首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

山石网科:一个耗时多年的国家级政策和标准刚发布,第二天就轻而易举的被解决了?

5月13日,备受期待的网络安全等级保护2.0核心标准已正式发布,网络安全行业瞬间热闹起来。标准发布的第二天,市场上就出现了各种帮助企业包治百病、顺利过“检”的“药方”。

不禁想问,一个耗时多年的国家级政策和标准,就这么轻而易举的被解决了?

对此,网络安全行业等保领域的老兵、山石网科高级副总裁杨庆华在接受采访时表示——不能将等级保护2.0庸俗化,只谈技术不谈管理的等保2.0都是耍流氓。

等保2.0在经过两次大的调整之后,每一级的安全要求均包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求这几个部分。

调整后的控制措施分类结构如下:

技术要求“从面到点”提出安全要求,“安全物理环境”主要对机房设施提出要求,“安全通信网络”和“安全区域边界”主要对网络整体提出要求,“安全计算环境”主要对构成节点(包括业务应用和数据)提出要求,“安全管理中心”主要对系统管理、集中管控等提出要求。

管理要求“从元素到活动”提出安全要求,“安全管理制度”、“安全管理机构”和“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素,“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。

那些第二天就问世的包治百病、顺利“检”的“药方”,有很多就是只考虑技术,他们想用一堆产品堆叠在一起就想满足要求,或者还有什么“套餐”之类的,而不考虑产品的功能、配置、策略以及产品间的协调、配合、联动等等问题,面对等保2.0的标准,显然是不够看的。

作为网络安全行业从业22年的资深专家,杨庆华认为等级保护是科学发展观,是网络安全建设的科学方法论、具有“单一技术搞不定、单一产品搞不定”的复杂特点,不仅要将管理的重视程度提高至技术层面同级别,还要建立一套科学自律的网络安全“生活习惯”。因为持续稳定保障企业的业务运行,才是等保的核心意义。

等保2.0是技术+管理 非产品堆叠

杨庆华先生表示:在技术层面,等保2.0不是一款产品可以解决的,譬如:新标准的三级系统有71个控制点,211个控制项,每一个控制项都需要依靠2-3个设备才能实现;再比如:在等保2.0要求中,三级系统的边界防护,有4条明确的要求项,而这4个要求项至少需要依靠4种技术2-3个产品及安全管理系统才能同时实现……所以说包治百病的“神药”是根本不存在的。

同时要特别注意的是:等级保护将管理要求上升到和技术要求同等重要的位置,管理要求包括人员、机构、制度、运维、建设等方面,其中管理制度仅这一项就包括了策略制定、制度执行、审批流程等细节内容;安全进程管理、安全运维管理的控制点及要求项的数量,甚至超过了技术要求中的分类。

由此可见,即使技术层面可以通过购买产品解决,但管理软实力的修炼,整个体系的搭建需要用户在运维方面多下功夫,不能期望一蹴而就。

而对于厂商而言,不谈管理的等保2.0都是在耍流氓式的进行市场误导。

山石网科认为,结合市场现状可以看出,如果有用户认为购买网络安全产品通过等保2.0测评就能保证系统、数据的安全运行,这是没将等保的原理和目的搞清楚。而部分厂商进行“打保票”式的夸张宣传,也是极不负责任的。

等保2.0作为网安行业具有里程碑意义的建设体系工程,厂商不应将合规需求单纯理解成简单的商机,用户也不应该将等保 2.0理解成一次简单的安全考试。

等保的测评只是手段,用户和厂商都不能把通过测评当成目的。举个例子,不能说通过等保2.0三级的建设标准,就能满足三级标准的安全。因为测评只是及格分,而及格分并不代表合规。真正的安全建设应该大大超出60分。这不仅是对国家政策的响应,更是对企业自身安全问题的重视!

注:图片与素材来自于网络,如涉及版权问题,请联系我们删除。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190625A0OI0M00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券