蝉鸣报告(原爱报告知识星球)
近日,【腾讯】互联网行业联合中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、深圳市网安计算机安全检测技术有限公司发布了《等保2.0体系互联网合规实践白皮书》。这份报告深入分析了等级保护2.0(简称等保2.0)的技术合规要求,并结合腾讯的实践案例,详细阐述了如何在互联网行业中实现等保2.0的合规。报告内容涵盖了可信计算、密码技术、操作系统镜像、IPv6网络安全、安全管理中心应用以及个人信息保护等多个方面,提供了一套全面的合规实践指导。报告中不仅包含了对等保2.0标准的详细解读,还提供了实际操作的建议和解决方案,是互联网企业实现网络安全合规的重要参考。
在数字化时代,网络安全已成为国家安全的重要组成部分。《互联网行业-等保2.0体系互联网合规实践白皮书》深入分析了网络安全等级保护制度2.0(简称等保2.0)的技术合规要求,并结合腾讯的实践经验,提供了一系列的解决方案和建议。
等保2.0的实施,标志着我国网络安全等级保护制度从1.0时代的被动防御,转变为2.0时代的主动防御和动态防御。这一转变意味着,网络安全不再是事后补救,而是事前预防和事中响应。等保2.0标准的特点在于其基本要求、测评要求和技术要求框架的统一,采用安全管理中心支持下的三重防护结构框架,即“安全计算环境、安全区域边界、安全网络通信”。这一框架不仅适用于传统的信息系统,也涵盖了云计算、移动互联、物联网、工业控制等新型应用。
腾讯在等保2.0的实践中,特别是在可信计算合规方面,展现了其技术实力和前瞻性。可信计算技术通过验证系统中应用和配置文件、参数的可信性,保障系统在可信环境下运行。腾讯安全平台部通过研究和优化测试,形成了腾讯内部可落地的可信计算实践。例如,腾讯在硬件可信安全领域的实践,包括推动供应商导入硬件可信根的货架技术,进行BMC、主板固件定制改造,增加安全特性的管理路径与告警能力。这些实践不仅提高了服务器端应用的门槛和技术难度,也为整个行业提供了宝贵的经验。
密码技术合规是等保2.0中的另一个重要方面。密码技术是保障信息安全最有效、最可靠的核心技术。等保2.0标准中对密码技术的要求,主要涉及安全通信网络、安全计算环境以及安全运维管理等部分内容。腾讯在密码技术应用上,已经具备深厚的应用实践基础。腾讯云数据安全中台架构,通过数据加密软硬件系统、密钥管理/凭据管理系统、云访问安全代理为核心,将密码运算、密码技术及密码产品以服务化、组件化的方式输出,并无缝集成至腾讯云产品中。
操作系统镜像等保合规也是一个重要议题。腾讯云通过构建多个主流操作系统等保合规基线,在保障操作系统兼容性和性能的基础上进行了等保合规适配,并且实现了工具化批量配置。这大大减轻了用户在操作系统合规测评上的工作负担。
IPv6网络安全合规实践是应对新趋势下的安全算力需求。随着IoT、5G网络、IPv6的广泛应用,安全威胁的力度、深度、广度前所未有。腾讯在硬件、软件层面的研发优化,持续在安全算力上深耕细作,并在众多算力需求巨大的场景实践中发挥出积极效应。
安全管理中心应用合规是等级保护2.0标准的核心要求之一。腾讯云安全运营中心作为安全管理中心的具体实现路径之一,提供了资产自动化盘点、互联网攻击面测绘、云安全配置风险检查、合规风险评估、流量威胁感知、泄漏监测、日志审计与检索调查、安全编排与自动化响应及安全可视等能力。
个人信息保护在等级保护2.0中也被特别强调。等级保护2.0基本要求中专门针对个人信息保护在安全计算环境层面增加了一个控制点,对个人信息的收集和使用进行要求;在数据保密性、数据完整性控制点对个人信息在存储和传输过程中的保密性和完整性也进行了要求。
通过这份报告,我们可以看到,网络安全等级保护制度2.0不仅是技术标准的升级,更是网络安全理念的一次重大飞跃。它要求我们从技术、管理、合规等多个维度,全面提升网络安全防护能力。腾讯的实践和探索,为行业提供了宝贵的经验和启示。这篇文章的灵感来自于这份报告,它只是对报告内容做了总体的介绍。除了这份报告,还有一些同类型的报告,也非常有价值,推荐阅读,这些报告我们都收录在同名星球,可以自行获取。
以上为节选样张,关注公众号【蝉鸣报告】回复领取PDF完整电子版(无广告)。
【蝉鸣报告】每日更新最新硬核报告,覆盖产业报告、全球化、经济报告、趋势等全领域。
