- A+
今日,「FreeBuf 企业安全俱乐部」系列沙龙活动「等级保护2.0研讨专场 」第二场北京站已圆满落幕。无论你有没有来到现场,现在都可以体验到当日盛况啦!快让我们一起来回顾一下今天的热门看点吧。
演讲PPT下载下周将在FreeBuf企业安全微信公众号上集中分享,对于今天没能来到现场聆听观众的也不用感到遗憾,后续我们还将把嘉宾的精彩演讲视频剪辑上传至FreeBuf 公开课平台,敬请期待。
等保2.0下的企业转变
等保即网络安全等级保护,指对网络和信息系统按照重要性等级分级别保护的一种工作。等保2.0具有更加普适性,覆盖行业范围更广,技术领域更加全面的特点。它以保护业务与数据安全为核心,要求身份可信与业务边界安全,并且对安全工作过程提高要求,增加工作量与安全责任的负重。
率先登场的是来自正保远程教育安全负责人李晨,在会上与大家分享《等保2.0下的企业转变 》。从等保的差异简介讲到企业该如何应对转变。李晨认为,企业需在这几个方面进行转变:
1.态度转变:等级保护2.0提供了企业网络安全战略规划目标,配套网络安全法,将对企业管理者提供方向上的指引,避免为了“合规”而合规。
2.体系转变:根据等级保护要求中的网络安全综合防御体系,由被动转主动、由静态转动态、由单点转整体、由粗放转精准。
3.能力转变:对企业安全负责人综合能力提高了要求,应同时具备纵向管理与水平管理能力,以及技术层面一专多能的要求。
4.技术转变:完善技术生态,提高团队能力,安全的本质在于人的对抗与资本的对抗。
5.运营转变:基于数据驱动的安全运营体系,包括识别、检测、防护、响应的持续能力。
动态安全 构建等保2.0时代的主动防御
数字化时代,主动防御成为实现商业安全保障的基石,而移动目标式的动态防御,成为主动防御技术领域的技术方向。来自数瑞信息技术总监关福君 ,从产品的落地与实践方面,为大家分享《动态安全-构建等保2.0时代的主动防御》。
他认为,主动防御的技术趋势为:
移动目标式的主动防御:迫使攻击者不断重新适应,并对动态转移的薄弱点作出反应,从而有效防止攻击者使用自动化僵尸程序。
机器学习:利用大数据和机器学习解析法,熟悉和学习企业的正常流量,从而判定企业业务的异常访问。
主动行为分析:主动行为分析和指纹识别来识别客户端的正常流量,用户使用模式和用量来检测和启发式推测可疑活动。安全情报及主动预测:通过情报交流和第三方数据收集安全威胁情报,包括诈骗风险情报数据库让企业知悉最新的攻击信息。
云计算环境下的等保2.0应用实践
伴随着《网络安全法》的出台,安全等级保护工作进入2.0时代,等级保护对象由原来单纯的信息系统扩展到更多领域,云计算是其中需重点关注的一个领域。在云上用户越来越多的今天,来自金山云高级安全经理张娜为大家分享《 云计算环境下的等保2.0应用实践》。
云计算技术正在或已成为当前数据中心建设的核心技术。如何识别云计算技术的安全风险,并将其纳入到数据中心整体风险管理体系,通过一系列的安全治理将其控制到一个可以接受的范围,成为企业亟待解决的重要问题。
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级。在对云服务方的云计算平台上进行等级测评时,应选择全部《安全测评通用要求》+《云计算安全测评扩展要求》 中适用于云计算平台的部分指标。
云租户侧的等级保护对象也应作为单独的定级对象定级。在对云租户业务应用系统进行等级测评时,应选择全部《安全测评通用要求》和《云计算安全测评扩展要求》中适用于云租户业务系统的部分指标。
网络安全等级保护2.0要求解读
等级保护2.0较1.0相比,主要变化体现在等级保护工作内容扩展、保护对象扩展、保护力度提升这几个方面。从工作内容上来比较,除了满足等保1.0时代五个规定动作以外,把风险评估、安全监测、通报预警、案件调查等方面的工作都纳入到等级保护的范围之内。
来自公安部第三研究所的公安部信息安全等级保护评估中心安全咨询部主任陈广勇为大家分享《网络安全等级保护2.0要求解读 》,从网络安全法具体条款的解读出发,重点介绍网络安全等级保护制度在2.0阶段的新特征和新变化,并对新发布的关键网络安全等级保护相关标准进行详细介绍,为企业在新形势下的等级保护如何建设提供思路。
在分享中,他提到:等级保护2.0从技术方面强调采用“一个中心、三层防护”的网络安全架构。这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。
通过嘉宾们的细致介绍,使到场观众对等级保护2.0的要求和调整变化,有了更加深刻的了解。
互联网企业落地等保2.0实践分享
接下来,从落实网络安全等级保护,履行《网络安全法》规定的责任和义务,提升互联网企业信息的安全管理和防护水平,承担社会责任,保护国家关键信息基础设施和大数据,实现客户服务增值,提升服务安全保障和个人信息保护等方面,来自深同程艺龙信息安全部负责人张博 为大家分享《互联网企业落地等保2.0实践分享》。
张博对于等保2.0关于个人信息保护的要求总结说:网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。
等保2.0下的身份安全
等保2.0时代,身份鉴别、访问控制、安全审计等身份安全相关的技术点,成为“可信、可控、可管”安全防护体系的重要组成部分,企业网络安全建设之路更加坚定,对身份安全的要求也愈来愈严格。
