等級保護的大復盤和新思考
培訓伊始�,深信服安全業(yè)務CTO郝軼強調:等級保護多方位升級����,安全業(yè)務需求也進一步擴大���,這對大家都是一個機會���。如何抓住等保2.0贏在未來����,重點是提升自身戰(zhàn)斗力���。對于公司來講,有職業(yè)技能�����、專業(yè)素養(yǎng)的等保人才是公司進行2.0時代戰(zhàn)略布局的關鍵�;對于個人來講�,很多從業(yè)人員的知識�、觀念都還停留在1.0時期���,急需“再回爐”進行新知識的補充����,學習新的標準和要求��,能夠指導我們在新形勢下更好地開展工作���。深信服非常重視等保人才的培養(yǎng)和儲備���,多年來和益安在線達成深度合作,在人才培養(yǎng)上持續(xù)投入����,為業(yè)務人員賦能����!結束他表示要將本次培訓納入深信服的內部考核中��,可見對本次培訓的重視程度���。
深信服堅信技術創(chuàng)新是必須不斷修煉的內功.黃浦區(qū)節(jié)能等保鑄造輝煌
持續(xù)保護 :看深信服如何落地等保2.0
隨著等保2.0相關標準的發(fā)布���,機構���、**、企業(yè)����、醫(yī)院等機構都意識到安全在如今的環(huán)境下已經越發(fā)重要����。等保從1.0走到2.0����,不僅*是大家表面看到的���、要求的,改變與技術的提升�,更是需要機構和機構從整個安全架構出發(fā)去考慮如何做好安全�����。
1.0與2.0的比較大區(qū)別
等保2.0的升級可以認為是應對了網絡空間環(huán)境的變化���。從原本的名稱《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》標志著等保的目標對象不再是單一的信息系統�,而是擴展到了整個網絡空間。從整個網絡空間的角度來看�����,信息系統只是其中的一小部分���,云計算平臺、大數據平臺�、工控系統���、物聯網系統等都在等保2.0的時代被納入了管理的體系之中。另一方面����,不同的系統本身對安全有著不一樣的需求與標準;因此��,包括了這些不同系統的等保2.0不再是完全統一的安全要求���,而是由安全通用要求與安全擴展要求組成,針對不同系統、平臺的特殊性,建設不同的標準�。
楊浦區(qū)質量等保鑄造輝煌通過風險評估、滲透測試�、漏洞掃描與基線檢查,把握并確保事前的安全狀態(tài)。
踐行等級保護2.0,人才是關鍵
與時俱進����,做好等級保護2.0的工作�����,人才是關鍵����。但當下等級保護人才的不足使得安全廠商��、集成商、服務商的安全團隊無法“擴軍”,人才儲備量遠遠跟不上各行業(yè)開展等保工作的增長量。業(yè)內曾有人士指出,有職業(yè)技能、專業(yè)素養(yǎng)的等保人才是等保2.0落實和推動的必備基礎和重要保障�����。
北京益安在線作為公安部信息安全等級保護評估中心合作單位��、中關村信息安全測評聯合授權培訓機構���,積極開展網絡安全等級保護培訓工作��,向行業(yè)傳遞等保2.0及云等保相關標準和要求����,打造與行業(yè)**面對面交流的平臺����,打開等級保護2.0時期工作的新思路��,培養(yǎng)各種網絡安全場景下的等級保護人才。
深信服等保業(yè)務負責人伊瑋瓏表示:2017年是我首要次帶隊到北京參加CIIP-A的培訓�����,自己也是其中一員��,畢竟專業(yè)的事情需要專業(yè)的人來做,跟相當優(yōu)越、****的等保**學習是快速成長的過程,今年這次培訓全程聽下來發(fā)現培訓的內容更新、對標準的講解更為深刻����,而且在擴展要求部分也有所涉及��,作為安全廠商能學習到這么專業(yè)的知識講解實屬受益匪淺����。應該讓更多的深信服市場人員和中心合作伙伴參加到等保培訓中�,只有我們自己專業(yè)起來,才能給客戶提供專業(yè)的等保咨詢服務�。幫助企業(yè)更確實地滿足等保需求并加強安全應對能力。
第四���,控制措施分類結構變化��。等保2.0依舊保留技術和管理兩個維度��。在技術上�����,由物理安全��、網絡安全�、主機安全���、應用安全��、數據安全,變更為安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心;在管理上,結構上沒有太大的變化�����,從安全管理制度����、安全管理機構、人員安全管理、系統建設管理���、系統運維管理,調整為安全管理制度���、安全管理機構��、安全管理人員�、安全建設管理���、安全運維管理。
第五,內容變化����。從等保1.0的定級�、備案、建設整改����、等級測評和監(jiān)督檢查五個規(guī)定動作,變更為五個規(guī)定動作+新的安全要求(風險評估���、安全監(jiān)測���、通報預警、態(tài)勢感知等)。
大部分用戶做安全����,只是做安全產品的組合。長寧區(qū)新能源等保認真負責
可以多方位滿足機構與機構的等保安全需求���。黃浦區(qū)節(jié)能等保鑄造輝煌
安全通用要求技術部分要求項主要增強變化
安全計算環(huán)境
l 身份鑒別:雙因素的使用��,其中一種鑒別技術至少使用密碼技術
l 強制訪問控制:基于標記的強制訪問控制
l 惡意代碼防范:采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制
l 數據完整性和數據保密性:采用密碼技術保證重要數據傳輸和存儲的完整性和保密性 l 數據備份恢復:二級以上均要求異地備份;三級明確要求系統冗余
l 集中強調“剩余信息保護”和“個人信息保護”
安全管理中心
l 集中管控:集中監(jiān)測���、集中審計、集中(安全策略�、惡意代碼�����、補丁升級等)管理�����、集中事件分析
黃浦區(qū)節(jié)能等保鑄造輝煌
上海黑象信息科技有限公司致力于電子元器件����,是一家其他型公司。黑象信息科技致力于為客戶提供良好的網絡科技領域內的技術開發(fā),技術轉讓���,技術咨詢和技術服務����,企業(yè)管理咨詢����,一切以用戶需求為中心,深受廣大客戶的歡迎�����。公司秉持誠信為本的經營理念����,在電子元器件深耕多年,以技術為先導��,以自主產品為重點���,發(fā)揮人才優(yōu)勢����,打造電子元器件良好品牌。黑象信息科技憑借創(chuàng)新的產品�、專業(yè)的服務、眾多的成功案例積累起來的聲譽和口碑��,讓企業(yè)發(fā)展再上新高��。