當今中國的網路安全從業者,相信不會對等級保護這個詞感到陌生。2016年11月正式透過的《中華人民共和國網路安全法》,從法律角度明確了這一基本要求和義務。2019年5月《網路安全等級保護基本要求GB/T22239-2019》的正式釋出,更是宣告等級保護制度正式進入2.0時代。
2020年7月公安部發函,要求重點行業、部門全面落實網路安全等級保護制度和關鍵資訊基礎設施安全保護制度,健全完善國家網路安全綜合防控體系。全面落實等級保護2.0“新目標、新理念、新舉措、新高度”的“四新”要求,需要有效落實網路安全保護“實戰化、體系化、常態化”和“動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控”的“三化六防”措施。
基於此,綠盟科技集團將於11月7日至8日的“天府杯”2020 國際網路安全大賽暨2020天府國際網路安全高峰論壇(以下簡稱:“天府杯”)期間,承辦“貫徹落實四新要求 全面推進等級保護制度2.0”主題論壇,圍繞等保2.0深入探討相關政策,分享綠盟科技體系化的能力建設思路和實戰化、常態化的運營實踐,以及等保2.0背景下關於資料安全與網路安全保險的思考。
為了能讓大家在11月8日的等級保護主題論壇上更深入的理解嘉賓的演講內容,綠盟君特別準備了“等保預習筆記”,將綠盟科技對等級保護的定義、大致發展歷程和等保2.0新變化的認知與理解,分享給大家。
什麼是等級保護?
網路安全等級保護制度是國家在國民經濟和社會資訊化發展過程中,提高資訊保安保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進資訊化建設健康發展的一項法律要求與基本制度。通俗的講,等級保護即將資訊系統劃分為不同的安全保護等級(從第一級到第五級),並對其實施不同的保護和監管。
可以說,等級保護制度是建設單位、承建單位、安全服務機構、監管部門開展合規工作的重要依據,是我國諸多網路資訊保安標準制度的重要參考體系架構,也是行業主管部門對於下級部門網路安全建設指引標準的重要依據和參考體系。
等級保護的發展歷程
1994年,國務院頒佈了《中華人民共和國計算機資訊系統安全保護條例》,規定計算機資訊系統實行安全等級保護,是我國最早提出開展等級保護的法律檔案。此時可以說是等級保護1.0時代的開端。
等保1.0普及了等保概念,強化了各單位、機構的網路安全意識,整體提升了網路安全保障能力,並不斷進行相關人才的積累。經過多年發展,等級保護制度在各個行業中不斷完善、發展,並得到切實的實踐執行。
2016年10月10日,公安部網路安全保衛局一級巡視員、副局長郭啟全在第五屆全國資訊保安等級保護技術大會上指出,“國家對網路安全等級保護制度提出了新的要求。”同年11月7日,《中華人民共和國網路安全法》正式透過,其第二十一條明確規定,“網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務。”
2019年5月13日下午,國家市場監督管理總局召開新聞釋出會,正式釋出《資訊保安技術網路安全等級保護基本要求》2.0版本,並於同年12月1日起實施。至此,等級保護2.0已徹底拉開帷幕。
等保2.0新變化
相較於等級保護的1.0時代,等保2.0有四個顯著變化:
01 定級物件擴充套件
等保1.0的定級物件以資訊系統為基礎。等保2.0則以覆蓋全社會(除個人和家庭自用網路外)所有物件為目標,包括業務處理類物件、基礎服務類物件和資料資源類物件,雲和大資料平臺、工業控制系統、物聯網系統等都涵蓋在內。
02 等級保護內容擴充套件
等保2.0除了5個規定動作之外,新增了風險評估、通報預警、安全檢測、案事件調查等要求,進一步突顯了聯防聯控的內涵。
03 標準體系豐富
為適應新應用、新技術發展,等保2.0時代,對標準進行修訂、升級,覆蓋了雲大物移工等新應用、新形勢系統的要求,更好適應當前資訊科技與應用發展,並且標準結構採取了分層解耦方式,對未來標準修訂、升級提供很好的結構支撐。
04 重點突出
等保2.0要求全面落實“新目標、新理念、新舉措、新高度”的“四新”要求。在1.0的基礎上,等保2.0突出了以保護關鍵資訊基礎設施、重要網路和資料安全為重點,要求切實提高網路安全保護能力,積極構建國家網路安全綜合防控體系,切實維護國家網路空間主權、國家安全和社會公共利益,保護人民群眾的合法權益,保障和促進經濟社會資訊化健康發展。
百萬獎金 綠盟科技積極備戰破解大賽
實戰化的安全運營和防護對加強對口技術人才的培養有更強烈的需求。透過比武競賽等形式,發現、選報高精尖技術人才,建立健全人才發現、培養、選拔和使用機制,才能為網路安全工作更好地提供人才保障。所以主題論壇外,以打造中國“Pwn2Own”為目標的“天府杯”國際破解大賽也是本屆天府杯的重頭戲。
今年的破解大賽以100萬美金為總獎金池,三類獨立並行的比賽專案(原創漏洞演示覆現賽、產品破解賽和系統破解賽),為參賽隊伍提供一場破解(Pwn)的盛宴。
賽制方面,原創漏洞演示覆現賽不設場景限制,由隊伍自主選擇要復現的漏洞和復現思路,這將充分考驗隊伍的技術積累與現場實操能力。復現質量最高的隊伍和不同手段實現復現的隊伍,都可與提交該原創漏洞的隊伍平分漏洞獎金。產品破解賽則按照難度、漏洞影響範圍、對我國特殊影響、網路安全發展趨勢等原則,設定了十六道涵蓋作業系統、瀏覽器、路由器、容器等目標的賽題,破解目標與不同階段對應獎金十分明確。系統破解賽非必選專案,組委會在現場會設定答題區域以及工控裝置,參賽隊伍在現場酌情進行破解嘗試。
多年來,綠盟科技始終非常重視漏洞挖掘及利用方面的研究與積累。作為本屆“天府杯”的主辦單位之一,綠盟科技主動出擊,派出多支強力戰隊積極備戰這場國際破解大賽。期望透過“天府杯”國際網路安全大賽這樣一個匯聚海內外頂級網路安全人才的平臺,與高手切磋交流,提升自身網路安全攻防實力的同時,賽出佳績。