导语 | 备受关注的网络安全等级保护制度2.0国家标准于5月13日正式发布,并将于2019年12月1日正式实施。几乎所有企业都要通过的网络安全大考,应该如何准备呢?「云加社区」特邀腾讯云安全专家王余在云加社区微信群中的为大家解答,本文是此次分享整理总结而成(编辑:尾尾)。加群请关注「云加社区」公众号,回复「加群」。
大家好,我是王余,从事信息安全工作18年,今天给大家分享一下有关网络安全等级保护制度2.0的知识。
腾讯云公有云平台和金融云平台,自2016.12开始按照等保2.0试行版标准开展等保备案和测评工作,并最终在2017.5《网络安全法》正式实施之际,通过了公有云平台三级,金融云平台四级的测评。结合腾讯云此前已取得的成果和多年合规服务中所积累的经验,我将从安全运营中心和加密管理的角度进行详细的解读。
一、什么是等级保护?
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
备受关注的网络安全等级保护制度2.0国家标准于5月13日正式发布,并将于2019年12月1日正式实施。等保2.0中明确了五种安全等级中对信息系统最低要求,也就是基本安全要求,涵盖了基本技术要求和基本管理要求,用于指导信息系统的安全建设和监督管理。
而关系国计民生的重点行业,如金融、医疗、教育等,主管部门已经下发相关文件或通知要求开展等级保护工作。标准的发布对企业等组织的信息安全包括云安全工作影响已显然可见。
二、等保2.0的重大变化有哪些?
1.从“指南”到“法律”
等保2.0相对于1.0最大不同就是性质的变化。
等保2.0,全称“网络安全等级保护制度2.0标准”,是对网络和信息系统按照重要性等级分级进行保护的一项重要标准。有了等保2.0,网络安全从业者和安全监管部门开展工作从此有了遵循的标准和规定。等保2.0是履行安全保护义务的重要部分,如果相关单位拒不履行,将会受到相应处罚,“不过保就是违法”。
从“指南”到“法律”,严格程度上升的不只一点点。同时,保护的范围也发生了变化:除基本要求外,云计算、移动互联、物联网、工业控制和大数据等新业态无一另外。定级、测评和备案等流程的条件限定也有所调整。
2.以“一个中心,三重防护“为网络安全技术设计的总体思路
一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安全通信网络。
安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护。
三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。
3.对加密管理提出了严格要求
等保2.0明确要求,从建设初期设计和采购阶段就应该考虑加密需求,同时在网络通信传输、计算环境的身份鉴别、数据完整性、数据保密性明确了使用加密技术实现安全防护的要求,另外,云上还特别提出镜像和快照的加固和完整性校验保护要求,以及对密码应用方案的国密化提出了明确的采购标准要求。
4.确立了可信计算技术的重要地位
这是等保2.0文件中特别强调的安全特性,不仅要求对配置文件及参数的可信执行进行验证,同时检测到完整性问题时也应进行报警和应对。
三、等保2.0的测评流程是怎样的?
等保2.0的测评流程具体来说,主要包含以下几个方面:
1.确认定级
首先,通过系统识别和描述系统功能和信息系统管理责任划分,初步综合其对业务和系统服务等客体的侵害程度,确定其系统安全保护等级。有主管部门的,应当经主管部门审批。对于拟确定为四级及以上信息系统,还应经专家评审会评审。
2.备案
运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。
3.开展等级测评
运营、使用单位或者主管部门应当选择合规测评机构,定期对信息系统安全等级状况开展等级测评。测评机构应当出具测评报告,并出具测评结果通知书,明示信息系统安全等级及测评结果。
4.系统安全建设及整改
运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。对于未达到安全等级保护要求的,运营、使用单位应当进行整改并报公安机关备案。
5.监督检查
公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
四、企业应该如何快速通过等保2.0
几乎所有企业都需要参加“等保”,是否参加等保与公司人数和规模没有必然关系。政务、金融、电信、电力......直白点说就,这次“大考”基本覆盖了所有企业,尤以政府机关和金融行业为考察重点。考查内容重点为企业的安全技术和管理能力。
企业在了解等保2.0的基本知识后,如何通过呢?“等保2.0”大考将至,行业单位如何透彻了解等级保护安全保障体系,自我提升从而避免“补考”或处罚呢?腾讯安全专家已为企业准备好通关锦囊。
1.端正考试态度
“过保”是企业一次绝佳的安全自检过程
最直接的好处就是能版主企业轻松满足安全合规要求;同时,借助“备考”,企业的安全防御能力将在不断的问题发现和解决中得到提升,随后一套更为严谨完善的企业安全体系应时而生,企业健康发展态势向好。
即使过了等保也不等于有免责牌
国家组织等保2.0是目的不是手段,即使企业过了等保2.0,也不意味就在安全保障上拿到了免责牌。而说到责任划分方面,在云平台的责任上,目前国际主流云服务商一致的标准,叫“责任共担”模式。
(参见:腾讯云安全责任共担模型:https://cloud.tencent.com/services/security)
一般来说,整个云计算环境的底层物理和基础架构安全往往云服务商统一提供,而云客户则把更多精力和时间放在更为细化、专业的业务、应用和数据安全领域。可能每家云服务商的标准有细微的区别,但大方向都差不多。这一点是满足“等保2.0”等国家安全等级保护制度要求的必然要求。
