產業安全專家談丨「等保"大考最後10天衝刺,企業該如何準備?
- 2019 年 11 月 22 日
- 筆記
備受關注的網絡安全等級保護制度2.0國家標準於5月13日正式發佈,並將於2019年12月1日正式實施。幾乎所有企業都要通過的網絡安全大考,應該如何準備呢?
騰訊安全聯合雷鋒網、雲+社區打造的「產業安全專家談」,本期邀請到騰訊安全專家王余為大家詳解等保大考的考點。王余是一名18年的安全老兵,擁有100+等保項目親身實踐,還擁有等級保護測評師、國際註冊信息安全審計師、國際雲安全聯盟認證、ISO27001主任審核員、國家註冊信息安全專業人員等多項資質。
騰訊雲的過保經驗想了解一下嗎?
騰訊雲公有雲平台和金融雲平台,自2016.12開始按照等保2.0試行版標準開展等保備案和測評工作,並最終在2017.5《網絡安全法》正式實施之際,通過了公有雲平台三級,金融雲平台四級的測評。王余做客本期『產業安全專家談』,還將結合騰訊雲此前已取得的成果和多年合規服務中所積累的經驗,重點從安全運營中心和加密管理的角度進行詳細的解讀。
下面,讓我們聽王老師從頭開始講起
一 什麼是等級保護?
信息安全等級保護(以下簡稱等保)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
備受關注的網絡安全等級保護制度2.0國家標準於5月13日正式發佈,並將於2019年12月1日正式實施。等保2.0中明確了五種安全等級中對信息系統最低要求,也就是基本安全要求,涵蓋了基本技術要求和基本管理要求,用於指導信息系統的安全建設和監督管理。
而關係國計民生的重點行業,如金融、醫療、教育等,主管部門已經下發相關文件或通知要求開展等級保護工作。標準的發佈對企業等組織的信息安全包括雲安全工作影響已顯然可見。
二 等保2.0的重大變化有哪些?
➤從「指南」到「法律」
等保2.0相對於1.0最大不同就是性質的變化。
等保2.0,全稱「網絡安全等級保護制度2.0標準」,是對網絡和信息系統按照重要性等級分級進行保護的一項重要標準。有了等保2.0,網絡安全從業者和安全監管部門開展工作從此有了遵循的標準和規定。等保2.0是履行安全保護義務的重要部分,如果相關單位拒不履行,將會受到相應處罰,「不過保就是違法」。
從「指南」到「法律」,嚴格程度上升的不只一點點。同時,保護的範圍也發生了變化:除基本要求外,雲計算、移動互聯、物聯網、工業控制和大數據等新業態無一另外。定級、測評和備案等流程的條件限定也有所調整。
➤以「一個中心,三重防護「為網絡安全技術設計的總體思路
一個中心即安全管理中心,三重防護即安全計算環境、安全區域邊界、安全通信網絡。
安全管理中心要求在系統管理、安全管理、審計管理三個方面實現集中管控,從被動防護轉變到主動防護,從靜態防護轉變到動態防護,從單點防護轉變到整體防護,從粗放防護轉變到精準防護。
三重防護要求企業通過安全設備和技術手段實現身份鑒別、訪問控制、入侵防範、數據完整性、保密性、個人信息保護等安全防護措施,實現平台的全方位安全防護。
➤對加密管理提出了嚴格要求
等保2.0明確要求,從建設初期設計和採購階段就應該考慮加密需求,同時在網絡通信傳輸、計算環境的身份鑒別、數據完整性、數據保密性明確了使用加密技術實現安全防護的要求,另外,雲上還特別提出鏡像和快照的加固和完整性校驗保護要求,以及對密碼應用方案的國密化提出了明確的採購標準要求。
➤確立了可信計算技術的重要地位
這是等保2.0文件中特彆強調的安全特性,不僅要求對配置文件及參數的可信執行進行驗證,同時檢測到完整性問題時也應進行報警和應對。
三 等保2.0的測評流程是怎樣的?
