網(wǎng)絡安全等級保護制度作為一項有20余年歷史,在《中華人民共和國網(wǎng)絡安全法》中有明確規(guī)定�����,且仍在不斷擴充�����、發(fā)展的我國網(wǎng)絡安全等級保護工作的管理方略,其重要性對整個網(wǎng)絡安全行業(yè)不言而喻�����。2020年9月�,公安部更是出臺《貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》,為深入貫徹落實網(wǎng)絡安全等級保護制度等工作提供了指導意見����。基于上述背景���,由專業(yè)的網(wǎng)安公司承辦,在本屆“天府杯”上討論“等保2.0”相關議題��,更具時代意義�。
話不多說,接下來就讓綠盟君為你帶來11月8日“貫徹落實四新要求 全面推進等級保護制度2.0”主題論壇的議題精彩“搶先看”��。
“智慧安全2.0”貫徹落實網(wǎng)絡安全“四新”要求
綠盟科技集團總裁 胡忠華
國家網(wǎng)絡安全的“四新”要求�����,即“新目標、新理念����、新舉措和新高度”,是當前及十四五期間我國網(wǎng)絡安全綜合防控的重要方針�,是各行業(yè)主管單位進行十四五規(guī)劃的重要指導意見,更是網(wǎng)絡安全企業(yè)服務國家����、服務客戶的重要行動指南。綠盟科技作為專業(yè)的網(wǎng)絡安全公司�,“四新”要求也與綠盟科技的能力建設和發(fā)展目標十分契合。2015年���,綠盟科技正式發(fā)布了智慧安全2.0戰(zhàn)略�,將智能���、敏捷�、可運營作為綠盟科技戰(zhàn)略轉型落地的要素體現(xiàn)�����。安全防御體系從之前靜態(tài)��、被動、基于規(guī)則的防御��,轉變?yōu)橹鲃?��、動態(tài)��、自適應的彈性防御�。以攻促防實現(xiàn)的對抗能力實戰(zhàn)化�,多個常態(tài)化運營的城市級安全運營中心落地,體系化的安全管理和安全運營架構����,是綠盟科技對“三化六防”要求的重要實踐。對安全中臺的重構����,以及對威脅情報、安全漏洞���、人工智能等關鍵領域的深入研究和探索,是綠盟科技持續(xù)開展的重點工作���。未來���,綠盟科技將繼續(xù)為主管單位提供能力支撐����,同時積極貫徹落實“四新”要求�,攜手客戶與合作伙伴,通過創(chuàng)新發(fā)展�����、開放共享�,實現(xiàn)合作共贏。
等級保護2.0時代的數(shù)據(jù)安全
華北電力大學能源電力大數(shù)據(jù)研究院院長 李建彬
處于數(shù)字化轉型過程中的企業(yè)����,數(shù)據(jù)的合規(guī)、數(shù)據(jù)治理與隱私是其不能忽視的重要網(wǎng)絡安全風險�。可以說����,數(shù)據(jù)安全已經(jīng)成為企業(yè)數(shù)字化轉型中重要的核心安全需求與能力保障。在法律法規(guī)層面����,諸如《中華人民共和國數(shù)據(jù)安全法(草案)》《中華人民共和國個人信息保護法(草案)》《通用數(shù)據(jù)保護條例》等�,都在為數(shù)據(jù)安全和隱私保護營造積極的法律環(huán)境�。等級保護2.0在數(shù)據(jù)安全方面也提出了明確的要求,相關技術措施主要體現(xiàn)在安全計算環(huán)境層面�����,在存儲和傳輸兩個環(huán)節(jié)的保密性����、完整性、可用性等���。合規(guī)與治理是數(shù)據(jù)安全與隱私保護的主線���。在數(shù)據(jù)治理方面,應以數(shù)據(jù)全生命周期為核心�����,在數(shù)據(jù)的采集��、傳輸���、處理等階段��,依據(jù)數(shù)據(jù)資產(chǎn)分級分類后對應的安全策略����,實現(xiàn)數(shù)據(jù)安全的全方位治理���,并借助數(shù)據(jù)安全能力成熟度模型進行自我評估��。
關鍵信息基礎設施實戰(zhàn)防護實踐
綠盟科技集團副總裁 曹嘉
