網絡安全等級保護2.0呼之欲出
全國信息安全標準化專家組組長顧建國指出,我國信息安全首個強制性標準即《計算機信息系統安全保護等級劃分準則》于1999年9月13日推出,雖然已呈基本體系,并取得重要成果,但隨著云技術、物聯網等快速發展,我國網絡安全保護需要在深度、廣度、策略、保護手段和法律法規五個方面更完善。由此,網絡安全等級保護2.0呼之欲出。
顧建國介紹說,第一,新規明確將網絡安全等級保護為對外統一稱呼。第二,網絡安全等級保護擴展到云計算、大數據、物聯網、移動互聯網以及公共新領域,并增加了風險、評估、安全監測、通報預警、考核評價、應急處置,還涉及對供應鏈的要求,可信可控態勢感知等方面。第三,強調落實主體責任。第四,新技術標準適應性更強。今年還將頒布四個云安全保護標準和六個網絡等級保護標準,涵蓋網絡安全等級保護基本要求、測評要求、設計要求、測評過程指南,管理中心技術要求以及評估規范。這一系列新規最快本月頒布,最遲下月。第五,法律保障更加健全完善。
物聯網安全“對沖”三大痛點
面對即將升級到2.0版本的網絡安全保護,國家信息中心信息化和產業發展部主任單志廣認為,未來我國物聯網和智慧城市的安全體系亟待解決三大痛點,即節點安全、網絡安全、服務安全。
從節點安全來講,我國物聯網和智慧城市的安全體系要進一步提升低功耗、低消耗的輕量級節點防護手段,保證聯網的實體安全,包括門禁系統、監控系統、水電氣,以及機器人等傳感設備標簽。
從服務層面來講,未來主要解決大規模的跨區域服務,分清內部、外部,分清部門邊界、系統邊界,關注開放系統和架構下的服務安全,解決服務區域的隔離效果差、跨域協作可信的第三方認證的問題。
從網絡安全來講,主要面臨“大連接”、異構數據、復雜性網絡系統,要解決安全協議不適配、不協作、安全和性能不平衡等現實挑戰。
單志廣給出了四大解決方案和步驟:第一,通過物聯網安全平臺、智慧城市安全體系和典型應用三個方面來推動一體化安全建立,以實現跨層級、跨業務的管理和運營服務;第二,無安全代理的大規模設備深度感知和智能監控技術路線,利用流量分析和探測識別技術,來實現主被動協作的物聯網終端發現的監測方法;第三,異構物聯網標識管理需要密鑰、區塊鏈數據隱私保護系統來實現互聯互通;第四,研究“大連接”復雜異構條件下互聯網一體化的安全機制。
京公網安備 11010502049343號