11月7日至8日,“天府杯”2020 國際網路安全大賽暨2020天府國際網路安全高峰論壇將在成都市中國西部國際博覽城國際展覽展示中心9號館舉行。本次“天府杯”包含破解大賽、高峰論壇以及主題論壇三大部分。以打造中國的Pwn2Own為目標,坐擁百萬美元豐厚獎金池的國際破解大賽;聚集中央和地方政府主管部門領導、頂級安全企業代表、業內和高校專家的高峰論壇;由綠盟科技集團等多家代表性網路安全企業和機構獨立承辦的七大主題分論壇,都將在活動期間如約而至。
兩天時間,三大活動,世界頂級駭客技術的碰撞和網路安全思想的饕餮將在這裡拉開帷幕。
綠盟科技集團作為本屆“天府杯”主辦方之一,將於11月8日上午承辦“貫徹落實四新要求 全面推進等級保護制度2.0” 主題論壇。屆時,公安部網路安全保衛局一級巡視員、副局長郭啟全,綠盟科技集團總裁胡忠華,華北電力大學能源電力大資料研究院院長李建彬,中國電子科技集團網路安全領域首席專家、中國網安副總工程師董貴山,前海聯合財產保險公司副總經理張炯等嘉賓,將出席該分論壇並做致辭與主題演講。
網路安全等級保護制度作為一項有20餘年歷史,在《中華人民共和國網路安全法》中有明確規定,且仍在不斷擴充、發展的我國網路安全等級保護工作的管理方略,其重要性對整個網路安全行業不言而喻。2020年9月,公安部更是出臺《貫徹落實網路安全等級保護制度和關鍵資訊基礎設施安全保護制度的指導意見》,為深入貫徹落實網路安全等級保護制度等工作提供了指導意見。基於上述背景,由專業的網安公司承辦,在本屆“天府杯”上討論“等保2.0”相關議題,更具時代意義。
話不多說,接下來就讓綠盟君為你帶來11月8日“貫徹落實四新要求 全面推進等級保護制度2.0”主題論壇的議題精彩“搶先看”。
“智慧安全2.0”貫徹落實網路安全“四新”要求
綠盟科技集團總裁 胡忠華
國家網路安全的“四新”要求,即“新目標、新理念、新舉措和新高度”,是當前及十四五期間我國網路安全綜合防控的重要方針,是各行業主管單位進行十四五規劃的重要指導意見,更是網路安全企業服務國家、服務客戶的重要行動指南。綠盟科技作為專業的網路安全公司,“四新”要求也與綠盟科技的能力建設和發展目標十分契合。2015年,綠盟科技正式釋出了智慧安全2.0戰略,將智慧、敏捷、可運營作為綠盟科技戰略轉型落地的要素體現。安全防禦體系從之前靜態、被動、基於規則的防禦,轉變為主動、動態、自適應的彈性防禦。以攻促防實現的對抗能力實戰化,多個常態化運營的城市級安全運營中心落地,體系化的安全管理和安全運營架構,是綠盟科技對“三化六防”要求的重要實踐。對安全中臺的重構,以及對威脅情報、安全漏洞、人工智慧等關鍵領域的深入研究和探索,是綠盟科技持續開展的重點工作。未來,綠盟科技將繼續為主管單位提供能力支撐,同時積極貫徹落實“四新”要求,攜手客戶與合作伙伴,透過創新發展、開放共享,實現合作共贏。
等級保護2.0時代的資料安全
華北電力大學能源電力大資料研究院院長 李建彬
處於數字化轉型過程中的企業,資料的合規、資料治理與隱私是其不能忽視的重要網路安全風險。可以說,資料安全已經成為企業數字化轉型中重要的核心安全需求與能力保障。在法律法規層面,諸如《中華人民共和國資料安全法(草案)》《中華人民共和國個人資訊保護法(草案)》《通用資料保護條例》等,都在為資料安全和隱私保護營造積極的法律環境。等級保護2.0在資料安全方面也提出了明確的要求,相關技術措施主要體現在安全計算環境層面,在儲存和傳輸兩個環節的保密性、完整性、可用性等。合規與治理是資料安全與隱私保護的主線。在資料治理方面,應以資料全生命週期為核心,在資料的採集、傳輸、處理等階段,依據資料資產分級分類後對應的安全策略,實現資料安全的全方位治理,並藉助資料安全能力成熟度模型進行自我評估。
