5分鐘讀完6小時課程乾貨：企業等保合規全面解讀

5G、AI、雲計算、物聯網等新技術和新架構正在成爲社會發展的「關鍵詞」，在新基建的浪潮下產業數字化升級成爲重中之重。網絡等級保護工做的內涵隨之持續擴展，面對各行各業的共性安全保護提出了安全通用要求。2019年5月13日，網絡安全等級保護2.0標準正式發佈，同年12月1日正式實施。

等保2.0發佈一週年，過等保成爲了企業合規運營的必經之路。在騰訊安全聯合安全媒體FreeBuf舉辦《產業安全公開課 · 等保2.0專場》上，騰訊安全、深信服、深圳網安、鼎鉉的各位安全專家圍繞網絡安全相關的政策法規，從不一樣的角度向各行各業分享了等保2.0的政策解讀和實踐經驗。在以前的文章裏，騰訊安全已經向讀者陸續輸出了等保政策、過保經驗、密碼、數據安全等維度上的內容，今天咱們把六位安全專家的乾貨和精髓進行再次地提煉和凝聚，助力企業客戶一站式讀懂等保2.0。

第一課：學標杆 首度揭祕騰訊「過等保」經驗

等保2.0標準所採用的「一箇中心、三重防禦」的安全理念，要求企業安全體系的防護重心從被動防護向事前防護、事中響應、過後審計的動態保障體系轉變。尤爲對於正在經歷或者數字化轉型初期企業而言，這種防護重心的改變進一步加重了安全挑戰。如何快速、平穩、高效經過等級保護，成爲大中小企業的關注焦點。

尤爲是深度接入互聯網技術的大型公司，他們的過保經驗尤其珍貴。做爲一家擁有超過6萬名員工、100+業務線的企業而言，騰訊這種體量的企業是如何過等保的？騰訊安全管理部標準管理中心副總監黃超帶來的《等保2.0時代，騰訊如何應對安全合規新挑戰》，就分享了騰訊與等級保護幕後故事和一手的實踐乾貨。

黃超在課上表示，公司高層重視網絡安全，決定了這個企業開展網絡安全相關工做的執行力以及安全戰略的高度。在騰訊公司高層直接關注和紮實的安全團隊支撐下，騰訊的作法被稱爲「舉全公司之力鞏固安全長城」——成立等級保護工做組，集結了來自公司內部各個安全團隊的超過100名成員，推進等保工做落地。

除了持續性的進行內部政策宣貫和標準培訓外，騰訊還針對等保中的新技術、新場景邀請業內的專家培訓，對公司自研業務的查漏補缺以及不按期舉辦如「漏洞懸賞」的安全專項，加速等保工做的開展。

第二課：借力過保 騰訊安全如何助力企業步入合規之路

幾乎全部的企業都要經過網絡安全等保大考，尤爲是關係國計民生的重點行業如金融、醫療、教育等，相關主管部門已經下發詳細的工做開展知識和全方位的過保標準。產業安全公開課·等保2.0專場的第二課，騰訊安全的等級保護合規服務負責人王餘爲客戶分享了《騰訊如何助力企業經過等級保護》，詳細講述在網絡安全建設和等級保護合規建設全生命週期中，騰訊如何爲網絡運營者提供快速過保的產品、服務、解決方案及最佳實踐經驗。

騰訊安全從各行業實踐中梳理和總結等保2.0時代網絡安全合規工做方式與方法，以「一箇中心、三重防禦」爲核心，在雲平臺合規、技術支持、專家服務等方面旨在助力提高企業網絡安全能力，規避和緩解企業風險。

