數(shù)據(jù)中心
Data Center
當(dāng)前位置:首頁(yè)  信息安全

等保2.0,我們劃下了這些重點(diǎn)

發(fā)布時(shí)間:2019-05-24  瀏覽次數(shù):391

備受關(guān)注的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)于5月13日正式發(fā)布,并將于2019年12月1日正式實(shí)施。等保2.0中明確了五種安全等級(jí)中對(duì)信息系統(tǒng)最低要求,也就是基本安全要求,涵蓋了基本技術(shù)要求和基本管理要求,用于指導(dǎo)信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。


而關(guān)系國(guó)計(jì)民生的重點(diǎn)行業(yè),如金融、醫(yī)療、教育等,主管部門已經(jīng)下發(fā)相關(guān)文件或通知要求開展等級(jí)保護(hù)工作。標(biāo)準(zhǔn)的發(fā)布對(duì)企業(yè)等組織的信息安全包括云安全工作影響已顯然可見。


騰訊云公有云平臺(tái)和金融云平臺(tái),自2016.12開始按照等保2.0試行版標(biāo)準(zhǔn)開展等保備案和測(cè)評(píng)工作,并最終在2017.5《網(wǎng)絡(luò)安全法》正式實(shí)施之際,通過了公有云平臺(tái)三級(jí),金融云平臺(tái)四級(jí)的測(cè)評(píng)。結(jié)合騰訊云此前已取得的成果和多年合規(guī)服務(wù)中所積累的經(jīng)驗(yàn),我們將從安全運(yùn)營(yíng)中心和加密管理的角度進(jìn)行詳細(xì)的解讀。



一、什么是等級(jí)保護(hù)?

信息安全等級(jí)保護(hù)(以下簡(jiǎn)稱等保)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。



二、等保2.0的重大變化

以“一個(gè)中心,三重防護(hù)“為網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)的總體思路

 一個(gè)中心即安全管理中心,三重防護(hù)即安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)。


安全管理中心要求在系統(tǒng)管理、安全管理、審計(jì)管理三個(gè)方面實(shí)現(xiàn)集中管控,從被動(dòng)防護(hù)轉(zhuǎn)變到主動(dòng)防護(hù),從靜態(tài)防護(hù)轉(zhuǎn)變到動(dòng)態(tài)防護(hù),從單點(diǎn)防護(hù)轉(zhuǎn)變到整體防護(hù),從粗放防護(hù)轉(zhuǎn)變到精準(zhǔn)防護(hù)。


三重防護(hù)要求企業(yè)通過安全設(shè)備和技術(shù)手段實(shí)現(xiàn)身份鑒別、訪問控制、入侵防范、數(shù)據(jù)完整性、保密性、個(gè)人信息保護(hù)等安全防護(hù)措施,實(shí)現(xiàn)平臺(tái)的全方位安全防護(hù)。

 

對(duì)加密管理提出了嚴(yán)格要求

等保2.0明確要求,從建設(shè)初期設(shè)計(jì)和采購(gòu)階段就應(yīng)該考慮加密需求,同時(shí)在網(wǎng)絡(luò)通信傳輸、計(jì)算環(huán)境的身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)保密性明確了使用加密技術(shù)實(shí)現(xiàn)安全防護(hù)的要求,另外,云上還特別提出鏡像和快照的加固和完整性校驗(yàn)保護(hù)要求,以及對(duì)密碼應(yīng)用方案的國(guó)密化提出了明確的采購(gòu)標(biāo)準(zhǔn)要求。

 

確立了可信計(jì)算技術(shù)的重要地位

這是等保2.0文件中特別強(qiáng)調(diào)的安全特性,不僅要求對(duì)配置文件及參數(shù)的可信執(zhí)行進(jìn)行驗(yàn)證,同時(shí)檢測(cè)到完整性問題時(shí)也應(yīng)進(jìn)行報(bào)警和應(yīng)對(duì)。


三、面對(duì)新變化,騰訊云能為企業(yè)做什么?

針對(duì)等保2.0中提出的“安全管理中心”的新要求,在2018年10月騰訊云推出了云安全運(yùn)營(yíng)中心,實(shí)現(xiàn)了云上資源和業(yè)務(wù)安全集中管控,滿足系統(tǒng)管理、安全管理、審計(jì)管理三個(gè)方面的標(biāo)準(zhǔn)要求。


安全運(yùn)營(yíng)中心是基于企業(yè)云端安全數(shù)據(jù)和騰訊安全大數(shù)據(jù)的云安全運(yùn)營(yíng)平臺(tái),通過對(duì)海量數(shù)據(jù)進(jìn)行多維、智能的持續(xù)分析,為企業(yè)提供漏洞情報(bào)、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、泄漏監(jiān)測(cè)及風(fēng)險(xiǎn)可視等能力,并采取相應(yīng)的安全措施,保障信息系統(tǒng)安全,幫用戶實(shí)現(xiàn)全生命周期安全運(yùn)營(yíng)。


而在密碼管理方面,從新標(biāo)準(zhǔn)的細(xì)則來看,騰訊云提供的完整的數(shù)據(jù)加密與密鑰管理方案,完全滿足國(guó)家等級(jí)保護(hù)及國(guó)密局的相關(guān)要求,能夠幫助企業(yè)便捷完成等保2.0在加密領(lǐng)域的合規(guī)化建設(shè)與改造。


借助騰訊云數(shù)據(jù)加密服務(wù),企業(yè)可實(shí)現(xiàn)重要數(shù)據(jù)在傳輸、存儲(chǔ)、使用過程中的安全,應(yīng)用場(chǎng)景包括敏感數(shù)據(jù)加密、金融支付安全、電子政務(wù)、電子票據(jù)、身份認(rèn)證、CA、物聯(lián)網(wǎng)、區(qū)塊鏈等領(lǐng)域的加密安全保護(hù)。


在密鑰管理方面,依托騰訊云密鑰管理服務(wù),企業(yè)可輕松創(chuàng)建KMS、保護(hù)以及執(zhí)行各項(xiàng)密鑰管理策略。在保護(hù)密鑰的保密性、完整性和可用性的同時(shí),還能滿足企業(yè)多應(yīng)用、多業(yè)務(wù)的密鑰管理和密碼管理需求。

 

此外在安全合規(guī)服務(wù)方面,騰訊云還提供涵蓋多項(xiàng)國(guó)內(nèi)外權(quán)威標(biāo)準(zhǔn)(ISO 27001、ISO 27018、ISO 22301、ISO 20000、ISO 9001)以及相關(guān)的法律法規(guī)(如GDPR、個(gè)人信息保護(hù)規(guī)范)的咨詢、培訓(xùn)、測(cè)評(píng)和評(píng)估等一系列服務(wù)。等保2.0正式發(fā)布,騰訊安全云鼎實(shí)驗(yàn)室在保障騰訊云平臺(tái)本身及云上客戶的等保合規(guī)的同時(shí),還能提供一站式等保合規(guī)解決方案協(xié)助客戶快速滿足等保要求。