5G、AI、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)和新架構(gòu)正在成為社會(huì)發(fā)展的“關(guān)鍵詞”,在新基建的浪潮下產(chǎn)業(yè)數(shù)字化升級(jí)成為重中之重。網(wǎng)絡(luò)等級(jí)保護(hù)工作的內(nèi)涵隨之持續(xù)擴(kuò)展,面對(duì)各行各業(yè)的共性安全保護(hù)提出了安全通用要求。2019年5月13日,網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)正式發(fā)布,同年12月1日正式實(shí)施。
等保2.0發(fā)布一周年,過(guò)等保成為了企業(yè)合規(guī)運(yùn)營(yíng)的必經(jīng)之路。在騰訊安全聯(lián)合安全媒體FreeBuf舉辦《產(chǎn)業(yè)安全公開(kāi)課 · 等保2.0專場(chǎng)》上,騰訊安全、深信服、深圳網(wǎng)安、鼎鉉的各位安全專家圍繞網(wǎng)絡(luò)安全相關(guān)的政策法規(guī),從不同的角度向各行各業(yè)分享了等保2.0的政策解讀和實(shí)踐經(jīng)驗(yàn)。在之前的文章里,騰訊安全已經(jīng)向讀者陸續(xù)輸出了等保政策、過(guò)保經(jīng)驗(yàn)、密碼、數(shù)據(jù)安全等維度上的內(nèi)容,今天我們把六位安全專家的干貨和精髓進(jìn)行再次地提煉和凝聚,助力企業(yè)客戶一站式讀懂等保2.0。
第一課:學(xué)標(biāo)桿,首度揭秘騰訊“過(guò)等保”經(jīng)驗(yàn)
等保2.0標(biāo)準(zhǔn)所采用的“一個(gè)中心、三重防護(hù)”的安全理念,要求企業(yè)安全體系的防御重心從被動(dòng)防御向事前防御、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變。尤其對(duì)于正在經(jīng)歷或者數(shù)字化轉(zhuǎn)型初期企業(yè)而言,這種防御重心的改變進(jìn)一步加劇了安全挑戰(zhàn)。如何快速、平穩(wěn)、高效通過(guò)等級(jí)保護(hù),成為大中小企業(yè)的關(guān)注焦點(diǎn)。
尤其是深度接入互聯(lián)網(wǎng)技術(shù)的大型公司,他們的過(guò)保經(jīng)驗(yàn)尤為珍貴。作為一家擁有超過(guò)6萬(wàn)名員工、100+業(yè)務(wù)線的企業(yè)而言,騰訊這種體量的企業(yè)是如何過(guò)等保的?騰訊安全管理部標(biāo)準(zhǔn)管理中心副總監(jiān)黃超帶來(lái)的《等保2.0時(shí)代,騰訊如何應(yīng)對(duì)安全合規(guī)新挑戰(zhàn)》,就分享了騰訊與等級(jí)保護(hù)幕后故事和一手的實(shí)踐干貨。
黃超在課上表示,公司高層重視網(wǎng)絡(luò)安全,決定了這個(gè)企業(yè)開(kāi)展網(wǎng)絡(luò)安全相關(guān)工作的執(zhí)行力以及安全戰(zhàn)略的高度。在騰訊公司高層直接關(guān)注和扎實(shí)的安全團(tuán)隊(duì)支撐下,騰訊的做法被稱為“舉全公司之力鞏固安全長(zhǎng)城”——成立等級(jí)保護(hù)工作組,集結(jié)了來(lái)自公司內(nèi)部各個(gè)安全團(tuán)隊(duì)的超過(guò)100名成員,推動(dòng)等保工作落地。
除了持續(xù)性的進(jìn)行內(nèi)部政策宣貫和標(biāo)準(zhǔn)培訓(xùn)外,騰訊還針對(duì)等保中的新技術(shù)、新場(chǎng)景邀請(qǐng)業(yè)內(nèi)的專家培訓(xùn),對(duì)公司自研業(yè)務(wù)的查漏補(bǔ)缺以及不定期舉辦如“漏洞懸賞”的安全專項(xiàng),加速等保工作的開(kāi)展。
第二課:借力過(guò)保,騰訊安全如何助力企業(yè)步入合規(guī)之路
