北京2019年5月24日 /美通社/ -- 5月13日,備受期待的網(wǎng)絡(luò)安全等級保護(hù)2.0(簡稱“等保2.0”)核心標(biāo)準(zhǔn)已正式發(fā)布,網(wǎng)絡(luò)安全行業(yè)瞬間熱鬧起來。標(biāo)準(zhǔn)發(fā)布的第二天,市場上就出現(xiàn)了各種幫助企業(yè)包治百病、順利過“檢”的“藥方”。網(wǎng)絡(luò)安全行業(yè)等保領(lǐng)域的專家、山石網(wǎng)科高級副總裁楊慶華則認(rèn)為,不能將等級保護(hù)2.0庸俗化,不能只談技術(shù)不談管理。
作為網(wǎng)絡(luò)安全行業(yè)從業(yè)22年的資深專家,楊慶華認(rèn)為等級保護(hù)是科學(xué)發(fā)展觀,是網(wǎng)絡(luò)安全建設(shè)的科學(xué)方法論、具有“單一技術(shù)搞不定、單一產(chǎn)品搞不定”的復(fù)雜特點(diǎn),不僅要將管理的重視程度提高至技術(shù)層面同級別,還要建立一套科學(xué)自律的網(wǎng)絡(luò)安全“生活習(xí)慣”。因為持續(xù)穩(wěn)定保障企業(yè)的業(yè)務(wù)運(yùn)行,才是等保的核心意義。
等保2.0是否已經(jīng)變成廠商新商機(jī)的狂歡?用戶面對類目繁多的等保2.0還有哪些“坑”要繞開?楊慶華先生的觀點(diǎn)如下:
1、等保2.0是系統(tǒng)發(fā)展觀 非單一標(biāo)準(zhǔn)
等級保護(hù)是網(wǎng)絡(luò)安全建設(shè)的科學(xué)方法論,通過等級保護(hù)的政策指導(dǎo)、技術(shù)要求建立一套良性發(fā)展的安全體系,才是等級保護(hù)制度的意義。而不是淺顯地理解成一套執(zhí)行要求、標(biāo)準(zhǔn)集合。
如今市場出現(xiàn)的各種快速通過的等保2.0藥方,相當(dāng)于把等保庸俗化。就好比想要一個強(qiáng)健的身體,不能光靠吃藥。吃藥甚至是有害的,更重要被認(rèn)真對待的是健康的生活方式。等保就是在要求用戶在網(wǎng)絡(luò)安全建設(shè)方面,培養(yǎng)健康的生活方式。
2、等保2.0是技術(shù)+管理 非產(chǎn)品堆疊
用戶的安全體系想要健康,必須做到:技術(shù)過關(guān),管理夠硬。
在技術(shù)層面,等保2.0不是一款產(chǎn)品可以解決的,譬如:新標(biāo)準(zhǔn)的三級系統(tǒng)有71個控制點(diǎn),211個控制項,每一個控制項都需要依靠2-3個設(shè)備才能實現(xiàn);再比如:在等保2.0要求中,三級系統(tǒng)的邊界防護(hù),有4條明確的要求項,而這4個要求項至少需要依靠4種技術(shù)2-3個產(chǎn)品及安全管理系統(tǒng)才能同時實現(xiàn)……所以說包治百病的“神藥”是根本不存在的。
另外,等保也不是購買一堆產(chǎn)品堆疊在一起就可以滿足要求的,更不要提什么“套餐”,而是產(chǎn)品的功能、配置、策略以及產(chǎn)品間的協(xié)調(diào)、配合 、聯(lián)動。
同時要特別注意的是:等級保護(hù)將管理要求上升到和技術(shù)要求同等重要的位置,管理要求包括人員、機(jī)構(gòu)、制度、運(yùn)維、建設(shè)等方面,其中管理制度僅這一項就包括了策略制定、制度執(zhí)行、審批流程等細(xì)節(jié)內(nèi)容;安全進(jìn)程管理、安全運(yùn)維管理的控制點(diǎn)及要求項的數(shù)量,甚至超過了技術(shù)要求中的分類。
由此可見,即使技術(shù)層面可以通過購買產(chǎn)品解決,但管理軟實力的修煉,整個體系的搭建需要用戶在運(yùn)維方面多下功夫,不能期望一蹴而就。
而對于廠商而言,不談管理的等保2.0都有市場誤導(dǎo)的嫌疑。
3、等保測評只是手段 非等保目的
企業(yè)的網(wǎng)絡(luò)安全是一個大生命周期。在這個周期里,每個系統(tǒng)之間需要不斷調(diào)整和完善。隨著安全環(huán)境的變化,需要隨時動態(tài)調(diào)整策略和結(jié)構(gòu),因為新的攻擊和新的漏洞的網(wǎng)絡(luò)危險也一直在進(jìn)化。
在這樣大的生命周期里,等保的測評只是手段,用戶和廠商都不能把通過測評當(dāng)成目的。舉個例子,不能說通過等保2.0三級的建設(shè)標(biāo)準(zhǔn),就能滿足三級標(biāo)準(zhǔn)的安全。因為測評只是及格分,而及格分并不代表合規(guī)。真正的安全建設(shè)應(yīng)該大大超出60分。
綜合以上觀點(diǎn),山石網(wǎng)科認(rèn)為,結(jié)合市場現(xiàn)狀可以看出,如果有用戶認(rèn)為購買網(wǎng)絡(luò)安全產(chǎn)品通過等保2.0測評就能保證系統(tǒng)、數(shù)據(jù)的安全運(yùn)行,這是沒將等保的原理和目的搞清楚。而部分廠商進(jìn)行“打保票”式的夸張宣傳,也是極不負(fù)責(zé)任的。
等保2.0作為網(wǎng)安行業(yè)具有里程碑意義的建設(shè)體系工程,廠商不應(yīng)將合規(guī)需求單純理解成簡單的商機(jī),用戶也不應(yīng)該將等保 2.0理解成一次簡單的安全考試。廠商和用戶都該本著科學(xué)發(fā)展觀的態(tài)度來正確解讀等保2.0 -- 廠商以解決用戶實際問題的態(tài)度研發(fā)產(chǎn)品,以實事求是的態(tài)度進(jìn)行宣傳;用戶則應(yīng)該對自身提出更高的網(wǎng)絡(luò)安全管理技術(shù)要求,扎扎實實將安全體系建設(shè)作為企業(yè)業(yè)務(wù)高效運(yùn)轉(zhuǎn)的第一護(hù)城河。