一方面，騰訊雲已經過等級保護三級、騰訊金融雲已經過等級保護四級要求，能夠爲雲租戶提供一個合規的雲平臺；另外一方面，騰訊安全整合身份安全、網絡安全、終端安全、應用安全、數據安全、業務安全、安全管理和安全服務等多種安全領域的相關產品和服務優點，爲企業提供更加體系化、標準化的安全防禦設計，讓總體防禦更加協同、高效，並經過技術、流程、人的協同機制造成閉環，知足不一樣場景下的安全合規需求。此外，針對關鍵服務階段，騰訊安全專家服務可以爲企業提供更加體系化、標準化的安全防禦設計，讓總體防禦更加協同、高效，並經過技術、流程、人的協同機制造成閉環，在落實等保合規的基礎上持續提升安全運營能力。

第三課：業務安全和等保合規 「雙輪」驅動商用密碼應用

密碼做爲網絡空間安全保障和信任機制構建的核心技術與基礎支撐，是國家安全的重要戰略資源，也是國家實現安全可控信息技術體系彎道超車的重要突破口。爲解決當前密碼應用存在的突出問題，國家頒佈實施了《網絡安全法》《密碼法》《網絡安全審查辦法》等一系列法律法規，都對密碼應用安全性評估提出要求，但願經過密碼應用安全性評估促進商用密碼的使用和管理規範。

爲此，產業安全公開課·等保2.0專場第三課，全國首家第三方商用密碼檢測機構鼎鉉公司的安全測評部副部長鄒超在《信息系統密碼應用設計、改造與評估要點解析》課程中，針對法律法規對密碼上的要求進行了解讀與分享。👉5分鐘速看密碼評測精華《關於密碼測評，你必須瞭解的10個基本問題》

鄒超表示，運營者在企業信息系統建設的過程當中，應充分使用商用密碼對業務和數據進行保護。尤爲是面向社會服務的政務信息系統、涉及國計民生和基礎信息資源的信息系統關鍵基礎設施、等保三級等重要領域網絡和信息系統，在建設之初就應充分規劃和配置相關密碼設備及服務，啓用商密算法/協議等功能配置，保障業務安全穩定地發展。

騰訊安全打造了端到端的雲數據全生命週期安全體系，以「數據安全中臺」爲中心，保障數據在識別、使用、消費過程當中的安全。基於騰訊安全雲數據安全中臺，騰訊安全以數據加密軟硬件系統、密鑰管理系統、憑據管理系統以及雲數據加密代理網關爲核心，實現從數據獲取、數據處理及檢索、數據分析與服務、數據訪問與消費過程當中的安全、合規的密碼防禦。

第四課：關鍵信息基礎設施 等保2.0的重中之重

關鍵信息基礎設施保護直接關係到國家安全、國計民生和公共利益，是等級保護的重點，關鍵信息基礎設施保護與網絡安全等級保護的關係緊密不可分割。來自深信服的安全解決方案專家楊帆帆在產業安全公開課·等保2.0專場第四課《關鍵信息基礎設施保護相關政策解讀》中，分享了深信服基於對網絡安全等級保護政策和標準的研究以及等級保護領域的大量實踐經驗。

楊帆帆在課程中說道，關鍵信息基礎設施的肯定一般包括三個步驟，一是肯定關鍵業務，二是肯定支撐關鍵業務的信息系統或工業控制系統，三是根據關鍵業務對信息系統或工業控制系統的依賴程度以及信息系統發生網絡安全事故後可能形成的損失來認定關鍵信息基礎設施。

關鍵信息基礎設施安全保護則分爲五個環節。其中識別認定是首要環節，是開展安全防禦檢測監督預警處置的基礎，而安全防禦環節是在識別認定的基礎上實施安全防禦措施，檢測評估環節檢驗安全防禦措施的有效性，分析潛在的安全風險，監測預警環節針對已經發生或者可能發生的網絡事件進行提早的預警，最後的事件處置環節主要針對檢測評估、監測預警環節發生的問題實施應對措施，保障關鍵信息基礎設施的業務連續性。

第五課：推出全棧解決方案 實現重保高效精準打擊構建

近年來，企業級安全建設面臨混合雲、DevSecOps、零信任體系、敏捷開發要求等綜合複雜場景引入，企業級安全問題出現了不一樣於以往的新形態。如何在這樣的新形態下作好企業IPO等關鍵時刻的重點防禦，全局性提高企業安全成爲不少行業面臨的問題。