幾乎所有的企業(yè)都要通過(guò)網(wǎng)絡(luò)安全等保大考,尤其是關(guān)系國(guó)計(jì)民生的重點(diǎn)行業(yè)如金融、醫(yī)療、教育等,相關(guān)主管部門(mén)已經(jīng)下發(fā)詳細(xì)的工作開(kāi)展知識(shí)和全方位的過(guò)保標(biāo)準(zhǔn)。產(chǎn)業(yè)安全公開(kāi)課·等保2.0專場(chǎng)的第二課,騰訊安全的等級(jí)保護(hù)合規(guī)服務(wù)負(fù)責(zé)人王余為客戶分享了《騰訊如何助力企業(yè)通過(guò)等級(jí)保護(hù)》,詳細(xì)講述在網(wǎng)絡(luò)安全建設(shè)和等級(jí)保護(hù)合規(guī)建設(shè)全生命周期中,騰訊如何為網(wǎng)絡(luò)運(yùn)營(yíng)者提供快速過(guò)保的產(chǎn)品、服務(wù)、解決方案及最佳實(shí)踐經(jīng)驗(yàn)。
騰訊安全從各行業(yè)實(shí)踐中梳理和總結(jié)等保2.0時(shí)代網(wǎng)絡(luò)安全合規(guī)工作方式與方法,以“一個(gè)中心、三重防護(hù)”為核心,在云平臺(tái)合規(guī)、技術(shù)支持、專家服務(wù)等方面旨在助力提升企業(yè)網(wǎng)絡(luò)安全能力,規(guī)避和緩解企業(yè)風(fēng)險(xiǎn)。
一方面,騰訊云已通過(guò)等級(jí)保護(hù)三級(jí)、騰訊金融云已通過(guò)等級(jí)保護(hù)四級(jí)要求,可以為云租戶提供一個(gè)合規(guī)的云平臺(tái);另一方面,騰訊安全整合身份安全、網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、數(shù)據(jù)安全、業(yè)務(wù)安全、安全管理和安全服務(wù)等多種安全領(lǐng)域的相關(guān)產(chǎn)品和服務(wù)優(yōu)勢(shì),為企業(yè)提供更加體系化、標(biāo)準(zhǔn)化的安全防護(hù)設(shè)計(jì),讓整體防護(hù)更加協(xié)同、高效,并通過(guò)技術(shù)、流程、人的協(xié)同機(jī)制形成閉環(huán),滿足不同場(chǎng)景下的安全合規(guī)需求。此外,針對(duì)關(guān)鍵服務(wù)階段,騰訊安全專家服務(wù)能夠?yàn)槠髽I(yè)提供更加體系化、標(biāo)準(zhǔn)化的安全防護(hù)設(shè)計(jì),讓整體防護(hù)更加協(xié)同、高效,并通過(guò)技術(shù)、流程、人的協(xié)同機(jī)制形成閉環(huán),在落實(shí)等保合規(guī)的基礎(chǔ)上持續(xù)提高安全運(yùn)營(yíng)能力。
第三課:業(yè)務(wù)安全和等保合規(guī),“雙輪”驅(qū)動(dòng)商用密碼應(yīng)用
密碼作為網(wǎng)絡(luò)空間安全保障和信任機(jī)制構(gòu)建的核心技術(shù)與基礎(chǔ)支撐,是國(guó)家安全的重要戰(zhàn)略資源,也是國(guó)家實(shí)現(xiàn)安全可控信息技術(shù)體系彎道超車(chē)的重要突破口。為解決當(dāng)前密碼應(yīng)用存在的突出問(wèn)題,國(guó)家頒布實(shí)施了《網(wǎng)絡(luò)安全法》《密碼法》《網(wǎng)絡(luò)安全審查辦法》等一系列法律法規(guī),都對(duì)密碼應(yīng)用安全性評(píng)估提出要求,希望通過(guò)密碼應(yīng)用安全性評(píng)估促進(jìn)商用密碼的使用和管理規(guī)范。
為此,產(chǎn)業(yè)安全公開(kāi)課·等保2.0專場(chǎng)第三課,全國(guó)首家第三方商用密碼檢測(cè)機(jī)構(gòu)鼎鉉公司的安全測(cè)評(píng)部副部長(zhǎng)鄒超在《信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)、改造與評(píng)估要點(diǎn)解析》課程中,針對(duì)法律法規(guī)對(duì)密碼上的要求進(jìn)行了解讀與分享。5分鐘速看密碼評(píng)測(cè)精華《關(guān)于密碼測(cè)評(píng),你必須了解的10個(gè)基本問(wèn)題》
