備受關注的網路安全等級保護制度2.0國家標準於5月13日正式釋出,並將於2019年12月1日正式實施。幾乎所有企業都要透過的網路安全大考,應該如何準備呢?
騰訊安全聯合雷鋒網、雲+社群打造的「產業安全專家談」,本期邀請到騰訊安全專家王餘為大家詳解等保大考的考點。王餘是一名18年的安全老兵,擁有100+等保專案親身實踐,還擁有等級保護測評師、國際註冊資訊保安審計師、國際雲安全聯盟認證、ISO27001主任稽核員、國家註冊資訊保安專業人員等多項資質。
騰訊雲的過保經驗想了解一下嗎?
騰訊雲公有云平臺和金融雲平臺,自2016.12開始按照等保2.0試行版標準開展等保備案和測評工作,並最終在2017.5《網路安全法》正式實施之際,透過了公有云平臺三級,金融雲平臺四級的測評。王餘做客本期『產業安全專家談』,還將結合騰訊雲此前已取得的成果和多年合規服務中所積累的經驗,重點從安全運營中心和加密管理的角度進行詳細的解讀。
下面,讓我們聽王老師從頭開始講起
一 什麼是等級保護?
資訊保安等級保護(以下簡稱等保)是指對國家秘密資訊、法人和其他組織及公民的專有資訊以及公開資訊和儲存、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生的資訊保安事件分等級響應、處置。
備受關注的網路安全等級保護制度2.0國家標準於5月13日正式釋出,並將於2019年12月1日正式實施。等保2.0中明確了五種安全等級中對資訊系統最低要求,也就是基本安全要求,涵蓋了基本技術要求和基本管理要求,用於指導資訊系統的安全建設和監督管理。
而關係國計民生的重點行業,如金融、醫療、教育等,主管部門已經下發相關檔案或通知要求開展等級保護工作。標準的釋出對企業等組織的資訊保安包括雲安全工作影響已顯然可見。
二 等保2.0的重大變化有哪些?
➤從“指南”到“法律”
等保2.0相對於1.0最大不同就是性質的變化。
等保2.0,全稱“網路安全等級保護制度2.0標準”,是對網路和資訊系統按照重要性等級分級進行保護的一項重要標準。有了等保2.0,網路安全從業者和安全監管部門開展工作從此有了遵循的標準和規定。等保2.0是履行安全保護義務的重要部分,如果相關單位拒不履行,將會受到相應處罰,“不過保就是違法”。
從“指南”到“法律”,嚴格程度上升的不只一點點。同時,保護的範圍也發生了變化:除基本要求外,雲端計算、移動互聯、物聯網、工業控制和大資料等新業態無一另外。定級、測評和備案等流程的條件限定也有所調整。
➤以“一箇中心,三重防護“為網路安全技術設計的總體思路
一箇中心即安全管理中心,三重防護即安全計算環境、安全區域邊界、安全通訊網路。
安全管理中心要求在系統管理、安全管理、審計管理三個方面實現集中管控,從被動防護轉變到主動防護,從靜態防護轉變到動態防護,從單點防護轉變到整體防護,從粗放防護轉變到精準防護。
三重防護要求企業透過安全裝置和技術手段實現身份鑑別、訪問控制、入侵防範、資料完整性、保密性、個人資訊保護等安全防護措施,實現平臺的全方位安全防護。
➤對加密管理提出了嚴格要求
等保2.0明確要求,從建設初期設計和採購階段就應該考慮加密需求,同時在網路通訊傳輸、計算環境的身份鑑別、資料完整性、資料保密性明確了使用加密技術實現安全防護的要求,另外,雲上還特別提出映象和快照的加固和完整性校驗保護要求,以及對密碼應用方案的國密化提出了明確的採購標準要求。
➤確立了可信計算技術的重要地位
這是等保2.0檔案中特別強調的安全特性,不僅要求對配置檔案及引數的可信執行進行驗證,同時檢測到完整性問題時也應進行報警和應對。
三 等保2.0的測評流程是怎樣的?
