安全企业谈等保三构建有序网络空间,护航安全智能时代.pdfVIP

构建有序网络空间，护航安全智能时代

——编者按——

本文仔细梳理了等保2.0新的要求下新的保护对象、新的标准和新的建设框

架，以此框架为基础为客户提供符合法规要求的产品和服务，并以提出了满足等

保要求的云计算环境应用安全保护框架和技术发展思路。

一、新技术业态下网络安全产业面临的新挑战

大力推进信息化建设，是我国现代化建设的战略举措，是贯彻落实科学发展

观，全面建设小康社会，构建社会主义和谐社会和建设创新型国家的迫切需要和

必然选择。在新技术的驱动下，人们的工作生活方式都发生了重大的变化，人类

从IT时代跨越到了DT时代。网络安全的攻防技术也从静态、被动、纵深防御到

动态、主动、积极防御APT攻击转变。随着新技术普及和网络攻防对抗技术的发

展，人类社会在第五空间——网络空间中面临的合纵挑战与攻守博弈将从微观层

面影响到每个人日常的衣食住行，从中观层面影响到企业管理、公司战略以及从

宏观层面影响到国家的安全与发展。

二、网络安全等保2.0框架下的新要求

1．从合规驱动到法律规定

2017年6月1日，《中华人民共和国网络安全法》作为我国网络空间安全领

域的首部基础性法律正式施行，其中第二十一条明确规定：国家实行网络安全等

级保护制度。

2．等保2.0框架下的新要求

1)网络安全等级保护2.0新标准

为了适应云计算应用、无线移动接入应用、物联网应用和工控系统应用等新

技术、新应用情况下信息安全等级保护工作的开展，对GB/T22239-2008进行修

订的思路和方法调整为针对云计算应用、无线移动接入应用、物联网应用和工控

系统应用等新技术、新应用领域。

2)网络安全等级保护2.0新对象

等级保护对象囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云

计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等等

3)网络安全等级保护2.0新建设

明确了等级保护对象、确定了等级保护对象的安全保护等级后，应根据不同对象的安全保

护等级完成安全建设或安全整改工作；应针对等级保护对象特点建立安全技术体系和安全管理

体系，构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保

护政策和标准，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力

建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

三、网络安全等级保护思考和技术实践

1．启明星辰集团网络安全等级保护建设流程

围绕等级保护新对象、新标准，需要认真构建新的建设流程，重新思考我们的建设依据、

建设内容，和向客户交付的成果。

如下图所示：

图1.网络安全等级保护建设流程

2．启明星辰集团网络安全等级保护应用场景案例

以典型网络安全等级保护要求在云计算环境中的应用为例,为了提高云计算

平台和用户抵御信息安全风险的能力，全面增强网络安全保障水平，同时满足网

络安全法要求和网络安全等级保护2.0的要求，满足监管机构的合规检查，提出

网络安全等级保护云计算平台应用安全体系框架，如下图所示：

图2.网络安全等级保护云计算应用安全框架

上云之后一些单位提出针对业务数据安全的诸多担忧，业务系统多混淆在一

起，单位无法了解自身业务的部署，业务系统的数据有被云技术提供商或被黑客

窃取数据的可能，这就对云服务提供商、专业安全提供商、云安全初创者，这三

者提出了各自不同的要求。

从云安全的责任分担模型来看，为解决用户数据和云平台信任问题，云服务

提供商应主要负责云平台安全，云租户安全应由专业