鄒超表示,運(yùn)營(yíng)者在企業(yè)信息系統(tǒng)建設(shè)的過(guò)程中,應(yīng)充分使用商用密碼對(duì)業(yè)務(wù)和數(shù)據(jù)進(jìn)行保護(hù)。尤其是面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)、涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施、等保三級(jí)等重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng),在建設(shè)之初就應(yīng)充分規(guī)劃和配置相關(guān)密碼設(shè)備及服務(wù),啟用商密算法/協(xié)議等功能配置,保障業(yè)務(wù)安全穩(wěn)定地發(fā)展。
騰訊安全打造了端到端的云數(shù)據(jù)全生命周期安全體系,以“數(shù)據(jù)安全中臺(tái)”為中心,保障數(shù)據(jù)在識(shí)別、使用、消費(fèi)過(guò)程中的安全。基于騰訊安全云數(shù)據(jù)安全中臺(tái),騰訊安全以數(shù)據(jù)加密軟硬件系統(tǒng)、密鑰管理系統(tǒng)、憑據(jù)管理系統(tǒng)以及云數(shù)據(jù)加密代理網(wǎng)關(guān)為核心,實(shí)現(xiàn)從數(shù)據(jù)獲取、數(shù)據(jù)處理及檢索、數(shù)據(jù)分析與服務(wù)、數(shù)據(jù)訪問(wèn)與消費(fèi)過(guò)程中的安全、合規(guī)的密碼防護(hù)。
第四課:關(guān)鍵信息基礎(chǔ)設(shè)施,等保2.0的重中之重
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)直接關(guān)系到國(guó)家安全、國(guó)計(jì)民生和公共利益,是等級(jí)保護(hù)的重點(diǎn),關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與網(wǎng)絡(luò)安全等級(jí)保護(hù)的關(guān)系緊密不可分割。來(lái)自深信服的安全解決方案專家楊帆帆在產(chǎn)業(yè)安全公開(kāi)課·等保2.0專場(chǎng)第四課《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)政策解讀》中,分享了深信服基于對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)的研究以及等級(jí)保護(hù)領(lǐng)域的大量實(shí)踐經(jīng)驗(yàn)。
楊帆帆在課程中說(shuō)道,關(guān)鍵信息基礎(chǔ)設(shè)施的確定通常包括三個(gè)步驟,一是確定關(guān)鍵業(yè)務(wù),二是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng),三是根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事故后可能造成的損失來(lái)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)則分為五個(gè)環(huán)節(jié)。其中識(shí)別認(rèn)定是首要環(huán)節(jié),是開(kāi)展安全防護(hù)檢測(cè)監(jiān)督預(yù)警處置的基礎(chǔ),而安全防護(hù)環(huán)節(jié)是在識(shí)別認(rèn)定的基礎(chǔ)上實(shí)施安全防護(hù)措施,檢測(cè)評(píng)估環(huán)節(jié)檢驗(yàn)安全防護(hù)措施的有效性,分析潛在的安全風(fēng)險(xiǎn),監(jiān)測(cè)預(yù)警環(huán)節(jié)針對(duì)已經(jīng)發(fā)生或者可能發(fā)生的網(wǎng)絡(luò)事件進(jìn)行提前的預(yù)警,最后的事件處置環(huán)節(jié)主要針對(duì)檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警環(huán)節(jié)發(fā)生的問(wèn)題實(shí)施應(yīng)對(duì)措施,保障關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性。
