鼎铉安全测评部副部长
《密码法》的颁布实施极大促进了密码在网络安全中的应用,为规范商用密码的使用和管理提供了法律依据。本课程通过介绍密码相关法律法规、技术要点以及常见问题,帮助企业在信息系统规划、建设及运营过程中合规、正确、有效地使用密码,充分发挥密码在网络空间安全中的核心技术与基础支撑作用,为顺利开展密评奠定基础。
5G、AI、云计算、物联网等新技术和新架构正在成为社会发展的“关键词”,在新基建的浪潮下产业数字化升级成为重中之重。网络等级保护工作的内涵随之持续扩展,面对各行各业的共性安全保护提出了安全通用要求。2019年5月13日,网络安全等级保护2.0标准正式发布,同年12月1日正式实施。
等保2.0发布一周年,过等保成为了企业合规运营的必经之路。在腾讯安全联合安全媒体FreeBuf举办《产业安全公开课 · 等保2.0专场》上,腾讯安全、深信服、深圳网安、鼎铉的各位安全专家围绕网络安全相关的政策法规,从不同的角度向各行各业分享了等保2.0的政策解读和实践经验。在之前的文章里,腾讯安全已经向读者陆续输出了等保政策、过保经验、密码、数据安全等维度上的内容,今天我们把六位安全专家的干货和精髓进行再次地提炼和凝聚,助力企业客户一站式读懂等保2.0。
第一课:学标杆
首度揭秘腾讯“过等保”经验
等保2.0标准所采用的“一个中心、三重防护”的安全理念,要求企业安全体系的防御重心从被动防御向事前防御、事中响应、事后审计的动态保障体系转变。尤其对于正在经历或者数字化转型初期企业而言,这种防御重心的改变进一步加剧了安全挑战。如何快速、平稳、高效通过等级保护,成为大中小企业的关注焦点。
尤其是深度接入互联网技术的大型公司,他们的过保经验尤为珍贵。作为一家拥有超过6万名员工、100+业务线的企业而言,腾讯这种体量的企业是如何过等保的?腾讯安全管理部标准管理中心副总监黄超带来的《等保2.0时代,腾讯如何应对安全合规新挑战》,就分享了腾讯与等级保护幕后故事和一手的实践干货。
黄超在课上表示,公司高层重视网络安全,决定了这个企业开展网络安全相关工作的执行力以及安全战略的高度。在腾讯公司高层直接关注和扎实的安全团队支撑下,腾讯的做法被称为“举全公司之力巩固安全长城”——成立等级保护工作组,集结了来自公司内部各个安全团队的超过100名成员,推动等保工作落地。
除了持续性的进行内部政策宣贯和标准培训外,腾讯还针对等保中的新技术、新场景邀请业内的专家培训,对公司自研业务的查漏补缺以及不定期举办如“漏洞悬赏”的安全专项,加速等保工作的开展。
第二课:借力过保
腾讯安全如何助力企业步入合规之路
几乎所有的企业都要通过网络安全等保大考,尤其是关系国计民生的重点行业如金融、医疗、教育等,相关主管部门已经下发详细的工作开展知识和全方位的过保标准。产业安全公开课·等保2.0专场的第二课,腾讯安全的等级保护合规服务负责人王余为客户分享了《腾讯如何助力企业通过等级保护》,详细讲述在网络安全建设和等级保护合规建设全生命周期中,腾讯如何为网络运营者提供快速过保的产品、服务、解决方案及最佳实践经验。
腾讯安全从各行业实践中梳理和总结等保2.0时代网络安全合规工作方式与方法,以“一个中心、三重防护”为核心,在云平台合规、技术支持、专家服务等方面旨在助力提升企业网络安全能力,规避和缓解企业风险。
一方面,腾讯云已通过等级保护三级、腾讯金融云已通过等级保护四级要求,可以为云租户提供一个合规的云平台;另一方面,腾讯安全整合身份安全、网络安全、终端安全、应用安全、数据安全、业务安全、安全管理和安全服务等多种安全领域的相关产品和服务优势,为企业提供更加体系化、标准化的安全防护设计,让整体防护更加协同、高效,并通过技术、流程、人的协同机制形成闭环,满足不同场景下的安全合规需求。此外,针对关键服务阶段,腾讯安全专家服务能够为企业提供更加体系化、标准化的安全防护设计,让整体防护更加协同、高效,并通过技术、流程、人的协同机制形成闭环,在落实等保合规的基础上持续提高安全运营能力。
第三课:业务安全和等保合规
“双轮”驱动商用密码应用
密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》《密码法》《网络安全审查办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范。
为此,产业安全公开课·等保2.0专场第三课,全国首家第三方商用密码检测机构鼎铉公司的安全测评部副部长邹超在《信息系统密码应用设计、改造与评估要点解析》课程中,针对法律法规对密码上的要求进行了解读与分享。?5分钟速看密码评测精华《关于密码测评,你必须了解的10个基本问题》
邹超表示,运营者在企业信息系统建设的过程中,应充分使用商用密码对业务和数据进行保护。尤其是面向社会服务的政务信息系统、涉及国计民生和基础信息资源的信息系统关键基础设施、等保三级等重要领域网络和信息系统,在建设之初就应充分规划和配置相关密码设备及服务,启用商密算法/协议等功能配置,保障业务安全稳定地发展。
