备受关注的网络安全等级保护制度2.0国家标准于5月13日正式发布,并将于2019年12月1日正式实施。等保2.0中明确了五种安全等级中对信息系统最低要求,也就是基本安全要求,涵盖了基本技术要求和基本管理要求,用于指导信息系统的安全建设和监督管理。
而关系国计民生的重点行业,如金融、医疗、教育等,主管部门已经下发相关文件或通知要求开展等级保护工作。标准的发布对企业等组织的信息安全包括云安全工作影响已显然可见。
腾讯云公有云平台和金融云平台,自2016.12开始按照等保2.0试行版标准开展等保备案和测评工作,并最终在2017.5《网络安全法》正式实施之际,通过了公有云平台三级,金融云平台四级的测评。结合腾讯云此前已取得的成果和多年合规服务中所积累的经验,我们将从安全运营中心和加密管理的角度进行详细的解读。
一、什么是等级保护?
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
二、等保2.0的重大变化
以“一个中心,三重防护“为网络安全技术设计的总体思路
一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安全通信网络。
安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护。
三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。
对加密管理提出了严格要求
等保2.0明确要求,从建设初期设计和采购阶段就应该考虑加密需求,同时在网络通信传输、计算环境的身份鉴别、数据完整性、数据保密性明确了使用加密技术实现安全防护的要求,另外,云上还特别提出镜像和快照的加固和完整性校验保护要求,以及对密码应用方案的国密化提出了明确的采购标准要求。
确立了可信计算技术的重要地位
这是等保2.0文件中特别强调的安全特性,不仅要求对配置文件及参数的可信执行进行验证,同时检测到完整性问题时也应进行报警和应对。
三、面对新变化,腾讯云能为企业做什么?
针对等保2.0中提出的“安全管理中心”的新要求,在2018年10月腾讯云推出了云安全运营中心,实现了云上资源和业务安全集中管控,满足系统管理、安全管理、审计管理三个方面的标准要求。
安全运营中心是基于企业云端安全数据和腾讯安全大数据的云安全运营平台,通过对海量数据进行多维、智能的持续分析,为企业提供漏洞情报、威胁发现、事件处置、基线合规、泄漏监测及风险可视等能力,并采取相应的安全措施,保障信息系统安全,帮用户实现全生命周期安全运营。
而在密码管理方面,从新标准的细则来看,腾讯云提供的完整的数据加密与密钥管理方案,完全满足国家等级保护及国密局的相关要求,能够帮助企业便捷完成等保2.0在加密领域的合规化建设与改造。
借助腾讯云数据加密服务,企业可实现重要数据在传输、存储、使用过程中的安全,应用场景包括敏感数据加密、金融支付安全、电子政务、电子票据、身份认证、CA、物联网、区块链等领域的加密安全保护。
在密钥管理方面,依托腾讯云密钥管理服务,企业可轻松创建KMS、保护以及执行各项密钥管理策略。在保护密钥的保密性、完整性和可用性的同时,还能满足企业多应用、多业务的密钥管理和密码管理需求。
此外在安全合规服务方面,腾讯云还提供涵盖多项国内外权威标准(ISO 27001、ISO 27018、ISO 22301、ISO 20000、ISO 9001)以及相关的法律法规(如GDPR、个人信息保护规范)的咨询、培训、测评和评估等一系列服务。等保2.0正式发布,腾讯安全云鼎实验室在保障腾讯云平台本身及云上客户的等保合规的同时,还能提供一站式等保合规解决方案协助客户快速满足等保要求。