第五課:推出全棧解決方案,實(shí)現(xiàn)重保高效精準(zhǔn)打擊構(gòu)建
#FormatImgID_5#
近年來(lái),企業(yè)級(jí)安全建設(shè)面臨混合云、DevSecOps、零信任體系、敏捷開(kāi)發(fā)要求等綜合復(fù)雜場(chǎng)景引入,企業(yè)級(jí)安全問(wèn)題出現(xiàn)了不同于以往的新形態(tài)。如何在這樣的新形態(tài)下做好企業(yè)IPO等關(guān)鍵時(shí)刻的重點(diǎn)防護(hù),全局性提升企業(yè)安全成為很多行業(yè)面臨的問(wèn)題。
產(chǎn)業(yè)安全公開(kāi)課·等保2.0專場(chǎng)第五課,騰訊安全專家咨詢中心企業(yè)級(jí)安全服務(wù)負(fù)責(zé)人李光輝以《企業(yè)安全重保解構(gòu),高效精準(zhǔn)打擊構(gòu)建》為題,結(jié)合當(dāng)前的安全態(tài)勢(shì)環(huán)境,解析企業(yè)面臨的通用安全問(wèn)題,并分享了騰訊安全在金融、泛互等行業(yè)領(lǐng)域的重保護(hù)航最佳實(shí)踐。
騰訊安全從情報(bào)、攻防、管理、規(guī)劃四個(gè)維度依托自身在身份安全、網(wǎng)絡(luò)安全、終端安全等八大領(lǐng)域的安全能力,為客戶設(shè)計(jì)了安全重保防護(hù)全棧安全解決方案,從企業(yè)自身所處的行業(yè)以及業(yè)務(wù)特殊性出發(fā)進(jìn)行整體安全咨詢。方案包含安全整體提升、內(nèi)部檢驗(yàn)、實(shí)戰(zhàn)駐場(chǎng)三個(gè)階段。
首先在安全整體提升階段,主要通過(guò)資產(chǎn)普查和風(fēng)險(xiǎn)評(píng)估、漏洞掃描和基線檢查、關(guān)鍵核心業(yè)務(wù)的滲透測(cè)試、應(yīng)急響應(yīng)方案編寫(xiě)、建立應(yīng)急響應(yīng)組織體系、滲透測(cè)試和復(fù)測(cè)等工作及時(shí)發(fā)現(xiàn)業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn),加強(qiáng)防護(hù)能力。在內(nèi)部檢驗(yàn)階段,通過(guò)紅藍(lán)對(duì)抗以及檢查防護(hù)策略的有效性及完整性,避免策略疏漏和失效導(dǎo)致被外部利用。在實(shí)戰(zhàn)駐場(chǎng)階段,通過(guò)7x24安全監(jiān)控分析,對(duì)安全設(shè)備、系統(tǒng)等安全日志和事件告警進(jìn)行持續(xù)監(jiān)測(cè),對(duì)安全事件進(jìn)行應(yīng)急響應(yīng)處理,確保零安全事件發(fā)生。
第六課:明確權(quán)責(zé)、規(guī)范指引,構(gòu)建全生命周期的數(shù)據(jù)安全縱深防御
等保2.0在等保1.0對(duì)數(shù)據(jù)安全的要求基本不變的情況下,根據(jù)新網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)場(chǎng)景對(duì)數(shù)據(jù)安全保護(hù)能力,對(duì)數(shù)據(jù)的審計(jì)、訪問(wèn)控制、加密都有更明確的要求。為了向各行各業(yè)的企業(yè)客戶分享等保2.0在數(shù)據(jù)安全領(lǐng)域的政策解讀和實(shí)踐經(jīng)驗(yàn),產(chǎn)業(yè)安全公開(kāi)課·等保2.0專場(chǎng)第六課《等保2.0中核心數(shù)據(jù)安全要求解讀》中,騰訊數(shù)據(jù)安全產(chǎn)品經(jīng)理周京川圍繞如何保障數(shù)據(jù)的全生命周期安全,保障數(shù)據(jù)存儲(chǔ)的完整性、保密性來(lái)解讀等保2.0的數(shù)據(jù)安全條款。
