北京2019年5月24日 /美通社/ -- 5月13日,備受期待的網絡(luo)安全(quan)等級保護2.0(簡稱“等保2.0”)核心標準已正式發布,網絡安全行業瞬間熱鬧起來。標準發布的第二天,市場上就出現了各種幫助企業包治百病、順利過“檢”的“藥方”。網(wang)絡(luo)安(an)全行業(ye)等保領域的專家(jia)、山石網(wang)科高級(ji)副總(zong)裁楊慶(qing)華則認為,不能(neng)將等級(ji�������)保護2.0庸(yong)俗化,�������不能(neng)只談技術不談管理。
作為網絡安全行業從業22年的資深專家,楊慶華認為等級保護是科學發展觀,是網絡安全建設的科學方法論、具有“單一技術搞不定、單一產品搞不定”的復雜特點,不僅要將管理的重視程度提高至技術層面同級別,還要建立一套科學自律的網絡安全“生活習慣”。因為持續穩定保障企業的業務運行,才是等保的核心意義。
等保2.0是否已經變成廠商新商機的狂歡?用戶面對類目繁多的等保2.0還(huan)有哪(na)些“坑”要繞開(kai)?楊慶華先生(sheng)的觀點如下:
1、等保(bao)2.0是系統(tong)發(fa)展觀 非單(dan)一標準(zhun)
等(deng)級(ji)保護是網絡(luo)安全建設的(de)(de�������)(de)科學方法論,通過等(deng)級(ji)保護的(de)(de)(de)政(zheng)策指導、技術要求建立一套良性發展(zhan)的(de)(de)(de)安全體系(xi),才是等(deng)級(ji)保護制度的(de)(de)(de)意(yi)義(yi)。而不是淺顯(xian)地理解成(cheng)一套執(zhi)行(xing)要求、標(biao)準集合。
如今市場出現的(de)各種快速通過�����的(de)等(deng)保2.0藥方(fa���������ng)(fang),相(xiang)當于把等(deng)保庸俗化(hua)。就(jiu)好比想(xiang)要一(yi)個強健(jian)的(de)身體,不能光靠吃(chi)藥。吃(chi)藥甚至是有害(hai)的(de),更重(zhong)要被認真對待的(de)是健(jian)康的(de)生(sheng)活方(fang)(fang)式。等(deng)保就(jiu)是在(zai)要求(qiu)用(yong)戶在(zai)網絡安(an)全建設方(fang)(fang)面,培養健(jian)康的(de)生(sheng)活方(fang)(fang)式。
2、等保(bao)2.0是技術+管理 非產(chan)品堆疊
用戶的安全體系想要健康(kang),必須做到:技術過關,管(guan)理夠(gou)硬。
在(zai)技(ji)(ji)術(shu)層面,等保2.0不(bu)是(shi)一款產品(pin)(pin)可以解決的(de)(de),譬如(ru):新(xin)標準的(de)(de)三級系統(tong)有71個(ge)控制點,211個(ge)控制�����項,每一個(ge)控制項都需要(yao)(yao)依靠(kao)2-3個(ge)設備才能實現;再比如(ru):在(zai)等保2.0要(yao)(yao)求(qiu)中,三級系統(tong)的(de)(de)邊界防護,有4條明確的(de)(de)要(yao)(yao)求(qiu)項,而這4個(ge)要(yao)(�����yao)求(qiu)項至少需要(yao)(yao)依靠(kao)4種(zhong)技(ji)(ji)術(shu)2-3個(ge)產品(pin)(pin)及安(an)全管理系統(tong)才能同時實現……所以說包治百病的(de)(de)“神藥”是(shi)根本不(bu)存在(zai)的(de)(de)。
另(ling)外,等保也不(bu)是購(gou)買一(yi)堆產品堆疊在(zai)一(yi)起就可以(yi)滿足要求的(de)(de),更不(bu)要提什么(me)“套餐”,而是產品的(de)(de)功能、配置、策(ce)略�������以(yi)及產品間�����的(de)(de)協(xie)調、配合 、聯動。
