近年来,信息网络技术发展瞬息万变、日新月异,网络风险对现实世界的影响不断加深。《中华人民共和国网络安全法》颁布仅仅三个月后,国家网络与信息安全信息中心通报了国内首例因未落实等级保护制度高校违法案例,也给世人敲响了警钟。信息技术的不断革新,等级保护制度的要求必须越来越严格,等保合规建设更要与时俱进、及时调整。对企业而言,等保的需求是实时变化的,这就要求企业在落实等级保护2.0建设时应避免形式化主义,一门心思把重点花在评测上。
网络系统安全等级保护基本要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”。管理要求部分为“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”、“安全运维管理”,两者合计共分为10大类。
在对甲方用户的调研以及日常服务项目的实施当中,我们了解到,对这10类安全要求实现全方位的实时监测,是一件非常困难的事情。一方面,这10类安全要求覆盖了企业信息系统和管理的整个生命周期;另一方面网络风险是随时不可预测发生的,因此网络安全防护也需要不间断全方位的措施。即使对于大中型企业,这种监测的开销也是非常大的。同时,全部人工手动的检测在实时性和准确性上也可能存在问题。
这就需要甲方用户在等保合规建设当中,投入一种自动化的自检手段,实时快速检查网络系统的安全状态,减轻企业的等保合规监测负担,将更多的精力放在网络安全能力建设上。等级保护工作总共分五个阶段,分别为:定级、备案、建设整改、等级测评、监督检查。从信息系统建设阶段,融入网络安全合规自检工具,能够简化等保测评流程,同时为后续自动化监测打下基础。安全需求可以分为两类,一类必须依赖人工手段核查,另一类通过自动化的监测方法可以实现更高效的实时安全检查。
近日我们依照“一个中心、三重防护”的等级保护2.0建设理念,针对技术体系的74项安全要求检测能力推出的合规自检平台引起了注意。
针对安全通信网络:通过在网络当中部署体系化的安全设备,实时上报网络运行状态,实现对网络的监控。提供安全策略,实现对网络状态的自动化判断,并通过集中管控类设备的智能研判,进行综合性的呈现。
针对安全计算环境:包括网络环境内的所有主机、服务器等网络设备,通过在资产侧配置终端安全产品,采用自动化的基线核查机制,一旦触发基线,主动上报管理中心,并向集中管控类设备传入数据,用于综合研判。针对安全区域边界:设立网关产品,产品与管理中心和管控设备联动,当出现网络风险时,能实现风险的快速实时处置。
合规自检平台通过采用部署以管理中心为核心,以自动化网络监测设备为辅助的“一个中心、三重防护“的体系化防御措施,能够实现实时的合规自检目的。
在等级保护的安全要求之上,采集网络数据,构建智能化分析系统,进一步提升网络安全防护能力。网络安全能力建设不再以合规为导向,等保成为企业安全建设的初级指引,集各领域专家的专业知识,针对本系统,构建了一套完备的安全基线,是值得肯定的。合规自检产品的价值不只是达到了合规要求,通过产品监测,能够减少人工检查带来的部分数据错误和研判错误。
合规自检产品能够提高合规建设和合规检查的效率,针对无时不刻潜在的网络安全风险,给予实时响应。合规自检产品在安全合规的同时,成为企业信息化的一部分,持续强化企业的防护能力。
等级保护制度的出台为政企单位的信息化加深提供了安全基线,同时也为网络服务供应商建立了红线。等保合规是对企业网络安全能力建设的一种鞭策,安全防护才是能力建设的最终目的。网络安全能力建设绝不能仅以合规为导向,合规检查是定期的,网络风险是实时发生的。网络安全是什么?它绝不是复杂的审批流程,更不是繁杂的网络安全设备部署。这就需要在网络安全建设的同时考虑到对信息化建设的影响,尽力减少对信息化的额外开销。
针对等保合规构建的网络安全产品厂商共同努力下,希望在往后对政企安全能力的赋能发展上成为我国网络安全建设的一道防护门。