等保2.0對(duì)于數(shù)據(jù)安全的要求升級(jí)和新規(guī)范設(shè)置,實(shí)際上是順應(yīng)了社會(huì)普遍對(duì)數(shù)據(jù)治理的底層需求。等保2.0在1.0的基礎(chǔ)上,將主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)統(tǒng)一納入“安全計(jì)算環(huán)境”范圍,細(xì)分身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)保密性、個(gè)人信息保護(hù)、安全管理中心等維度進(jìn)行明確,從事前、事中、事后實(shí)現(xiàn)整體性防范,要求企業(yè)不僅要做好數(shù)據(jù)審計(jì),還要在出現(xiàn)問(wèn)題的時(shí)候可以實(shí)現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)溯源。
面對(duì)由從云計(jì)算、大數(shù)據(jù)、AI、量子對(duì)抗到5G層層開(kāi)放發(fā)展帶來(lái)的安全挑戰(zhàn),產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的企業(yè)應(yīng)當(dāng)抓住時(shí)代前沿技術(shù)紅利,以戰(zhàn)略視角構(gòu)建基礎(chǔ)安全架構(gòu)、綜合運(yùn)營(yíng)管理和租戶云安全中心的云數(shù)據(jù)原生、全生命周期縱深防御技術(shù)架構(gòu)和安全運(yùn)維體系,為產(chǎn)業(yè)云化升級(jí)中的信息安全對(duì)抗提供全面支撐。
等保2.0標(biāo)準(zhǔn)作為我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的基本國(guó)策、基本制度和基本方法,不僅是企業(yè)品牌樹(shù)立、可持續(xù)發(fā)展的重要保障,更是我國(guó)信息系統(tǒng)安全在新時(shí)代、新態(tài)勢(shì)下網(wǎng)絡(luò)安全的“風(fēng)向標(biāo)”。
數(shù)字化轉(zhuǎn)型是當(dāng)今社會(huì)發(fā)展的主流趨勢(shì)。從產(chǎn)業(yè)的內(nèi)生建設(shè)來(lái)看,發(fā)展需要兼顧“效率”與“穩(wěn)定”,信息化建設(shè)與應(yīng)急能力在產(chǎn)業(yè)快速迭代轉(zhuǎn)型的同時(shí),需要將安全能力納入考量指標(biāo);就外部環(huán)境而言,產(chǎn)業(yè)數(shù)字升級(jí)的過(guò)程中會(huì)形成更多數(shù)據(jù)和信息的“價(jià)值洼地”,這也使得網(wǎng)絡(luò)攻擊組織的滲透和破壞得到了更大的空間,迫切需要企業(yè)和社會(huì)將安全防護(hù)和健康穩(wěn)定放在發(fā)展規(guī)劃的首位。面對(duì)復(fù)雜的網(wǎng)絡(luò)安全形勢(shì),騰訊安全依托自身深入產(chǎn)業(yè)互聯(lián)網(wǎng)實(shí)踐所積累的技術(shù)、人才與生態(tài)優(yōu)勢(shì),聯(lián)合生態(tài)伙伴共同深耕等保的研究與實(shí)踐,為企業(yè)持續(xù)提供高效務(wù)實(shí)的等保規(guī)劃和經(jīng)驗(yàn)分享,助力企業(yè)贏在產(chǎn)業(yè)轉(zhuǎn)型的起跑線。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )