匿名人员
2019-6-7 01:55
4017
0
事件:
2019 年 5 月 16 日,在北京香格里拉饭店召开等保 2.0 宣贯会,对等保 2.0 进行了详细解读。
观点:
1. 网络安全等级保护 2.0 标准的特点和变化。
此次发布最核心的三个标准,基本要求,设计要求和测评要求,两个标准还在修订过程中,一个叫实施指南,一个叫定级指南。
新标准三个大特点:
1)对象范围扩大,云计算、移动互联、物联网、工业控制等加入标准范围,并构成了“ 安全通用要求+新型应用安全扩展要求” 的要求内容。
2)分类架构统一,新标准“ 基本要求、设计要求和测评要求” 分类框架统一,形成“ 安全通信网络” 、 “ 安全区域边界” 、 “ 安全计算环境”+“ 安全管理中心” ,一个中心三重防护技术架构。
3)在新标准里面,把可信计算使用写入标准范围,四级全部提出可信验证控制点,比如一级提出可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
主要变化:
1) 1.0 的名称在 2.0 时期全部调整为网络安全等级保护。
2)对象, 1.0 等保对象是信息系统, 2.0 标准对象是等级保护对象,基本上计算机控制的系统全囊括,都要做等保。
3)安全要求变化,由通用要求+扩展要求,共性化保护需求成为通用要求,个性化保护要求成为扩展要求。因此标准使用应该是通用要求+扩展要求。
4)章节变化。 1.0 第三级要求分技术要求管理要求。 2.0 是分基本要求和四大新领域安全扩展要求,需要根据场景选择性使用。比如 OA 如果使用移动互联技术,就必须符合 8.1 通用要求和 8.3 移动互联安全扩展要求。
5)分类变化, 2017 年曾有试用稿。当前发布使用的架构是一个中心三重防御,
6)增加云计算安全扩展要求,主要增加基础设施的位置,虚拟化安全保护,镜像和快照保护,云服务商选择,云计算环境管理等。
7)物联网安全扩展要求中,物联网跟其他系统不一样主要在于感知层,于是增加的内容包括,感知节点物理防护,感知节点设备安全,感知网关节点设备安全,感知节点管理等。
8)附录 H 中提供了大数据可参考应用场景安全扩展要求。
2. 等保 2.0 的促进了网络安全技术的变革,也促进了与新一代信息化系统的深度融合。 信息化变革下网络安全也需要变革。自 1994 年发布 147 号令,实行等保 1.0 以来,到十三五规划中把建设统一开放的大数据体系和现代信息技术体系, 2017 年推出《网络安全法》,到现在提出等保 2.0。等保 2.0不再是为了应对合规,而是安全建设必须和新一代信息化系统深度融合,全面覆盖,从而创建创新的安全体系。
1)以身份认证为基础,通过密码核心,形成身份可信体系。可信身份应该从虚拟到现实打通的一个体系。从互联网空间到真正身份使用,身份即安全,身份安全标识贯穿到所有业务应用,并提供身份数据和隐私保护。身份即服务,支撑内部外部用户在客户端等使用,以及第三方使用,提供身份完整管理。产业互联网时代万物互联,设备接入本身也是一个适用的范畴。
2)以攻防为视角,提升全方位主动防御能力。等保 2.0 中大量提到,按照行业规范和标准进行新产品的研发和需求指引,提供相应安全防护能力。需要构建体系化,数据层面的集合,提供主动类威胁防护类产品等。攻防视角看,情报数据,单点突破,命令与控制,横向移动,资料挖掘和资料盗窃等如何防御。相较于以前防病毒的业务思路,主动防御平台是一个质的飞跃。
3)以运维为关键,加强统一集中管控平台建设。 2.0 中谈到的主动防御和体系防御,需要联动策略,针对威胁智能响应能力。之前网络安全建设重点放在检测和查杀,各自产品应对各自问题。但现在万物互联后,需要深度集成和联动策略,通过数据层面深度集成,进行态势感知和分析。随着未来网络安全行业集中度的提升,以及等保 2.0 的发布,未来各厂商接口协议有望统一,运维肯定是关键。
4)从实战出发建设自适应安全体系。从原来的多层防御阶段,到深度分析阶段,到精密编排阶段,到目前的自适应阶段,更加强调安全运营的自动化,以及基于大数据和人工智能的预测能力和自我学习能力。
3. 可信计算是我国网络安全核心技术,为我国网络安全保驾护航。 等保 2.0 在前一版的基础上突出了以可信计算技术为核心技术的要求。可信计算已成为保卫我国网络安全战略的核心技术,可信计算 3.0 也将成为筑牢我国等级保护的坚固防线。可信计算即主动免疫可信计算,是指计算运算的同时进行安全防护,计算全程可测可控,不被干扰,只有这样方能使计算结果总是与预期一样。这种主动免疫的计算模式改变了传统的只讲求计算效率,而不讲安全防护的片面计算模式。
这就类似于人体的免疫系统,以密码为基因,实现身份鉴定、状态度量、加密存储保护、及时识别自己和非自己的成分,从而排斥和破坏进入肌体的有害物质,保证人体健康,这就是通常说的主动免疫可信计算,能够让计算机系统、信息系统、通信系统增加免疫能力。
相对于国外可信计算被动调用的外挂式体系结构,中国可信计算革命性的开创了自主密码为基础、控制芯片为支柱、双融主板为平台、可信软件为核心、可信连接为纽带、策略管控成体系、安全可信保应用的全新的可信计算体系结构框架。
结论:
我们重点推荐“卫士通”和“中国长城”两个标的
随着等保 2.0 的即将出台,安全运维有望迎来新一轮发展。卫士通背靠中国网安深厚积累,基于以密码为核心,一体化安全与整体运维服务并重的发展路径,按照“ 密码应用” 等相关要求设计一体化安全云平台,面向第三方云、物端、移动端等提供密码和安全特色服务,并能为用户提供多类云上应用服务,打通物联网“ 物端” 和“ 移动端” 。特别凭借网络攻防领域 MS509 小队的优异表现,招商局整体安全保障项目圆满成功,有望在央企安全服务领域得到全面推广。我们预测公司 2019 年~2020 年利润分别为 5.47 亿、 8.07 亿, EPS 分别为 0.65 元、 0.96 元,维持“ 强烈推荐” 评级。
网络安全离不开自主可控产业链的发展,可信计算也是需要生态系统相关软硬件能做到安全可信,因此,构建安可产业链将是实现我国网络安全的必由之路。中国长城是 CEC 自主可控 PK 体系的坚定实施者,利用自身的主机设计能力和 BIOS 技术,推动飞腾国产自主 CPU 快速推向市场。当前公司正在投资推进“ 云计算安全产品研发及服务平台建设项目” 、 “ 基于可信计算的高等级 安全防护系统研发与产业化项目” ,母公司CEC 入股奇安信成为二股东,未来中国长城有望与奇安信在网络安全领域进行深度合作。预计公司 2019-2020年归母净利润分别为 12.82 亿和 16.45 亿, EPS 分别为 0.44 元和 0.56 元。
风险提示:
等保 2.0 推广不达预期。
查看PDF原文 |
|
|
|