➤確認定級
首先,通過系統識別和描述系統功能和信息系統管理責任劃分,初步綜合其對業務和系統服務等客體的侵害程度,確定其系統安全保護等級。有主管部門的,應當經主管部門審批。對於擬確定為四級及以上信息系統,還應經專家評審會評審。
➤備案
運營、使用單位在確定等級後到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營後30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核,對符合要求的在10個工作日內頒發等級保護備案證明。
➤開展等級測評
運營、使用單位或者主管部門應當選擇合規測評機構,定期對信息系統安全等級狀況開展等級測評。測評機構應當出具測評報告,並出具測評結果通知書,明示信息系統安全等級及測評結果。
➤系統安全建設及整改
運營使用單位按照管理規範和技術標準,選擇管理辦法要求的信息安全產品,建設符合等級要求的信息安全設施,建立安全組織,制定並落實安全管理制度。對於未達到安全等級保護要求的,運營、使用單位應當進行整改並報公安機關備案。
➤監督檢查
公安機關依據信息安全等級保護管理規範,監督檢查運營使用單位開展等級保護工作,定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
四 企業應該如何快速通過等保2.0
幾乎所有企業都需要參加「等保」,是否參加等保與公司人數和規模沒有必然關係。政務、金融、電信、電力……直白點說就,這次「大考」基本覆蓋了所有企業,尤以政府機關和金融行業為考察重點。考查內容重點為企業的安全技術和管理能力。
企業在了解等保2.0的基本知識後,如何通過呢?「等保2.0」大考將至,行業單位如何透徹了解等級保護安全保障體系,自我提升從而避免「補考」或處罰呢?騰訊安全專家已為企業準備好通關錦囊。
➤端正考試態度
- 「過保」是企業一次絕佳的安全自檢過程
最直接的好處就是能版主企業輕鬆滿足安全合規要求;同時,藉助「備考」,企業的安全防禦能力將在不斷的問題發現和解決中得到提升,隨後一套更為嚴謹完善的企業安全體系應時而生,企業健康發展態勢向好。
- 即使過了等保也不等於有免責牌
國家組織等保2.0是目的不是手段,即使企業過了等保2.0,也不意味就在安全保障上拿到了免責牌。而說到責任劃分方面,在雲平台的責任上,目前國際主流雲服務商一致的標準,叫「責任共擔」模式。
一般來說,整個雲計算環境的底層物理和基礎架構安全往往雲服務商統一提供,而雲客戶則把更多精力和時間放在更為細化、專業的業務、應用和數據安全領域。可能每家雲服務商的標準有細微的區別,但大方向都差不多。這一點是滿足「等保2.0」等國家安全等級保護制度要求的必然要求。
➤關注新考點:一個中心+三重防護
相對於等保1.0來說,等保2.0對企業安全提出的最核心調整在於「一個中心,三重防護「的網絡安全技術設計總體思路,要求企業從戰略視角對安全進行整體的規劃和設計。所謂戰略視角就是要更加註重安全的整體性。
針對這一新要求,我們認為企業:
一應當建立基於企業雲端安全數據的雲安全運營平台,實現對漏洞情報、威脅發現、事件處置、基線合規、泄漏監測及風險可視等的安全管理,確保雲上資源和業務安全的集中管控;
二是強化密匙管理,構建完整的數據加密和密匙管理方案,確保重要數據在傳輸、存儲、使用過程中的安全,滿足多重防護的要求;
三是在雲平台安全建設方面,企業一般來說要從合規和安全管理的角度入手,把資產、配置和基線做好,建立安全管理的基礎,並完善漏洞運營管理、安全滲透測試以及安全檢查改進等機制。
➤關注重點:個人信息、數據安全保護
鑒於數據單點防禦的日趨失效,我們認為企業在思考數據安全保護的時候,一應該提高防護技術水平來應對數據流每個環節上的風險;二是通過統一的治理平台,串聯其孤立的單點防護能力,掃除防護間的盲區,實現數據的持續治理;三則需要重視數據安全管理策略的制定。
基於此思路,騰訊安全推出的數盾企業數據安全綜合治理中心,即可幫助企業重點強化數據資產感知、安全治理和聯防聯控等能力,藉助AI實現各孤立安全防護節點的聯動與整合,切實協助企業解決用戶、行為、數據流的全面防護問題。
➤警惕本次「大考」的易「掛」點
首先,從等級保護基本要求的調整上來說,除原有行業通用要求外,明晰等保2.0關於雲計算、移動互聯網、工業互聯網和物聯網等領域新增的「拓展要求」,是避免規則誤判導致「補考」的重要前提;
其次,除傳統攻擊防禦外,等保2.0還要求企業做好事前、事中、事後的防禦。防不住就要審計,出現問題須通過事後溯源找到問題的根源所在並做好下次防護準備。防禦能力上須從被動保障向態勢感知預警、動態防護和應急響應等轉變;
再者,應當重視等保定級的準確性。如若定級不準確,則會對後續企業安全建設和等級測評工作產生誤導,直接影響企業安全保護和防禦的效果。引入專業的安全企業和行業專家服務來幫助完成持續性的服務建設,能達到降低成本和人力切提升效率的目的。
➤案例分享
有家企業,其業務類似網約車,沒有提前準備。在其初次申請時,被要求通過等級保護測評,還有其他的一些監管部門的審核。最終該企業因拖延了一定時間沒通過等保,導致業務申請上線整體延後,造成了很大的損失。
還有一家企業,找了一個小的系統集成商,檢測後被要求買一堆的安全設備。最後雖然花了100多萬買設備,但也沒發揮到設備的作用。
所以,這裡我建議找全國網絡安全等級保護測評機構推薦目錄中的機構來測評。
最後,提醒各位一句:本次大考將於2019年12月1日正式開啟。請儘早準備,以免面臨責令整改、行政處罰、暫停註冊、暫停運營等「補考」或「掛科」風險。
最後再送上彩蛋
王老師在雲+社區的社群直播中所解答的QA
Q :騰訊雲可以提供哪些幫助嗎?
