2.0时代,如何做好等保?

2020-06-05 14:57:07 浏览数 (1)

点击观看大咖分享

等保全称叫信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。今天我们就来说一说等保的历史发展,以及个人信息保护相关的一些内容。

在等保历史最初的十年时间内,大家对于等级如何划分感到很头疼。但是在2003年27号文件发布后,大家便想通了,这个等级是重要性的等级,重要性由系统在国家安全、社会秩序、公共利益、公民法人的重要性来决定。等级不是围绕着简单的一个技术来划分的,而是这个系统或者是系统所承载的应用在社会上的地位、社会的属性来决定的。

2017年6月1日,《网络安全法》诞生,在法律上确立了对等级保护的责任和要求呢?网络安全法第二十一条:国家实行网络安全等级保护制度;第三十一条,强调了关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护;第五十九条还要求了,如果不履行第二十一条的规定,可以处一万元以上或者十万元以下的罚款,对直接负责人处以五千元以上五万元以下的罚款。第七十三条中,指明网络运营者是指网络的所有者、管理者和网络的服务提供者。

根据计算机信息系统安全保护条例,可以对直接责任人员处五千元以下的罚款,对单位处以一万五千元以下的罚款。情节严重的可以给予六个月以内的停机联网、停机整顿的处罚,必要的情况下可以撤销机构的许可或者取消联网资格。

在两高司法解释中的第五条里面,刑法第两百五十三条提到了拒不履行信息网络安全管理义务罪,网络服务提供者不履行法律或者行政法规的、拒不整改的可以处三年以下的有期徒刑。那么第两百八十三条之一同样的,侵犯公民个人信息罪,如果是情节严重的分处三年以下有期徒刑;情节特别严重的要处三年以上七年以下的有期徒刑,并处罚金。

以上是等保的一些相关背景和法律义务。


等保2.0的特点和形成

为了适应新形势、新挑战和新标准,打好网络攻坚战,需要提高信息系统安全,不断完善网络安全的法律法规。那么等保2.0发展历程是什么样子的呢?

2016年10月10日,第五期全国信息安全等级保护技术大会召开,公安部网络安全保卫局提出对网络安全等级保护制度有了新的要求,等级保护制度进入2.0的时代。去年5月13日,等级保护2.0的核心标准正式发布,标准中包括有基本要求、测评要求,还有安全设计技术要求。另外,今年3月实施指南正式开始实施。网络安全等级保护的这个定级指南正式稿也将在今年11月1日开始实施。我们可以看出,2.0的标准经过了多次的修订,由众多专家呕心沥血整理而成,而且通过网络安全法的颁布奠定了等保的法律地位。

在提出等级保护2.0标准的时候,工作目标也明确下来了。首先要落实分等级保护、突出重点、积极防御、综合防护的总体要求,建立打防管控一体化的网络安全综合防御体系,提高国家网络安全整体的防御能力。

要做到变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防护,变粗放反复为精准防护。重点保护关键信息基础设施、重要信息系统和大数据安全等。要保障和全力推进网络安全的产业,让企业快速健康发展,打造世界一流的一个企业群。最后,坚决落实同步规划、同步建设、同步运行网络安全保护措施的三同步原则。

我们看一下这张图,从下往上看,网络安全等级保护条例作为等级保护工作的上位文件,提出了总体要求。计算机信息系统安全保护等级划分准则作为上位标准给出系统等级划分的依据。准则之上是我们最熟悉的网络安全等级保护基本要求。右边的设计技术要求和实施指南用于指导等级保护建设工作开展。而左边测评要求和测评过程指南用于指导测评机构如何开展测评活动。所有的标准都是围绕着如何让网络信息系统分等级进行保护。图中黄色部分是通用的标准,绿色部分是行业的一些自身标准。

而对于网络运营者来说,实施指南是非常具有参考价值的,它对于从系统最初如何确定等级、如何备案,到系统建设的总体安全规划,包括安全需求分析、总体的安全设计、安全建设的规划,以及系统的安全设计实施阶段的安全方案设计技术实施、管理措施的实现,设备迁移和报废、信息转移等整个生命周期,都给出了指导意见。

定级首先应该要确定定级的对象,根据定级指南或行业细节初步判断系统的等级,然后组织专家对系统的情况进行评审,接着再报主管部门审核。等保2.0的定级对象除了传统的信息系统,还包括像通信的网络设施、数据、工业控制系统、云计算平台、物联网和移动互联等。

等级保护对象的安全保护等级分为五个等级。对于通信网络设施、云计算平台/系统等定级对象,原则上不低于其承载的等级保护对象的安全保护等级。另外,涉及到大量公民信息以及为民提供公共服务的大数据平台原则上安全保护等级不能低于三级。

总的来说,等保2.0具有个特点:

一、新标准强化了可信计算技术的使用要求,把可信验证了列入各个级别并逐级提出各个环节的主要可信验证要求。

二、优化了密码技术要求,提出国产化。

三、提出了“安全管理中心”的管理理念。

四、提出“个人信息保护”。


腾讯如何应对安全合规新挑战

站在企业的角度,做好等保合规不仅是符合国家要求的必须动作,也是夯实企业安全的重要举措。我们以腾讯为例,来谈谈企业如何应对安全合规新挑战。

腾讯一直在积极重视参与等保工作,并且有一个专门的团队来去系统性对接和跟踪等级保护的政策和标准体系。腾讯的董事会主席马化腾先生就担任了信息安全决策委员会的主席,他在很多场合都说过一句话:安全永远是腾讯的生命线。公司领导对于网络安全的重视是等保工作的重要基础。

除此以外,还要建立良好的公司级网络安全体系。腾讯有一个非常庞大的矩阵式的安全团队,集团层面设立了安全管理部,其中包括对外比较广为人知的各种安全实验室。在BG层面有非常多的业务安全团队,例如微信、QQ、腾讯云等大的业务团队都有专门的安全团队。

安全管理部是集团层面负责公司整体安全策略制定和组织实行的部门。安全平台部是集团层面的安全技术团队,服务于全部业务线的相关系统和用户安全。七大安全实验室是国内首个互联网安全实验室矩阵,专注于网络安全技术方面的研究,以及网络安全攻防体系的搭建。所以腾讯有非常强大的安全矩阵团队,一起去守护腾讯的产品和用户的安全,让安全具备组织保障。

数据安全一直是腾讯所面临的最大挑战之一。为了保障数据安全,腾讯推出了数据保护专项,以及很多针对性的安全专项,推动安全措施的落地。腾讯内部安全实践中上非常重要的一个特点,就是安全能力的一个自营和自建。自主研发了包括腾讯蓝君、门神和铁将军等安全产品和方案,长期沉淀和积累形成内部完善的安全体系。


问卷

为了给广大开发者提供最实用、最热门前沿、最干货的视频教程,请让我们听到你的需要,感谢您的时间!点击填写 问卷

关注“腾讯云大学”公众号,回复【加群】进入交流群

腾讯云大学是腾讯云旗下面向云生态用户的一站式学习成长平台。腾讯云大学大咖分享每周邀请内部技术大咖,为你提供免费、专业、行业最新技术动态分享。

0 人点赞