5分鐘讀完6小時課程干貨：企業(yè)等保合規(guī)全面解讀

5G、AI、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)和新架構(gòu)正在成為社會發(fā)展的“關(guān)鍵詞”，在新基建的浪潮下產(chǎn)業(yè)數(shù)字化升級成為重中之重。網(wǎng)絡(luò)等級保護(hù)工作的內(nèi)涵隨之持續(xù)擴(kuò)展，面對各行各業(yè)的共性安全保護(hù)提出了安全通用要求。2019年5月13日，網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)正式發(fā)布，同年12月1日正式實(shí)施。

等保2.0發(fā)布一周年，過等保成為了企業(yè)合規(guī)運(yùn)營的必經(jīng)之路。在騰訊安全聯(lián)合安全媒體FreeBuf舉辦《產(chǎn)業(yè)安全公開課 · 等保2.0專場》上，騰訊安全、深信服、深圳網(wǎng)安、鼎鉉的各位安全專家圍繞網(wǎng)絡(luò)安全相關(guān)的政策法規(guī)，從不同的角度向各行各業(yè)分享了等保2.0的政策解讀和實(shí)踐經(jīng)驗(yàn)。在之前的文章里，騰訊安全已經(jīng)向讀者陸續(xù)輸出了等保政策、過保經(jīng)驗(yàn)、密碼、數(shù)據(jù)安全等維度上的內(nèi)容，今天我們把六位安全專家的干貨和精髓進(jìn)行再次地提煉和凝聚，助力企業(yè)客戶一站式讀懂等保2.0。

第一課：學(xué)標(biāo)桿，首度揭秘騰訊“過等保”經(jīng)驗(yàn)

等保2.0標(biāo)準(zhǔn)所采用的“一個中心、三重防護(hù)”的安全理念，要求企業(yè)安全體系的防御重心從被動防御向事前防御、事中響應(yīng)、事后審計(jì)的動態(tài)保障體系轉(zhuǎn)變。尤其對于正在經(jīng)歷或者數(shù)字化轉(zhuǎn)型初期企業(yè)而言，這種防御重心的改變進(jìn)一步加劇了安全挑戰(zhàn)。如何快速、平穩(wěn)、高效通過等級保護(hù)，成為大中小企業(yè)的關(guān)注焦點(diǎn)。

尤其是深度接入互聯(lián)網(wǎng)技術(shù)的大型公司，他們的過保經(jīng)驗(yàn)尤為珍貴。作為一家擁有超過6萬名員工、100+業(yè)務(wù)線的企業(yè)而言，騰訊這種體量的企業(yè)是如何過等保的?騰訊安全管理部標(biāo)準(zhǔn)管理中心副總監(jiān)黃超帶來的《等保2.0時代，騰訊如何應(yīng)對安全合規(guī)新挑戰(zhàn)》，就分享了騰訊與等級保護(hù)幕后故事和一手的實(shí)踐干貨。

黃超在課上表示，公司高層重視網(wǎng)絡(luò)安全，決定了這個企業(yè)開展網(wǎng)絡(luò)安全相關(guān)工作的執(zhí)行力以及安全戰(zhàn)略的高度。在騰訊公司高層直接關(guān)注和扎實(shí)的安全團(tuán)隊(duì)支撐下，騰訊的做法被稱為“舉全公司之力鞏固安全長城”——成立等級保護(hù)工作組，集結(jié)了來自公司內(nèi)部各個安全團(tuán)隊(duì)的超過100名成員，推動等保工作落地。

除了持續(xù)性的進(jìn)行內(nèi)部政策宣貫和標(biāo)準(zhǔn)培訓(xùn)外，騰訊還針對等保中的新技術(shù)、新場景邀請業(yè)內(nèi)的專家培訓(xùn)，對公司自研業(yè)務(wù)的查漏補(bǔ)缺以及不定期舉辦如“漏洞懸賞”的安全專項(xiàng)，加速等保工作的開展。

第二課：借力過保，騰訊安全如何助力企業(yè)步入合規(guī)之路

幾乎所有的企業(yè)都要通過網(wǎng)絡(luò)安全等保大考，尤其是關(guān)系國計(jì)民生的重點(diǎn)行業(yè)如金融、醫(yī)療、教育等，相關(guān)主管部門已經(jīng)下發(fā)詳細(xì)的工作開展知識和全方位的過保標(biāo)準(zhǔn)。產(chǎn)業(yè)安全公開課·等保2.0專場的第二課，騰訊安全的等級保護(hù)合規(guī)服務(wù)負(fù)責(zé)人王余為客戶分享了《騰訊如何助力企業(yè)通過等級保護(hù)》，詳細(xì)講述在網(wǎng)絡(luò)安全建設(shè)和等級保護(hù)合規(guī)建設(shè)全生命周期中，騰訊如何為網(wǎng)絡(luò)運(yùn)營者提供快速過保的產(chǎn)品、服務(wù)、解決方案及最佳實(shí)踐經(jīng)驗(yàn)。

