第一篇:安全企业谈等保2.0(三) 构建有序网络空间,护航安全智能时代
安全企业谈等保2.0
(三)构建有序网络空间,护航安全智能时代
——编者按——
本文仔细梳理了等保2.0新的要求下新的保护对象、新的标准和新的建设框架,以此框架为基础为客户提供符合法规要求的产品和服务,并以提出了满足等保要求的云计算环境应用安全保护框架和技术发展思路。
一、新技术业态下网络安全产业面临的新挑战
大力推进信息化建设,是我国现代化建设的战略举措,是贯彻落实科学发展观,全面建设小康社会,构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。在新技术的驱动下,人们的工作生活方式都发生了重大的变化,人类从IT时代跨越到了DT时代。网络安全的攻防技术也从静态、被动、纵深防御到动态、主动、积极防御APT攻击转变。随着新技术普及和网络攻防对抗技术的发展,人类社会在第五空间——网络空间中面临的合纵挑战与攻守博弈将从微观层面影响到每个人日常的衣食住行,从中观层面影响到企业管理、公司战略以及从宏观层面影响到国家的安全与发展。
二、网络安全等保2.0框架下的新要求
1.从合规驱动到法律规定
2017年6月1日,《中华人民共和国网络安全法》作为我国网络空间安全领域的首部基础性法律正式施行,其中第二十一条明确规定:国家实行网络安全等级保护制度。
2.等保2.0框架下的新要求 1)网络安全等级保护2.0新标准
为了适应云计算应用、无线移动接入应用、物联网应用和工控系统应用等新技术、新应用情况下信息安全等级保护工作的开展,对GB/T 22239-2008 进行修订的思路和方法调整为针对云计算应用、无线移动接入应用、物联网应用和工控系统应用等新技术、新应用领域。
2)网络安全等级保护2.0新对象
等级保护对象囊括了大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等等
3)网络安全等级保护2.0新建设
明确了等级保护对象、确定了等级保护对象的安全保护等级后,应根据不同对象的安全保护等级完成安全建设或安全整改工作;应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
三、网络安全等级保护思考和技术实践
1.启明星辰集团网络安全等级保护建设流程
围绕等级保护新对象、新标准,需要认真构建新的建设流程,重新思考我们的建设依据、建设内容,和向客户交付的成果。
如下图所示:
图1.网络安全等级保护建设流程
2.启明星辰集团网络安全等级保护应用场景案例
以典型网络安全等级保护要求在云计算环境中的应用为例,为了提高云计算平台和用户抵御信息安全风险的能力,全面增强网络安全保障水平,同时满足网络安全法要求和网络安全等级保护2.0的要求,满足监管机构的合规检查,提出网络安全等级保护云计算平台应用安全体系框架,如下图所示:
图2.网络安全等级保护云计算应用安全框架
上云之后一些单位提出针对业务数据安全的诸多担忧,业务系统多混淆在一起,单位无法了解自身业务的部署,业务系统的数据有被云技术提供商或被黑客窃取数据的可能,这就对云服务提供商、专业安全提供商、云安全初创者,这三者提出了各自不同的要求。
从云安全的责任分担模型来看,为解决用户数据和云平台信任问题,云服务提供商应主要负责云平台安全,云租户安全应由专业安全提供商承接,作为独立第三方来为租户云上业务护航,同时协助租户对云服务商进行监督和审计。
从攻防对抗的角度看,随着攻守双方在新技术架构下的博弈较量,云安全的效果将取决于对威胁的快速检测、分析能力、有体系性的协作防御以及以人为中心的处置、响应能力。
