幾乎全部企業都要參加的網絡安全大考，應該如何準備？

導語 | 備受關注的網絡安全等級保護制度2.0國家標準於5月13日正式發佈，並將於2019年12月1日正式實施。幾乎全部企業都要經過的網絡安全大考，應該如何準備呢？「雲加社區」特邀騰訊雲安全專家王餘在雲加社區微信羣中的爲你們解答，本文是這次分享整理總結而成（編輯：尾尾）。加羣請關注「雲加社區」公衆號，回覆「加羣」。

你們好，我是王餘，從事信息安全工做18年，今天給你們分享一下有關網絡安全等級保護制度2.0的知識。

騰訊雲公有云平臺和金融雲平臺，自2016.12開始按照等保2.0試行版標準開展等保備案和測評工做，並最終在2017.5《網絡安全法》正式實施之際，經過了公有云平臺三級，金融雲平臺四級的測評。結合騰訊雲此前已取得的成果和多年合規服務中所積累的經驗，我將從安全運營中心和加密管理的角度進行詳細的解讀。

1、什麼是等級保護？

信息安全等級保護（如下簡稱等保）是指對國家祕密信息、法人和其餘組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

備受關注的網絡安全等級保護制度2.0國家標準於5月13日正式發佈，並將於2019年12月1日正式實施。等保2.0中明確了五種安全等級中對信息系統最低要求，也就是基本安全要求，涵蓋了基本技術要求和基本管理要求，用於指導信息系統的安全建設和監督管理。

而關係國計民生的重點行業，如金融、醫療、教育等，主管部門已經下發相關文件或通知要求開展等級保護工做。標準的發佈對企業等組織的信息安全包括雲安全工做影響已顯然可見。

2、等保2.0的重大變化有哪些？

1.從「指南」到「法律」

等保2.0相對於1.0最大不一樣就是性質的變化。
等保2.0，全稱「網絡安全等級保護制度2.0標準」，是對網絡和信息系統按照重要性等級分級進行保護的一項重要標準。有了等保2.0，網絡安全從業者和安全監管部門開展工做今後有了遵循的標準和規定。等保2.0是履行安全保護義務的重要部分，若是相關單位拒不履行，將會受到相應處罰，「不過保就是違法」。
從「指南」到「法律」，嚴格程度上升的不僅一點點。同時，保護的範圍也發生了變化：除基本要求外，雲計算、移動互聯、物聯網、工業控制和大數據等新業態無一另外。定級、測評和備案等流程的條件限定也有所調整。

2.以「一箇中心，三重防禦「爲網絡安全技術設計的整體思路

一箇中心即安全管理中心，三重防禦即安全計算環境、安全區域邊界、安全通訊網絡。
安全管理中心要求在系統管理、安全管理、審計管理三個方面實現集中管控，從被動防禦轉變到主動防禦，從靜態防禦轉變到動態防禦，從單點防禦轉變到總體防禦，從粗放防禦轉變到精準防禦。
三重防禦要求企業經過安全設備和技術手段實現身份鑑別、訪問控制、入侵防範、數據完整性、保密性、我的信息保護等安全防禦措施，實現平臺的全方位安全防禦。

3.對加密管理提出了嚴格要求

等保2.0明確要求，從建設初期設計和採購階段就應該考慮加密需求，同時在網絡通訊傳輸、計算環境的身份鑑別、數據完整性、數據保密性明確了使用加密技術實現安全防禦的要求，另外，雲上還特別提出鏡像和快照的加固和完整性校驗保護要求，以及對密碼應用方案的國密化提出了明確的採購標準要求。

4.確立了可信計算技術的重要地位

這是等保2.0文件中特別強調的安全特性，不只要求對配置文件及參數的可信執行進行驗證，同時檢測到完整性問題時也應進行報警和應對。

3、等保2.0的測評流程是怎樣的？

等保2.0的測評流程具體來講，主要包含如下幾個方面：

1.確認定級

首先，經過系統識別和描述系統功能和信息系統管理責任劃分，初步綜合其對業務和系統服務等客體的侵害程度，肯定其系統安全保護等級。有主管部門的，應當經主管部門審批。對於擬肯定爲四級及以上信息系統，還應經專家評審會評審。

2.備案

運營、使用單位在肯定等級後到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營後30日內、已運行的二級及以上信息系統在等級肯定30日內備案。公安機關對信息系統備案狀況進行審覈，對符合要求的在10個工做日內頒發等級保護備案證實。

