议题精彩抢先看:“天府杯”等级保护2.0主题论坛

11月7日至8日,“天府杯”2020 国际网络安全大赛暨2020天府国际网络安全高峰论坛将在成都市中国西部国际博览城国际展览展示中心9号馆举行。本次“天府杯”包含破解大赛、高峰论坛以及主题论坛三大部分。以打造中国的Pwn2Own为目标,坐拥百万美元丰厚奖金池的国际破解大赛;聚集中央和地方政府主管部门领导、顶级安全企业代表、业内和高校专家的高峰论坛;由绿盟科技集团等多家代表性网络安全企业和机构独立承办的七大主题分论坛,都将在活动期间如约而至。

两天时间,三大活动,世界顶级黑客技术的碰撞和网络安全思想的饕餮将在这里拉开帷幕。

绿盟科技集团作为本届“天府杯”主办方之一,将于11月8日上午承办“贯彻落实四新要求 全面推进等级保护制度2.0” 主题论坛。届时,公安部网络安全保卫局一级巡视员、副局长郭启全,绿盟科技集团总裁胡忠华,华北电力大学能源电力大数据研究院院长李建彬,中国电子科技集团网络安全领域首席专家、中国网安副总工程师董贵山,前海联合财产保险公司副总经理张炯等嘉宾,将出席该分论坛并做致辞与主题演讲。

网络安全等级保护制度作为一项有20余年历史,在《中华人民共和国网络安全法》中有明确规定,且仍在不断扩充、发展的我国网络安全等级保护工作的管理方略,其重要性对整个网络安全行业不言而喻。2020年9月,公安部更是出台《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,为深入贯彻落实网络安全等级保护制度等工作提供了指导意见。基于上述背景,由专业的网安公司承办,在本届“天府杯”上讨论“等保2.0”相关议题,更具时代意义。

话不多说,接下来就让绿盟君为你带来11月8日“贯彻落实四新要求 全面推进等级保护制度2.0”主题论坛的议题精彩“抢先看”。

“智慧安全2.0”贯彻落实网络安全“四新”要求

绿盟科技集团总裁 胡忠华

国家网络安全的“四新”要求,即“新目标、新理念、新举措和新高度”,是当前及十四五期间我国网络安全综合防控的重要方针,是各行业主管单位进行十四五规划的重要指导意见,更是网络安全企业服务国家、服务客户的重要行动指南。绿盟科技作为专业的网络安全公司,“四新”要求也与绿盟科技的能力建设和发展目标十分契合。2015年,绿盟科技正式发布了智慧安全2.0战略,将智能、敏捷、可运营作为绿盟科技战略转型落地的要素体现。安全防御体系从之前静态、被动、基于规则的防御,转变为主动、动态、自适应的弹性防御。以攻促防实现的对抗能力实战化,多个常态化运营的城市级安全运营中心落地,体系化的安全管理和安全运营架构,是绿盟科技对“三化六防”要求的重要实践。对安全中台的重构,以及对威胁情报、安全漏洞、人工智能等关键领域的深入研究和探索,是绿盟科技持续开展的重点工作。未来,绿盟科技将继续为主管单位提供能力支撑,同时积极贯彻落实“四新”要求,携手客户与合作伙伴,通过创新发展、开放共享,实现合作共赢。

等级保护2.0时代的数据安全

华北电力大学能源电力大数据研究院院长 李建彬

处于数字化转型过程中的企业,数据的合规、数据治理与隐私是其不能忽视的重要网络安全风险。可以说,数据安全已经成为企业数字化转型中重要的核心安全需求与能力保障。在法律法规层面,诸如《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》《通用数据保护条例》等,都在为数据安全和隐私保护营造积极的法律环境。等级保护2.0在数据安全方面也提出了明确的要求,相关技术措施主要体现在安全计算环境层面,在存储和传输两个环节的保密性、完整性、可用性等。合规与治理是数据安全与隐私保护的主线。在数据治理方面,应以数据全生命周期为核心,在数据的采集、传输、处理等阶段,依据数据资产分级分类后对应的安全策略,实现数据安全的全方位治理,并借助数据安全能力成熟度模型进行自我评估。

