安全企业谈等保2.0(三)-构建有序网络空间-护航安全智能时代.pdfVIP

安全企业谈等保 2.0 （三）构建有序网络空间，护航安全智能时代 ——编者按—— 本文仔细梳理了等保 2.0 新的要求下新的保护对象、新的标准和新 的建设框架，以此框架为基础为客户提供符合法规要求的产品和服务， 并以提出了满足等保要求的云计算环境应用安全保护框架和技术发展 思路。 一、新技术业态下网络安全产业面临的新挑战 大力推进信息化建设，是我国现代化建设的战略举措，是贯彻落实 科学发展观，全面建设小康社会，构建社会主义和谐社会和建设创新型 国家的迫切需要和必然选择。在新技术的驱动下，人们的工作生活方式 都发生了重大的变化，人类从 IT 时代跨越到了 DT 时代 。网络安全的攻 防技术也从静态、被动、纵深防御到动态、主动、积极防御 APT 攻击转 变。随着新技术普及和网络攻防对抗技术的发展，人类社会在第五空间 —— 网络空间中面临的合纵挑战与攻守博弈将从微观层面影响到每个 人日常的衣食住行，从中观层面影响到企业管理、公司战略以及从宏观 层面影响到国家的安全与发展。 二、网络安全等保 2.0 框架下的新要求 1．从合规驱动到法律规定 2017 年 6 月 1 日，《中华人民共和国网络安全法》作为我国网络 空间安全领域的首部基础性法律正式施行，其中第二十一条明确规定： 国家实行网络安全等级保护制度。 2．等保 2.0 框架下的新要求 1) 网络安全等级保护 2.0 新标准 为了适应云计算应用、无线移动接入应用、物联网应用和工控系统 应用等新技术、新应用情况下信息安全等级保护工作的开展，对 GB/T 22239-2008 进行修订的思路和方法调整为针对云计算应用、无线移动 接入应用、物联网应用和工控系统应用等新技术、新应用领域。 2) 网络安全等级保护 2.0 新对象 等级保护对象囊括了大型互联网企业、基础网络、重要信息系统、 网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制 系统、公众服务平台等等 3) 网络安全等级保护 2.0 新建 明确了等级保护对象、确定了等级保护对象的安全保护等级后，应 根据不同对象的安全保护等级完成安全建设或安全整改工作；应针对等 级保护对象特点建立安全技术体系和安全管理体系，构建具备相应等级 安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护 政策和标准，开展组织管理、机制建设、安全规划、通报预警、应急处 置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训 和经费保障等工作。 三、网络安全等级保护思考和技术实践 1．启明星辰集团网络安全等级保护建设流程 围绕等级保护新对象、新标准，需要认真构建新的建设流程，重新 思考我们的建设依据、建设内容，和向客户交付的成果。 如下图所示： 图 1.网络安全等级保护建设流程 2．启明星辰集团网络安全等级保护应用场景案例 以典型网络安全等级保护要求在云计算环境中的应用为例,为了提 高云计算平台和用户抵御信息安全风险的能力，全面增强网络安全保障 水平，同时满足网络安全法要求和网络安全等级保护 2.0 的要求，满足 监管机构的合规检查，提出网络安全等级保护云计算平台应用安全体系 框架，如下图所示： 图 2.网络安全等级保护云计算应用安全框架 上云之后一些单位提出针对业务数据安全的诸多担忧，业务系统多 混淆在一起，单位无法了解自身业务的部署，业务系统的数据有被云技 术提供商或被黑客窃取数据的可能，这就对云服务提供商、专业安全提 供商、云安全初创者，这三者提出了各自不同的要求。 从云安全的责任分担模型来看 ，为解决用户数据和云平台信任问题， 云服务提供商应主要负责云平台安全，云租户安全应由专业安全提供商 承接，作为独立第三方来为租户云上业务护航，同时协助租户对云服务 商进行监督和审计。 从攻防对抗的角度看 ，随着攻守双方在新技术架构下的博弈较量， 云安全的效果将取决于对威胁的快速检测、分析能力、有体系性的协作 防御以及以人为中心的处置、响应能力。 从合规治理的角度看，云安全未来依然以纵深防御体系为基础，重 点解决虚拟化安全、多租户安全及 SaaS 安全三个维度下用户不同场景 的安全需求；在高级威胁防御层次，要结合业务场景进行持续监控、深 度建模分析、发现潜在