北京2019年5月24日 /美通社/ -- 5月13日,備受期待的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0(簡(jiǎn)稱“等保2.0”)核心標(biāo)準(zhǔn)已正式發(fā)布,網(wǎng)絡(luò)安全行業(yè)瞬間熱鬧起來。標(biāo)準(zhǔn)發(fā)布的第二天,市場(chǎng)上就出現(xiàn)了各種幫助企業(yè)包治百病、順利過“檢”的“藥方”。網(wǎng)絡(luò)安全行業(yè)等保領(lǐng)域的專家、山石網(wǎng)科高級(jí)副總裁楊慶華則認(rèn)為,不能將等級(jí)保護(hù)2.0庸俗化,不能只談技術(shù)不談管理。
作為網(wǎng)絡(luò)安全行業(yè)從業(yè)22年的資深專家,楊慶華認(rèn)為等級(jí)保護(hù)是科學(xué)發(fā)展觀,是網(wǎng)絡(luò)安全建設(shè)的科學(xué)方法論、具有“單一技術(shù)搞不定、單一產(chǎn)品搞不定”的復(fù)雜特點(diǎn),不僅要將管理的重視程度提高至技術(shù)層面同級(jí)別,還要建立一套科學(xué)自律的網(wǎng)絡(luò)安全“生活習(xí)慣”。因?yàn)槌掷m(xù)穩(wěn)定保障企業(yè)的業(yè)務(wù)運(yùn)行,才是等保的核心意義。
等保2.0是否已經(jīng)變成廠商新商機(jī)的狂歡?用戶面對(duì)類目繁多的等保2.0還有哪些“坑”要繞開?楊慶華先生的觀點(diǎn)如下:
1、等保2.0是系統(tǒng)發(fā)展觀 非單一標(biāo)準(zhǔn)
等級(jí)保護(hù)是網(wǎng)絡(luò)安全建設(shè)的科學(xué)方法論,通過等級(jí)保護(hù)的政策指導(dǎo)、技術(shù)要求建立一套良性發(fā)展的安全體系,才是等級(jí)保護(hù)制度的意義。而不是淺顯地理解成一套執(zhí)行要求、標(biāo)準(zhǔn)集合。
如今市場(chǎng)出現(xiàn)的各種快速通過的等保2.0藥方,相當(dāng)于把等保庸俗化。就好比想要一個(gè)強(qiáng)健的身體,不能光靠吃藥。吃藥甚至是有害的,更重要被認(rèn)真對(duì)待的是健康的生活方式。等保就是在要求用戶在網(wǎng)絡(luò)安全建設(shè)方面,培養(yǎng)健康的生活方式。
2、等保2.0是技術(shù)+管理 非產(chǎn)品堆疊
用戶的安全體系想要健康,必須做到:技術(shù)過關(guān),管理夠硬。
在技術(shù)層面,等保2.0不是一款產(chǎn)品可以解決的,譬如:新標(biāo)準(zhǔn)的三級(jí)系統(tǒng)有71個(gè)控制點(diǎn),211個(gè)控制項(xiàng),每一個(gè)控制項(xiàng)都需要依靠2-3個(gè)設(shè)備才能實(shí)現(xiàn);再比如:在等保2.0要求中,三級(jí)系統(tǒng)的邊界防護(hù),有4條明確的要求項(xiàng),而這4個(gè)要求項(xiàng)至少需要依靠4種技術(shù)2-3個(gè)產(chǎn)品及安全管理系統(tǒng)才能同時(shí)實(shí)現(xiàn)……所以說包治百病的“神藥”是根本不存在的。
另外,等保也不是購買一堆產(chǎn)品堆疊在一起就可以滿足要求的,更不要提什么“套餐”,而是產(chǎn)品的功能、配置、策略以及產(chǎn)品間的協(xié)調(diào)、配合 、聯(lián)動(dòng)。
同時(shí)要特別注意的是:等級(jí)保護(hù)將管理要求上升到和技術(shù)要求同等重要的位置,管理要求包括人員、機(jī)構(gòu)、制度、運(yùn)維、建設(shè)等方面,其中管理制度僅這一項(xiàng)就包括了策略制定、制度執(zhí)行、審批流程等細(xì)節(jié)內(nèi)容;安全進(jìn)程管理、安全運(yùn)維管理的控制點(diǎn)及要求項(xiàng)的數(shù)量,甚至超過了技術(shù)要求中的分類。
由此可見,即使技術(shù)層面可以通過購買產(chǎn)品解決,但管理軟實(shí)力的修煉,整個(gè)體系的搭建需要用戶在運(yùn)維方面多下功夫,不能期望一蹴而就。
而對(duì)于廠商而言,不談管理的等保2.0都有市場(chǎng)誤導(dǎo)的嫌疑。
3、等保測(cè)評(píng)只是手段 非等保目的
企業(yè)的網(wǎng)絡(luò)安全是一個(gè)大生命周期。在這個(gè)周期里,每個(gè)系統(tǒng)之間需要不斷調(diào)整和完善。隨著安全環(huán)境的變化,需要隨時(shí)動(dòng)態(tài)調(diào)整策略和結(jié)構(gòu),因?yàn)樾碌墓艉托碌穆┒吹木W(wǎng)絡(luò)危險(xiǎn)也一直在進(jìn)化。
在這樣大的生命周期里,等保的測(cè)評(píng)只是手段,用戶和廠商都不能把通過測(cè)評(píng)當(dāng)成目的。舉個(gè)例子,不能說通過等保2.0三級(jí)的建設(shè)標(biāo)準(zhǔn),就能滿足三級(jí)標(biāo)準(zhǔn)的安全。因?yàn)闇y(cè)評(píng)只是及格分,而及格分并不代表合規(guī)。真正的安全建設(shè)應(yīng)該大大超出60分。
綜合以上觀點(diǎn),山石網(wǎng)科認(rèn)為,結(jié)合市場(chǎng)現(xiàn)狀可以看出,如果有用戶認(rèn)為購買網(wǎng)絡(luò)安全產(chǎn)品通過等保2.0測(cè)評(píng)就能保證系統(tǒng)、數(shù)據(jù)的安全運(yùn)行,這是沒將等保的原理和目的搞清楚。而部分廠商進(jìn)行“打保票”式的夸張宣傳,也是極不負(fù)責(zé)任的。
等保2.0作為網(wǎng)安行業(yè)具有里程碑意義的建設(shè)體系工程,廠商不應(yīng)將合規(guī)需求單純理解成簡(jiǎn)單的商機(jī),用戶也不應(yīng)該將等保 2.0理解成一次簡(jiǎn)單的安全考試。廠商和用戶都該本著科學(xué)發(fā)展觀的態(tài)度來正確解讀等保2.0 -- 廠商以解決用戶實(shí)際問題的態(tài)度研發(fā)產(chǎn)品,以實(shí)事求是的態(tài)度進(jìn)行宣傳;用戶則應(yīng)該對(duì)自身提出更高的網(wǎng)絡(luò)安全管理技術(shù)要求,扎扎實(shí)實(shí)將安全體系建設(shè)作為企業(yè)業(yè)務(wù)高效運(yùn)轉(zhuǎn)的第一護(hù)城河。