5分鐘讀完6小時課程干貨：企業(yè)等保合規(guī)全面解讀

5G、AI、云計算、物聯(lián)網(wǎng)等新技術(shù)和新架構(gòu)正在成為社會發(fā)展的“關(guān)鍵詞”，在新基建的浪潮下產(chǎn)業(yè)數(shù)字化升級成為重中之重。網(wǎng)絡等級保護工作的內(nèi)涵隨之持續(xù)擴展，面對各行各業(yè)的共性安全保護提出了安全通用要求。2019年5月13日，網(wǎng)絡安全等級保護2.0標準正式發(fā)布，同年12月1日正式實施。

等保2.0發(fā)布一周年，過等保成為了企業(yè)合規(guī)運營的必經(jīng)之路。在騰訊安全聯(lián)合安全媒體FreeBuf舉辦《產(chǎn)業(yè)安全公開課 · 等保2.0專場》上，騰訊安全、深信服、深圳網(wǎng)安、鼎鉉的各位安全專家圍繞網(wǎng)絡安全相關(guān)的政策法規(guī)，從不同的角度向各行各業(yè)分享了等保2.0的政策解讀和實踐經(jīng)驗。在之前的文章里，騰訊安全已經(jīng)向讀者陸續(xù)輸出了等保政策、過保經(jīng)驗、密碼、數(shù)據(jù)安全等維度上的內(nèi)容，今天我們把六位安全專家的干貨和精髓進行再次地提煉和凝聚，助力企業(yè)客戶一站式讀懂等保2.0。

第一課：學標桿，首度揭秘騰訊“過等保”經(jīng)驗

等保2.0標準所采用的“一個中心、三重防護”的安全理念，要求企業(yè)安全體系的防御重心從被動防御向事前防御、事中響應、事后審計的動態(tài)保障體系轉(zhuǎn)變。尤其對于正在經(jīng)歷或者數(shù)字化轉(zhuǎn)型初期企業(yè)而言，這種防御重心的改變進一步加劇了安全挑戰(zhàn)。如何快速、平穩(wěn)、高效通過等級保護，成為大中小企業(yè)的關(guān)注焦點。

尤其是深度接入互聯(lián)網(wǎng)技術(shù)的大型公司，他們的過保經(jīng)驗尤為珍貴。作為一家擁有超過6萬名員工、100+業(yè)務線的企業(yè)而言，騰訊這種體量的企業(yè)是如何過等保的?騰訊安全管理部標準管理中心副總監(jiān)黃超帶來的《等保2.0時代，騰訊如何應對安全合規(guī)新挑戰(zhàn)》，就分享了騰訊與等級保護幕后故事和一手的實踐干貨。

黃超在課上表示，公司高層重視網(wǎng)絡安全，決定了這個企業(yè)開展網(wǎng)絡安全相關(guān)工作的執(zhí)行力以及安全戰(zhàn)略的高度。在騰訊公司高層直接關(guān)注和扎實的安全團隊支撐下，騰訊的做法被稱為“舉全公司之力鞏固安全長城”——成立等級保護工作組，集結(jié)了來自公司內(nèi)部各個安全團隊的超過100名成員，推動等保工作落地。

除了持續(xù)性的進行內(nèi)部政策宣貫和標準培訓外，騰訊還針對等保中的新技術(shù)、新場景邀請業(yè)內(nèi)的專家培訓，對公司自研業(yè)務的查漏補缺以及不定期舉辦如“漏洞懸賞”的安全專項，加速等保工作的開展。

第二課：借力過保，騰訊安全如何助力企業(yè)步入合規(guī)之路

幾乎所有的企業(yè)都要通過網(wǎng)絡安全等保大考，尤其是關(guān)系國計民生的重點行業(yè)如金融、醫(yī)療、教育等，相關(guān)主管部門已經(jīng)下發(fā)詳細的工作開展知識和全方位的過保標準。產(chǎn)業(yè)安全公開課·等保2.0專場的第二課，騰訊安全的等級保護合規(guī)服務負責人王余為客戶分享了《騰訊如何助力企業(yè)通過等級保護》，詳細講述在網(wǎng)絡安全建設和等級保護合規(guī)建設全生命周期中，騰訊如何為網(wǎng)絡運營者提供快速過保的產(chǎn)品、服務、解決方案及最佳實踐經(jīng)驗。

