近日���,國家標(biāo)準(zhǔn)新聞發(fā)布會(huì)在市場監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布��,相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》���、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》����、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國家標(biāo)準(zhǔn)也隨之正式發(fā)布并于2019年12月1日開始實(shí)施�����。
與等保1.0相比較�����,等保2.0在結(jié)構(gòu)�����、要求項(xiàng)數(shù)量�����、覆蓋范圍�、防護(hù)理念和定級(jí)流程等方面都進(jìn)行了更新,實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)���、基礎(chǔ)信息網(wǎng)絡(luò)��、云計(jì)算����、大數(shù)據(jù)����、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋并從等保1.0標(biāo)準(zhǔn)被動(dòng)防御的安全體系向事前預(yù)防���、事中響應(yīng)���、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變�����,注重全方位主動(dòng)防御�、安全可信����、動(dòng)態(tài)感知和全面審計(jì)。
作為專業(yè)數(shù)據(jù)安全廠商���,安華金和對(duì)等保2.0中數(shù)據(jù)安全相關(guān)要求進(jìn)行梳理和合規(guī)解讀����。
等保二級(jí)
等保二級(jí)在安全通用要求��、云計(jì)算安全擴(kuò)展要求和參考要求中都分別對(duì)數(shù)據(jù)安全進(jìn)行了要求�。
安全通用要求
安全運(yùn)維管理
7.1.10.5漏洞和風(fēng)險(xiǎn)管理
應(yīng)采取必要的措施識(shí)別安全漏洞和隱患,對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ)�。
合規(guī)解讀:
應(yīng)及時(shí)對(duì)數(shù)據(jù)庫漏洞、弱口令���、缺省配置��、權(quán)限寬泛等風(fēng)險(xiǎn)隱患進(jìn)行評(píng)估�,并通過人工+技術(shù)工具的方式進(jìn)行針對(duì)性修補(bǔ)����。
云計(jì)算安全擴(kuò)展要求
安全計(jì)算環(huán)境
7.2.4.3數(shù)據(jù)完整性和保密性
b)應(yīng)確保只有在云服務(wù)客戶授權(quán)下,云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限�。
c)應(yīng)確保虛擬機(jī)遷移過程中重要數(shù)據(jù)的完整性,并在檢測到完整性受到破壞時(shí)采取必要的恢復(fù)措施����。
合規(guī)解讀:
應(yīng)對(duì)云服務(wù)客戶數(shù)據(jù)提供控制保障機(jī)制,服務(wù)商需通過審批方式獲得云服務(wù)客戶的授權(quán)���,進(jìn)而獲得數(shù)據(jù)的管理權(quán)限�����。
應(yīng)對(duì)云計(jì)算環(huán)境中數(shù)據(jù)進(jìn)行加密���,即使云服務(wù)方私自復(fù)制鏡像或數(shù)據(jù),也不能從底層拿到明文客戶數(shù)據(jù)�。
應(yīng)在遷移前通過后臺(tái)備份重要數(shù)據(jù)庫的方式���,確保具備恢復(fù)能力。備份工作需要經(jīng)過審批授權(quán)后方可執(zhí)行����。同時(shí)通過數(shù)據(jù)庫加密機(jī)制,從根本上保證數(shù)據(jù)在虛擬機(jī)遷移過程中的安全��,即使反向解析數(shù)據(jù)文件后��,看到的加數(shù)據(jù)仍是密文�����。
二級(jí)參考要求
安全計(jì)算環(huán)境
H.3.3安全計(jì)算環(huán)境
f)大數(shù)據(jù)平臺(tái)應(yīng)提供靜態(tài)脫敏和去標(biāo)識(shí)化的工具或服務(wù)組件技術(shù)�;
g)對(duì)外提供服務(wù)的大數(shù)據(jù)平臺(tái),平臺(tái)或第三方只有在大數(shù)據(jù)應(yīng)用授權(quán)下才可以對(duì)大數(shù)據(jù)應(yīng)用的數(shù)據(jù)資源進(jìn)行訪問����、使用和管理。
