2019年5月13日，由國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會共同發(fā)布等保2.0標(biāo)準(zhǔn)并于同年12月1日正式實施，伴隨著等保2.0標(biāo)準(zhǔn)的發(fā)布，也標(biāo)志著我國網(wǎng)絡(luò)安全等級保護已進入全新時代。

等保2.0標(biāo)準(zhǔn)中的技術(shù)要求分類體現(xiàn)了從外部到內(nèi)部的縱深防御思想，對等保對象的安全防護應(yīng)考慮從通信網(wǎng)絡(luò)、區(qū)域邊界到計算環(huán)境的從外到內(nèi)的整體防護。本次論壇邀請等保建設(shè)行業(yè)專家，將從政策解讀及熱點問題等方面做獨道見解分享。

2020年8月13日，ISC2020“致知力行、繼往開來——邁向等級保護2.0新階段”分論壇順利在線上召開，來自國內(nèi)網(wǎng)絡(luò)安全專家、學(xué)者圍繞“等級保護與數(shù)據(jù)安全”“在等保中引入密碼測評” “加快貫徹落實網(wǎng)絡(luò)安全等級保護制度”“按等保2.0可信計算3.0筑牢新基建網(wǎng)絡(luò)安全防線”等議題展開觀點碰撞，思維對話。

本次論壇由中國計算機學(xué)會計算機安全專業(yè)委員會承辦，由該委員會主任、公安部第一研究所副所長于銳發(fā)布論壇致辭。于銳表示，網(wǎng)絡(luò)安全等級保護制度2.0國家標(biāo)準(zhǔn)的發(fā)布，是具有里程碑意義的一件大事，標(biāo)志著國家網(wǎng)絡(luò)安全等級保護工作步入新時代。等級保護2.0是網(wǎng)絡(luò)安全的一次重大升級，其保護對象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴大到了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等，對等級保護制度也提出了新的要求。

本論壇的重磅嘉賓還有中國工程院院士、國家集成電路產(chǎn)業(yè)發(fā)展咨詢委員會委員、國家三網(wǎng)融合專家組成員沈昌祥;公安部網(wǎng)絡(luò)安全保衛(wèi)局一級巡視員、副局長兼總工程師郭啟全;中國計算機學(xué)會計算機安全專業(yè)委員會副主任、中國科學(xué)院大學(xué)教授荊繼武;公安部第三研究所所長助理、中國計算機學(xué)會計算機安全專委會副主任金波。公安部第一、第三研究所原所長、中國計算機學(xué)會計算機安全專業(yè)委員會榮譽主任嚴(yán)明擔(dān)任本次對話論壇主持人。

可信計算普及 構(gòu)建網(wǎng)絡(luò)安全主動免疫新體系

沒有網(wǎng)絡(luò)安全就沒有國家安全，當(dāng)前，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間。按照國家網(wǎng)絡(luò)安全法律、戰(zhàn)略和等級保護制度要求，推廣安全可信產(chǎn)品和服務(wù)，守住網(wǎng)絡(luò)安全底線是歷史的使命。

基于此，中國工程院院士、國家集成電路產(chǎn)業(yè)發(fā)展咨詢委員會委員、國家三網(wǎng)融合專家組成員沈昌祥在演講中指出，新型基礎(chǔ)設(shè)施是以數(shù)據(jù)和網(wǎng)絡(luò)為核心，其發(fā)展前提是用主動免疫的可信計算筑牢安全防線。

沈昌祥表示，從認(rèn)知科學(xué)上看，設(shè)計IT系統(tǒng)不能窮盡所有邏輯組合，必定存在邏輯不全的缺陷。利用缺陷挖掘漏洞進行攻擊是網(wǎng)絡(luò)安全永遠(yuǎn)的命題。安全可信是指邏輯缺陷不被威脅者所利用，實行免疫機制。