A:目前,騰訊雲已通過等級保護三級、騰訊金融雲已通過等級保護四級要求,可以為雲租戶提供一個合規的雲平台,這也是租戶業務系統通過等級保護2.0測評的先決條件。
具體到安全產品和服務,針對等保二級和三級的要求,騰訊安全擁有包含Web應用防火牆、DDoS高防、數據安全網關、數據庫審計等從基礎安全產品體系,能為政企提供基於 AI 的一站式 Web 業務運營風險防護、多種 DDoS 解決方案、結合AI的集中運維管理以及人工智能數據庫安全審計系統等解決方案。
同時,我們還對應相關產品,打造出了包含技術專家諮詢、APP安全加固等在內的針對二級和三級等級要求的基礎服務,能夠協助企業識別信息資產及業務流程的信息安全弱點,並針對信息安全威脅提供信息安全風險處理規劃建議。此外,還有專門針對為雲上客戶提供系統化的網絡安全等級保護合規建設和測評服務的渠道。讓安全建設不再是企業的負擔。
另外,騰訊安全專家服務提供系統化的等保合規建設和測評服務渠道,幫助企業快速滿足國家等保要求。點擊閱讀原文,快速了解!
Q:有沒有具體要求對照清單?
A:大家可以參考《GBT22239-2019信息安全技術網絡安全等級保護基本要求》(關注「騰訊安全」公眾號,回復「等保要求」下載PDF版)
Q:要是現在還沒開始準備,是不是有點太晚了,會有非常嚴重的後果嗎?
A:不會的,能認識到就是進步,先定級備案,再差距分析,逐步整改起來。
Q:三級等保有沒對系統存儲的用戶身份證信息有要求的?
A:要求加密或脫敏存儲。
Q:對於數據導出有沒要求?
A:只要正常使用就行,禁止非法使用和未授權訪問。
Q:但是如果被黑了,或者被非法獲取。這樣會不會有問題。
A:有。所以要加密存儲。
如有相關問題想繼續諮詢,歡迎積極留言。
– END –
騰訊安全正在護航產業安全
– 政府機構&綜合性國企 –
國家市場監督管理總局 | 深圳寶安區政府 | 公安部交科所 | 深圳金融辦 | 信通院 | 深圳公安局 | 招商局集團 ……
– 金融行業 –
中國銀行 | 招商銀行 | 華夏銀行 | 中國建設銀行 | 江蘇銀行 | 光明銀行 | 微眾銀行 | 交通銀行 | 富途 ……
– 交通行業 –
如祺出行 | 祥鵬航空 | 電科航電 | 蔚來 | 深圳地鐵 | 國鐵吉訊 | 廣汽集團 | 上汽集團 | 滴滴出行 ……
– 零售行業 –
貴州茅台 | 蒙牛乳業 | 東鵬飲料 | 家樂福 | 洋河酒廠 | 永輝超市 | 寶潔 ……
– 互聯網 –
同程藝龍 | 虎牙直播 | 唯品會 | 嗶哩嗶哩 | YY直播 | 快手 | 知乎 | 熊貓直播 | 京東 | 順豐 | 蘑菇街 ……
騰訊安全的一手乾貨,你也「在看」嗎?
↓↓↓
