聚焦网络安全等级保护制度,
一线测评人员集结创历史新高
网络安全等级保护测评能力验证与攻防比赛主要是为全国各省市、自治区的网络安全等级保护测评机构提供能力提升和水平验证平台,旨在规范各级测评机构工作,提升各测评机构网络安全攻防能力,考查已获CNAS认可的测评机构及准备申请认可机构的测评能力,加强测评机构之间的交流,为各机构管理、认可和能力持续提供全面支持。
大赛自2016年启动以来便备受关注,目前已成为覆盖全国、影响巨大的国家级网络安全等级保护测评能力验证赛事。本届大赛主要是在《中华人民共和国网络安全法》实施的背景下,配合公安部落实《网络安全等级保护测评机构管理办法》和网络安全等级保护2.0标准(下文称“等保2.0标准”)要求。活动共吸引了全国30个省、直辖市、自治区的192家测评机构,965名网络安全等级保护测评人员与攻防人员,人数规模创历史新高,充分说明了网络安全运营者对信息安全防护的重视,对网络安全等级保护制度的积极践行。
活动当天,公安部网络安全保卫局范春玲副处长、中关村信息安全测评联盟罗峥秘书长、中国合格评定认可委员会能力验证处韩京城副处长、认可四处刘丽东副处长、公安部信息安全等级保护评估中心张宇翔主任等领导一行莅临现场参观指导。
践行等保2.0标准,提升测评机构能力
为综合考察参与机构和相关攻防人员的理论水平与实际业务动手能力,本次比赛分为依据网络安全等级保护2.0标准选择测评对象和测评指标、安全计算环境配置检查、渗透测试三个环节构成。其中,测评对象和测评指标选择环节覆盖了网络安全等级保护2.0标准的云计算、移动互联、物联网、工业控制系统等扩展指标;安全计算环境配置检查环节在中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)为每家机构准备的独立的安全计算环境中进行;渗透测试环节在永信至诚配合搭建的等级保护应用安全漏洞攻防测试虚拟赛场中进行。
现场可视化比赛界面
今年5月13日,网络安全等级保护制度2.0标准正式发布。相对于1.0,等级保护2.0强调“变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护”的目标要求,覆盖至云平台、物联网、移动互联、工控系统和大数据等各类新技术应用。
为更好贯彻等级保护制度标准要求,今年赛题围绕网络安全等级保护制度2.0标准展开,在渗透测试环节,大赛采用CTF夺旗模式,创新结合网络安全等级保护2.0标准安全计算环境中对身份鉴别、访问控制、云计算平台的安全入侵防范、恶意代码和垃圾邮件防范、数据保密性和完整性、勒索软件攻击防范等方面的要求,从Web渗透、逆向分析、源代码分析、加解密算法(国密SM系列算法)等方面进行能力考核。
网络安全等级保护制度2.0标准的发布,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。对于一线的测评机构和人员来说,充分理解并实践等保2.0标准要求,有效保障等保2.0标准在各个领域的顺利贯彻和落地,他们身负重任。而本届网络安全等级保护测评能力验证与攻防比赛,通过永信至诚提供的竞赛平台,无疑是积极践行等保2.0标准,验证网络安全等级保护测评机构的实力,提升测评人员技术水平的有效方式之一,为网络安全等级保护工作的开展打下坚实的基础。
未来,永信至诚将继续秉承“人是安全的核心”理念,充分结合社会对网络安全人才知识、技能的要求,持续探索创新比赛模式,打造高度贴近实战的比赛场景,快速、高效地助力网络安全人才完成知识技能转化,提高网络安全运营者能力,整体提升网络安全防护能力,为推进网络强国建设贡献力量!