|
“这向外界清晰地传递了一个重要信息,即等保2.0已经上升到法律层面,是网络空间安全的基础,关乎国家安全,它所体现出来的基础性、包容性、适应性和扩展性等新特性,能够适应现阶段网络安全的新形势、新变化和新技术以及新应用发展的要求。”他说。 爱加密等保专家韩云则认为,等级保护2.0的关键信息是在原来1.0基础上增加的部分,例如云计算安全、移动互联安全、物联网安全、工业控制系统安全及应用场景。
爱加密等保专家韩云 从这点来看,等级保护2.0向外界传达的网络安全等级保护的标准不再是单一的,网络安全需要全面的、多方位的、多角度的共同发展,是全网络、全产业和全社会的责任及义务。 此外,我们注意到等保2.0从正式发布到实施,中间留出近6个月时间。 谈到这个做法时,“等保2.0是个新兴事物,从发布到实施这个区间是为等保2.0的普及和传播留下时间,为企业网络信息系统的转变升级提供过渡。这6个月是学习、学会、学懂网络安全等级保护、领悟其精髓的6个月,是从单一信息安全到网络安全思想转变的6个月,意义深远。”韩云说。 黄伟杰则简明扼要地指出,中间留出近6个月时间,有利于加强等保2.0理念的宣传贯彻、解读推广;对网络运营者能及时根据新的要求对贯彻落实工作预留充分时间。
启明星辰集团网御星云技术总监马闽 亲自参与等保2.0标准的起草人马闽更具体的解释道,已经发布的等保2.0设计要求、基本要求、测评要求和测评指南系列标准,信息量之多、跨度之大、覆盖之广,即覆盖所有对象,包括网络、信息系统、信息,以及云平台、物联网、工控系统、大数据和移动互联等各种新技术应用,且覆盖社会的各地区、各单位、各部门、各企业和各机构。 等保2.0建设整改过程包括定级、规划设计、建设整改、风险评估和等级测评,而测评周期变为三级以上每年测评,且测评结果变为75分以上才算基本符合要求,基本上实施过程需要6个月。 等保2.0与等保1.0的大不同 与等保1.0相比,等保2.0在等保1.0的基础上做出全面的升级调整,这体现在网络安全防护思维的变化,从被动防御到主动防御、从一套标准走天下到细分领域定要求,更加强调整体管控能力,既能解决基础问题又可应对新的安全风险。 “以期通过打造包含感知预警、安全分析、动态防护、全面检测和应急处置并重于一体的主动安全保障体系,在最大程度上全面提升网络安全防护能力。” 黄伟杰说。 启明星辰集团首席安全专家赵呈东则认为,最大的变化是网络安全等级保护制度2.0国家标准在1.0的基础上,实现对新技术、新应用安全保护对象和安全保护领域的全覆盖,将云计算、物联网、移动互联、工业控制系统和大数据等相关新技术应用全部纳入保护范畴。 锐捷网络安全产品事业部总经理项小升则指出,与等保1.0相比,等保2.0首先是标准顺应时代发展变化,精简删去部分已经过时的条款;其次,名称从“信息安全”变为“网络安全”,这意味着保护对象主体外延扩大到整个网络构成,不再仅仅是面向信息系统本身,同时也代表着物联网、移动互联网、工控网、云数据中心等新扩展标准的引入。
锐捷网络安全产品事业部总经理项小升 最后,“等保2.0跳出1.0时代‘被动防御’的体系思路,重点强调了对未知威胁进行‘主动防御’,并积极采用新型技术的开放观点,这是指导思想的一个重大革新。”他说。 等保2.0全面袭来 企业如何面对? 对企业来说,如何更好地理解并在企业中实践等保2.0的要求? 启明星辰集团首席安全专家赵呈东表示,企业可以从五个方面来做: 第一,加强等级保护2.0的培训宣传; 第二,与高校等机构合作,发挥企业网络安全优势,产教结合; 第三,服务引导用户向等保2.0规划建设,将等级保护2.0的思想融入企业提供的网络安全解决方案和安全服务中; 第四,配合公安部等国家监管部门网络安全等级保护2.0的落地实施; 第五,加大与行业客户的沟通,助推国家标准在行业的落地,推动行业等级保护标准的编写和发布。 深圳网安副总工程师黄伟杰则称,结合行业客户的实际需求,提出三个方面的建议: 首先,企业需建立等保2.0为核心的网络安全管理体系。等保2.0是从当前信息化的安全保护需求出发,经过十几年的实践基础而建立的一套新的安全体系,适合用户现阶段的风险管理需要,而且现在很多的企业信息技术形态包含了云计算、移动互联、大数据等多种新应用共存的情况,等保2.0管理体系有利于用户全局统筹。 其次,将等级保护合规融入日常安全运营流程中。等保2.0并非一次性的合规工作,许多控制项需要结合到日常网络安全管理流程中才能体现出效用,通过持续应用和优化,才能提高合规成熟度,获得真正的安全防护能力。 最后,定期开展等保2.0合规自查和专项检查。等保2.0的合规工作不能只依赖一年一次的测评机构检查,企业用户应结合自身安全保障需求,定期根据新的标准开展自查工作,在重要事情或发生了重大的网络安全事件后,开展专项性的检查。 写在最后: 等保2.0虽然不是十全十美,比如更多的考虑落地和可实施性、缺乏针对区块链和人工智能的要求等,但是它是一个很重要的进步。不仅在于等保2.0的思想“前进”,注重“主动安全”,而且它的发布和实施,有利于推动我国网络安全产业的发展。 |