而主動免疫可信計算是一種運算同時進行安全防護的新計算模式，以密碼為基因抗體實施身份識別、狀態(tài)度量、保密存儲等功能，及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質(zhì)，相當(dāng)于為網(wǎng)絡(luò)信息系統(tǒng)培育了免疫能力。

網(wǎng)絡(luò)安全始終有新任務(wù)與新要求。據(jù)公安部網(wǎng)絡(luò)安全保衛(wèi)局一級巡視員、副局長兼總工程師郭啟全透露，近期，公安部印發(fā)了有關(guān)貫徹落實網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度的指導(dǎo)意見。

郭啟全表示，組織認(rèn)定應(yīng)將基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等重點保護對象納入關(guān)鍵信息基礎(chǔ)設(shè)施。

夯實數(shù)據(jù)安全強化等級保護2.0制度“落地”

在可信計算普及的時代，密碼是否正確使用對網(wǎng)絡(luò)安全至關(guān)重要。中國計算機學(xué)會計算機安全專業(yè)委員會副主任、中國科學(xué)院大學(xué)教授荊繼武介紹了在等保中引入密碼測評的意義，荊繼武表示，網(wǎng)絡(luò)空間安全保護數(shù)字經(jīng)濟發(fā)展，密碼技術(shù)是基礎(chǔ)支撐。

“數(shù)字財富的保護，不僅僅是數(shù)據(jù)的保護，是一種所有關(guān)系的保護，是數(shù)字經(jīng)濟時代生產(chǎn)關(guān)系的安全。” 荊繼武稱，等級保護制度的目標(biāo)，是要保護我國數(shù)字經(jīng)濟的發(fā)展，引入密碼測評符合未來數(shù)字經(jīng)濟發(fā)展的趨勢。

數(shù)字化時代，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源。

等保基本要求中的數(shù)據(jù)安全問題同樣不容小覷。公安部第三研究所所長助理、中國計算機學(xué)會計算機安全專委會副主任金波著重介紹了數(shù)據(jù)安全的頂層設(shè)計要求。

金波建議，可通過等保合規(guī)落實數(shù)據(jù)安全，加強管理體系建設(shè)，包括覆蓋數(shù)據(jù)活動全流程的數(shù)據(jù)安全管理制度，人員數(shù)據(jù)安全法律法規(guī)、標(biāo)準(zhǔn)、知識和技能培訓(xùn)，采用密碼技術(shù)保護數(shù)據(jù)保密性和完整性，采用備份措施保護數(shù)據(jù)可用性，數(shù)據(jù)安全管理責(zé)任和崗位設(shè)置等幾個方面來推進。同時，加強安全風(fēng)險管控、加強數(shù)據(jù)活動管控。

在防護過程中，將構(gòu)建以密碼技術(shù)、可信計算、人工智能、大數(shù)據(jù)分析等為核心的網(wǎng)絡(luò)安全保護體系，提升關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)生安全、主動免疫和主動防御能力。

值得一提的是，在本場論壇中還特別設(shè)置了十人熱點對話環(huán)節(jié)，公安部第一、第三研究所原所長、中國計算機學(xué)會計算機安全專業(yè)委員會榮譽主任嚴(yán)明擔(dān)任論壇主持人，來自不同背景、不同企業(yè)的行業(yè)專家繼續(xù)圍繞等保2.0的貫徹落實展開深入探討。

在該環(huán)節(jié)中，公安部網(wǎng)絡(luò)安全保衛(wèi)局十八處處長祝國邦指出，等級保護制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本制度，以此為標(biāo)準(zhǔn)推動行業(yè)部門來落實相應(yīng)的政策要求，有效提高了我國網(wǎng)絡(luò)安全保護能力。

公安部信息安全等級保護評估中心測評部主任、研究員馬力表示，從等保1.0到等保2.0有幾項重要的演變，等級保護進入一個全新的階段。等級保護的四項主要工作包括定級備案、建設(shè)整改、登記測評和監(jiān)督檢查配套標(biāo)準(zhǔn)，并且都已經(jīng)陸續(xù)和大家見面了。

