“天府杯”2020绿盟科技与您共话等保2.0时代的“三化六防”|信息安全
当今中国的网络安全从业者,相信不会对等级保护这个词感到陌生。2016年11月正式通过的《中华人民共和国网络安全法》,从法律角度明确了这一基本要求和义务。2019年5月《网络安全等级保护基本要求GB/T22239-2019》的正式发布,更是宣告等级保护制度正式进入2.0时代。
2020年7月公安部发函,要求重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度,健全完善国家网络安全综合防控体系。全面落实等级保护2.0“新目标、新理念、新举措、新高度”的“四新”要求,需要有效落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。
基于此,绿盟科技集团将于11月7日至8日的“天府杯”2020 国际网络安全大赛暨2020天府国际网络安全高峰论坛(以下简称:“天府杯”)期间,承办“贯彻落实四新要求 全面推进等级保护制度2.0”主题论坛,围绕等保2.0深入探讨相关政策,分享绿盟科技体系化的能力建设思路和实战化、常态化的运营实践,以及等保2.0背景下关于数据安全与网络安全保险的思考。
为了能让大家在11月8日的等级保护主题论坛上更深入的理解嘉宾的演讲内容,绿盟君特别准备了“等保预习笔记”,将绿盟科技对等级保护的定义、大致发展历程和等保2.0新变化的认知与理解,分享给大家。
网络安全等级保护制度是国家在国民经济和社会信息化发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项法律要求与基本制度。通俗的讲,等级保护即将信息系统划分为不同的安全保护等级(从第一级到第五级),并对其实施不同的保护和监管。
可以说,等级保护制度是建设单位、承建单位、安全服务机构、监管部门开展合规工作的重要依据,是我国诸多网络信息安全标准制度的重要参考体系架构,也是行业主管部门对于下级部门网络安全建设指引标准的重要依据和参考体系。
1994年,国家颁布了《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护,是我国最早提出开展等级保护的法律文件。此时可以说是等级保护1.0时代的开端。
等保1.0普及了等保概念,强化了各单位、机构的网络安全意识,整体提升了网络安全保障能力,并不断进行相关人才的积累。经过多年发展,等级保护制度在各个行业中不断完善、发展,并得到切实的实践执行。
2016年10月10日,公安部网络安全保卫局一级巡视员、副局长郭启全在第五届全国信息安全等级保护技术大会上指出,“国家对网络安全等级保护制度提出了新的要求。”同年11月7日,《中华人民共和国网络安全法》正式通过,其第二十一条明确规定,“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。”
2019年5月13日下午,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术网络安全等级保护基本要求》2.0版本,并于同年12月1日起实施。至此,等级保护2.0已彻底拉开帷幕。
相较于等级保护的1.0时代,等保2.0有四个显著变化:
01定级对象扩展
等保1.0的定级对象以信息系统为基础。等保2.0则以覆盖全社会(除个人和家庭自用网络外)所有对象为目标,包括业务处理类对象、基础服务类对象和数据资源类对象,云和大数据平台、工业控制系统、物联网系统等都涵盖在内。
02等级保护内容扩展
等保2.0除了5个规定动作之外,新增了风险评估、通报预警、安全检测、案事件调查等要求,进一步突显了联防联控的内涵。
03标准体系丰富
为适应新应用、新技术发展,等保2.0时代,对标准进行修订、升级,覆盖了云大物移工等新应用、新形势系统的要求,更好适应当前信息技术与应用发展,并且标准结构采取了分层解耦方式,对未来标准修订、升级提供很好的结构支撑。
04重点突出
等保2.0要求全面落实“新目标、新理念、新举措、新高度”的“四新”要求。在1.0的基础上,等保2.0突出了以保护关键信息基础设施、重要网络和数据安全为重点,要求切实提高网络安全保护能力,积极构建国家网络安全综合防控体系,切实维护国家网络空间主权、国家安全和社会公共利益,保护人民群众的合法权益,保障和促进经济社会信息化健康发展。
实战化的安全运营和防护对加强对口技术人才的培养有更强烈的需求。通过比武竞赛等形式,发现、选报高精尖技术人才,建立健全人才发现、培养、选拔和使用机制,才能为网络安全工作更好地提供人才保障。所以主题论坛外,以打造中国“Pwn2Own”为目标的“天府杯”国际破解大赛也是本届天府杯的重头戏。
今年的破解大赛以100万美金为总奖金池,三类独立并行的比赛项目(原创漏洞演示复现赛、产品破解赛和系统破解赛),为参赛队伍提供一场破解(Pwn)的盛宴。
赛制方面,原创漏洞演示复现赛不设场景限制,由队伍自主选择要复现的漏洞和复现思路,这将充分考验队伍的技术积累与现场实操能力。复现质量最高的队伍和不同手段实现复现的队伍,都可与提交该原创漏洞的队伍平分漏洞奖金。产品破解赛则按照难度、漏洞影响范围、对我国特殊影响、网络安全发展趋势等原则,设置了十六道涵盖操作系统、浏览器、路由器、容器等目标的赛题,破解目标与不同阶段对应奖金十分明确。系统破解赛非必选项目,组委会在现场会设置答题区域以及工控设备,参赛队伍在现场酌情进行破解尝试。
多年来,绿盟科技始终非常重视漏洞挖掘及利用方面的研究与积累。作为本届“天府杯”的主办单位之一,绿盟科技主动出击,派出多支强力战队积极备战这场国际破解大赛。期望通过“天府杯”国际网络安全大赛这样一个汇聚海内外顶级网络安全人才的平台,与高手切磋交流,提升自身网络安全攻防实力的同时,赛出佳绩。