➤確認定級
首先,透過系統識別和描述系統功能和資訊系統管理責任劃分,初步綜合其對業務和系統服務等客體的侵害程度,確定其系統安全保護等級。有主管部門的,應當經主管部門審批。對於擬確定為四級及以上資訊系統,還應經專家評審會評審。
➤備案
運營、使用單位在確定等級後到所在地的市級及以上公安機關備案。新建二級及以上資訊系統在投入運營後30日內、已執行的二級及以上資訊系統在等級確定30日內備案。公安機關對資訊系統備案情況進行稽核,對符合要求的在10個工作日內頒發等級保護備案證明。
➤開展等級測評
運營、使用單位或者主管部門應當選擇合規測評機構,定期對資訊系統安全等級狀況開展等級測評。測評機構應當出具測評報告,並出具測評結果通知書,明示資訊系統安全等級及測評結果。
➤系統安全建設及整改
運營使用單位按照管理規範和技術標準,選擇管理辦法要求的資訊保安產品,建設符合等級要求的資訊保安設施,建立安全組織,制定並落實安全管理制度。對於未達到安全等級保護要求的,運營、使用單位應當進行整改並報公安機關備案。
➤監督檢查
公安機關依據資訊保安等級保護管理規範,監督檢查運營使用單位開展等級保護工作,定期對資訊系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導,如實向公安機關提供有關材料。
四 企業應該如何快速透過等保2.0
幾乎所有企業都需要參加“等保”,是否參加等保與公司人數和規模沒有必然關係。政務、金融、電信、電力......直白點說就,這次“大考”基本覆蓋了所有企業,尤以政府機關和金融行業為考察重點。考查內容重點為企業的安全技術和管理能力。
企業在瞭解等保2.0的基本知識後,如何透過呢?“等保2.0”大考將至,行業單位如何透徹瞭解等級保護安全保障體系,自我提升從而避免“補考”或處罰呢?騰訊安全專家已為企業準備好通關錦囊。
➤端正考試態度
·“過保”是企業一次絕佳的安全自檢過程
最直接的好處就是能版主企業輕鬆滿足安全合規要求;同時,藉助“備考”,企業的安全防禦能力將在不斷的問題發現和解決中得到提升,隨後一套更為嚴謹完善的企業安全體系應時而生,企業健康發展態勢向好。
·即使過了等保也不等於有免責牌
國家組織等保2.0是目的不是手段,即使企業過了等保2.0,也不意味就在安全保障上拿到了免責牌。而說到責任劃分方面,在雲平臺的責任上,目前國際主流雲服務商一致的標準,叫“責任共擔”模式。
一般來說,整個雲端計算環境的底層物理和基礎架構安全往往雲服務商統一提供,而云客戶則把更多精力和時間放在更為細化、專業的業務、應用和資料安全領域。可能每家雲服務商的標準有細微的區別,但大方向都差不多。這一點是滿足“等保2.0”等國家安全等級保護制度要求的必然要求。
➤關注新考點:一箇中心+三重防護
相對於等保1.0來說,等保2.0對企業安全提出的最核心調整在於“一箇中心,三重防護“的網路安全技術設計總體思路,要求企業從戰略視角對安全進行整體的規劃和設計。所謂戰略視角就是要更加註重安全的整體性。
針對這一新要求,我們認為企業:
一應當建立基於企業雲端安全資料的雲安全運營平臺,實現對漏洞情報、威脅發現、事件處置、基線合規、洩漏監測及風險可視等的安全管理,確保雲上資源和業務安全的集中管控;
二是強化密匙管理,構建完整的資料加密和密匙管理方案,確保重要資料在傳輸、儲存、使用過程中的安全,滿足多重防護的要求;
三是在雲平臺安全建設方面,企業一般來說要從合規和安全管理的角度入手,把資產、配置和基線做好,建立安全管理的基礎,並完善漏洞運營管理、安全滲透測試以及安全檢查改進等機制。
➤關注重點:個人資訊、資料安全保護
