点击观看大咖分享
等级保护的发展历程与等保2.0核心理念
我们经常会听到的一个词是等级保护2.0,那所谓的2.0其实是第二代或者是更新版的一个等级保护的标准。那我们其实讲到等级保护,我们从1994年就可以有这么一个关于等级保护的一个启发的一个状态,就是从国务院147号令里面就规定就计算机的话要划分等级。从中办发的27号文就全面的推行关于等级保护这个建设。然后在06、07年的话也在全国范围内也开展了关于等级保护试点工作的一些内容。
等级保护我们现在讲2.0实际上是以二零一七年就网络安全法这个发布为标志的,一个通俗的说法就是,网络安全法发布之后把等级保护这个地位上升到国家法律层面的一个地位。然后我们又是以那个二零一九年等级保护三大核心标准发布作为等保2.0的一个正式启动的时间点。所以说我们有的人可能是以17年网络安全法发布之后为等保2.0的开始,那有些人可能是以去年十二月份三大核心标准发布为2.0的起点,这大家都有没有一个统一的说法。
前几天我们国家又发布了一个关于等级保护定级指南,就更新了新的定级指南。这个指南包括前段时间发布的网络安全法这些都是等级保护2.0的一个逐步分化的过程,这就是整个等级保护的一个核心的发展周期。
然后我们看等级保护2.0的话其实可以从三个关键词可以去解释。等级保护有了新的地位,因为它获得了法律的支撑在中华人民共和国网络宪法里面就明确的规定了要实行等级保护制度。第二点是等级保护2.0又提出了很多新的理念,包括可信、加密、众生、动态这些相关的一些新的理念。同时又扩展了云计算、互联网、工控、移动互联网等等这些大数据这些新的技术。所以说它有新的地位,它有新的理念,它有新的技术,是符合现在发展的一个潮流的。
那我们看网络安全法里面就说第二条就规定了我国网络安全法适用的对象,对象是什么呢?就是在我国国家境内的建设、运营、维护和使用网络相关的人或者网络运营者或者网络的一些使用者、管理者等这个范围之内就适用于网络安全法。同时网络安全法法第二十一条的规定就说国家实行网络安全等级保护制度。同时我们还可以从第七十六条就说从网络安全法里面可以定义五大的概念都可以得到一个全新的定义,包括我们以前讲的网络安全就是,国家的网络安全法规定网络安全现在的英文应该叫做Cyber security,他是一个网络空间、内容安全、信息安全、数据安全一个大范畴的一个网络安全统称为网络安全。同时在这个网络安全法里面有定义了网络运营者数据、网络数据、个人信息等一些关键的核心的一些名词的定义。
那我们可以看新的网络安全法包括新的等级保护2.0的话,他有力的支撑的网络安全法的执行。然后再新的技术领域刚才讲到了有可信的计算、有加密这块的一些扩展;在那个新的场景应用的话我们有云计算、大数据、物联网、移动互联网、工业控制等等这方面的一些拓展;然后在新的威胁应这方面我们二点零是倡导主动、精准、整体、动态这样的一个过程;然后在统一的防范思路里面就是我们以前可能是塔式的,就是说对设备在防御体系现在的话是一个以一个中心、三重防护的一个角度去考虑。
等保2.0安全框架
我们可以从下图的房子底座开始看,只不过我们新的等级保护二点零保护对象有了明确的变化,以前可能就是一个信息系统,那现在的话是有网络基础设施,也有信用系统、大数据、互联网、云平台、工控移动、互联智能设备等等,都是可以作为一个定级对象的。
2.0的一个核心思想是一个中心三层防御,这个就是比以前的那种组织数据应用这样的发生更加的容易理解、更加容易实现去管理这样的一个层面,然后展开从一个中心三层防护、就假如说从那个远端的发起经过网络带到我们的核心服务器这个计算环境这样就非常好容易去理解。然后再从管理体系、治理体系的这种综合防范的体系去考虑的风险管理、考虑安全的管理、考虑的技术管理以及安全信任体系的建设,包括前面说的可信跟加密这些内容都包含在内。
在往上的话其实是就是在我们日常的安全工作中,一个企业一个单位可以去从不同的角度不同的方面去考虑的一些点,我们有组织的管理、有机构的建设,包括人员的一些匹配的建设,安全的规划、安全监测、预报、处置,然后态势感知、技术检测、安全可控、培训教育以及比如说费用经费的保障等等这些内容去展开。
然后再往上升就是一个等级保护的一个流程这样的概念,从定级备案表建设到测评到整改再到一个监督检查再测评的一个生命周期,然后形成的我国的一个网络安全等级保护制度。
在旁边我们可以看两个柱子。这两个柱子其实一个是法律法规的政策体系,因为等级保护不光光是我们前面讲到核心的一个标准,它其实是一整套的体系去支持网络安全法,有技术方面的、管理方面的,有各种各样单项如可信、加密、密码这些,每个领域都会有标准去支撑。然后同时的等级保护制度就是像一些流程包括机构、包括产品这些都会去做一个体系的一个完善,所以说最终形成的这个网络安全战略的目标,这是我对等级保护2.0的总体框架的初步的认识。
我国网络安全行业现状
