6月5日,「FreeBuf 企业安全俱乐部」系列沙龙活动「等级保护2.0研讨专场」在深圳盛大开幕。此次活动邀请测评机构、企业安全负责人、厂商代表等业内知名专家,以不同行业、不同企业特征为基础,助力企业等保落地、安全环境构建,推动我国网络安全保障体系建设。
本届企业安全俱乐部的主题围绕:围绕等级保护测评、落实措施、规范管理、形势解读等方面展开讨论。就让我们一起来回顾一下今天的热门看点吧!
演讲PPT下载下周将在FreeBuf企业安全微信公众号上集中分享,对于今天没能来到现场聆听观众的也不用感到遗憾,后续我们还将把嘉宾的精彩演讲视频剪辑上传至FreeBuf 公开课平台,敬请期待。
等保2.0的实践之旅
等保即网络安全等级保护,指对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高,安全保护能力就越强。等保构建起我国网络和信息安全的重要防线。
率先登场的是携程信息安全部安全合规团队负责人何斌第,在会上与大家分享《等保2.0的实践之旅》。从等保的发展历程讲到携程的等保2.0实践,及在践行过程中遇到的些许疑惑,何斌第都亲囊分享给在场嘉宾。
在携程的等保2.0试点体会中,他总结道:密码应用安全性评估如果具有一票否决权则会大大增加企业的合规成本;测评依据的标准要求与互联网企业的实际情况存在较大差距。
在最后,何斌第在实际中经历的对报批稿中的大数据扩展安全要求为何在等保2.0正式标准中被放到附录H?可信计算在等保2.0中如何实践落地?这两个疑惑进行详细解答。
网络安全等级保护在移动安全中的应用
据统计,每年至少新增150万种移动恶意软件,至少造成超过1600万件的移动恶意软件攻击事件。除此之外,随着云计算和大数据技术的成熟与普及,越来越多的企业和机构聚焦于移动应用中个人信息的价值,执法力度也在逐渐加强。
《网络安全法》、《个人信息安全规范》《网络安全等级保护2.0》的相继实施,给移动安全提供了相关标准和依据。来自北京智游网安科技有限公司「爱加密」安全服务总监韩云,从全国移动APP安全性研究报告作为切入点,为大家分享《网络安全等级保护在移动安全中的应用》。
韩云说到:网络安全等级保护的移动互联要求总体思想是将保护对象作为一个整体,考虑其安全防护要点,“纵深防御、分层防护”的总体策略贯穿始终。采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。
构建等保2.0时代的主动防御
等级保护2.0制度范围更广、力度更大,行业安全的关注点将从原来的传统系统安全,扩展到云平台和大数据平台的安全,不再只针对党政机关重要部门和央企国企等这些重点企业。来自瑞数信息的首席技术官马蔚彦为大家分享《动态安全-构建等保2.0时代的主动防御》。
她认为:移动目标式的动态防御,是成为主动防御技术领域的技术方向,是迫使攻击者不断重新适应,并对动态转移的薄弱点作出反应,从而有效防止攻击者使用自动僵尸程序。
除此之外,还需要有:
1.机器学习:通过充分利用大数据和机器学习解析法,机器学习能让计算机熟悉什么样的行为对企业网络环境或用户设备使用来说是正常的,然后运用学习到的信息去判定观测到的行为是否正常。
2.主动行为分析:企业同样可以运用主动行为分析和指纹识别来识别客户端的正常流量,用户模式和用量来检测和启发式推测可疑活动。
3.安全情报及主动预测:通过情报交流和第三方数据源收集安全情报,包括诈骗风险情报数据库让企业知悉最新的攻击信息;同时还能提供并拦截恶意攻击源。
网络安全等级保护2.0要求解读
等级保护2.0较1.0相比,主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面。从工作内容上来比较,除了满足等保1.0时代五个规定动作以外,把风险评估、安全监测、通报预警、案件调查等方面的工作都纳入到等级保护的范围之内。
来自公安部第三研究所的大数据安全测评实验室主任宋好好博士为大家分享《网络安全等级保护2.0要求解读》,从网络安全法具体条款的解读出发,重点介绍网络安全等级保护制度在2.0阶段的新特征和新变化,并对新发布的关键网络安全等级保护相关标准进行详细介绍,为企业在新形势下的等级保护如何建设提供思路。
在分享中,她提到:等级保护2.0从技术方面强调采用“一个中心、三层防护”的网络安全架构。这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。
通过宋老师的细致介绍,使嘉宾们对等级保护2.0的要求和调整变化,有了更加深刻的了解。
深信服网络安全等级保护2.0落地实践思考
接下来,从厂商应用和实践的角度,从国家制度要求、等级保护2.0的基本要求等方面,来自深信服的安全业务CTO郝轶为大家分享《深信服网络安全等级保护2.0落地实践思考》。
在等保2.0系列标准下,郝轶结合相关部门的总结,表述为:2个全覆盖、3个特点、5个主要变化。从上述方面,从政府、医疗、教育、企业四个行业做案例分享。
结合等保2.0的政策,郝轶讲解他所做的方案设计:1、针对安全区域边界,在关键节点和边界处部署下一代防火墙做应用层的安全检测和双向防护,构建主动防御体系。2、针对安全通信网络,符合国家密码管理局要求的商用密码产品的SSL VPN,实现端到端的安全接入,充分保障移动互联安全;3、针对云安全,通过安全服务平台做了解耦的安全防护,实现按需申请、自由编排的安全组件,不但合规,还满足了云计算环境下的灵活性要求。
等保2.0下企业信息安全防护体系建设