鑑於資料單點防禦的日趨失效,我們認為企業在思考資料安全保護的時候,一應該提高防護技術水平來應對資料流每個環節上的風險;二是透過統一的治理平臺,串聯其孤立的單點防護能力,掃除防護間的盲區,實現資料的持續治理;三則需要重視資料安全管理策略的制定。
基於此思路,騰訊安全推出的數盾企業資料安全綜合治理中心,即可幫助企業重點強化資料資產感知、安全治理和聯防聯控等能力,藉助AI實現各孤立安全防護節點的聯動與整合,切實協助企業解決使用者、行為、資料流的全面防護問題。
➤警惕本次“大考”的易“掛”點
首先,從等級保護基本要求的調整上來說,除原有行業通用要求外,明晰等保2.0關於雲端計算、移動網際網路、工業網際網路和物聯網等領域新增的“擴充要求”,是避免規則誤判導致“補考”的重要前提;
其次,除傳統攻擊防禦外,等保2.0還要求企業做好事前、事中、事後的防禦。防不住就要審計,出現問題須透過事後溯源找到問題的根源所在並做好下次防護準備。防禦能力上須從被動保障向態勢感知預警、動態防護和應急響應等轉變;
再者,應當重視等保定級的準確性。如若定級不準確,則會對後續企業安全建設和等級測評工作產生誤導,直接影響企業安全保護和防禦的效果。引入專業的安全企業和行業專家服務來幫助完成持續性的服務建設,能達到降低成本和人力切提升效率的目的。
➤案例分享
有家企業,其業務類似網約車,沒有提前準備。在其初次申請時,被要求透過等級保護測評,還有其他的一些監管部門的稽核。最終該企業因拖延了一定時間沒透過等保,導致業務申請上線整體延後,造成了很大的損失。
還有一家企業,找了一個小的系統整合商,檢測後被要求買一堆的安全裝置。最後雖然花了100多萬買裝置,但也沒發揮到裝置的作用。
所以,這裡我建議找全國網路安全等級保護測評機構推薦目錄中的機構來測評。
最後,提醒各位一句:本次大考將於2019年12月1日正式開啟。請儘早準備,以免面臨責令整改、行政處罰、暫停註冊、暫停運營等“補考”或“掛科”風險。
最後再送上彩蛋王老師在雲+社群的社群直播中所解答的QA
Q :騰訊雲可以提供哪些幫助嗎?
A:目前,騰訊雲已透過等級保護三級、騰訊金融雲已透過等級保護四級要求,可以為雲租戶提供一個合規的雲平臺,這也是租戶業務系統透過等級保護2.0測評的先決條件。
具體到安全產品和服務,針對等保二級和三級的要求,騰訊安全擁有包含Web應用防火牆、DDoS高防、資料安全閘道器、資料庫審計等從基礎安全產品體系,能為政企提供基於 AI 的一站式 Web 業務運營風險防護、多種 DDoS 解決方案、結合AI的集中運維管理以及人工智慧資料庫安全審計系統等解決方案。
同時,我們還對應相關產品,打造出了包含技術專家諮詢、APP安全加固等在內的針對二級和三級等級要求的基礎服務,能夠協助企業識別資訊資產及業務流程的資訊保安弱點,並針對資訊保安威脅提供資訊保安風險處理規劃建議。此外,還有專門針對為雲上客戶提供系統化的網路安全等級保護合規建設和測評服務的渠道。讓安全建設不再是企業的負擔。
另外,騰訊安全專家服務提供系統化的等保合規建設和測評服務渠道,幫助企業快速滿足國家等保要求。點選閱讀原文,快速瞭解!
Q:有沒有具體要求對照清單?
A:大家可以參考《GBT22239-2019資訊保安技術網路安全等級保護基本要求》(關注「騰訊安全」公眾號,回覆「等保要求」下載PDF版)
Q:要是現在還沒開始準備,是不是有點太晚了,會有非常嚴重的後果嗎?
A:不會的,能認識到就是進步,先定級備案,再差距分析,逐步整改起來。
Q:三級等保有沒對系統儲存的使用者身份證資訊有要求的?
A:要求加密或脫敏儲存。
Q:對於資料匯出有沒要求?
A:只要正常使用就行,禁止非法使用和未授權訪問。
Q:但是如果被黑了,或者被非法獲取。這樣會不會有問題。
A:有。所以要加密儲存。
如有相關問題想繼續諮詢,歡迎積極留言。