简介|备受关注的网络安全等级保护体系2.0国家标准已于5月13日正式发布,并将于2019年12月1日正式实施。几乎所有企业都必须通过的网络安全考试该如何准备? 《云加社区》特别邀请了腾讯云安全专家王宇在云加社区微信群中解答问题。本文是本次分享的总结(编辑:薇薇)。进群请关注“云嘉社区”公众号并回复“嘉群”。
大家好,我是王宇。本人从事信息安全工作18年。今天给大家分享一下网络安全等级保护体系2.0的相关知识。
腾讯云公有云平台和金融云平台自2016年12月开始开展安全防护2.0试用版备案和评估,最终在5月份《网络安全法》正式实施时通过公有云平台三级审核2017年,金融云平台四级评估。结合腾讯云之前的成绩以及多年来在合规服务中积累的经验,我从安全运营中心和加密管理的角度进行详细解读。
一、什么是等级保护?
信息安全等级保护(以下简称等级保护)是指对国家秘密信息、法人、其他组织和公民专有信息、公共信息以及存储、传输和处理此类信息。对信息系统使用的信息安全产品进行分级管理,对信息系统中的信息安全事件进行分级响应和处置。
备受关注的《网络安全等级保护体系2.0》国家标准于5月13日正式发布,并将于2019年12月1日正式实施。分级安全2.0规定了五个安全等级中对信息系统的最低要求,即安全基本要求,涵盖基本技术要求和基本管理要求,用于指导信息系统安全建设和监督管理。
对于金融、医疗、教育等关系国计民生的重点行业,主管部门已下发相关文件或通知,要求分级保护。标准的发布对企业和其他组织的信息安全,包括云安全工作产生了明显的影响。
二、等保2.0的重大变化有哪些?
1.从“指南”到“法律”
等保2.0与1.0最大的区别是性质的变化。
分级安全2.0,全称“网络安全等级保护体系2.0标准”,是按照重要程度对网络和信息系统进行保护的重要标准。通过等保2.0,网络安全从业者和安全监管部门的工作有了标准和规范。等级保障2.0是履行安全保护义务的重要组成部分。有关单位拒不履行的,将受到相应处罚,“不过保就是违法”。
从“指南”到“法律”,严格程度上升的不只一点点。同时,保护范围也发生了变化:除了基本要求外,云计算、移动互联网、物联网、工业控制、大数据等新业务形态无关。分级、评价、备案等流程的条件和限制也进行了调整。
2.以“一个中心,三重防护“为网络安全技术设计的总体思路
一中心安全管理中心,三重保护安全计算环境、安全区域边界、安全通信网络。
安全管理中心要求对系统管理、安全管理、审计管理三个方面进行集中管控,从被动防护到主动防护,从静态防护到动态防护,从单点防护到整体防护,从粗放防护到整体防护。精准保护。
三重防护要求企业通过安全设备和技术手段,实施身份认证、访问控制、入侵防御、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。
3.对加密管理提出了严格要求
明确了Class Security 2.0、从建设初期设计和采购阶段就应该考虑加密需求的要求,同时明确了在网络通信传输、计算环境的身份认证、数据完整性、数据机密性等方面采用加密技术实现安全保护的要求。此外,云上还专门提出了镜像、快照的加固和完整性验证保护要求,以及国家加密的密码应用方案,提出了明确的采购标准要求。
4.确立了可信计算技术的重要地位
这是等保2.0文件中特别强调的安全特性。它不仅需要验证配置文件和参数的可信执行,而且在检测到完整性问题时报警并做出响应。
三、等保2.0的测评流程是怎样的?