合規(guī)解讀:
應(yīng)通過技術(shù)工具對(duì)平臺(tái)中的敏感信息進(jìn)行脫敏��。
應(yīng)通過流程審批����、操作命令等方式對(duì)變更性運(yùn)維進(jìn)行細(xì)粒度控制���。同時(shí)提供完整執(zhí)行記錄。
等保三級(jí)
等保三級(jí)在安全通用要求���、云計(jì)算安全擴(kuò)展要求及參考要求中對(duì)安全區(qū)域邊界�����、安全計(jì)算環(huán)境、安全管理人員���、安全通訊網(wǎng)絡(luò)等方面進(jìn)行了更進(jìn)一步的要求��。
安全通用要求
安全區(qū)域邊界
8.1.3.2訪問控制
c)應(yīng)對(duì)源地址���、目的地址、源端口����、目的端口和協(xié)議等進(jìn)行檢查,以允許/拒絕數(shù)據(jù)包進(jìn)出�����;
e)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。
合規(guī)解讀:
應(yīng)基于地址����、ip、時(shí)間��、執(zhí)行語句����、語句影響范圍等因素對(duì)數(shù)據(jù)庫協(xié)議和內(nèi)容進(jìn)行細(xì)粒度控制。
安全計(jì)算環(huán)境
8.1.4.2訪問控制
f)訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)��,客體為文件���、數(shù)據(jù)庫表級(jí)����;
g)應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記�����,并控制主體對(duì)有安全標(biāo)記信息資源的訪問�����。
8.1.4.8數(shù)據(jù)保密性
b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性,包括但不限于鑒別數(shù)據(jù)���、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等����。
8.1.4.11個(gè)人信息保護(hù)
a)應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息�;
b)應(yīng)禁止未授權(quán)訪問和非法使用用戶個(gè)人信息。
合規(guī)解讀:
對(duì)數(shù)據(jù)庫操作控制力度:控制主體���、數(shù)據(jù)庫賬戶���、應(yīng)用程序�����、應(yīng)用賬戶����,對(duì)操作對(duì)象(表、列���、存儲(chǔ)過程名稱)�����、SQL語句進(jìn)行細(xì)粒度控制
實(shí)現(xiàn)基于密文的增強(qiáng)訪問權(quán)限控制�����,防止主體如DBA及高權(quán)限用戶對(duì)敏感客體數(shù)據(jù)進(jìn)行訪問��。
被保護(hù)客體字段的權(quán)限控制獨(dú)立于數(shù)據(jù)庫的權(quán)限控制��,防止主體數(shù)據(jù)庫用戶的權(quán)限提升訪問被保護(hù)數(shù)據(jù)���。
對(duì)主體用戶���、操作(DML、DDL�����、DCL)和客體對(duì)象進(jìn)行訪問控制的限定
通過加密存儲(chǔ)機(jī)制���,從根本上保證數(shù)據(jù)安全����。可支持按列��、按表空間方式進(jìn)行加密�����。
對(duì)通過業(yè)務(wù)系統(tǒng)��、app等方式收集的個(gè)人信息進(jìn)行盤點(diǎn)統(tǒng)計(jì)���,明確業(yè)務(wù)系統(tǒng)所需要的數(shù)據(jù)內(nèi)容�����。避免過量采集��、非法采集個(gè)人信息。
應(yīng)對(duì)業(yè)務(wù)系統(tǒng)收集的信息進(jìn)行梳理統(tǒng)計(jì)��,同時(shí)對(duì)個(gè)人信息是使用進(jìn)行管理控制����。
安全管理人員
8.1.8.4外部人員訪問管理
d)獲得系統(tǒng)訪問授權(quán)的外部人員應(yīng)簽署保密協(xié)議�,不得進(jìn)行非授權(quán)操作���,不得復(fù)制和泄露任何敏感信息����。
合規(guī)解讀:
應(yīng)對(duì)外部人員訪問數(shù)據(jù)庫等操作進(jìn)行監(jiān)督控制���。
安全建設(shè)管理
8.1.9.3產(chǎn)品采購和使用
b)應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求�����。