騰訊安全從各行業(yè)實(shí)踐中梳理和總結(jié)等保2.0時代網(wǎng)絡(luò)安全合規(guī)工作方式與方法，以“一個中心、三重防護(hù)”為核心，在云平臺合規(guī)、技術(shù)支持、專家服務(wù)等方面旨在助力提升企業(yè)網(wǎng)絡(luò)安全能力，規(guī)避和緩解企業(yè)風(fēng)險(xiǎn)。

一方面，騰訊云已通過等級保護(hù)三級、騰訊金融云已通過等級保護(hù)四級要求，可以為云租戶提供一個合規(guī)的云平臺;另一方面，騰訊安全整合身份安全、網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、數(shù)據(jù)安全、業(yè)務(wù)安全、安全管理和安全服務(wù)等多種安全領(lǐng)域的相關(guān)產(chǎn)品和服務(wù)優(yōu)勢，為企業(yè)提供更加體系化、標(biāo)準(zhǔn)化的安全防護(hù)設(shè)計(jì)，讓整體防護(hù)更加協(xié)同、高效，并通過技術(shù)、流程、人的協(xié)同機(jī)制形成閉環(huán)，滿足不同場景下的安全合規(guī)需求。此外，針對關(guān)鍵服務(wù)階段，騰訊安全專家服務(wù)能夠?yàn)槠髽I(yè)提供更加體系化、標(biāo)準(zhǔn)化的安全防護(hù)設(shè)計(jì)，讓整體防護(hù)更加協(xié)同、高效，并通過技術(shù)、流程、人的協(xié)同機(jī)制形成閉環(huán)，在落實(shí)等保合規(guī)的基礎(chǔ)上持續(xù)提高安全運(yùn)營能力。

第三課：業(yè)務(wù)安全和等保合規(guī)，“雙輪”驅(qū)動商用密碼應(yīng)用

密碼作為網(wǎng)絡(luò)空間安全保障和信任機(jī)制構(gòu)建的核心技術(shù)與基礎(chǔ)支撐，是國家安全的重要戰(zhàn)略資源，也是國家實(shí)現(xiàn)安全可控信息技術(shù)體系彎道超車的重要突破口。為解決當(dāng)前密碼應(yīng)用存在的突出問題，國家頒布實(shí)施了《網(wǎng)絡(luò)安全法》《密碼法》《網(wǎng)絡(luò)安全審查辦法》等一系列法律法規(guī)，都對密碼應(yīng)用安全性評估提出要求，希望通過密碼應(yīng)用安全性評估促進(jìn)商用密碼的使用和管理規(guī)范。

為此，產(chǎn)業(yè)安全公開課·等保2.0專場第三課，全國首家第三方商用密碼檢測機(jī)構(gòu)鼎鉉公司的安全測評部副部長鄒超在《信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)、改造與評估要點(diǎn)解析》課程中，針對法律法規(guī)對密碼上的要求進(jìn)行了解讀與分享。5分鐘速看密碼評測精華《關(guān)于密碼測評，你必須了解的10個基本問題》

鄒超表示，運(yùn)營者在企業(yè)信息系統(tǒng)建設(shè)的過程中，應(yīng)充分使用商用密碼對業(yè)務(wù)和數(shù)據(jù)進(jìn)行保護(hù)。尤其是面向社會服務(wù)的政務(wù)信息系統(tǒng)、涉及國計(jì)民生和基礎(chǔ)信息資源的信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施、等保三級等重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)，在建設(shè)之初就應(yīng)充分規(guī)劃和配置相關(guān)密碼設(shè)備及服務(wù)，啟用商密算法/協(xié)議等功能配置，保障業(yè)務(wù)安全穩(wěn)定地發(fā)展。

騰訊安全打造了端到端的云數(shù)據(jù)全生命周期安全體系，以“數(shù)據(jù)安全中臺”為中心，保障數(shù)據(jù)在識別、使用、消費(fèi)過程中的安全。基于騰訊安全云數(shù)據(jù)安全中臺，騰訊安全以數(shù)據(jù)加密軟硬件系統(tǒng)、密鑰管理系統(tǒng)、憑據(jù)管理系統(tǒng)以及云數(shù)據(jù)加密代理網(wǎng)關(guān)為核心，實(shí)現(xiàn)從數(shù)據(jù)獲取、數(shù)據(jù)處理及檢索、數(shù)據(jù)分析與服務(wù)、數(shù)據(jù)訪問與消費(fèi)過程中的安全、合規(guī)的密碼防護(hù)。

第四課：關(guān)鍵信息基礎(chǔ)設(shè)施，等保2.0的重中之重

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)直接關(guān)系到國家安全、國計(jì)民生和公共利益，是等級保護(hù)的重點(diǎn)，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與網(wǎng)絡(luò)安全等級保護(hù)的關(guān)系緊密不可分割。來自深信服的安全解決方案專家楊帆帆在產(chǎn)業(yè)安全公開課·等保2.0專場第四課《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)政策解讀》中，分享了深信服基于對網(wǎng)絡(luò)安全等級保護(hù)政策和標(biāo)準(zhǔn)的研究以及等級保護(hù)領(lǐng)域的大量實(shí)踐經(jīng)驗(yàn)。

楊帆帆在課程中說道，關(guān)鍵信息基礎(chǔ)設(shè)施的確定通常包括三個步驟，一是確定關(guān)鍵業(yè)務(wù)，二是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，三是根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事故后可能造成的損失來認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)則分為五個環(huán)節(jié)。其中識別認(rèn)定是首要環(huán)節(jié)，是開展安全防護(hù)檢測監(jiān)督預(yù)警處置的基礎(chǔ)，而安全防護(hù)環(huán)節(jié)是在識別認(rèn)定的基礎(chǔ)上實(shí)施安全防護(hù)措施，檢測評估環(huán)節(jié)檢驗(yàn)安全防護(hù)措施的有效性，分析潛在的安全風(fēng)險(xiǎn)，監(jiān)測預(yù)警環(huán)節(jié)針對已經(jīng)發(fā)生或者可能發(fā)生的網(wǎng)絡(luò)事件進(jìn)行提前的預(yù)警，最后的事件處置環(huán)節(jié)主要針對檢測評估、監(jiān)測預(yù)警環(huán)節(jié)發(fā)生的問題實(shí)施應(yīng)對措施，保障關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性。

第五課：推出全棧解決方案，實(shí)現(xiàn)重保高效精準(zhǔn)打擊構(gòu)建

#FormatImgID_5#

近年來，企業(yè)級安全建設(shè)面臨混合云、DevSecOps、零信任體系、敏捷開發(fā)要求等綜合復(fù)雜場景引入，企業(yè)級安全問題出現(xiàn)了不同于以往的新形態(tài)。如何在這樣的新形態(tài)下做好企業(yè)IPO等關(guān)鍵時刻的重點(diǎn)防護(hù)，全局性提升企業(yè)安全成為很多行業(yè)面臨的問題。

產(chǎn)業(yè)安全公開課·等保2.0專場第五課，騰訊安全專家咨詢中心企業(yè)級安全服務(wù)負(fù)責(zé)人李光輝以《企業(yè)安全重保解構(gòu)，高效精準(zhǔn)打擊構(gòu)建》為題，結(jié)合當(dāng)前的安全態(tài)勢環(huán)境，解析企業(yè)面臨的通用安全問題，并分享了騰訊安全在金融、泛互等行業(yè)領(lǐng)域的重保護(hù)航最佳實(shí)踐。

騰訊安全從情報(bào)、攻防、管理、規(guī)劃四個維度依托自身在身份安全、網(wǎng)絡(luò)安全、終端安全等八大領(lǐng)域的安全能力，為客戶設(shè)計(jì)了安全重保防護(hù)全棧安全解決方案，從企業(yè)自身所處的行業(yè)以及業(yè)務(wù)特殊性出發(fā)進(jìn)行整體安全咨詢。方案包含安全整體提升、內(nèi)部檢驗(yàn)、實(shí)戰(zhàn)駐場三個階段。

首先在安全整體提升階段，主要通過資產(chǎn)普查和風(fēng)險(xiǎn)評估、漏洞掃描和基線檢查、關(guān)鍵核心業(yè)務(wù)的滲透測試、應(yīng)急響應(yīng)方案編寫、建立應(yīng)急響應(yīng)組織體系、滲透測試和復(fù)測等工作及時發(fā)現(xiàn)業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)，加強(qiáng)防護(hù)能力。在內(nèi)部檢驗(yàn)階段，通過紅藍(lán)對抗以及檢查防護(hù)策略的有效性及完整性，避免策略疏漏和失效導(dǎo)致被外部利用。在實(shí)戰(zhàn)駐場階段，通過7x24安全監(jiān)控分析，對安全設(shè)備、系統(tǒng)等安全日志和事件告警進(jìn)行持續(xù)監(jiān)測，對安全事件進(jìn)行應(yīng)急響應(yīng)處理，確保零安全事件發(fā)生。

第六課：明確權(quán)責(zé)、規(guī)范指引，構(gòu)建全生命周期的數(shù)據(jù)安全縱深防御

等保2.0在等保1.0對數(shù)據(jù)安全的要求基本不變的情況下，根據(jù)新網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)場景對數(shù)據(jù)安全保護(hù)能力，對數(shù)據(jù)的審計(jì)、訪問控制、加密都有更明確的要求。為了向各行各業(yè)的企業(yè)客戶分享等保2.0在數(shù)據(jù)安全領(lǐng)域的政策解讀和實(shí)踐經(jīng)驗(yàn)，產(chǎn)業(yè)安全公開課·等保2.0專場第六課《等保2.0中核心數(shù)據(jù)安全要求解讀》中，騰訊數(shù)據(jù)安全產(chǎn)品經(jīng)理周京川圍繞如何保障數(shù)據(jù)的全生命周期安全，保障數(shù)據(jù)存儲的完整性、保密性來解讀等保2.0的數(shù)據(jù)安全條款。

等保2.0對于數(shù)據(jù)安全的要求升級和新規(guī)范設(shè)置，實(shí)際上是順應(yīng)了社會普遍對數(shù)據(jù)治理的底層需求。等保2.0在1.0的基礎(chǔ)上，將主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)統(tǒng)一納入“安全計(jì)算環(huán)境”范圍，細(xì)分身份認(rèn)證、訪問控制、安全審計(jì)、數(shù)據(jù)保密性、個人信息保護(hù)、安全管理中心等維度進(jìn)行明確，從事前、事中、事后實(shí)現(xiàn)整體性防范，要求企業(yè)不僅要做好數(shù)據(jù)審計(jì)，還要在出現(xiàn)問題的時候可以實(shí)現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)溯源。

面對由從云計(jì)算、大數(shù)據(jù)、AI、量子對抗到5G層層開放發(fā)展帶來的安全挑戰(zhàn)，產(chǎn)業(yè)互聯(lián)網(wǎng)時代的企業(yè)應(yīng)當(dāng)抓住時代前沿技術(shù)紅利，以戰(zhàn)略視角構(gòu)建基礎(chǔ)安全架構(gòu)、綜合運(yùn)營管理和租戶云安全中心的云數(shù)據(jù)原生、全生命周期縱深防御技術(shù)架構(gòu)和安全運(yùn)維體系，為產(chǎn)業(yè)云化升級中的信息安全對抗提供全面支撐。

等保2.0標(biāo)準(zhǔn)作為我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度和基本方法，不僅是企業(yè)品牌樹立、可持續(xù)發(fā)展的重要保障，更是我國信息系統(tǒng)安全在新時代、新態(tài)勢下網(wǎng)絡(luò)安全的“風(fēng)向標(biāo)”。

數(shù)字化轉(zhuǎn)型是當(dāng)今社會發(fā)展的主流趨勢。從產(chǎn)業(yè)的內(nèi)生建設(shè)來看，發(fā)展需要兼顧“效率”與“穩(wěn)定”，信息化建設(shè)與應(yīng)急能力在產(chǎn)業(yè)快速迭代轉(zhuǎn)型的同時，需要將安全能力納入考量指標(biāo);就外部環(huán)境而言，產(chǎn)業(yè)數(shù)字升級的過程中會形成更多數(shù)據(jù)和信息的“價值洼地”，這也使得網(wǎng)絡(luò)攻擊組織的滲透和破壞得到了更大的空間，迫切需要企業(yè)和社會將安全防護(hù)和健康穩(wěn)定放在發(fā)展規(guī)劃的首位。面對復(fù)雜的網(wǎng)絡(luò)安全形勢，騰訊安全依托自身深入產(chǎn)業(yè)互聯(lián)網(wǎng)實(shí)踐所積累的技術(shù)、人才與生態(tài)優(yōu)勢，聯(lián)合生態(tài)伙伴共同深耕等保的研究與實(shí)踐，為企業(yè)持續(xù)提供高效務(wù)實(shí)的等保規(guī)劃和經(jīng)驗(yàn)分享，助力企業(yè)贏在產(chǎn)業(yè)轉(zhuǎn)型的起跑線。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）