关键信息基础设施实战防护实践

绿盟科技集团副总裁 曹嘉

回顾2017年至今的攻击态势不难发现,网络攻击已经从针对集权系统,隐蔽化、专业的侧面突破,向自动化的漏洞利用工具、常态化的筹备和结合业务场景以及针对人员的链式攻击演进。中国目前仍是全球网络攻击的主要受害者,关键信息基础设施是这些攻击的重点目标。通过为攻防双方建立能力画像,可以为高强度、高烈度的对抗演练分析和沙盘推演,提供可辨识的业务风险、攻击路径和防护手段。伴随着威胁情报体系和安全中台研判能力的不断成熟,结合防守方画像,以及基于丰富实战对抗经验总结而成的“九大防护铁律”,绿盟科技可以更有效的帮助关键企业和机构贯彻执行“一个中心,三重防护”的要求,切实提升实战中的网络安全防护能力。

企业全球化网络安全保障体系建设思路与等级保护

中国电子科技集团网络安全领域首席专家、中国网安副总工程师 董贵山

以“一带一路”政策为代表,随着中国企业持续开拓全球境外市场,“走出去”的路径日趋多元化的同时,企业所要面临的网络安全威胁也会更加复杂、严峻。《中华人民共和国网络安全法》《中华人民共和国密码法》《信息安全技术网络安全等级保护基本要求》《信息系统密码应用基本要求》等文件,已经成为出海企业建设网络安全能力的重要指引。在全球化办公的场景下,企业网络安全能力的建设,应以数据安全为核心目标,以密码技术为基础支撑,从监测预警、安全接入、安全通信、安全计算、安全应用和安全基础设施等角度着手,构建“1个监管平台,4大保障能力,1个基础设施“的网络安全和密码能力体系,在等级保护制度的基础上促进与国际合规要求接轨。

常态化趋势下网络安全体系建设思路与实践

绿盟科技集团首席行业专家 张智南

网络安全能力体系的建设已经进入常态化,建设目标正从阶段性建设项目向持续安全运营转化。等保2.0时代,网络安全能力的建设需要落实《中华人民共和国网络安全法》的要求,实现“管理与技术并重,预防与保护并举”,覆盖“识别、防护、检测、响应、预警、处置”全过程,实现“整体安全、全面保障”的总体目标。网络安全能力的体系化建设需要与业务信息化的发展需求相匹配。在思路上,基于风险评估、量化指标体系、以及安全技术和安全管理的双抓手,企业和机构可以借助大数据平台和云地人机的协同机制,实现常态化运营的安全保障体系的构建。常态化安全运营的关键是实现闭环。闭环的前提是在规划阶段做好需求和能力差距分析,以及所需安全控制措施的落地。安全事件的响应和处置也应实现闭环。思路的实践,在绿盟科技参与的众多重大活动网络安全保障中有十分清晰具体的体现。

网络安全保险助力构建网络安全综合防控体系

前海联合财产保险公司副总经理 张炯

近年诸如勒索攻击、网络钓鱼、数据泄露等安全事件的频繁发生,让公司对网络安全风险的认知、重视程度以及相应的安全支出,逐年升高。网络安全保险为企业对抗网络安全风险提供了另一种思路。一方面,保险作为一种重要的金融手段,可为企业的应急处置提供资金,一定程度补偿网络攻击带来的损失,为重大网络安全事件不利影响的扩散提供缓冲;另一方面,通过和网络安全技术手段的结合孕育而生的网络安全保险,可以更好的在事前、事中和事后形成三条防线,为企业完善风险管理的闭环。此外,对企业而言,网路安全保险还可以对企业原有的风险管理体系带来积极、正向的影响。