来自上海派拉软件股份有限公司创始人/CEO谭翔,为大家带来《等保2.0下的身份安全 》的分享,把身份安全解决方案落到实处,将企业内外部用户的身份安全做到极致,助力企业提升网络安全防护能力,筑好网络安全第一道防守线。
谭翔结合等级保护2.0标准以及与1.0的区别,对等级保护涉及身份鉴别(以等保3级为例),访问控制,可信验证,安全审计,数据保密性,数据完整性,个人信息保护的要点进行解读。从实践的角度探讨标准落地的对应解决方案,为身份安全的防护措施提供实际参考。
等级保护2.0标准条款实践案例
开展等保工作,能够发现相关机构、单位和企业网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足;另一方面,通过安全整改,提高网络安全防护能力,降低系统被各种攻击的风险。来自信息产业信息安全测评中心副主任刘健 ,为大家带来《等级保护2.0标准条款实践案例》的议题分享。
刘健除了实际案例的讲解之外,还特别强调,等保2.0加强了可信体系作为重要思想:
1.安全通信网络可信验证:可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
2.安全区域边界可信验证:可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
3.安全计算环境可信验证:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。
建设网络空间“雪亮工程” 夯实网络安全运营体系
等级保护是我国信息安全保障的基本制度性工作,是网络空间安全保障体系的重要支撑,也是应对强敌APT攻击的有效措施。来自科来软件产品运营部总监李飞 为大家分享《构建设网络空间“雪亮工程”,夯实网络安全运营体系》,他认为全流量回溯已成为等保2.0合规部署清单,并以实践案例作支撑点为在场的观众讲解。
他讲解到,测评指标:应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击的检测和分析。测评对象:抗APT攻击、网络回溯系统和威胁情报检测系统或相关组件。测评实施:1)应核查是否部署相关系统或组件对新型网络攻击进行检测和分析;2)应测试验证是否对网络行为进行分析,实现对网络攻击特别是新型网络攻击的检测和分析。
全流量回溯是安全运营体系的必要组件:由传统安全设备(IPS、FW、WAF等)和全流量平台、威胁情报的纵深检测和防御体系;以全流量分析为中心的安全事件溯源分析体系,实现对攻击事件的全链复原和取证;以SOC平台为中心的安全设备联动体系,实现攻击发现、拦截的自动化处理流程。
人工与智能,助力新等保
新的系统形态、新业态下的应用、新模式背后的服务、以及重要数据和资源统统进入了等保2.0的视野,特别是人工智能等新技术手段也划入等保的范围内,打破了之前我国人工智能安全标准主要集中在应用安全领域,缺乏人工智能自身安全或基础共性的安全标准的现状。
安全服务与智能安全如何在新等保下更好地应用?来自斗象科技高级安全研究专家张志鹏在《人工加智能,助力新等保》为您解答。
他认为,在进行动态安全防御之前,需明确等保重点工作内容:关键信息基础设施的定义;关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等);敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估);风险评估(第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门)。
因此,选择一个拥有合规的以数据分析为核心,结合机器学习技术,构建云端安全监测、多源威胁分析、未知威胁响应的全息安全体系更为重要。斗象科技推出应对“指南”——网藤智能安全,提供公有云、私有云环境下的智能一站式解决方案。
网藤系列产品能力包括:不少于6个月大数据存储溯源;结合IoC调查画布的威胁智能分析与狩猎;机器学习技术驱动的场景化智能分析威胁行为;联动漏洞盒子数据以及白帽专家知识的网藤数据情报中心;第一时间云端0Day预警等。
等级保护2.0协同安全实践案例
2.0版本将针对新技术提出扩展性要求,在聚焦于等级保护的基本要求时,需要更多用技术思维解读标准。来自北京中测安华科技有限公司高级安全专家杨天识为大家带来《等级保护2.0协同安全实践案例》,并在演讲中介绍系统安全运营协同:安全监测、数据安全、大数据分析以及统一安全展示平台,既是安全的业务平台,也是运营人员的工作平台之一。运营工作中需要同现有的云安全管理平台、网络管理平台、数据管理平台、安全管理平台等协同使用,共同完成对核心业务系统的保障任务。
企业需以四大平台为依托实现协同安全:
网络安全监测平台:以威胁情报驱动,对恶意IP、域名、URL、邮件钓鱼、邮件恶意链接、WEB攻击、特征木马、恶意代码攻击、APT攻击、0Day漏洞攻击等威胁检测及异常行为告警。
数据安全保护平台:识别敏感信息并对违规行为进行实时告警;数据流转监测是指数据在流转过程中的接入、预处理、存储、使用等进行状态监测。
大数据安全解析平台:是对日志、告警等进行统一数据采集,进行数据丰富化处理实现与有资产进行有效关联,当网络攻击发生时能够快速“定位、响应、处置”。
统一安全展示平台:能够有效的为管理者的提供统一指挥管控平台,能够有效的呈现风险管控态势,能够有效的呈现协同防护的安全局势。
通过一整天的干货分享与互动探讨,大家想必都收获满满,更全面地了解和落地等保2.0政策。最后,附上大会场地精彩花絮:
(会后合影)