杭州安恒信息技術(shù)股份有限公司首席安全官、高級副總裁劉志樂認(rèn)為，在等保2.0制度的引領(lǐng)下，圍繞一個中心三個防護進行了很多實踐，包括為客戶提供保姆供應(yīng)式服務(wù)、升級產(chǎn)品防護和運營體系等等。

亞信安全科技有限公司亞信安全首席研發(fā)官吳湘寧表示，在本質(zhì)上看，網(wǎng)絡(luò)安全是一個動態(tài)的過程，伴隨信息技術(shù)架構(gòu)的變化而演進。并且，網(wǎng)絡(luò)安全最終的問題都是人的問題，所以每個網(wǎng)絡(luò)安全學(xué)家也都是“心理學(xué)家”，網(wǎng)絡(luò)安全應(yīng)以人為本。

北京國舜科技股份有限公司副總裁湯志剛表示，等保2.0在應(yīng)用中有很多具體的實踐，在以為金融業(yè)做安全規(guī)劃時，就以此為參考和標(biāo)準(zhǔn)，等保2.0不是一個測評的事情，而是有關(guān)框架建設(shè)的事情。

啟明星辰信息技術(shù)集團股份有限公司副總裁文坊指出，我國安全行業(yè)的高速長期穩(wěn)定的發(fā)展依賴于國家對網(wǎng)絡(luò)安全的重視，等級保護制度改變了用戶需求市場和企業(yè)的發(fā)展模式，并且為安全產(chǎn)業(yè)的發(fā)展起到了保駕護航的作用。

遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司副總裁王潤合認(rèn)為，摸清關(guān)鍵基礎(chǔ)設(shè)施的資產(chǎn)才能更好的為企業(yè)服務(wù)，在等保2.0的指導(dǎo)下，安全運營會提供立體化的防御、等保合規(guī)、監(jiān)測預(yù)警、應(yīng)急處置等工作。

北京數(shù)字觀星科技有限公司運營中心負(fù)責(zé)人張錚表示，自身主要通過聚焦資產(chǎn)的威脅監(jiān)測管理參與廣大用戶的等級保護建設(shè)，幫助客戶識別到互聯(lián)網(wǎng)側(cè)和內(nèi)網(wǎng)側(cè)分別面臨什么樣的威脅，并為其描述威脅畫像。

360企業(yè)安全戰(zhàn)略創(chuàng)新研究院副院長吳露渟表示，基于等保2.0制度，360構(gòu)建了安全能力框架，包括一個安全大腦，一套互聯(lián)互通的標(biāo)準(zhǔn)，一套整體的安全基礎(chǔ)設(shè)施體系，靈活運營的戰(zhàn)法，頂級安全專家隊伍以及實戰(zhàn)演練的經(jīng)驗。

最后，公安部第一、第三研究所原所長、中國計算機學(xué)會計算機安全專業(yè)委員會榮譽主任嚴(yán)明總結(jié)到，等保2.0的標(biāo)準(zhǔn)指導(dǎo)了網(wǎng)絡(luò)安全和信息安全的建設(shè)與保護工作，在這個過程中也會面臨很多問題，譬如等級保護和關(guān)鍵基礎(chǔ)設(shè)施保護之間的關(guān)系，對于幾大新應(yīng)用的擴充要求是否需要再提高，等等，而我們正以創(chuàng)新的思路來解決層出不窮的遇到的挑戰(zhàn)。

未來，將有更多的部門聯(lián)合合作，從政務(wù)服務(wù)、公共服務(wù)、社會治理、基礎(chǔ)設(shè)施等多領(lǐng)域統(tǒng)籌推進，共享“可信+”紅利，相關(guān)領(lǐng)域和網(wǎng)絡(luò)安全企業(yè)的群策群力下，共同推動政府服務(wù)和群眾生活全面邁入“可信+”的新時代，同時推動等保2.0制度的持續(xù)深化。