建设和完善可靠的、有效的企业信息安全防护体系成为现代企业发展的基本需求。来自上海市信息安全测评认证中心的高级等级测评师何勇亮,为大家带来《等保2.0下企业信息安全防护体系建设》的分享。
演讲从解读等保2.0标准及关基保护新特点及新要求入手,剖析企业网络安全新的能力要求,提出以业务安全为核心,以安全合规为基线的企业信息安全防护体系框架,实现人、财、物、流程及技术有效结合,提升企业网络安全工作效能。
他认为,安全建设需要进行三同步:同步分析安全需求、同步定义安全要求、同步设计体系架构、同步落实安全措施、同步启用安全措施、同步运营安全措施。
等保实践13载
开展等保工作,能够发现相关机构、单位和企业网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足;另一方面,通过安全整改,提高网络安全防护能力,降低系统被各种攻击的风险。
来自世界500强金拱门的企业安全和风险负责人赵锐,为大家带来《等保实践13载》的议题分享。从等保初印象,谈到定级备案体验、等保实施过程中进行的主要活动,再到测评体验,赵锐把十三年的经验全都融合在这次分享当中。
除此之外,企业所面临的挑战,实现的安全目标,赵锐也从方方面面细致入微的给大家进行说明。相信不管企业是初次落实等保建设,或是巩固等保2.0建设,赵老师所分享的内容都会给大家带来警示和启发。
构筑等保2.0级的信息系统安全体系
等级保护是我国信息安全保障的基本制度性工作,是网络空间安全保障体系的重要支撑,也是应对强敌APT攻击的有效措施。等级保护工作的必要性除了国家法律法规的要求,国家机关执法力度加大,更是企业自身业务的安全需求,是网络安全运营者的刚需。
来自华为云的安全专家服务总监张晓鹏为大家分享《构筑等保2.0级的信息系统安全体系》,他提出,等级保护2.0标准测评依据是依靠《商用密码应用安全性评估管理办法》、《GM/T 0054 信息系统密码应用基本要求》、《信息系统密码测评要求(试行)》的法律法规。
张晓鹏从华为云产品的角度出发,对重大等保政策落实事件回顾的同时,提出如何应对等保2.0所带来的变化。从实际案例作为支撑点,针对性地提出了一些解决方案。
人工与智能,助力新等保
新的系统形态、新业态下的应用、新模式背后的服务、以及重要数据和资源统统进入了等保2.0的视野,特别是人工智能等新技术手段也划入等保的范围内,打破了之前我国人工智能安全标准主要集中在应用安全领域,缺乏人工智能自身安全或基础共性的安全标准的现状。
安全服务与智能安全如何在新等保下更好地应用?来自斗象科技高级安全研究专家张志鹏在《人工加智能,助力新等保》为您解答。
他认为,在进行动态安全防御之前,需明确等保重点工作内容:关键信息基础设施的定义;关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等);敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估);风险评估(第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门)。
因此,选择一个拥有合规的以数据分析为核心,结合机器学习技术,构建云端安全监测、多源威胁分析、未知威胁响应的全息安全体系更为重要。斗象科技推出应对“指南”——网藤智能安全,提供公有云、私有云环境下的智能一站式解决方案。
网藤系列产品能力包括:不少于6个月大数据存储溯源;结合IoC调查画布的威胁智能分析与狩猎;机器学习技术驱动的场景化智能分析威胁行为;联动漏洞盒子数据以及白帽专家知识的网藤数据情报中心;第一时间云端0Day预警等。
网藤智能安全即将召开新品发布会,届时全程图文直播和报道,第一时间分享网藤使用体验及免费试用权利,感兴趣的朋友可持续关注。
等保2.0标准合规之路
2019年截至目前共监测到网络安全威胁约4541万个,其中电信主管部门收集约216 万个,基础电信企业监测约1168万个,网络安全与业机构监测约6万个,重点互联网企业和网络安全企业监测约3151万个。
来自深圳网安的测评部总监洪跃腾为大家带来《等保2.0标准合规之路》,并在演讲中分析,安全威胁数量庞大的主要原因是:底层硬件漏洞波及范围广、修复难度大;共享类移劢应用程序涉嫌危害用户信息;连接互联网的工控系统及设备的漏洞数量增长明显 。
他分享等级保护2.0的测评方法分为:1、访谈:测评人员通过不信息系统有关人员(个人/群体)进行交流、讨论等活劢,获取相 关证据以表明信息系统安全保护措施是否有效落实的一种方法。在访谈范围上, 应基本覆盖所有的安全相关人员类型,在数量上可以抽样。 2、检查 :测评人员通过对测评对象进行观察、查验、分析等活劢,获取相关证据以证明信 息系统安全保护措施是否有效实施的一种方法。在检查范围上,应基本覆盖所有 的对象种类(设备、文档、机制等),数量上可以抽样。 3、漏洞扫描和远程渗透测试 。
《等级保护条例》要求三级及以上网络的网络运营者应当建立健全网络安全监测预警和信息通报制度,按照觃定向同级公安部门报送网络安全监测预警信息,报告网络安全事件。网络运营者在其网络安全管理制度中,应结合网络安全应急预案,制定合理的事件分级分类策略和处置流程,并建立不公安部门的通报路径。
通过一整天的干货分享与探讨,相信大家都已经满载而归,更全面地了解和落地等保2.0政策。最后,附上大会场地精彩花絮:
(美味茶歇)
(飞镖游戏)
(多样游戏活动)
(嘉宾合影)
至此FreeBuf企业安全俱乐部「深圳站」圆满结束,我们在下一站等你来~
PPT下载链接: https://pan.baidu.com/s/1pFJViCCSpsUcdaiZqVkl1A 提取码: tt22