freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

即将正式实施!CIS 2019等保2.0研讨专场精华分享
2019-11-29 14:22:33

离12月1日等保2.0的正式实施只有最后几天了,对比此前的版本,等保2.0在保护范围、法律效率、技术标准、安全体系、定制流程以及定制指导方面均发生了很大的变化,这也因此引发了大多数企业的重点关注。

作为国内规模最大的年度安全会议之一,CIS 2019也将等保2.0作为重点讨论的话题。在第二天下午的议程中,等保2.0研讨专场正式拉开帷幕,国家网络与信息系统安全产品质量监督检验中心检测部主任陆臻担任了本次论坛的主持人,与来自公安三所、奇安信、嘉韦思、腾讯安全以及默安科技等业内专家共同探讨企业该如何正确看待等保2.0。

议题一:合规.认证.保险,支撑等保2.0

舒首衡——上海嘉韦思信息技术有限公司总经理

说到合规,舒首衡认为企业需要认识到法律法规里面哪些是企业需要去做的一些事情。可以主要参考这几个点,第一个是网络安全法,网络安全法里面提到了等级保护,而且把等级保护作为国家网络安全的一个最重要的基本国策来推进开展的。其次是安全认证,要有相应的资格、资质、能力的企业来开展认证这也是法律的引导性,还有一个值得关注的是网络安全保险。

他认为,即便企业开展了安全建设、合规工作,仍然还是会有风险,这个时候需要通过保险来完成最后一道屏障。

议题二:内生安全助力等级保护体系建设

韩永刚——奇安信科技集团股份有限公司副总裁

奇安信从2019年开始主打内生安全的理念,韩永刚认为在企业进行等保合规工作上也能够充分借鉴内生安全的概念。所谓的内生就是让信息化系统从一开始就具备安全的能力。内生安全具备自适应、自主以及自生长三个特征。

通过内生安全的方式企业可以构建一个新的、和信息化深度融合、全面覆盖的安全体系。同时把数据和业务作为核心,引入令信任的体系机制,升级企业安全架构,以实战化运营的方式作为检验的标准,真正的做到常态化和体系化,以及将安全运行、安全监管和内生安全的机制协同大同,不仅能够做到等级保护新体系的合规,还可以构建一种能力型建设以及实战型运营的结果。

议题三:超越合规视角的安全治理框架

宇宸——杭州默安科技高级安全研究员

自等保2.0受到关注以来,宇宸在FreeBuf上也发布了大量解读等保2.0的系列文章,也特受邀参加了这次分论坛的分享。但这次他分享的却是聚焦到更高层面的话题,关乎企业网络安全战略与策略的考虑上。

宇宸在现场介绍了一种全新的网络安全能力成熟度模型,涉及国家网络安全战略、网络文化与社会、教育、培训、法律框架以及标准、组织等五个大的维度。在宇宸的FreeBuf专栏中针对该系列文章还在持续更新,有更加细致的解读。

而回到企业合规建设的问题上,宇宸认为,企业该踏踏实实地去做安全,而不该为了做测评、过等保而去应付。安全应该是一个不断改善的循环过程,这才是应该重点关注的事情。

议题四:网络安全等级保护2.0标准解读

宋好好——公安部第三研究所检测中心网络安全等级保护测评实验室主任

宋好好博士主要针对网络安全等级保护2.0标准做了更加细致的解读,让现场观众更加明白等保2.0的变化以及作用。等保进入2.0的阶段,是由中华国家网络安全法作为它的法律支撑,等保地位有了明显的提升,上升到了法律的层面。

等保2.0标准是按照三层防护和一个中心的思想来进行技术方面的要求,这三层防护是什么呢?首先第一是安全通信网络,是通信网络的安全,安全区域边界,任何一个网络,任何一个信息系统最重要的是区域边界的安全,到了真正的计算节点、存储节点上就是安全计算环境的安全。一个中心是安全管理中心,主要是体现在技术方面的不同。

议题五:等级保护2.0标准条款实践案例

刘健——信息产业信息安全测评中心副主任

刘健通过一些实践案例逐一解析了等级保护体系在这些年的变化、改进。例如他提到,等保从1.0到2.0的升级,是环境变化使然。有新技术、新应用带来的威胁,也有新的漏洞出现和封闭架构的隐患,还有组织和人员管理上的威胁等等。

在合规的发展上,刘健认为有三个阶段,从企业形成合规的孤岛到平台级和体系级,最后到等保2.0时代生态级的安全合规。

议题六:等级保护2.0云租户等保合规探索

王余——腾讯安全资深安全咨询顾问

王余认为,企业做安全规划可以分为六个步骤,首先是找差距。找差距可以拿等保2.0也可以拿其他标准区做。第二个是定目标,可以由外部目标也可以有内部目标,第三个是做规划,根据前面的差距和目标可以做一个中期的规划,长期的规划。可以把这个规划落地到项目里面,划分出每一个阶段。最后一个是把它进行落地,有没有达到要求,这样闭环的实现,整个合规的要求一个能力建设的要求。

最后,王余预言,云未来的终极目标是无服务器,在安全方面、管理方面、运维方面,也可以有无管理的要求,现在腾讯安全正在探索这样一个世界,轻量的云用户的安全管理体系、评估。

12月1日开始,我国网络安全将正式进入等保2.0时代。陆臻主任总结道,网络安全市场也即将迎来又一拨的红利。我们在享受着数字化便利的同时,也同样肩负着更大的责任。企业与安全厂商的联合,人与AI的联合,技术与制度的联合,共同携手加强合作,相信我们肯定会拥有一个更加安全、更加美好的未来。

CIS 2019大会PPT合辑

链接: https://pan.baidu.com/s/1DDvHRwkGTyM2MnllucqCzw

提取码: n6aq

*本文作者:shidongqi,转载请注明来自FreeBuf.COM

# 等保2.0 # CIS 2019 # 等级保护制度
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者