从合规治理的角度看,云安全未来依然以纵深防御体系为基础,重点解决虚拟化安全、多租户安全及SaaS安全三个维度下用户不同场景的安全需求;在高级威胁防御层次,要结合业务场景进行持续监控、深度建模分析、发现潜在未知威胁,防护关键资产。
从技术发展的角度看,自适应安全是云安全发展方向,其内涵表现为通过终端、服务器、边界+威胁情报+AI等新技术相结合的方式对威胁和脆弱性进行监控、防护及可预见性分析与闭环联动。
综上所述,启明星辰集团从独立安全第三方角度关注云租户安全,为客户提供自主创新的安全产品和最佳实践服务,从结构上保障云租户的安全最大化。
此外,围绕网络安全等级保护其他方面的要求包括,移动应用的安全检测与加固、渠道监控、生命周期安全管理等;物联网的端侧感知安全、视频防护、异常流量检测、安全无线、可信边界综合安全网关、应用交付控制等;工控安全检查工具、无损评估、流秩序分析诊断等;大数据安全的态势感知管控、数据防泄漏、核心信息管控等综合考虑,最终实现防攻击、防越权、防泄漏的目标。
3.启明星辰集团网络安全思考和技术实践
从国家及产业角度出发,围绕网络安全发展方向及战略就智慧城市、大数据与人工智能、态势感知、智能工业物联网、安全技术研究等全新形势下,启明星辰集团提出独立运营、互联与智能的战略。
启明星辰集团经过21年的发展与沉淀,与时俱进,积极调整业务模式,结合互联网、云、大数据、工控和物联网端侧等应用场景下,IT和OT的不断进行深入融合,推出动态赋能智能安全,打造兼顾智能设备与多重传输渠道“云、管、端”的智慧安全。
启明星辰集团自去年起,已经逐渐在全国多个省市布局实施。与当地云、大数据、供应商加强合作,投入建设网络安全独立运营中心,并嵌入互联与智能的能力,从而为客户提供更多增值服务。在产品交付方面,启明星辰集团会进一步扩大渠道、提高市场占有率。在用户方面,高度重视电力、税务、电信、金融等等重点行业的客户需求,对接私有云或行业云的产品服务,在运维方面,把智慧城市、政务云、大数据、态势感知预警、智能安全运维工作放入安全运营中心。
信息安全产业发展迅猛,启明星辰未来将安全与云计算、大数据、智能工业物联网、移动互联网、工控系统、智慧城市、人工智能等新的场景和应用融合,助力企业在业务转型升级和落实等级保护制度的同时,以积极协同防御的安全体系为手段,以态势感知、安全监测预警、智慧安全为依托,携手用户安全同行。智能技术推动社会进步的同时威胁在变化,攻防是核心,智能安全将覆盖社会生活的各方面。
网络安全等级保护工作卓有成效的实施离不开网络空间安全产学研各界的努力和支持。面对日新月异的新技术和新问题,强化我国网络空间安全防护能力,实现网络强国的战略目标,启明星辰集团将一如既往的联合各行业专家,为我国网络安全的持续发展保驾护航,为把我国建设成为网络强国贡献力量。
启明星辰信息技术集团股份有限公司
第二篇:全面推进冶金等工贸企业安全生产标准化建设三同时工作的实施方案
2012年全面推进冶金等工贸企业安全生产
标准化建设工作的实施方案
去年以来,按照国家总局、省局和市局开展安全生产标准化工作的一系列文件要求,结合我区实际,我们紧紧围绕“分类指导、园区引导、突出重点、稳步推进”的总体思路,全年冶金、有色、建材、机械、轻工、纺织、烟草等商贸行业(以下简称冶金等工贸行业)安全生产标准化工作开局良好,为深入贯彻落实《国务院关于进一步加强企业安全生产工作的通知》(国发【2010】23号)、《国务院安委会关于深入开展企业安全生产标准化建设的指导意见》(安委【2011】4号),以及市局有关会议精神,全面推进我区冶金等工贸企业安全生产标准化建设工作,确保年底前完成市里下达的安全生产标准化工作任务,特制定本方案。
一、指导思想
