2020年10月22日,《等保2.0体系互联网合规实践白皮书》(以下简称白皮书)正式对外发布。
该白皮书由腾讯公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、深圳市网安计算机安全检测技术有限公司联合编制,是国内首份对网络安全等级保护2.0标准条文进行详细分析及解读的白皮书,安全管理与技术能力并重,具有极高的实践价值和参考意义。
等保2.0全称为“网络安全等级保护标准2.0”,以《网络安全法》等法律为顶层规范性文件,于2019年12月1日起正式实施。
等保2.0标准具有以下特点:第一,基本要求、测评要求和技术要求框架统一,采用安全管理中心支持下的三重防护结构框架;第二,通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范,其中云计算扩展要求作为重点内容被第一个单独列出来。
“不开展等级保护就等于违法”的政策规定,要求企业全面建立以等保2.0为核心的网络安全管理体系,将等级保护合规融入日常安全运营流程中。同时,5G、人工智能、云计算、物联网、工业互联网、大数据等新技术新应用的兴起,以及关键信息基础设施安全保护、个人信息保护和数据安全等工作的不断强化,也对网络安全工作提出了更高的要求。如何实现安全合规的业务运营,成为互联网从业者的“关键KPI”。
该白皮书正是在此背景下推出。腾讯相关团队表示,本白皮书从互联网行业在等保2.0方面的实践痛点入手,针对当前国内企业对等保2.0关注度最高的几大技术落地难点,如可信计算、密码技术、IPv6合规、安全算力和安全管理中心应用等,结合腾讯在整体等保体系建设和云安全合规建设等方面的实践及解决方案进行解读分析,期望为行业提供实践参考,共同推动等级保护及企业安全建设领域的健康发展与知识共享。
此外,本白皮书中对于规范的解读及其实践适用于国内大多数企业,包括政府企事业单位、大型国有企业、中小型企业等,具有较高的普适意义。
本次白皮书的核心亮点摘录如下:
可信计算合规实践,从供应链与自研两方面共同着手发力,一方面转化等保相关要求传递至供应商形成落地方案,另一方面评估供应商方案的局限性,开展自研安全能力建设,逐一解决并形成落地技术可行性方案。
IPv6安全合规实践,面对5G+IPv6+IoT所带来的海量数据挑战,提前预见算力的基础设施化,利用安全算力支撑和驱动企业网络安全以及IPv6环境下网络安全合规需要关注的重点。
密码技术合规实践,详解商用密码应用安全性评估。打造云数据安全中台架构,实现端到端的云数据全生命周期安全体系,并落地面向云平台以及云租户的密码技术应用服务。
等保合规实践,从识别、预防、监测、检测和响应五个方面来进行安全运营的体系建设。
安全管理标准解读,对等保2.0安全管理三级要求的条款进行深度解读。
企业合规体系建设实践,描述了腾讯集团自身等保2.0的体系建设思路。
等保2.0解决方案,总结了快速完成等级保护测评全流程的五大关键要素,即优选测评机构、系统合理定级、准备工作充分、及时跟进流程、关键路径并进。