2.关注新考点:一个中心 三重防护
相对于等保1.0来说,等保2.0对企业安全提出的最核心调整在于“一个中心,三重防护“的网络安全技术设计总体思路,要求企业从战略视角对安全进行整体的规划和设计。所谓战略视角就是要更加注重安全的整体性。
针对这一新要求,我们认为企业:
一应当建立基于企业云端安全数据的云安全运营平台,实现对漏洞情报、威胁发现、事件处置、基线合规、泄漏监测及风险可视等的安全管理,确保云上资源和业务安全的集中管控;
二是强化密匙管理,构建完整的数据加密和密匙管理方案,确保重要数据在传输、存储、使用过程中的安全,满足多重防护的要求;
三是在云平台安全建设方面,企业一般来说要从合规和安全管理的角度入手,把资产、配置和基线做好,建立安全管理的基础,并完善漏洞运营管理、安全渗透测试以及安全检查改进等机制。
3.关注重点:个人信息、数据安全保护
鉴于数据单点防御的日趋失效,我们认为企业在思考数据安全保护的时候,一应该提高防护技术水平来应对数据流每个环节上的风险;二是通过统一的治理平台,串联其孤立的单点防护能力,扫除防护间的盲区,实现数据的持续治理;三则需要重视数据安全管理策略的制定。
基于此思路,腾讯安全推出的数盾企业数据安全综合治理中心,即可帮助企业重点强化数据资产感知、安全治理和联防联控等能力,借助AI实现各孤立安全防护节点的联动与整合,切实协助企业解决用户、行为、数据流的全面防护问题。
4.警惕本次“大考”的易“挂”点
首先,从等级保护基本要求的调整上来说,除原有行业通用要求外,明晰等保2.0关于云计算、移动互联网、工业互联网和物联网等领域新增的“拓展要求”,是避免规则误判导致“补考”的重要前提;
其次,除传统攻击防御外,等保2.0还要求企业做好事前、事中、事后的防御。防不住就要审计,出现问题须通过事后溯源找到问题的根源所在并做好下次防护准备。防御能力上须从被动保障向态势感知预警、动态防护和应急响应等转变;
再者,应当重视等保定级的准确性。如若定级不准确,则会对后续企业安全建设和等级测评工作产生误导,直接影响企业安全保护和防御的效果。引入专业的安全企业和行业专家服务来帮助完成持续性的服务建设,能达到降低成本和人力切提升效率的目的。
5.案例分享
有家企业,其业务类似网约车,没有提前准备。在其初次申请时,被要求通过等级保护测评,还有其他的一些监管部门的审核。最终该企业因拖延了一定时间没通过等保,导致业务申请上线整体延后,造成了很大的损失。
还有一家企业,找了一个小的系统集成商,检测后被要求买一堆的安全设备。最后虽然花了100多万买设备,但也没发挥到设备的作用。
所以,这里我建议找全国网络安全等级保护测评机构推荐目录中的机构来测评(网址见文末附录)。
最后,提醒各位一句:本次大考将于2019年12月1日正式开启。请尽早准备,以免面临责令整改、行政处罚、暂停注册、暂停运营等“补考”或“挂科”风险。
五、群内QA
Q :腾讯云可以提供哪些帮助吗?
A:目前,腾讯云已通过等级保护三级、腾讯金融云已通过等级保护四级要求,可以为云租户提供一个合规的云平台,这也是租户业务系统通过等级保护2.0测评的先决条件。
具体到安全产品和服务,针对等保二级和三级的要求,腾讯安全拥有包含web应用防火墙(WAF)、DDOS高防(又称大禹)、堡垒机(数据安全网关)、数据库审计等从基础安全产品体系,能为政企提供基于 AI 的一站式 Web 业务运营风险防护、多种 DDoS 解决方案、结合AI的集中运维管理以及人工智能数据库安全审计系统等解决方案。
同时,我们还对应相关产品,打造出了包含技术专家咨询、APP安全加固等在内的针对二级和三级等级要求的基础服务,能够协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。此外,还有专门针对为云上客户提供系统化的网络安全等级保护合规建设和测评服务的渠道。让安全建设不再是企业的负担。
除此之外,我们还可为企业客户提供诸如移动安全场景下的安全服务。以移动安全领域为例,我们就有针对移动终端管控、移动应用管控等的UEM(用户体验管理)产品,能为移动应用领域客户提供更集中、可控的终端管控。
Q:老师,有没有具体要求对照清单?
A:大家可以参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》(关注「云加社区」公众号,回复「等保要求」下载PDF版)。
Q:要是现在还没开始准备,是不是有点太晚了 [捂脸] 会有非常严重的后果吗?
A:不会的,能认识到就是进步,先定级备案,再差距分析,逐步整改起来
Q:三级等保有没对系统存储的用户身份证信息有要求的?
A:要求加密或脱敏存储。
Q:对于数据导出有没要求?
A:只要正常使用就行,禁止非法使用和未授权访问。
Q:但是如果被黑了,或者被非法获取。这样会不会有问题。
A:有。所以要加密存储啊。
Q:那在页面上展示那种需要怎么处理。
A:打*号,或有点击查看什么的。
Q:页面也要脱敏展示是吧?
A:是的。
如有相关问题想继续咨询,可在本文末留言。
六、嘉宾简介
腾讯云安全专家 王余
18年安全老兵,100 等保项目亲身实践。拥有等级保护测评师、国际注册信息安全审计师、国际云安全联盟认证、ISO27001主任审核员、国家注册信息安全专业人员等多项资质。
附录
全国网络安全等级保护测评机构推荐目录
http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41e000c
本文是「云加社区」微信群中的分享整理总结而成。
加群请关注「云加社区」公众号,回复“加群”