3.開展等級測評

運營、使用單位或者主管部門應當選擇合規測評機構，按期對信息系統安全等級情況開展等級測評。測評機構應當出具測評報告，並出具測評結果通知書，明示信息系統安全等級及測評結果。

4.系統安全建設及整改

運營使用單位按照管理規範和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，創建安全組織，制定並落實安全管理制度。對於未達到安全等級保護要求的，運營、使用單位應當進行整改並報公安機關備案。

5.監督檢查

公安機關依據信息安全等級保護管理規範，監督檢查運營使用單位開展等級保護工做，按期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。

4、企業應該如何快速經過等保2.0

幾乎全部企業都須要參加「等保」，是否參加等保與公司人數和規模沒有必然關係。政務、金融、電信、電力......直白點說就，此次「大考」基本覆蓋了全部企業，尤以政府機關和金融行業爲考察重點。考查內容重點爲企業的安全技術和管理能力。

企業在瞭解等保2.0的基本知識後，如何經過呢？「等保2.0」大考將至，行業單位如何透徹瞭解等級保護安全保障體系，自我提高從而避免「補考」或處罰呢？騰訊安全專家已爲企業準備好通關錦囊。

1.端正考試態度

「過保」是企業一次絕佳的安全自檢過程
最直接的好處就是能版主企業輕鬆知足安全合規要求；同時，藉助「備考」，企業的安全防護能力將在不斷的問題發現和解決中獲得提高，隨後一套更爲嚴謹完善的企業安全體系應時而生，企業健康發展態勢向好。
即便過了等保也不等於有免責牌
國家組織等保2.0是目的不是手段，即便企業過了等保2.0，也不意味就在安全保障上拿到了免責牌。而說到責任劃分方面，在雲平臺的責任上，目前國際主流雲服務商一致的標準，叫「責任共擔」模式。
（參見：騰訊雲安全責任共擔模型：https://cloud.tencent.com/ser...）
通常來講，整個雲計算環境的底層物理和基礎架構安全每每雲服務商統一提供，而云客戶則把更多精力和時間放在更爲細化、專業的業務、應用和數據安全領域。可能每家雲服務商的標準有細微的區別，但大方向都差很少。這一點是知足「等保2.0」等國家安全等級保護制度要求的必然要求。

2.關注新考點：一箇中心+三重防禦

相對於等保1.0來講，等保2.0對企業安全提出的最核心調整在於「一箇中心，三重防禦「的網絡安全技術設計整體思路，要求企業從戰略視角對安全進行總體的規劃和設計。所謂戰略視角就是要更加註重安全的總體性。
針對這一新要求，咱們認爲企業：
一應當創建基於企業雲端安全數據的雲安全運營平臺，實現對漏洞情報、威脅發現、事件處置、基線合規、泄漏監測及風險可視等的安全管理，確保雲上資源和業務安全的集中管控；
二是強化密匙管理，構建完整的數據加密和密匙管理方案，確保重要數據在傳輸、存儲、使用過程當中的安全，知足多重防禦的要求；
三是在雲平臺安全建設方面，企業通常來講要從合規和安全管理的角度入手，把資產、配置和基線作好，創建安全管理的基礎，並完善漏洞運營管理、安全滲透測試以及安全檢查改進等機制。

3．關注重點：我的信息、數據安全保護

鑑於數據單點防護的日趨失效，咱們認爲企業在思考數據安全保護的時候，一應該提升防禦技術水平來應對數據流每一個環節上的風險；二是經過統一的治理平臺，串聯其孤立的單點防禦能力，掃除防禦間的盲區，實現數據的持續治理；三則須要重視數據安全管理策略的制定。
基於此思路，騰訊安全推出的數盾企業數據安全綜合治理中心，便可幫助企業重點強化數據資產感知、安全治理和聯防聯控等能力，藉助AI實現各孤立安全防禦節點的聯動與整合，切實協助企業解決用戶、行爲、數據流的全面防禦問題。

