山石网科：一个耗时多年的国家级政策和标准刚发布，第二天就轻而易举的被解决了？

5月13日，备受期待的网络安全等级保护2.0核心标准已正式发布，网络安全行业瞬间热闹起来。标准发布的第二天，市场上就出现了各种帮助企业包治百病、顺利过“检”的“药方”。

不禁想问，一个耗时多年的国家级政策和标准，就这么轻而易举的被解决了？

对此，网络安全行业等保领域的老兵、山石网科高级副总裁杨庆华在接受采访时表示——不能将等级保护2.0庸俗化，只谈技术不谈管理的等保2.0都是耍流氓。

等保2.0在经过两次大的调整之后，每一级的安全要求均包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求这几个部分。

调整后的控制措施分类结构如下：

技术要求“从面到点”提出安全要求，“安全物理环境”主要对机房设施提出要求，“安全通信网络”和“安全区域边界”主要对网络整体提出要求，“安全计算环境”主要对构成节点（包括业务应用和数据）提出要求，“安全管理中心”主要对系统管理、集中管控等提出要求。

管理要求“从元素到活动”提出安全要求，“安全管理制度”、“安全管理机构”和“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素，“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。

那些第二天就问世的包治百病、顺利“检”的“药方”，有很多就是只考虑技术，他们想用一堆产品堆叠在一起就想满足要求，或者还有什么“套餐”之类的，而不考虑产品的功能、配置、策略以及产品间的协调、配合、联动等等问题，面对等保2.0的标准，显然是不够看的。

作为网络安全行业从业22年的资深专家，杨庆华认为等级保护是科学发展观，是网络安全建设的科学方法论、具有“单一技术搞不定、单一产品搞不定”的复杂特点，不仅要将管理的重视程度提高至技术层面同级别，还要建立一套科学自律的网络安全“生活习惯”。因为持续稳定保障企业的业务运行，才是等保的核心意义。

等保2.0是技术＋管理 非产品堆叠

杨庆华先生表示：在技术层面，等保2.0不是一款产品可以解决的，譬如：新标准的三级系统有71个控制点，211个控制项，每一个控制项都需要依靠2-3个设备才能实现；再比如：在等保2.0要求中，三级系统的边界防护，有4条明确的要求项，而这4个要求项至少需要依靠4种技术2-3个产品及安全管理系统才能同时实现……所以说包治百病的“神药”是根本不存在的。

同时要特别注意的是：等级保护将管理要求上升到和技术要求同等重要的位置，管理要求包括人员、机构、制度、运维、建设等方面，其中管理制度仅这一项就包括了策略制定、制度执行、审批流程等细节内容；安全进程管理、安全运维管理的控制点及要求项的数量，甚至超过了技术要求中的分类。

由此可见，即使技术层面可以通过购买产品解决，但管理软实力的修炼，整个体系的搭建需要用户在运维方面多下功夫，不能期望一蹴而就。

而对于厂商而言，不谈管理的等保2.0都是在耍流氓式的进行市场误导。

山石网科认为，结合市场现状可以看出，如果有用户认为购买网络安全产品通过等保2.0测评就能保证系统、数据的安全运行，这是没将等保的原理和目的搞清楚。而部分厂商进行“打保票”式的夸张宣传，也是极不负责任的。

等保2.0作为网安行业具有里程碑意义的建设体系工程，厂商不应将合规需求单纯理解成简单的商机，用户也不应该将等保 2.0理解成一次简单的安全考试。

等保的测评只是手段，用户和厂商都不能把通过测评当成目的。举个例子，不能说通过等保2.0三级的建设标准，就能满足三级标准的安全。因为测评只是及格分，而及格分并不代表合规。真正的安全建设应该大大超出60分。这不仅是对国家政策的响应，更是对企业自身安全问题的重视！

注：图片与素材来自于网络，如涉及版权问题，请联系我们删除。