【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保测评
等保测评 您的位置:首页>等保测评 >
等保测评升级驱动 网安需求大提升
时间:2021-07-28阅读量:1828来源:本站关键词:等保测评 返回列表

1、等级保护制度的发展历程

早在1994年国务院147号令就首次提出了等级保护制度,2007年是等保1.0,2017年颁布了网络安全法。2019年实行了等保2.0的新标准。从这个过程来看,我们可以做一个判断,不做等保就有违国家法律。

这个过程中涉及几个角色。第一个是运营使用单位,决定了等保的市场有多大,几乎所有的能够对外提供服务的网站、系统国家都规定要过等保,大家可以设想一下日常使用的APP和网站有多少。第二个角色是GongAn机关,做监督检查的角色,除此之外,建设过程中还有两个角色,大型安全厂商是建设方,提供安全设备和能力,还有测评机构,承接定级咨询服务,以及做测评,这四个角色构成了等级保护的整体流程。

等级保护制度分为两个部分:等保有一个技术体系要求,还有一个管理体系要求。技术体系要求有五个组成部分,子项就是一些具体技术点了。管理体系又包括相关的管理制度,安全管理机构,明确安全管理人员,安全建设未来怎么管理,包括出现问题以后怎么运维。

回归到等保的目的,本身就是强制要求所有的运营单位必须做这个事情。发展到现在大家还会提HW,这个过程中有行业HW,也有国家级HW。为什么有了等保制度还要做HW呢。等级保护制度更加倾向于及格线,所有单位都要过这个东西,但是它只是网络安全的下限。导致很多小的机构,刚开始不重视网安,也必须要做这个事情。

2、等级保护测评的变化内容

回到第二个议题,等保测评的变化内容。GongAn部在今年6月17号组织了所有等保测评机构做线上培训,没有任何发文。等保类似于最基本的考试,等保测评模板改变意味着考试难度在变,它是默默给考场和考官提高难度。修订的有几个方面,第一个是技术方面发生了变化,第二个无关紧要是测评文件格式变了,第三个是引入了一个非常有前景的东西,就是数据资产也要列入等级保护的测评对象。

技术范围修订是测评得分的逻辑完全发生了改变,公式很复杂。这个东西代表了,之前是加分制,现在是减分制。以前达到六十分,七十分就够了,现在是扣分。有人说只不过是算法变了,但是这次扣分有个很大的变化,是扣分力度变大了,它定义了一般、重要和关键测评指标,如果是关键测评指标不满足,一次性扣三倍,重要指标一次性扣两倍,所以如果不符合是两倍三倍的扣,之前是你最多不得这一倍的分。GongAn部自己也做了一个测算,同样场景下,测出来的结果是啥呢,之前平均拿到八九十分的情况,新标准下只能拿到六七十分,平均差二十分。这个就有了差别了。

它在会议当中还讲了为什么要做这次调整,这次调整非常大。因为之前的测评有三个缺陷。第一个缺陷是,按照之前的测评要求来,综合得分偏高,都在八十分以上,到底谁是优良中差拉不开,它要拉开差距,提高对网安底线的要求。第二个缺陷是,之前大家可能更加重视技术层面,管理层面倾向于有文档,但是不执行,这次明确说了,技术和管理各占50%,这种情况下,安全管理体系的要求会提升。这也要求大家落实网络安全工作的时候,不仅仅是设备,要用起来,把发散的问题解决掉。第三个缺陷是无关紧要了——19年的公式计算量比较大,这次计算量小一点。

数据资产也要列入测评对象。包括重要数据,大数据等等,要针对不同类型的数据进行汇总和测评,需要对相应的数据做相应的保护,保证数据完整和保密性。我认为这一条跟前面的数据安全法比较相关。这次标志着数据安全迎来很大的风口,具体多长时间,我觉得一两年左右数据安全市场会有很大的发展。

3、这次变化有哪些影响?