關鍵資訊基礎設施實戰防護實踐
綠盟科技集團副總裁 曹嘉
回顧2017年至今的攻擊態勢不難發現,網路攻擊已經從針對集權系統,隱蔽化、專業的側面突破,向自動化的漏洞利用工具、常態化的籌備和結合業務場景以及針對人員的鏈式攻擊演進。中國目前仍是全球網路攻擊的主要受害者,關鍵資訊基礎設施是這些攻擊的重點目標。透過為攻防雙方建立能力畫像,可以為高強度、高烈度的對抗演練分析和沙盤推演,提供可辨識的業務風險、攻擊路徑和防護手段。伴隨著威脅情報體系和安全中臺研判能力的不斷成熟,結合防守方畫像,以及基於豐富實戰對抗經驗總結而成的“九大防護鐵律”,綠盟科技可以更有效的幫助關鍵企業和機構貫徹執行“一箇中心,三重防護”的要求,切實提升實戰中的網路安全防護能力。
企業全球化網路安全保障體系建設思路與等級保護
中國電子科技集團網路安全領域首席專家、中國網安副總工程師 董貴山
以“一帶一路”政策為代表,隨著中國企業持續開拓全球境外市場,“走出去”的路徑日趨多元化的同時,企業所要面臨的網路安全威脅也會更加複雜、嚴峻。《中華人民共和國網路安全法》《中華人民共和國密碼法》《資訊保安技術網路安全等級保護基本要求》《資訊系統密碼應用基本要求》等檔案,已經成為出海企業建設網路安全能力的重要指引。在全球化辦公的場景下,企業網路安全能力的建設,應以資料安全為核心目標,以密碼技術為基礎支撐,從監測預警、安全接入、安全通訊、安全計算、安全應用和安全基礎設施等角度著手,構建“1個監管平臺,4大保障能力,1個基礎設施“的網路安全和密碼能力體系,在等級保護制度的基礎上促進與國際合規要求接軌。
常態化趨勢下網路安全體系建設思路與實踐
綠盟科技集團首席行業專家 張智南
網路安全能力體系的建設已經進入常態化,建設目標正從階段性建設專案向持續安全運營轉化。等保2.0時代,網路安全能力的建設需要落實《中華人民共和國網路安全法》的要求,實現“管理與技術並重,預防與保護並舉”,覆蓋“識別、防護、檢測、響應、預警、處置”全過程,實現“整體安全、全面保障”的總體目標。網路安全能力的體系化建設需要與業務資訊化的發展需求相匹配。在思路上,基於風險評估、量化指標體系、以及安全技術和安全管理的雙抓手,企業和機構可以藉助大資料平臺和雲地人機的協同機制,實現常態化運營的安全保障體系的構建。常態化安全運營的關鍵是實現閉環。閉環的前提是在規劃階段做好需求和能力差距分析,以及所需安全控制措施的落地。安全事件的響應和處置也應實現閉環。思路的實踐,在綠盟科技參與的眾多重大活動網路安全保障中有十分清晰具體的體現。
網路安全保險助力構建網路安全綜合防控體系
前海聯合財產保險公司副總經理 張炯
近年諸如勒索攻擊、網路釣魚、資料洩露等安全事件的頻繁發生,讓公司對網路安全風險的認知、重視程度以及相應的安全支出,逐年升高。網路安全保險為企業對抗網路安全風險提供了另一種思路。一方面,保險作為一種重要的金融手段,可為企業的應急處置提供資金,一定程度補償網路攻擊帶來的損失,為重大網路安全事件不利影響的擴散提供緩衝;另一方面,透過和網路安全技術手段的結合孕育而生的網路安全保險,可以更好的在事前、事中和事後形成三條防線,為企業完善風險管理的閉環。此外,對企業而言,網路安全保險還可以對企業原有的風險管理體系帶來積極、正向的影響。