產業安全公開課·等保2.0專場第五課，騰訊安全專家諮詢中心企業級安全服務負責人李光輝以《企業安全重保解構，高效精準打擊構建》爲題，結合當前的安全態勢環境，解析企業面臨的通用安全問題，並分享了騰訊安全在金融、泛互等行業領域的重保護航最佳實踐。

騰訊安全從情報、攻防、管理、規劃四個維度依託自身在身份安全、網絡安全、終端安全等八大領域的安全能力，爲客戶設計了安全重保防禦全棧安全解決方案，從企業自身所處的行業以及業務特殊性出發進行總體安全諮詢。方案包含安全總體提高、內部檢驗、實戰駐場三個階段。

首先在安全總體提高階段，主要經過資產普查和風險評估、漏洞掃描和基線檢查、關鍵核心業務的滲透測試、應急響應方案編寫、創建應急響應組織體系、滲透測試和複測等工做及時發現業務風險點，增強防禦能力。在內部檢驗階段，經過紅藍對抗以及檢查防禦策略的有效性及完整性，避免策略疏漏和失效致使被外部利用。在實戰駐場階段，經過7x24安全監控分析，對安全設備、系統等安全日誌和事件告警進行持續監測，對安全事件進行應急響應處理，確保零安全事件發生。

第六課：明確權責、規範指引 構建全生命週期的數據安全縱深防護

等保2.0在等保1.0對數據安全的要求基本不變的狀況下，根據新網絡環境和業務場景對數據安全保護能力，對數據的審計、訪問控制、加密都有更明確的要求。爲了向各行各業的企業客戶分享等保2.0在數據安全領域的政策解讀和實踐經驗，產業安全公開課·等保2.0專場第六課《等保2.0中核心數據安全要求解讀》中，騰訊數據安全產品經理周京川圍繞如何保障數據的全生命週期安全，保障數據存儲的完整性、保密性來解讀等保2.0的數據安全條款。

等保2.0對於數據安全的要求升級和新規範設置，其實是順應了社會廣泛對數據治理的底層需求。等保2.0在1.0的基礎上，將主機安全、應用安全、數據安全及備份恢復統一歸入「安全計算環境」範圍，細分身份認證、訪問控制、安全審計、數據保密性、我的信息保護、安全管理中心等維度進行明確，從事前、事中、過後實現總體性防範，要求企業不只要作好數據審計，還要在出現問題的時候能夠實現數據風險溯源。

面對由從雲計算、大數據、AI、量子對抗到5G層層開放發展帶來的安全挑戰，產業互聯網時代的企業應當抓住時代前沿技術紅利，以戰略視角構建基礎安全架構、綜合運營管理和租戶雲安全中心的雲數據原生、全生命週期縱深防護技術架構和安全運維體系，爲產業雲化升級中的信息安全對抗提供全面支撐。

等保2.0標準做爲我國網絡安全領域的基本國策、基本制度和基本方法，不只是企業品牌樹立、可持續發展的重要保障，更是我國信息系統安全在新時代、新態勢下網絡安全的「風向標」。

數字化轉型是當今社會發展的主流趨勢。從產業的內生建設來看，發展須要兼顧「效率」與「穩定」，信息化建設與應急能力在產業快速迭代轉型的同時，須要將安全能力歸入考量指標；就外部環境而言，產業數字升級的過程當中會造成更多數據和信息的「價值窪地」，這也使得網絡攻擊組織的滲透和破壞獲得了更大的空間，迫切須要企業和社會將安全防禦和健康穩定放在發展規劃的首位。面對複雜的網絡安全形勢，騰訊安全依託自身深刻產業互聯網實踐所積累的技術、人才與生態優點，聯合生態夥伴共同深耕等保的研究與實踐，爲企業持續提供高效務實的等保規劃和經驗分享，助力企業贏在產業轉型的起跑線。