网络安全合规建设
- 一、法律安全需求基本合规
- (1)《网络安全法》
- 重要节点
- 等级保护政策核心变化
- 二、安全需求 业务刚需
- (1)内忧
- (2)外患
- 三、解决方法
- (1)总安全战略目标图
- (2)解决方案:安全=(技术+管理)安全运营
一、法律安全需求基本合规
企业为了适应不断变化的法律法规企业需要升级其网络安全策略和管理措施,确保合规。
比如:
《网络安全法》
《等级保护条例》及系列标准
《关键基础设施保护条例》及系列标准行业相关文件及标准
等级保护及法律地位
(1)《网络安全法》
等级保护参照的法律主要是《网络安全法》。
这部法律于2017年6月1日正式施行,是我国第一部全面规范网络空间安全管理方面问题的基础性法律,标志着国家网络安全等级保护工作正式进入2.0时代。
《网络安全法》明确了网络安全等级保护制度的法律地位,规定了网络运营者应当按照网络安全等级保护制度的要求,履行相应的安全保护义务。涵盖了网络空间主权、网络运营者的安全义务、个人信息保护、关键信息基础设施保护、网络信息安全等多个方面,为网络空间的安全提供了全面的法律规范和保障。
重要节点
等级保护政策核心变化
二、安全需求 业务刚需
系统覆盖范围广,设备数量及种类多,需要强化集中安全运维 。
业务承载重要敏感数据多,数据安全隐患突出,需要加强保护。
(1)内忧
- 缺乏“联动” 能力
传统安全设备各自为战,单点或单线防范,无法做到信息关联,有效联动。 - 缺乏“看见” 能力
对于未知威胁等高级威胁,由于攻击手段高,缺少威胁情报,通过传统安全设备无法及时发现。 - 缺乏“管控” 能力
重建设,轻运营,缺乏有效的安全运营工具和手段,没有能够快速响应的运营机制。 - 缺乏“分析” 能力
对安全事件难以定位,无法溯源,导致应急处理不及时,安全事件频发。 - 缺乏“免疫” 能力
由于历史原因,系统组件先天免疫力差,需要后天弥补。
(2)外患
三、解决方法
(1)总安全战略目标图
(2)解决方案:安全=(技术+管理)安全运营
以“一个中心、三重防护、三个体系”为核心指导思想,构建集识别、防护、检测、响应于一体的全面的安全保障体系。
一个中心:安全管理中心:统筹管理。
三重防护:安全通信网络 -->安全区域边界 --> 安全计算环境(应用与数据计算节点)
系统管理+安全管理+审计管理