騰訊安全從各行業(yè)實踐中梳理和總結(jié)等保2.0時代網(wǎng)絡安全合規(guī)工作方式與方法，以“一個中心、三重防護”為核心，在云平臺合規(guī)、技術(shù)支持、專家服務等方面旨在助力提升企業(yè)網(wǎng)絡安全能力，規(guī)避和緩解企業(yè)風險。

一方面，騰訊云已通過等級保護三級、騰訊金融云已通過等級保護四級要求，可以為云租戶提供一個合規(guī)的云平臺;另一方面，騰訊安全整合身份安全、網(wǎng)絡安全、終端安全、應用安全、數(shù)據(jù)安全、業(yè)務安全、安全管理和安全服務等多種安全領域的相關(guān)產(chǎn)品和服務優(yōu)勢，為企業(yè)提供更加體系化、標準化的安全防護設計，讓整體防護更加協(xié)同、高效，并通過技術(shù)、流程、人的協(xié)同機制形成閉環(huán)，滿足不同場景下的安全合規(guī)需求。此外，針對關(guān)鍵服務階段，騰訊安全專家服務能夠為企業(yè)提供更加體系化、標準化的安全防護設計，讓整體防護更加協(xié)同、高效，并通過技術(shù)、流程、人的協(xié)同機制形成閉環(huán)，在落實等保合規(guī)的基礎上持續(xù)提高安全運營能力。

第三課：業(yè)務安全和等保合規(guī)，“雙輪”驅(qū)動商用密碼應用

密碼作為網(wǎng)絡空間安全保障和信任機制構(gòu)建的核心技術(shù)與基礎支撐，是國家安全的重要戰(zhàn)略資源，也是國家實現(xiàn)安全可控信息技術(shù)體系彎道超車的重要突破口。為解決當前密碼應用存在的突出問題，國家頒布實施了《網(wǎng)絡安全法》《密碼法》《網(wǎng)絡安全審查辦法》等一系列法律法規(guī)，都對密碼應用安全性評估提出要求，希望通過密碼應用安全性評估促進商用密碼的使用和管理規(guī)范。

為此，產(chǎn)業(yè)安全公開課·等保2.0專場第三課，全國首家第三方商用密碼檢測機構(gòu)鼎鉉公司的安全測評部副部長鄒超在《信息系統(tǒng)密碼應用設計、改造與評估要點解析》課程中，針對法律法規(guī)對密碼上的要求進行了解讀與分享。5分鐘速看密碼評測精華《關(guān)于密碼測評，你必須了解的10個基本問題》

鄒超表示，運營者在企業(yè)信息系統(tǒng)建設的過程中，應充分使用商用密碼對業(yè)務和數(shù)據(jù)進行保護。尤其是面向社會服務的政務信息系統(tǒng)、涉及國計民生和基礎信息資源的信息系統(tǒng)關(guān)鍵基礎設施、等保三級等重要領域網(wǎng)絡和信息系統(tǒng)，在建設之初就應充分規(guī)劃和配置相關(guān)密碼設備及服務，啟用商密算法/協(xié)議等功能配置，保障業(yè)務安全穩(wěn)定地發(fā)展。

騰訊安全打造了端到端的云數(shù)據(jù)全生命周期安全體系，以“數(shù)據(jù)安全中臺”為中心，保障數(shù)據(jù)在識別、使用、消費過程中的安全?；隍v訊安全云數(shù)據(jù)安全中臺，騰訊安全以數(shù)據(jù)加密軟硬件系統(tǒng)、密鑰管理系統(tǒng)、憑據(jù)管理系統(tǒng)以及云數(shù)據(jù)加密代理網(wǎng)關(guān)為核心，實現(xiàn)從數(shù)據(jù)獲取、數(shù)據(jù)處理及檢索、數(shù)據(jù)分析與服務、數(shù)據(jù)訪問與消費過程中的安全、合規(guī)的密碼防護。