阶级保险2.0的评估流程具体包括以下几个方面:
1.确认定级
一是通过系统识别和系统功能描述以及信息系统管理职责划分,初步综合其对业务和系统服务等对象的侵害程度,确定其系统安全防护等级。有主管部门的,应当经主管部门批准。确定为四级及以上的信息系统,还应当经过专家评审会的审查。
2.备案
确定等级后,经营、使用单位应当向当地市级以上公安机关备案。新建二级及以上信息系统应当在投入运行后30日内备案,已运行的二级及以上信息系统应当在级别确定后30日内备案。公安机关应当对信息系统备案情况进行审核,对符合要求的,在10个工作日内颁发等级保护备案证书。
3.开展等级测评
运营者、用户或者主管部门应当选择合规评估机构,定期对信息系统安全等级进行评估。评估机构应当出具评估报告和评估结果通知,明确信息系统的安全级别和评估结果。
4.系统安全建设及整改
运营单位按照管理规范和技术标准,选用管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织机构,制定并实施安全管理制度。对达不到安全等级防护要求的,经营、使用单位应当整改,并报公安机关备案。
5.监督检查
公安机关按照信息安全分级保护管理规范,监督检查运营、使用单位开展分级保护工作,定期对信息系统进行安全检查。运营单位应当接受公安机关的安全监督、检查和指导,并向公安机关如实提供有关材料。
四、企业应该如何快速通过等保2.0
几乎所有企业都需要参加“等保”,是否参加保险与公司人数和规模没有必然关系。政务、金融、电信、电力……说白了,这次“大考”基本覆盖了所有企业,尤以政府机关和金融行业为考察重点。考试内容重点考察企业的安全技术和管理能力。
了解了等保2.0的基础知识后,企业如何通过等保2.0呢? “等级保护2.0”考试即将来临。行业单位如何深入了解分级防护保障体系并提升自身,避免“补考”或处罚?腾讯安全专家为企业准备了通关技巧。
1.端正考试态度
“过保”是企业一次绝佳的安全自检过程
最直接的好处是审核企业可以轻松满足安全合规要求;同时,借助“备考”,通过不断发现和解决问题,提升企业的安全防御能力,一套更加严谨、完整的企业安全体系应运而生,企业健康发展态势良好。
即使过了等保也不等于有免责牌
国家组织保障2.0是目的,而不是手段。即使企业通过了保障2.0,也不意味着在保障方面拿到了豁免卡。至于职责分工,就云平台的职责而言,目前国际主流云服务商都有一个一致的标准,称为“责任共担”模式。
(参见:腾讯云安全责任共担模式:https://cloud.tencent.com/services/security)
一般来说,整个云计算环境的底层物理和基础设施安全往往由云服务提供商统一提供,而云客户则将更多的精力和时间花在更细致和专业的业务、应用和数据安全领域。每个云服务提供商的标准可能存在细微差别,但大体方向是相似的。这一点是满足“等级保护2.0”等国家安全等级保护体系要求的必然要求。
2.关注新考点:一个中心+三重防护
与等保1.0相比,等保2.0对企业安全提出的核心调整在于“一个中心、三重防护”网络安全技术设计的总体思路,要求企业对安全进行统筹规划从战略角度来看。设计。所谓战略高度,就是更加注重安全的完整性。
针对这一新要求,我们认为企业:
一应当建立基于企业云端安全数据的云安全运营平台,实现漏洞情报、威胁发现、事件处理、基线合规、泄漏监控和风险可视化等安全管理,保障云上资源和业务安全的集中管控;
二是强化密匙管理,构建完整的数据加密和密匙管理方案,保证重要数据在传输、存储、使用过程中的安全,满足多重保护的要求;
三是在云平台安全建设方面,企业普遍从合规和安全管理的角度出发,做好资产、配置和基线,建立安全管理的基础,完善漏洞运营管理、安全渗透测试、安全检查改进等机制。
3关注重点:个人信息、数据安全保护
针对数据单点防御日益失效的情况,我们认为企业在思考数据安全防护时,首先应该拨打提高防护技术水平,应对数据流转各个环节的风险;实现持续的数据管理;三需要通过统一的治理平台,串联其孤立的单点防护能力。
基于这一理念,腾讯安全推出的数盾企业数据安全综合治理中心,可以帮助企业重点加强数据资产意识、安全治理和联防联控能力,实现孤立的安全防护节点的联动和融合。在人工智能的帮助下。协助企业解决用户、行为、数据流的全面保护问题。