第一点,测评要求提升了,各个单位对安全投资的力度会加大。如果说之前得分的设备不能过等保了,现在肯定要买一些设备,预算要增加,这个影响是产业层面的增长。

其次是数据安全层面验证未来会成为很大的热点。但是这次没有明确说出怎么来保证,但是我自己推测,数据最根本承载的介质就是数据库,现在没有把数据库作为独立的测评对象来测评,未来是不是一个数据库或者一个数据库集来测评,是否要加数据库审计,数据库防火墙,数据库加密等等产品。

另外关键的一句话,国家建立数据安全分类分级保护制度。这个跟当年网络安全法提到的一句话,国家实行网络安全等级保护制度类似。未来是否会出现数据安全的等级保护制度,这个出来可能也有很大的市场。总结一下,就是安全市场盘子在变大,第二个是数据安全会成为很大的风口。

Q:什么时候能够看到需求的提升?

A:今年绝对能够看到需求变化,因为6月18号必须执行新标准,建设过程中的测评项目要按照新的标准来。中腰部这块市场会飞速变大,很多测评机构过去让大家过等保会推荐堡垒机,日志审计,VPN,数据库审计等基础产品,这次变化以后按照等保的新标准判断,达不到的点会扣关键分,比如APP检测,高级威胁检测,我觉得未来要过等保,态势感知也得再来一套。如果数据资产也成为单独的测评对象的话,数据库的产品也会成为等级保护的增量。按照我的经验,过等保三级可能会花50万,加一个态势感知,业内卖都得三十万左右,保守估计也是这个幅度。

Q:建设过程中等保测评要按新的来,已经建完的,建设过程中,没有建设的比例是多少?

A:等级保护制度条例明确规定了,三级系统每年至少做一次复测,二级系统两年至少做一次,四级系统半年要做一次。复测过程中都要按照新标准进行。头部的企业也在不断的增加业务系统,也会有这个需求。

Q:这次等保推进的节奏是先从政府,还是互联网大厂?

A:没有顺序,国内全部的测评机构都要实行新的方案。

Q:特殊项和关键项扣分比较多,他们这些企业肯定非常关注对吧,这些关键项对应到网络安全产品上,有哪些是关键项和特殊项?

A:我自己理解现在最大改变的还是态势感知类的产品,其次是其他的技术点用传统的堡垒机、日志审计,确实能够满足,倾向于拔高。未来可能会有一些更加牛逼的代码,垃圾邮件或者网关的产品,我觉得短期主要是态势感知。因为明确说了管理制度要提升,你不仅仅要有这个制度,还要有管理流程,安全服务的能力要提升。而且需要高效的工具来闭环,按照HW的要求,现在处理这些问题还是以态势感知为核心,发现,分析,处置。

Q:态势感知是不是针对被监管单位,监管单位本身的态势感知是否要提升?

A:等保当中不会涉及到监管单位的态势感知,但是确实像人行这种单位要对下级单位进行监测,它会在总部落地SOC加上态势感知。

Q:安全产品上,除了数据库以外,还有哪些产品?

A:数据库审计,数据库加密,数据库脱敏,数据库防火墙是最基本的四个产品,大家可以搜一下,上市公司涉及的有深信服,奇安信,安恒,绿盟等。一些头部银行和金融机构请了IBM做,花了很多钱,用人工方法打标签,匹配到相应的人员和权限,但是使用效果不是特别好。就引入了一个问题,谁的产品能够更加高效的帮助大家做分类分级的工作了,未来的数据流转,交易可能都需要这样的产品。

Q:我也聊过一些IT采购的下游客户,他们反映这两年很多安全政策出来,他们反映会随着新的政策在新领域投入多一点,在老的领域少投一点,是否就是态势感知和数据安全产品会比较好,老的防火墙会受损?

A:我觉得不会,您可以再跟一些头部客户聊聊,我接触的头部客户都是高投入的。比如头部的券商,银行等等。

Q:您刚刚提到了今年就会有比较大的提升,客户每年都有固定的安全预算,现在等保逻辑发生了变化,额外的钱从哪里来呢?

A:以我的经验,真正对预算卡得严的都是相对来说封闭和保守的行业,比如说头部金融机构,高校,政府,他们都是预算制的,申报的预算固定了,就得从其他地方找。但是预算每年都会向高了报,会有一部分的富余,大部分的行业未必实行预算制呀,相对来说比较灵活一些。

Q:受益的行业排序来看,大致受益的先后顺序怎么看?

A:全面开花,很难排序。

Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。