采访前言:2019年5月13日,网络安全等级保护2.0系列标准中最重要的三个标准正式发布。一年以来,“等保2.0”始终是网络安全领域最热门的话题。无论是政府主管部门、厂商、行业用户、企业用户,都在宣传“等保2.0时代”已经到来。但在实际中,等保2.0的落地现状如何?业界对等保2.0的认知有哪些误区?厂商与用户又应该如何更好地实施等保2.0?
本期“大咖访谈”,山石网科安全技术研究院院长杨庆华,将以资深网络安全专家的视角,为你深度解读等保2.0发布一周年来的施行情况,分析在标准落地过程中厂商与用户存在的误区与不足,指明推行等保2.0的新方向。
Question 1:等保2.0发布一周年,您认为国内的推进现状如何?
A:等保2.0是由核心的6个标准加上3个辅助的标准所构成的一个系列标准。在2020年3月,9个标准全部发布了,等保2.0的系列标准已经构建完成,但我认为等保2.0时代还没有真正的到来,整体上是雷声大雨点小。
首先,等保2.0系列标准还没有真正开始执行。比如2020年4月28号发布的定级指南,其实还没有真正的执行和实施。其次,缺乏相关的配套政策。现在我们遵循的还是2007年开始施行的《信息安全等级保护管理办法》对等级保护的管理办法,但是那个管理办法对于现在的等保2.0的部分内容是不太适合的。并且,等保2.0测试完成的项目还较少。
Question 2:经过这一年等保2.0的实施,您对等保2.0 有哪些新的认识和理解?
A:等保2.0在定级领域、建设要求以及产品技术细节等方面解决了等保1.0所无法解决的问题。
在定级范围方面,等保2.0解决了云计算、工业控制、移动互联等新领域的定级问题。
在建设要求方面,等保2.0给“云、大、物、移、智、工业控制”这六大领域的从业者提供了明确的建设要求。
在技术细节方面,等保2.0有很多优化和更新。在疫情期间,我们做了9期基于等保维护和运维的培训,指导用户真正的发挥安全产品的作用。
Question 3:您认为,目前业界对等保2.0的认知有哪些局限性和误区?
A:目前业界对等保2.0的认知有五大误区。
第一个误区:没有贯彻“三同步”的原则。等保2.0强调“同步规划,同步建设,同步运维”, 定级指南里明确要求必须过了三级系统测评之后才可以上线,但在等保1.0时期大家全是补丁思维,是系统建完之后,我为了过等保去做打补丁工作,这个误区现在依然存在。
第二个误区:重技术,轻管理。在等保1.0时代,技术和管理是二大类,是分开要求的,但在等保2.0时代,不再把技术和管理分类,技术和管理同等重要地位。而问题是,不管是厂商宣传还是用户建设,大家谈的还是技术,忽略了管理。究其原因有三:第一是用户的能力不够、意识不够,第二是厂商不了解客户的业务和行业属性,第三是用户不愿意花这么多钱去提升管理能力,因为这是短期内见不到直接效益的。
第三个误区:把等保的技术要求理解成产品要求。
等保的基本要求叫技术要求,绝不是叫产品要求。不是说买了几个产品就能过等保2.0,美其名曰等保几件套,实际上等保没有任何一个要求是针对哪一个特定产品的。以边界安全里的访问控制为例,很多产品都能实现这个功能,防火墙、IPS、安全网关,甚至路由器都能做,没有要求必须用哪个特定的产品,只要能实现技术要求,用什么产品都是可以的。
第四个误区:等保建设的目的是通过测评。测评只是一个检查的手段,不是等保的目的。等保1.0在评分的时候只有基本符合和不符合,而等保2.0测评的结果分为优良中差,90分以上是优,70分以下就是差,差就是不合格,这样大家就有了明确的好和不好的区分,看到还可以提升的差距在哪里。
第五个误区:只要过了等保、拿到检测证书,以后就不需要整改了。拿到检测证书之后,根据评分,还有很多问题是需要整改的。就像我们考试一样,60分及格,你考了61分,但你还有39分是不懂的,这些知识就会影响你后面的其他的学习。这些差距你要补,如果你不补,后面就可能出问题,但是这部分工作好像没人去做。
Question 4:如何更好的实施2.0?您认为哪些方面是必须要注意的?请提最重要的三点。
A:第一,必须坚持三同步原则。
即安全要与业务系统同步规划、同步建设、同步运维,而不是系统建设完毕后再考虑安全部分,为了过等保而过等保。
第二,等保2.0不能简单依靠产品和技术的堆砌。
等保绝不是买一堆产品,也不是单纯靠技术,甚至一个等保一体机就能解决的问题。应该结合运维管理、客户业务、行业属性等进行系统建设,如果一个产品就能解决等保所有的问题,那么等保2.0几百页的标准意义何在?
第三,等保2.0是一个规划、建设与运维、测评、整改的循环过程。
等保测评不是目的,是检验的一个手段。等保是一个PDCA(戴明环)这样的循环过程,即规划、建设与运维、测评、整改,然后将合格的纳入运行,不合格的留待下一循环去解决。
Question 5:对于等保2.0,您还有什么想补充说明的?
A:我再谈一下安全服务和应急演练的重要性,面对问题的态度,安全意识的提升,重视等保建设本质这几个方面。
首先,等保建设要重视安全服务。比如等保测评实际上就是一种安全服务,还有漏洞发现、漏洞通报、漏洞情报共享、漏洞验证等安全服务,用户要充分利用安全服务以检验自身存在的安全威胁和风险。
其次,应急演练一定要做。应急演练十分重要,第一要有非常详细的应急预案,第二是定时做应急演练。比如汶川512地震的时候,就有一个最牛小学校长,他每年搞两次所有学生规定动作的应急演练,所以地震那天,他们学校所有的**在4分钟内都到了操场,而且没有出现踩踏,到了操场之后,每个班谁站在哪个位置都是固定好的,这种应急演练的效果不言而喻。同时,应急预案中灾难恢复的优先级规则十分有价值,可以在受到攻击的时候及时取证,再按照预案先恢复什么,再恢复什么,既不会误操作毁灭证据,又能以最快的速度恢复业务。
第三,敢于面对问题,承认问题,减少应付,多点实干。比如说每年国家的护网行动的初衷,是为了检验各个行业、各个系统,第一有没有问题,第二出了问题怎么去解决,逼着用户去把安全做好。但是很多单位护网期间减少甚至关闭自己的业务,把安全隐患藏起来,以逃避自己的网络和业务出问题,就像卫生大检查的时候,把所有的厕所都锁上,不让它用,导致护网行动流于形式,问题没能得到解决。
第四,需要整体增强大家的网络安全意识。包括领导、管理员、普通员工的意识。在等保标准中,有非常重要的一条,叫做人员的安全意识教育和培训。现实中,这一条的执行情况往往并不理想。如果单位里的所有人都认为买个防火墙只是IT部门的一个采购的话,那就说明没有人把安全建设上升到安全理念的高度,网络安全意识还比较淡薄。
最后,厂商做生意的同时,要真正帮助国家搞等保建设。很多中国厂商的功利心重,借着等保的时机,不是想着怎么把等保建设好,怎么把政策落实好,怎么把这个重视网络安全的精神发扬光大,而只是想着怎么基于这个政策带来的巨大利好去大幅捞钱,这是不可取的。
来源:freebuf.com 2020-06-17 16:18:19 by: Hillstone
请登录后发表评论
注册