合規(guī)解讀:
應(yīng)采購符合密碼管理局要求�,具備相應(yīng)資質(zhì)的產(chǎn)品�����。
安全運(yùn)維管理
8.1.10.2資產(chǎn)管理
b)應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理����,根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理措施;
8.1.10.6網(wǎng)絡(luò)和系統(tǒng)安全管理
g)應(yīng)嚴(yán)格控制變更性運(yùn)維����,經(jīng)過審批后才可改變連接����、安裝系統(tǒng)組件或調(diào)整配置參數(shù)��,操作過程中應(yīng)保留不可更改的審計(jì)日志��,操作結(jié)束后應(yīng)同步更新配置信息庫���;
i)應(yīng)嚴(yán)格控制遠(yuǎn)程運(yùn)維的開通��,經(jīng)過審批后才可開通遠(yuǎn)程運(yùn)維接口或通道����,操作過程中應(yīng)保留不可更改的審計(jì)日志��,操作結(jié)束后立即關(guān)閉接口或通道��。
合規(guī)解讀:
應(yīng)對(duì)現(xiàn)有資產(chǎn)進(jìn)行梳理后���,根據(jù)業(yè)務(wù)重要程度進(jìn)行不同級(jí)別的安全防護(hù)����。
應(yīng)通過流程審批��、操作命令等方式對(duì)變更性運(yùn)維進(jìn)行細(xì)粒度控制���。同時(shí)提供完整執(zhí)行記錄���。
應(yīng)對(duì)數(shù)據(jù)庫運(yùn)維進(jìn)行流程控制及完整審計(jì)。
云計(jì)算擴(kuò)展要求
安全通信網(wǎng)絡(luò)
8.2.2.1網(wǎng)絡(luò)架構(gòu)
e)應(yīng)提供開放接口或開放性安全服務(wù)��,允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計(jì)算平臺(tái)選擇第三方安全服務(wù)���。
合規(guī)解讀:
云服務(wù)客戶應(yīng)根據(jù)安全需要選擇引入獨(dú)立于平臺(tái)的第三方產(chǎn)品���。
安全區(qū)域邊界
8.2.3.3安全審計(jì)
b)應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)。
合規(guī)解讀:
應(yīng)具備獨(dú)立于云服務(wù)商的第三方審計(jì)能力����,確保云服務(wù)商在對(duì)云服務(wù)客戶數(shù)據(jù)操作的審計(jì)能力。
安全計(jì)算環(huán)境
8.2.4.4鏡像和快照保護(hù)
c)應(yīng)采取密碼技術(shù)或其他技術(shù)手段防止虛擬機(jī)鏡像����、快照中可能存在的敏感資源被非法訪問。
合規(guī)解讀:
應(yīng)對(duì)云服務(wù)客戶數(shù)據(jù)提供控制保障機(jī)制��,服務(wù)商需通過審批方式獲得云服務(wù)客戶的授權(quán)�,進(jìn)而獲得數(shù)據(jù)的管理權(quán)限��。
8.2.4.5數(shù)據(jù)完整性和保密性
d)應(yīng)支持云服務(wù)客戶部署密鑰管理解決方案���,保證云服務(wù)客戶自行實(shí)現(xiàn)數(shù)據(jù)的加解密過程。
合規(guī)解讀:
應(yīng)對(duì)云計(jì)算環(huán)境中數(shù)據(jù)進(jìn)行加密�,即使云服務(wù)方私自復(fù)制鏡像或數(shù)據(jù),也不能從底層拿到明文客戶數(shù)據(jù)�。
應(yīng)通過數(shù)據(jù)庫加密機(jī)制,將密文管理權(quán)限與數(shù)據(jù)庫權(quán)限相分離�,進(jìn)而實(shí)現(xiàn)云服務(wù)客戶自行管理的目的。
安全管理中心
8.2.5.1集中管理
c)應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分���,收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì)�����;
合規(guī)解讀:
應(yīng)具備數(shù)據(jù)庫審計(jì)能力�,同時(shí)可對(duì)審計(jì)信息進(jìn)行劃分�,避免審計(jì)信息泄露。
參考要求
大數(shù)據(jù)應(yīng)用
安全計(jì)算環(huán)境
H.4.3安全計(jì)算環(huán)境