4.警戒本次「大考」的易「掛」點

首先，從等級保護基本要求的調整上來講，除原有行業通用要求外，明晰等保2.0關於雲計算、移動互聯網、工業互聯網和物聯網等領域新增的「拓展要求」，是避免規則誤判致使「補考」的重要前提；
其次，除傳統攻擊防護外，等保2.0還要求企業作好事前、事中、過後的防護。防不住就要審計，出現問題須經過過後溯源找到問題的根源所在並作好下次防禦準備。防護能力上須從被動保障向態勢感知預警、動態防禦和應急響應等轉變；
再者，應當重視等保定級的準確性。如若定級不許確，則會對後續企業安全建設和等級測評工做產生誤導，直接影響企業安全保護和防護的效果。引入專業的安全企業和行業專家服務來幫助完成持續性的服務建設，能達到下降成本和人力切提高效率的目的。

5.案例分享

有家企業，其業務相似網約車，沒有提早準備。在其初次申請時，被要求經過等級保護測評，還有其餘的一些監管部門的審覈。最終該企業因拖延了必定時間沒經過等保，致使業務申請上線總體延後，形成了很大的損失。
還有一家企業，找了一個小的系統集成商，檢測後被要求買一堆的安全設備。最後雖然花了100多萬買設備，但也沒發揮到設備的做用。
因此，這裏我建議找全國網絡安全等級保護測評機構推薦目錄中的機構來測評（網址見文末附錄）。
最後，提醒各位一句：本次大考將於2019年12月1日正式開啓。請儘早準備，以避免面臨責令整改、行政處罰、暫停註冊、暫停運營等「補考」或「掛科」風險。

5、羣內QA

Q :騰訊雲能夠提供哪些幫助嗎？
A：目前，騰訊雲已經過等級保護三級、騰訊金融雲已經過等級保護四級要求，能夠爲雲租戶提供一個合規的雲平臺，這也是租戶業務系統經過等級保護2.0測評的先決條件。
具體到安全產品和服務，針對等保二級和三級的要求，騰訊安全擁有包含web應用防火牆（WAF）、DDOS高防（又稱大禹）、堡壘機（數據安全網關）、數據庫審計等從基礎安全產品體系，能爲政企提供基於 AI 的一站式 Web 業務運營風險防禦、多種 DDoS 解決方案、結合AI的集中運維管理以及人工智能數據庫安全審計系統等解決方案。
同時，咱們還對應相關產品，打造出了包含技術專家諮詢、APP安全加固等在內的針對二級和三級等級要求的基礎服務，可以協助企業識別信息資產及業務流程的信息安全弱點，並針對信息安全威脅提供信息安全風險處理規劃建議。此外，還有專門針對爲雲上客戶提供系統化的網絡安全等級保護合規建設和測評服務的渠道。讓安全建設再也不是企業的負擔。
除此以外，咱們還可爲企業客戶提供諸如移動安全場景下的安全服務。以移動安全領域爲例，咱們就有針對移動終端管控、移動應用管控等的UEM（用戶體驗管理）產品，能爲移動應用領域客戶提供更集中、可控的終端管控。
Q：老師，有沒有具體要求對照清單？
A：你們能夠參考《GBT22239-2019信息安全技術網絡安全等級保護基本要求》（關注「雲加社區」公衆號，回覆「等保要求」下載PDF版）。
Q：要是如今還沒開始準備，是否是有點太晚了 [捂臉] 會有很是嚴重的後果嗎？
A：不會的，能認識到就是進步，先定級備案，再差距分析，逐步整改起來
Q：三級等保有沒對系統存儲的用戶身份證信息有要求的？
A：要求加密或脫敏存儲。
Q：對於數據導出有沒要求？
A：只要正常使用就行，禁止非法使用和未受權訪問。
Q：可是若是被黑了，或者被非法獲取。這樣會不會有問題。
A：有。因此要加密存儲啊。
Q：那在頁面上展現那種須要怎麼處理。
A：打*號，或有點擊查看什麼的。
Q：頁面也要脫敏展現是吧？
A：是的。
若有相關問題想繼續諮詢，可在本文末留言。

6、嘉賓簡介

騰訊雲安全專家 王餘
18年安全老兵，100+等保項目親身實踐。擁有等級保護測評師、國際註冊信息安全審計師、國際雲安全聯盟認證、ISO27001主任審覈員、國家註冊信息安全專業人員等多項資質。
附錄
全國網絡安全等級保護測評機構推薦目錄
http://www.djbh.net/webdev/we...
本文是「雲加社區」微信羣中的分享整理總結而成。
加羣請關注「雲加社區」公衆號，回覆「加羣」