回顧2017年至今的攻擊態(tài)勢不難發(fā)現(xiàn)�����,網(wǎng)絡攻擊已經(jīng)從針對集權系統(tǒng)����,隱蔽化�、專業(yè)的側面突破,向自動化的漏洞利用工具�����、常態(tài)化的籌備和結合業(yè)務場景以及針對人員的鏈式攻擊演進����。中國目前仍是全球網(wǎng)絡攻擊的主要受害者����,關鍵信息基礎設施是這些攻擊的重點目標����。通過為攻防雙方建立能力畫像,可以為高強度���、高烈度的對抗演練分析和沙盤推演�,提供可辨識的業(yè)務風險����、攻擊路徑和防護手段。伴隨著威脅情報體系和安全中臺研判能力的不斷成熟����,結合防守方畫像,以及基于豐富實戰(zhàn)對抗經(jīng)驗總結而成的“九大防護鐵律”�����,綠盟科技可以更有效的幫助關鍵企業(yè)和機構貫徹執(zhí)行“一個中心�����,三重防護”的要求,切實提升實戰(zhàn)中的網(wǎng)絡安全防護能力����。
企業(yè)全球化網(wǎng)絡安全保障體系建設思路與等級保護
中國電子科技集團網(wǎng)絡安全領域首席專家�、中國網(wǎng)安副總工程師 董貴山
以“一帶一路”政策為代表,隨著中國企業(yè)持續(xù)開拓全球境外市場�����,“走出去”的路徑日趨多元化的同時�,企業(yè)所要面臨的網(wǎng)絡安全威脅也會更加復雜、嚴峻����。《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》《信息安全技術網(wǎng)絡安全等級保護基本要求》《信息系統(tǒng)密碼應用基本要求》等文件���,已經(jīng)成為出海企業(yè)建設網(wǎng)絡安全能力的重要指引���。在全球化辦公的場景下,企業(yè)網(wǎng)絡安全能力的建設����,應以數(shù)據(jù)安全為核心目標��,以密碼技術為基礎支撐�����,從監(jiān)測預警�����、安全接入�、安全通信����、安全計算、安全應用和安全基礎設施等角度著手��,構建“1個監(jiān)管平臺�����,4大保障能力��,1個基礎設施“的網(wǎng)絡安全和密碼能力體系���,在等級保護制度的基礎上促進與國際合規(guī)要求接軌�����。
常態(tài)化趨勢下網(wǎng)絡安全體系建設思路與實踐
綠盟科技集團首席行業(yè)專家 張智南
網(wǎng)絡安全能力體系的建設已經(jīng)進入常態(tài)化���,建設目標正從階段性建設項目向持續(xù)安全運營轉化。等保2.0時代����,網(wǎng)絡安全能力的建設需要落實《中華人民共和國網(wǎng)絡安全法》的要求,實現(xiàn)“管理與技術并重�,預防與保護并舉”,覆蓋“識別���、防護�����、檢測����、響應���、預警�����、處置”全過程���,實現(xiàn)“整體安全����、全面保障”的總體目標���。網(wǎng)絡安全能力的體系化建設需要與業(yè)務信息化的發(fā)展需求相匹配��。在思路上�,基于風險評估���、量化指標體系����、以及安全技術和安全管理的雙抓手��,企業(yè)和機構可以借助大數(shù)據(jù)平臺和云地人機的協(xié)同機制���,實現(xiàn)常態(tài)化運營的安全保障體系的構建�����。常態(tài)化安全運營的關鍵是實現(xiàn)閉環(huán)����。閉環(huán)的前提是在規(guī)劃階段做好需求和能力差距分析,以及所需安全控制措施的落地�。安全事件的響應和處置也應實現(xiàn)閉環(huán)。思路的實踐��,在綠盟科技參與的眾多重大活動網(wǎng)絡安全保障中有十分清晰具體的體現(xiàn)���。
網(wǎng)絡安全保險助力構建網(wǎng)絡安全綜合防控體系
前海聯(lián)合財產(chǎn)保險公司副總經(jīng)理 張炯
近年諸如勒索攻擊、網(wǎng)絡釣魚�、數(shù)據(jù)泄露等安全事件的頻繁發(fā)生,讓公司對網(wǎng)絡安全風險的認知�����、重視程度以及相應的安全支出���,逐年升高�����。網(wǎng)絡安全保險為企業(yè)對抗網(wǎng)絡安全風險提供了另一種思路����。一方面,保險作為一種重要的金融手段�����,可為企業(yè)的應急處置提供資金��,一定程度補償網(wǎng)絡攻擊帶來的損失���,為重大網(wǎng)絡安全事件不利影響的擴散提供緩沖;另一方面���,通過和網(wǎng)絡安全技術手段的結合孕育而生的網(wǎng)絡安全保險,可以更好的在事前�、事中和事后形成三條防線,為企業(yè)完善風險管理的閉環(huán)��。此外��,對企業(yè)而言����,網(wǎng)路安全保險還可以對企業(yè)原有的風險管理體系帶來積極��、正向的影響��。
