5G、AI、云计算、物联网等新技术和新架构正在成为社会发展的“关键词”,在新基建的浪潮下产业数字化升级成为重中之重。网络等级保护工作的内涵随之持续扩展,面对各行各业的共性安全保护提出了安全通用要求。2019年5月13日,网络安全等级保护2.0标准正式发布,同年12月1日正式实施。
等保2.0发布一周年,过等保成为了企业合规运营的必经之路。在腾讯安全联合安全媒体FreeBuf举办《产业安全公开课 · 等保2.0专场》上,腾讯安全、深信服、深圳网安、鼎铉的各位安全专家围绕网络安全相关的政策法规,从不同的角度向各行各业分享了等保2.0的政策解读和实践经验。在之前的文章里,腾讯安全已经向读者陆续输出了等保政策、过保经验、密码、数据安全等维度上的内容,今天我们把六位安全专家的干货和精髓进行再次地提炼和凝聚,助力企业客户一站式读懂等保2.0。
第一课:学标杆 首度揭秘腾讯“过等保”经验
等保2.0标准所采用的“一个中心、三重防护”的安全理念,要求企业安全体系的防御重心从被动防御向事前防御、事中响应、事后审计的动态保障体系转变。尤其对于正在经历或者数字化转型初期企业而言,这种防御重心的改变进一步加剧了安全挑战。如何快速、平稳、高效通过等级保护,成为大中小企业的关注焦点。
尤其是深度接入互联网技术的大型公司,他们的过保经验尤为珍贵。作为一家拥有超过6万名员工、100 业务线的企业而言,腾讯这种体量的企业是如何过等保的?腾讯安全管理部标准管理中心副总监黄超带来的《等保2.0时代,腾讯如何应对安全合规新挑战》,就分享了腾讯与等级保护幕后故事和一手的实践干货。
黄超在课上表示,公司高层重视网络安全,决定了这个企业开展网络安全相关工作的执行力以及安全战略的高度。在腾讯公司高层直接关注和扎实的安全团队支撑下,腾讯的做法被称为“举全公司之力巩固安全长城”——成立等级保护工作组,集结了来自公司内部各个安全团队的超过100名成员,推动等保工作落地。
除了持续性的进行内部政策宣贯和标准培训外,腾讯还针对等保中的新技术、新场景邀请业内的专家培训,对公司自研业务的查漏补缺以及不定期举办如“漏洞悬赏”的安全专项,加速等保工作的开展。
第二课:借力过保腾讯安全如何助力企业步入合规之路
几乎所有的企业都要通过网络安全等保大考,尤其是关系国计民生的重点行业如金融、医疗、教育等,相关主管部门已经下发详细的工作开展知识和全方位的过保标准。产业安全公开课·等保2.0专场的第二课,腾讯安全的等级保护合规服务负责人王余为客户分享了《腾讯如何助力企业通过等级保护》,详细讲述在网络安全建设和等级保护合规建设全生命周期中,腾讯如何为网络运营者提供快速过保的产品、服务、解决方案及最佳实践经验。
腾讯安全从各行业实践中梳理和总结等保2.0时代网络安全合规工作方式与方法,以“一个中心、三重防护”为核心,在云平台合规、技术支持、专家服务等方面旨在助力提升企业网络安全能力,规避和缓解企业风险。
一方面,腾讯云已通过等级保护三级、腾讯金融云已通过等级保护四级要求,可以为云租户提供一个合规的云平台;另一方面,腾讯安全整合身份安全、网络安全、终端安全、应用安全、数据安全、业务安全、安全管理和安全服务等多种安全领域的相关产品和服务优势,为企业提供更加体系化、标准化的安全防护设计,让整体防护更加协同、高效,并通过技术、流程、人的协同机制形成闭环,满足不同场景下的安全合规需求。此外,针对关键服务阶段,腾讯安全专家服务能够为企业提供更加体系化、标准化的安全防护设计,让整体防护更加协同、高效,并通过技术、流程、人的协同机制形成闭环,在落实等保合规的基础上持续提高安全运营能力。
第三课:业务安全和等保合规 “双轮”驱动商用密码应用
密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》《密码法》《网络安全审查办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范。
为此,产业安全公开课·等保2.0专场第三课,全国首家第三方商用密码检测机构鼎铉公司的安全测评部副部长邹超在《信息系统密码应用设计、改造与评估要点解析》课程中,针对法律法规对密码上的要求进行了解读与分享。