腾讯云公有云平台和金融云平台,自2016.12开始按照等保2.0试行版标准开展等保备案和测评工作,并最终在2017.5《网络安全法》正式实施之际,通过了公有云平台三级,金融云平台四级的测评。结合腾讯云此前已取得的成果和多年合规服务中所积累的经验,我将从安全运营中心和加密管理的角度进行详细的解读。
一、什么是等级保护?信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
二、等保2.0的重大变化有哪些?1.从“指南”到“法律”等保2.0相对于1.0最大不同就是性质的变化。
从“指南”到“法律”,严格程度上升的不只一点点。同时,保护的范围也发生了变化:除基本要求外,云计算、移动互联、物联网、工业控制和大数据等新业态无一另外。定级、测评和备案等流程的条件限定也有所调整。
2.以“一个中心,三重防护“为网络安全技术设计的总体思路一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安全通信网络。
安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护。
三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。
3.对加密管理提出了严格要求等保2.0明确要求,从建设初期设计和采购阶段就应该考虑加密需求,同时在网络通信传输、计算环境的身份鉴别、数据完整性、数据保密性明确了使用加密技术实现安全防护的要求,另外,云上还特别提出镜像和快照的加固和完整性校验保护要求,以及对密码应用方案的国密化提出了明确的采购标准要求。
4.确立了可信计算技术的重要地位这是等保2.0文件中特别强调的安全特性,不仅要求对配置文件及参数的可信执行进行验证,同时检测到完整性问题时也应进行报警和应对。
三、等保2.0的测评流程是怎样的?等保2.0的测评流程具体来说,主要包含以下几个方面:
1.确认定级首先,通过系统识别和描述系统功能和信息系统管理责任划分,初步综合其对业务和系统服务等客体的侵害程度,确定其系统安全保护等级。有主管部门的,应当经主管部门审批。对于拟确定为四级及以上信息系统,还应经专家评审会评审。
2.备案运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。
3.开展等级测评运营、使用单位或者主管部门应当选择合规测评机构,定期对信息系统安全等级状况开展等级测评。测评机构应当出具测评报告,并出具测评结果通知书,明示信息系统安全等级及测评结果。
4.系统安全建设及整改运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。对于未达到安全等级保护要求的,运营、使用单位应当进行整改并报公安机关备案。
5.监督检查公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
四、企业应该如何快速通过等保2.0几乎所有企业都需要参加“等保”,是否参加等保与公司人数和规模没有必然关系。政务、金融、电信、电力......直白点说就,这次“大考”基本覆盖了所有企业,尤以政府机关和金融行业为考察重点。考查内容重点为企业的安全技术和管理能力。
企业在了解等保2.0的基本知识后,如何通过呢?“等保2.0”大考将至,行业单位如何透彻了解等级保护安全保障体系,自我提升从而避免“补考”或处罚呢?腾讯安全专家已为企业准备好通关锦囊。
1.端正考试态度“过保”是企业一次绝佳的安全自检过程
最直接的好处就是能版主企业轻松满足安全合规要求;同时,借助“备考”,企业的安全防御能力将在不断的问题发现和解决中得到提升,随后一套更为严谨完善的企业安全体系应时而生,企业健康发展态势向好。
即使过了等保也不等于有免责牌
国家组织等保2.0是目的不是手段,即使企业过了等保2.0,也不意味就在安全保障上拿到了免责牌。而说到责任划分方面,在云平台的责任上,目前国际主流云服务商一致的标准,叫“责任共担”模式。
针对这一新要求,我们认为企业:
一应当建立基于企业云端安全数据的云安全运营平台,实现对漏洞情报、威胁发现、事件处置、基线合规、泄漏监测及风险可视等的安全管理,确保云上资源和业务安全的集中管控;
二是强化密匙管理,构建完整的数据加密和密匙管理方案,确保重要数据在传输、存储、使用过程中的安全,满足多重防护的要求;
三是在云平台安全建设方面,企业一般来说要从合规和安全管理的角度入手,把资产、配置和基线做好,建立安全管理的基础,并完善漏洞运营管理、安全渗透测试以及安全检查改进等机制。
基于此思路,腾讯安全推出的数盾企业数据安全综合治理中心,即可帮助企业重点强化数据资产感知、安全治理和联防联控等能力,借助AI实现各孤立安全防护节点的联动与整合,切实协助企业解决用户、行为、数据流的全面防护问题。
4.警惕本次“大考”的易“挂”点首先,从等级保护基本要求的调整上来说,除原有行业通用要求外,明晰等保2.0关于云计算、移动互联网、工业互联网和物联网等领域新增的“拓展要求”,是避免规则误判导致“补考”的重要前提;
其次,除传统攻击防御外,等保2.0还要求企业做好事前、事中、事后的防御。防不住就要审计,出现问题须通过事后溯源找到问题的根源所在并做好下次防护准备。防御能力上须从被动保障向态势感知预警、动态防护和应急响应等转变;
再者,应当重视等保定级的准确性。如若定级不准确,则会对后续企业安全建设和等级测评工作产生误导,直接影响企业安全保护和防御的效果。引入专业的安全企业和行业专家服务来帮助完成持续性的服务建设,能达到降低成本和人力切提升效率的目的。
还有一家企业,找了一个小的系统集成商,检测后被要求买一堆的安全设备。最后虽然花了100多万买设备,但也没发挥到设备的作用。
所以,这里我建议找全国网络安全等级保护测评机构推荐目录中的机构来测评(网址见文末附录)。
最后,提醒各位一句:本次大考将于2019年12月1日正式开启。请尽早准备,以免面临责令整改、行政处罚、暂停注册、暂停运营等“补考”或“挂科”风险。
五、群内QAQ:腾讯云可以提供哪些帮助吗?
A:目前,腾讯云已通过等级保护三级、腾讯金融云已通过等级保护四级要求,可以为云租户提供一个合规的云平台,这也是租户业务系统通过等级保护2.0测评的先决条件。
具体到安全产品和服务,针对等保二级和三级的要求,腾讯安全拥有包含web应用防火墙(WAF)、DDOS高防(又称大禹)、堡垒机(数据安全网关)、数据库审计等从基础安全产品体系,能为政企提供基于AI的一站式Web业务运营风险防护、多种DDoS解决方案、结合AI的集中运维管理以及人工智能数据库安全审计系统等解决方案。
除此之外,我们还可为企业客户提供诸如移动安全场景下的安全服务。以移动安全领域为例,我们就有针对移动终端管控、移动应用管控等的UEM(用户体验管理)产品,能为移动应用领域客户提供更集中、可控的终端管控。
Q:老师,有没有具体要求对照清单?
Q:要是现在还没开始准备,是不是有点太晚了[捂脸]会有非常严重的后果吗?
A:不会的,能认识到就是进步,先定级备案,再差距分析,逐步整改起来
Q:三级等保有没对系统存储的用户身份证信息有要求的?
A:要求加密或脱敏存储。
Q:对于数据导出有没要求?
Q:但是如果被黑了,或者被非法获取。这样会不会有问题。
A:有。所以要加密存储啊。
Q:那在页面上展示那种需要怎么处理。
A:打*号,或有点击查看什么的。
Q:页面也要脱敏展示是吧?
A:是的。
六、嘉宾简介
腾讯云安全专家王余
18年安全老兵,100+等保项目亲身实践。拥有等级保护测评师、国际注册信息安全审计师、国际云安全联盟认证、ISO27001主任审核员、国家注册信息安全专业人员等多项资质。