚至于我要做一個(gè)零信任的體系,繞不過(guò)的是什么?繞不過(guò)的是一個(gè)統(tǒng)一的策略,我們的安全管理中心,所以大家一定要注意,所有的前面的工作,我都是要建立在安全管理中心的集中管控基礎(chǔ)之上的,這里面我們需要重點(diǎn)地關(guān)注統(tǒng)一的策略,統(tǒng)一的監(jiān)測(cè),統(tǒng)一的分析,只有這樣,我才能夠構(gòu)建前面提到的整體安全。
猜你喜歡
廣東省推出第二批5項(xiàng)青年民 
德國(guó)物價(jià)創(chuàng)近三十年新高 通 
網(wǎng)聯(lián)平臺(tái):春節(jié)假期前5天處 
個(gè)人養(yǎng)老金制度加速崛起 金 
安徽省新增上市公司數(shù)創(chuàng)歷史 
寧波銀行申請(qǐng)?jiān)钪嫔虡?biāo) 是 
三草兩木紅晶水抗衰功效,獲 
女車主通過(guò)"團(tuán)團(tuán)車行"賣車遇 
