等保2.0,即《网络安全等级保护制度2.0》,是我国网络安全管理领域的重大改革,旨在建立更加完善的网络安全等级保护体系。在等保2.0的背景下,企业信息安全防护体系的建设是极其重要的内容。何勇亮作为高级等级测评师,详细阐述了等保2.0下企业信息安全防护体系建设的各个要点。
等保2.0体系将面对网络安全新形势。在这一新阶段,等保制度要求实现两个全覆盖:一个是覆盖全社会范围,另一个是覆盖所有保护对象。这体现了国家对关键信息基础设施的保护责任的重视,并且要求在安全事件的同步运行、安全CII运营者义务、网络运营者义务、特殊要求及国家安全审查、保密监管、配合检测评估数据存储等方面,履行国家网络安全保障的新要求。
等级保护的新要求在等保2.0下有了新的变化。核心思想是以可信计算为基础,构建可信的执行环境,实现可信、可管、可控的安全防护。以访问控制技术为核心,实现多层防护和纵深防御。构建集中管理平台,实现系统、审计和安全的集中管控。技术防护框架包括构建多重防护框架,具体涵盖可信计算环境、可信应用计算节点、可信节点、可信边界、可信通信、用户终端、系统审计安全以及安全管理中心。这些措施加强了态势感知能力,强化了安全区域边界的安全,提高了入侵防范技术,确保了数据的安全存储。
新技术和新应用带来的新风险也是等级保护需要关注的重点。这包括云计算、移动互联网、工业控制系统、物联网、大数据、APT攻击、无线安全、内容安全和个人信息安全等。等级保护技术要求企业针对这些新兴领域采取相应的安全措施,以防范潜在的安全威胁。
在实施等保2.0时,企业信息安全防护体系建设还需注重安全建设的三同步:即同步规划、同步建设和同步使用。具体要求包括同步分析安全需求、定义安全要求、设计体系架构、落实安全措施以及启用和运营安全措施。这样的同步管理机制确保了企业在发展过程中,安全措施能够与业务同步发展,实时提供安全防护。
从测评的角度来看,企业信息安全体系的建设需要遵循一定的方法论。这包括进行业务分析,确定等级,分析需求,制定策略和机制,并设计总体规划。了解系统的具体特点和梳理业务流程是建立信息安全体系的基础。依据定级指南确定保护等级,并依据业务分析及保护等级确定安全防护需求,然后根据安全需求采用“一个中心,多重防护”的框架设计策略及防护机制,最后形成总体规划方案。
企业应当以业务安全为核心,构建适应自身特点的防护体系。在这一过程中,高级等级测评师如何勇亮所提出的测评体系规划方法论具有指导意义。其提供的测评框架和方法能够帮助企业建立起一个全方位、多层次、动态调整的安全防护体系,从而有效地应对等保2.0下对企业信息安全防护提出的新挑战。