同時要(yao)(yao)(yao)特別注意(yi)的(de)是(shi):等級保護將管(guan)(guan)理要(yao)(yao)(yao)求(qiu)(qiu)(qiu)上升到和技術要(yao)(yao)(yao)求(qiu)(qiu)(qiu)同等重要(yao)(yao)(yao)的(de)位置(zhi),管(guan)(guan)理要(yao)(yao)(yao)求(qiu)(qiu)(qiu)包括人員、機構、制度(du)、運維、建設(she)等方面,其(qi)中管(guan)(guan)理制度(du)僅這(zhe)一項(xiang)就包括了(le)策略制定、制度(du)執行、審批流程(cheng)(cheng)等細(xi)節內容;安全(quan)進程(cheng)(cheng)管(guan)(gua����n)理、安全(qua������n)運維管(guan)(guan)理的(de)控制點及要(yao)(yao)(yao)求(qiu)(qiu)(qiu)項(xiang)的(de)數(shu)量(liang),甚至超過了(le)技術要(yao)(yao)(yao)求(qiu)(qiu)(qiu)中的(de)分(fen)類。
由(you)此可見,即使技術層面可以通過購(���gou)買產品解決,但管理軟實力的(de)修�������煉,整個(ge)體(ti)系的(de)搭建需要(yao)用戶在運(yun)維方面多(duo)下功夫,不能(neng)期(qi)望一蹴而就。
而對于廠商而言,不談管理的等保2.0都(dou)有市場誤導(dao)的嫌疑。
3、等(deng)保測評只(zhi)是手段 非等(deng)保目的
企業的網絡安全(quan)是(shi)一個(ge)大生命(ming)周期。在(zai)這個(ge)周期里,每個(ge)系統之間需(xu)要(yao)不(bu)斷調整(zheng)和完善。隨(sui)著安全(quan)環境的變化,需(xu)要(yao)隨(sui)時�����動態調整(zheng)策略和結構,因為(wei)新的攻擊和新的漏(lo������u)洞(dong)的網絡危險也一直(zhi)在(zai)進化。
在這樣大的生(sheng)命周(zhou)期里,等保的測評������只(zhi)是(shi)手段,用戶和廠商都不能把通過測評當成目的。舉(ju)個(ge)例子,不能說通過等保2.0三級(ji)的建設標準(zhun),就能滿(man)足(zu)三級(ji)標準(zhun)的安全。因(yin)為測評只(zhi)是(shi)及格分(fen)(fen),而及格分(����fen)(fen)并(bing)不代(dai)表合規(gui)。真正(zheng)的安全建設應該大大超出60分(fen)(fen)。
綜合(he)(he)以上觀點,山(sh������an)石網科認為,結(jie)合(he)(he)市場�������(chang)現狀(zhuang)可以看出,如果有用戶認為購買網絡安(an)全產品通過等保(bao)(bao)(bao)2.0測評就能保(bao)(bao)(bao)證系統(tong)、數(sh����u)據的(de)安(an)全運行,這是沒將(jiang)等保(bao)(bao)(bao)的(de)原理(li)和目的(de)搞清楚。而(er)部分廠商進行“打保(bao)(bao)(bao)票(piao)”式的(de)夸張宣傳,也是極不負責任的(de)。
等(deng)(deng)保(bao)(bao)2.0作為網安(an)行(xing)(xing)業(ye)具有(you)里程(cheng)(cheng)碑(bei)意義的(de)(de)建設體(ti)系工程(cheng)(cheng),廠商(shang)不(bu)應將合(he)規需求單(dan)��������純理(li)解(jie)(jie)(jie)成簡(jian)單(dan)的(de)(de)商(shang)機(ji),用戶(hu)(hu)也(ye)不(bu)應該將等(deng)(deng)保(bao)(bao) 2.0理(li)解(jie)(jie)(jie)成一次簡(jian)單(dan)的(de)(de)安(an)全考(kao)試(shi)。廠商(shang)和用戶(hu)(hu)都該本著科學發(fa)展觀的(de)(de)態度(du)(du)來正確解(jie)(jie)(jie)讀等(deng)(deng)保(bao)(bao)2.0 -- 廠商(shang)以解(jie)(jie)(jie)決用戶(hu)(hu)實(shi)(shi)際(ji)問題的(de)(de)態度(du)(du)研發(fa)產(chan)品(pin),以實(shi)(shi)事求是的(de)(de)態度(du)(du)進行(xing)(xing)宣傳;用戶(hu)(hu)則應該對自(zi)身提出(chu)更高的(de)(de)網絡(luo)安(an)全管理(li)技術要求,扎扎實(shi)(shi)實(shi)(shi)將安(an)全體(ti)系建設作為企(qi)業(ye)業(ye)務高效(xiao)運轉(zhuan)的(de)(de)第一護(hu)城河。