4.警惕本次“大考”的易“挂”点
首先,在分级保护的基本要求调整方面,除了原有行业的通用要求外,重视数据安全管理策略的制定针对云计算、移动互联网、工业互联网和物联网领域等补充考试的重要前提;
其次,等保2.0除了传统的攻击防御外,还要求企业拨打明晰等保2.0。如果出现问题,必须事后追溯,找到问题根源,为下一步防护做好准备。防御能力要从被动保障向态势感知预警、动态防护和应急响应转变;
同样,它应该是新增的“拓展要求”。如果分级不准确,将会对后续企业安全建设和等级评估工作产生误导,直接影响企业安全防护和防御的效果。引入专业的安全公司和行业专家服务,帮助完成持续的服务建设,可以达到降低成本、提高效率的目的。
5.案例分享
有一家公司,业务与网约车类似,提前没有准备。在首次申请时,需要通过等级保护评估,以及其他一些监管机构的审查。最终,该公司因拖延一定时间而未能通过担保,导致业务应用上线全面延迟,造成巨大损失。
还有一家公司找到了一家小型系统集成商,测试后被要求购买一堆安全设备。最终,虽然花费了100多万元购买了设备,但设备并没有发挥出它的作用。
所以,这里我建议找避免规则误判的机构进行评估(网址见文末附录)。
最后提醒大家:考试时间为做好事前、事中、事后的防御。请您尽快做好准备,避免出现责令整改、行政处罚、暂停注册、暂停经营等“补考”或“不及格”风险。
五、群内QA
重视等保定级的准确性
全国网络安全等级保护测评机构推荐目录目前腾讯云已通过三级防护等级,腾讯金融云已通过四级防护等级要求,可以为云租户提供合规的云平台,这也是租户的前提条件业务系统通过等级保护2.0评估。
具体到安全产品和服务,为了满足二级、三级安全防护要求,腾讯安全有Web应用防火墙(WAF)、DDOS高防(又称大羽)、堡垒机(数据安全网关) )、数据库审计等。从基础安全产品体系开始,可以为政府和企业提供基于AI的一站式Web业务运营风险防护、多种DDoS解决方案、结合AI的集中运维管理、人工智能数据库安全审计系统等解决方案。
同时,对应相关产品,我们打造了针对二级、三级需求的基础服务,包括技术专家咨询、APP安全加固等,可以协助企业识别信息资产和业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处置规划建议。此外,还有渠道专门为云客户提供系统的网络安全等级保护合规建设和评估服务。让安全建设不再成为企业的负担。
此外,我们还可以为企业客户提供移动安全场景等安全服务。以移动安全领域为例,我们有针对移动终端管控、移动应用管控等的UEM(User Experience Management)产品,可以为移动应用领域的客户提供更加集中可控的终端管理和控制。
2019年12月1日正式开启
Q :腾讯云可以提供哪些帮助吗?可参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》(关注A:公众号,回复Q:老师,有没有具体要求对照清单?即可下载PDF版本)。
A:
「云加社区」不,能认识到就是进步。先评分并记录,然后分析差距,逐步纠正
「等保要求」
Q:要是现在还没开始准备,是不是有点太晚了 [捂脸] 会有非常严重的后果吗?需要加密或脱敏存储。
A:
Q:三级等保有没对系统存储的用户身份证信息有要求的?只要正常使用,禁止非法使用和未经授权的访问。
A:
Q:对于数据导出有没要求?是的。所以对存储进行加密。
A:
Q:但是如果被黑了,或者被非法获取。这样会不会有问题。请打*号,或点击查看。
A:
Q:那在页面上展示那种需要怎么处理。是的。
如果您还有任何疑问,想继续咨询,可以在文末留言。
A:
腾讯云安全专家Q:页面也要脱敏展示是吧?
18年安全老手,亲自实践过100+安全项目。拥有等级保护评估师、国际注册信息安全审核员、国际云安全联盟认证、ISO27001首席审核员、国家注册信息安全专业人员等多项资质。
A:
国家网络安全等级保护评估机构推荐目录
http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3id=402885cb35d11a540135d168e41e000c
本文是“云嘉社区”微信群分享的总结。
六、嘉宾简介