第四課：關(guān)鍵信息基礎設施，等保2.0的重中之重

關(guān)鍵信息基礎設施保護直接關(guān)系到國家安全、國計民生和公共利益，是等級保護的重點，關(guān)鍵信息基礎設施保護與網(wǎng)絡安全等級保護的關(guān)系緊密不可分割。來自深信服的安全解決方案專家楊帆帆在產(chǎn)業(yè)安全公開課·等保2.0專場第四課《關(guān)鍵信息基礎設施保護相關(guān)政策解讀》中，分享了深信服基于對網(wǎng)絡安全等級保護政策和標準的研究以及等級保護領域的大量實踐經(jīng)驗。

楊帆帆在課程中說道，關(guān)鍵信息基礎設施的確定通常包括三個步驟，一是確定關(guān)鍵業(yè)務，二是確定支撐關(guān)鍵業(yè)務的信息系統(tǒng)或工業(yè)控制系統(tǒng)，三是根據(jù)關(guān)鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度以及信息系統(tǒng)發(fā)生網(wǎng)絡安全事故后可能造成的損失來認定關(guān)鍵信息基礎設施。

關(guān)鍵信息基礎設施安全保護則分為五個環(huán)節(jié)。其中識別認定是首要環(huán)節(jié)，是開展安全防護檢測監(jiān)督預警處置的基礎，而安全防護環(huán)節(jié)是在識別認定的基礎上實施安全防護措施，檢測評估環(huán)節(jié)檢驗安全防護措施的有效性，分析潛在的安全風險，監(jiān)測預警環(huán)節(jié)針對已經(jīng)發(fā)生或者可能發(fā)生的網(wǎng)絡事件進行提前的預警，最后的事件處置環(huán)節(jié)主要針對檢測評估、監(jiān)測預警環(huán)節(jié)發(fā)生的問題實施應對措施，保障關(guān)鍵信息基礎設施的業(yè)務連續(xù)性。

第五課：推出全棧解決方案，實現(xiàn)重保高效精準打擊構(gòu)建

#FormatImgID_5#

近年來，企業(yè)級安全建設面臨混合云、DevSecOps、零信任體系、敏捷開發(fā)要求等綜合復雜場景引入，企業(yè)級安全問題出現(xiàn)了不同于以往的新形態(tài)。如何在這樣的新形態(tài)下做好企業(yè)IPO等關(guān)鍵時刻的重點防護，全局性提升企業(yè)安全成為很多行業(yè)面臨的問題。

產(chǎn)業(yè)安全公開課·等保2.0專場第五課，騰訊安全專家咨詢中心企業(yè)級安全服務負責人李光輝以《企業(yè)安全重保解構(gòu)，高效精準打擊構(gòu)建》為題，結(jié)合當前的安全態(tài)勢環(huán)境，解析企業(yè)面臨的通用安全問題，并分享了騰訊安全在金融、泛互等行業(yè)領域的重保護航最佳實踐。

騰訊安全從情報、攻防、管理、規(guī)劃四個維度依托自身在身份安全、網(wǎng)絡安全、終端安全等八大領域的安全能力，為客戶設計了安全重保防護全棧安全解決方案，從企業(yè)自身所處的行業(yè)以及業(yè)務特殊性出發(fā)進行整體安全咨詢。方案包含安全整體提升、內(nèi)部檢驗、實戰(zhàn)駐場三個階段。

首先在安全整體提升階段，主要通過資產(chǎn)普查和風險評估、漏洞掃描和基線檢查、關(guān)鍵核心業(yè)務的滲透測試、應急響應方案編寫、建立應急響應組織體系、滲透測試和復測等工作及時發(fā)現(xiàn)業(yè)務風險點，加強防護能力。在內(nèi)部檢驗階段，通過紅藍對抗以及檢查防護策略的有效性及完整性，避免策略疏漏和失效導致被外部利用。在實戰(zhàn)駐場階段，通過7x24安全監(jiān)控分析，對安全設備、系統(tǒng)等安全日志和事件告警進行持續(xù)監(jiān)測，對安全事件進行應急響應處理，確保零安全事件發(fā)生。