以科学发展观为统领,坚持发展为理念,全面贯彻落实安全生产方针,认真落实国家、省、市有关安全生产标准化的一系列文件精神,以落实企业安全生产主题责任为主线,以《企业安全生产标准化基本规范》(AQ/T9006-2010)和有关冶金等工贸企业的一系列评定标准为依据,通过安全生产标准化建设,全面夯实安全生产工作基础,实现企业管理的制度化,规范化、长效化、有效遏制事故的发生。
二、目标任务
2012年,全区冶金、工贸等行业80%的规模以上企业达到三级以上安全标准。
三、工作原则
(一)统筹规划,分步实施。在冶金等工贸行业企业全面开展以岗位达标、专业达标和企业达标的安全生产标准化建设工作的基础上。2012年底以前。全区80%规模以上的冶金、建材、机械、轻工等行业达到三级以上标准。2013年底以前,全区规模以上的冶金等工贸行业企业全部达到三级以上标准;30%的规模以下企业达到三级以上标准。2015年底以前,全区冶金等工贸行业企业全部达标。
(二)突出重点,分类指导。实现全面达标,抓住规模以上企业是关键,但规模以上企业确因安全条件较差年底达标有困难的,也可选择规模较大,安全条件较好的规模以下企业达标,确保完成市里规定达标数量。
(三)典型引路,全面推进。认真组织我区企业到我市达到国家二级标准的企业和我区已达标企业学习观摩、交流,总结工作经验,以点带面,全面推动各行业企业全面达标。
(四)企业为主,政府推动。立足企业建设为主,注重政府督促和政策引导,要把安全生产标准化工作与深化安全生产专项整治和开展集中整治专项行动有机地结合起来,与执法相结合。充分调动各方面积极性,共同推动安全生产达标工作。企业重点要进一步规范安全生产行为,改善安全生产条件,强化安全基础管理,增强人员安全素质,提高装备设施水平,全力推动本区安全生产标准化建设工作的正常开展。
(五)法律约束,政策引导。今年管委会在安全生产目标签订上,将安全生产标准化建设纳入对各部门考核内容,并辅以较高的考核分值。对没有按时按比例完成达标任务的,对各部门在评优评先方面均要扣分;对没有按时完成标准化达标的企业,要停产整顿,限期达标,并取消企业及其主要负责人本评优、评先资格,限期内仍没有达标的,实施关闭。对按时达标的企业要向社会公告,并向银行业、证券业、保险业、担保业等主管部门通报,作为企业信用评级的重要参考依据。
四、工作步骤
(一)第一阶段:动员部署阶段(3月20日-3月底)
各部门、各相关企业要制定所监管行业领域、本企业2012年安全生产标准化建设工作方案,成立机构,明确责任,分解任务。要通过召开会议进行再动员,再部署,充分调动企业创建安全标准化工作的积极性。
(二)第二阶段:深化推进阶段(4月-年底)
各相关单位部门要深入计划达标企业进行指导,邀请相关行业的专家对企业达标创建工作进行帮扶适时组织推进会,观摩会,交流会,推进安全标准化工作。组织召开冶金等行业局级联席会议,协调解决标准化创建过程汇中出现的问题,促进行业达标建设工作的正常开展。
五、工作要求
(一)加强组织领导。加强对全区冶金等工贸企业安全生产标准化达标工作的组织领导,落实专门机构和人员,集中精力抓好冶金等工贸企业安全生产标准化达标工作,以安全生产标准化建设带动其它各项安全监管工作。
(二)积极推进达标建设。各局、相关部门要按照达标工作方案的安排和要求,指导和督促企业全面深入开展安全生产标准化建设工作,在确保工作质量前提下,加快工作进。年底前必须完成工作任务。同时督促已达标的企业,要进一步巩固安全生产标准化建设成果,做到持续改进和升级,不断提高安全生产标准化建设水平。
(三)加强检查指导。结合日常安全监管工作,加强对安全生产标准化建设工作的监督检查,督促工作方案的落实,加快企业安全生产标准化建设进度,及时掌握达标进展情况,提高达标进度和质量。
点击咨询 