腾讯安全打造了端到端的云数据全生命周期安全体系,以“数据安全中台”为中心,保障数据在识别、使用、消费过程中的安全。基于腾讯安全云数据安全中台,腾讯安全以数据加密软硬件系统、密钥管理系统、凭据管理系统以及云数据加密代理网关为核心,实现从数据获取、数据处理及检索、数据分析与服务、数据访问与消费过程中的安全、合规的密码防护。
第四课:关键信息基础设施
等保2.0的重中之重
关键信息基础设施保护直接关系到国家安全、国计民生和公共利益,是等级保护的重点,关键信息基础设施保护与网络安全等级保护的关系紧密不可分割。来自深信服的安全解决方案专家杨帆帆在产业安全公开课·等保2.0专场第四课《关键信息基础设施保护相关政策解读》中,分享了深信服基于对网络安全等级保护政策和标准的研究以及等级保护领域的大量实践经验。
杨帆帆在课程中说道,关键信息基础设施的确定通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度以及信息系统发生网络安全事故后可能造成的损失来认定关键信息基础设施。
关键信息基础设施安全保护则分为五个环节。其中识别认定是首要环节,是开展安全防护检测监督预警处置的基础,而安全防护环节是在识别认定的基础上实施安全防护措施,检测评估环节检验安全防护措施的有效性,分析潜在的安全风险,监测预警环节针对已经发生或者可能发生的网络事件进行提前的预警,最后的事件处置环节主要针对检测评估、监测预警环节发生的问题实施应对措施,保障关键信息基础设施的业务连续性。
第五课:推出全栈解决方案
实现重保高效精准打击构建
近年来,企业级安全建设面临混合云、DevSecOps、零信任体系、敏捷开发要求等综合复杂场景引入,企业级安全问题出现了不同于以往的新形态。如何在这样的新形态下做好企业IPO等关键时刻的重点防护,全局性提升企业安全成为很多行业面临的问题。
产业安全公开课·等保2.0专场第五课,腾讯安全专家咨询中心企业级安全服务负责人李光辉以《企业安全重保解构,高效精准打击构建》为题,结合当前的安全态势环境,解析企业面临的通用安全问题,并分享了腾讯安全在金融、泛互等行业领域的重保护航最佳实践。
腾讯安全从情报、攻防、管理、规划四个维度依托自身在身份安全、网络安全、终端安全等八大领域的安全能力,为客户设计了安全重保防护全栈安全解决方案,从企业自身所处的行业以及业务特殊性出发进行整体安全咨询。方案包含安全整体提升、内部检验、实战驻场三个阶段。
首先在安全整体提升阶段,主要通过资产普查和风险评估、漏洞扫描和基线检查、关键核心业务的渗透测试、应急响应方案编写、建立应急响应组织体系、渗透测试和复测等工作及时发现业务风险点,加强防护能力。在内部检验阶段,通过红蓝对抗以及检查防护策略的有效性及完整性,避免策略疏漏和失效导致被外部利用。在实战驻场阶段,通过7x24安全监控分析,对安全设备、系统等安全日志和事件告警进行持续监测,对安全事件进行应急响应处理,确保零安全事件发生。
第六课:明确权责、规范指引
构建全生命周期的数据安全纵深防御
等保2.0在等保1.0对数据安全的要求基本不变的情况下,根据新网络环境和业务场景对数据安全保护能力,对数据的审计、访问控制、加密都有更明确的要求。为了向各行各业的企业客户分享等保2.0在数据安全领域的政策解读和实践经验,产业安全公开课·等保2.0专场第六课《等保2.0中核心数据安全要求解读》中,腾讯数据安全产品经理周京川围绕如何保障数据的全生命周期安全,保障数据存储的完整性、保密性来解读等保2.0的数据安全条款。
等保2.0对于数据安全的要求升级和新规范设置,实际上是顺应了社会普遍对数据治理的底层需求。等保2.0在1.0的基础上,将主机安全、应用安全、数据安全及备份恢复统一纳入“安全计算环境”范围,细分身份认证、访问控制、安全审计、数据保密性、个人信息保护、安全管理中心等维度进行明确,从事前、事中、事后实现整体性防范,要求企业不仅要做好数据审计,还要在出现问题的时候可以实现数据风险溯源。
面对由从云计算、大数据、AI、量子对抗到5G层层开放发展带来的安全挑战,产业互联网时代的企业应当抓住时代前沿技术红利,以战略视角构建基础安全架构、综合运营管理和租户云安全中心的云数据原生、全生命周期纵深防御技术架构和安全运维体系,为产业云化升级中的信息安全对抗提供全面支撑。
等保2.0标准作为我国网络安全领域的基本国策、基本制度和基本方法,不仅是企业品牌树立、可持续发展的重要保障,更是我国信息系统安全在新时代、新态势下网络安全的“风向标”。
数字化转型是当今社会发展的主流趋势。从产业的内生建设来看,发展需要兼顾“效率”与“稳定”,信息化建设与应急能力在产业快速迭代转型的同时,需要将安全能力纳入考量指标;就外部环境而言,产业数字升级的过程中会形成更多数据和信息的“价值洼地”,这也使得网络攻击组织的渗透和破坏得到了更大的空间,迫切需要企业和社会将安全防护和健康稳定放在发展规划的首位。面对复杂的网络安全形势,腾讯安全依托自身深入产业互联网实践所积累的技术、人才与生态优势,联合生态伙伴共同深耕等保的研究与实践,为企业持续提供高效务实的等保规划和经验分享,助力企业赢在产业转型的起跑线。 原文链接:https://mp.weixin.qq.com/s/4r-9YNmuS9hfre_bE9QA9w