下图是赛迪去年出的一个报告,我们可以看出软硬以及服务这样的一个比例。我们可以看假如说 一九年我们可以看我们的硬件的成本占比是非常非常高的,占百分之四十五左右;然后软件是百分之三十八;我们的服务只有百分之十五。那相比国外的话服务其实占比高达到百分之五十左右,所以说我们国内关于中国网络安全市场服务和软件这个份额的配比还是有很大的提升空间。那我们同时可以去看我们的网络安全市场的规模,这个规模就像去年我们是将近有六百亿这样的规模,到今年肯定是就是随着等保二点零推进,包括网络安全审查办法的一些推进,然后关键技术设施保护的一些标准规范的制定发布之后,这个整个安全市场的会得到很大的一个膨胀或井喷式的发展,所以这里有一个很好的发展趋势。
那我们看等级保护这块内容的话,今天看了一下关于等级保护这个测评机构,我们可以看截止到五月九号,全国等级保护测评机构推荐有一百九十八家。这一百九十八家分布在每个省,每个省可能有不同的数量的测评机构。从这个机构我们可以大概的评估一下,如果一家测评机构一年有一千不到两千万这样的规模的话,这个测评这个市场份额其实也是一个不小的数字。可能占比包括咨询、服务、测评这类的话在整个网上市场份额里面可能会达到百分之十到甚至百分之二十这样的规模。
等级保护合规咨询服务
我们现在腾讯提供的一个专家安全方面的服务主要的作用有三块。其实我们可以对比一下就是说我们自身人去看病或者去医院一样,就是我们平常要做体检,那我们专家服务也可以给你的网络、给业务系统做一个体检的工作,做到一个知己知彼的过程。就是我哪里还有不足,哪里还要加强或者哪里做的比较好。然后同时我们也可以专家给你一个建议,指导我们的企业去加强我们安全方面的建设。然后第三点的话就是对症下药,我们出了安全事件以后这边就可以提供专项的溯源和相应的应急响应,这就是完全可以对应起来我们日常的一些评估,然后可以做些免疫的提高以及应急响应的这样的过程。
然后我们的服务目录我把它分为两类,一个是家常菜,第二个是私房菜。家常菜其实是我们在整个市场里面普通的服务公司,除了互联网公司以外,传统的保险公司它都能提供类似的服务,而且我们云那个互联网公司提供的服务也是相应的内容都是一样的。就是我们会更加关注我们顶层的一些关于云方面的一些就是体系规划设计这方面的内容或者是行业解决方案里面的内容。
那我们私房菜的话就是我们腾讯有特色的包括我们车辆、物联网、工控,包括一些硬件、区块链这样的安全。这块内容的话我们也是以专家服务的方式来提供,跟等保没有关系,我们是一个专项领域里面的一个服务能力。
我们这个安全服务团队主要优势就是我们自身这个服务团队里面的人员是有保证的,有持有相关的一个资质证书的,而且是经过实践、考验的,有着十几年甚至二十多年的从业经验的。我们腾讯的品牌本身就是有长期对抗黑产的丰富经验,我们整个云平台和通讯软件有这样的能力去做这个对抗,然后我们又有大量数据的一个风险联动可以作为一个情报来支撑。
同时我们做服务也是有相应的一个服务资质的,那我们服务团队的话有风险评估资质,有应急响应资质以及安全运维这方面的资质。除了这个之外我们服务人员都是持证上岗的,基本上都是有十五年以上的网络安全从业经验,而且持有国家信息安全从业资格认证或者是有测评师认证或者有相关的等保培训结业证书这样的人员来提供相应的服务。然后我们这些专家又参与到我们腾讯自身的包括工业云、金融云 或者政务云,以及我们应用软件应用宝 、QQ业务里面等保测评的工作。所以说我们是有实践经验也有相应的资质认证,同时我们也参与了大型的项目,包括亿元以上的项目基本上每个人会参与十个以上,千万的项目的话就更多了,基本上我们的项目都是以千万级来做的。所以说我们的项目经验、实践经验以及资质、能力的非常丰富的。
等级保护合规建设路线图(方法论)
最后一块就是等级保护合规建设路线图,就是把里面的标准化的和基本的基线要求参照等保的要求,但是方法论就采用康比特体系的方法论。从最初的动因,我为什么要做等保,或者等保是内用还是外用,或者为了解决风险等等这些内容去考虑。
有了这个分析之后我们怎么去做这个解决方案,解决方案我大概分几步去走,解决方案咨询完之后效果也没达到,按照这样的一个闭环去做。那我们可以看到第一步是找一个差距,然后找完差距的话我们要定个目标。那差距的话我们就是以等级保护基本要求控制项做就可以了,然后针对每个领域的内容我们输出一个差距分析结果,每个结果需要去做的一些改进工作我们可以定出目标,每个目标也有不同的方向、不同的阶段,就可以做一个路线图,就是我大概在什么时间做什么样事情,然后以项目的方式落地,以项目做完之后的话我怎么去去那个验证有没有达到效果。以这样一个方法论拿来作为我们等级保护合规建设的一个路线图。然后我们可以用到企业里面、事业单位里面关于安全方面的建设,不光是等保,我们其他的一些安全标准或者行业标准建设都可以采用这样的方式去做。那我们腾讯专家服务也可以辅导我们的客户去做这样的一个咨询、这样的培训以及帮着用户一起来做最佳的实践的方案、落地以及我们一些专项能力的建设。
问卷
为了给广大开发者提供最实用、最热门前沿、最干货的视频教程,请让我们听到你的需要,感谢您的时间!点击填写 问卷
关注“腾讯云大学”公众号,回复【加群】进入交流群
腾讯云大学是腾讯云旗下面向云生态用户的一站式学习成长平台。腾讯云大学大咖分享每周邀请内部技术大咖,为你提供免费、专业、行业最新技术动态分享。