第六課：明確權(quán)責、規(guī)范指引，構(gòu)建全生命周期的數(shù)據(jù)安全縱深防御

等保2.0在等保1.0對數(shù)據(jù)安全的要求基本不變的情況下，根據(jù)新網(wǎng)絡環(huán)境和業(yè)務場景對數(shù)據(jù)安全保護能力，對數(shù)據(jù)的審計、訪問控制、加密都有更明確的要求。為了向各行各業(yè)的企業(yè)客戶分享等保2.0在數(shù)據(jù)安全領域的政策解讀和實踐經(jīng)驗，產(chǎn)業(yè)安全公開課·等保2.0專場第六課《等保2.0中核心數(shù)據(jù)安全要求解讀》中，騰訊數(shù)據(jù)安全產(chǎn)品經(jīng)理周京川圍繞如何保障數(shù)據(jù)的全生命周期安全，保障數(shù)據(jù)存儲的完整性、保密性來解讀等保2.0的數(shù)據(jù)安全條款。

等保2.0對于數(shù)據(jù)安全的要求升級和新規(guī)范設置，實際上是順應了社會普遍對數(shù)據(jù)治理的底層需求。等保2.0在1.0的基礎上，將主機安全、應用安全、數(shù)據(jù)安全及備份恢復統(tǒng)一納入“安全計算環(huán)境”范圍，細分身份認證、訪問控制、安全審計、數(shù)據(jù)保密性、個人信息保護、安全管理中心等維度進行明確，從事前、事中、事后實現(xiàn)整體性防范，要求企業(yè)不僅要做好數(shù)據(jù)審計，還要在出現(xiàn)問題的時候可以實現(xiàn)數(shù)據(jù)風險溯源。

面對由從云計算、大數(shù)據(jù)、AI、量子對抗到5G層層開放發(fā)展帶來的安全挑戰(zhàn)，產(chǎn)業(yè)互聯(lián)網(wǎng)時代的企業(yè)應當抓住時代前沿技術(shù)紅利，以戰(zhàn)略視角構(gòu)建基礎安全架構(gòu)、綜合運營管理和租戶云安全中心的云數(shù)據(jù)原生、全生命周期縱深防御技術(shù)架構(gòu)和安全運維體系，為產(chǎn)業(yè)云化升級中的信息安全對抗提供全面支撐。

等保2.0標準作為我國網(wǎng)絡安全領域的基本國策、基本制度和基本方法，不僅是企業(yè)品牌樹立、可持續(xù)發(fā)展的重要保障，更是我國信息系統(tǒng)安全在新時代、新態(tài)勢下網(wǎng)絡安全的“風向標”。

數(shù)字化轉(zhuǎn)型是當今社會發(fā)展的主流趨勢。從產(chǎn)業(yè)的內(nèi)生建設來看，發(fā)展需要兼顧“效率”與“穩(wěn)定”，信息化建設與應急能力在產(chǎn)業(yè)快速迭代轉(zhuǎn)型的同時，需要將安全能力納入考量指標;就外部環(huán)境而言，產(chǎn)業(yè)數(shù)字升級的過程中會形成更多數(shù)據(jù)和信息的“價值洼地”，這也使得網(wǎng)絡攻擊組織的滲透和破壞得到了更大的空間，迫切需要企業(yè)和社會將安全防護和健康穩(wěn)定放在發(fā)展規(guī)劃的首位。面對復雜的網(wǎng)絡安全形勢，騰訊安全依托自身深入產(chǎn)業(yè)互聯(lián)網(wǎng)實踐所積累的技術(shù)、人才與生態(tài)優(yōu)勢，聯(lián)合生態(tài)伙伴共同深耕等保的研究與實踐，為企業(yè)持續(xù)提供高效務實的等保規(guī)劃和經(jīng)驗分享，助力企業(yè)贏在產(chǎn)業(yè)轉(zhuǎn)型的起跑線。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）