h)大數(shù)據(jù)平臺(tái)應(yīng)提供數(shù)據(jù)分類分級(jí)安全管理功能����,供大數(shù)據(jù)應(yīng)用針對(duì)不同類別級(jí)別的數(shù)據(jù)采取不同的安全保護(hù)措施;
i)大數(shù)據(jù)平臺(tái)應(yīng)提供設(shè)置數(shù)據(jù)安全標(biāo)記功能,基于安全標(biāo)記的授權(quán)和訪問控制措施��,滿足細(xì)粒度授權(quán)訪問控制管理能力要求��;
j)大數(shù)據(jù)平臺(tái)應(yīng)在數(shù)據(jù)采集�����、存儲(chǔ)��、處理����、分析等各個(gè)環(huán)節(jié)��,支持對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)處置����,并保證安全保護(hù)策略保持一致;
k)涉及重要數(shù)據(jù)接口�����、重要服務(wù)接口的調(diào)用���,應(yīng)實(shí)施訪問控制�,包括但不限于數(shù)據(jù)處理、使用�����、分析��、導(dǎo)出���、共享�、交換等相關(guān)操作��;
l)應(yīng)在數(shù)據(jù)清洗和轉(zhuǎn)換過程中對(duì)重要數(shù)據(jù)進(jìn)行保護(hù),以保證重要數(shù)據(jù)清洗和轉(zhuǎn)換后的一致性����,避免數(shù)據(jù)失真,并在產(chǎn)生問題時(shí)能有效還原和恢復(fù);
m)應(yīng)跟蹤和記錄數(shù)據(jù)采集����、處理、分析和挖掘等過程�����,保證溯源數(shù)據(jù)能重現(xiàn)相應(yīng)過程,溯源數(shù)據(jù)滿足合規(guī)審計(jì)要求��;
n)大數(shù)據(jù)平臺(tái)應(yīng)保證不同客戶大數(shù)據(jù)應(yīng)用的審計(jì)數(shù)據(jù)隔離存放���,并提供不同客戶審計(jì)數(shù)據(jù)收集匯總和集中分析的能力����。
合規(guī)解讀:
應(yīng)建立完整數(shù)據(jù)庫資產(chǎn)清單��,并根據(jù)數(shù)據(jù)安全級(jí)別不同����,選擇不同數(shù)據(jù)庫防御方案�。
通過數(shù)據(jù)庫加密等技術(shù)工具,對(duì)數(shù)據(jù)庫中重要數(shù)據(jù)進(jìn)行安全標(biāo)記�����,帶有標(biāo)記的數(shù)據(jù)訪問需遵守嚴(yán)格的訪問條件���。
應(yīng)具備數(shù)據(jù)梳理能力����,確保數(shù)據(jù)資產(chǎn)完整性,進(jìn)而為分類分級(jí)提供依據(jù)�。
應(yīng)具備數(shù)據(jù)庫訪問控制能力?����?刂茖?duì)象包括不局限于時(shí)間��、ip�����、命令��、語句影響范圍等�����。
應(yīng)具備可逆脫敏能力���,同時(shí)保證脫敏數(shù)據(jù)之間的一致性�����、關(guān)聯(lián)性���。
應(yīng)具備數(shù)據(jù)使用�、分發(fā)的溯源能力���。
應(yīng)具備不同客戶分別審計(jì)不同數(shù)據(jù)庫的能力�����。
大數(shù)據(jù)應(yīng)用
安全運(yùn)維管理
H.4.5安全運(yùn)維管理
b)應(yīng)制定并執(zhí)行數(shù)據(jù)分類分級(jí)保護(hù)策略����,針對(duì)不同類別級(jí)別的數(shù)據(jù)制定不同的安全保護(hù)措施���;
c)應(yīng)在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上,劃分重要數(shù)字資產(chǎn)范圍��,明確重要數(shù)據(jù)進(jìn)行自動(dòng)脫敏或去標(biāo)識(shí)的使用場景和業(yè)務(wù)處理流程��;
d)應(yīng)定期評(píng)審數(shù)據(jù)的類別和級(jí)別��,如需要變更數(shù)據(jù)的類別或級(jí)別����,應(yīng)依據(jù)變更審批流程執(zhí)行變更���。
合規(guī)解讀:
應(yīng)根據(jù)不同級(jí)別數(shù)據(jù),選擇不同數(shù)據(jù)庫防御方案�。
應(yīng)根據(jù)不同業(yè)務(wù)場景,選擇全部替換��、部分替換�����、部分遮蔽等脫敏方案��。
應(yīng)通過技術(shù)工具�,定期對(duì)重要數(shù)據(jù)進(jìn)行梳理、定位�,配合數(shù)據(jù)評(píng)審工作的開展。
作為國內(nèi)數(shù)據(jù)安全治理理念的提出者����,安華金和積極響應(yīng)等保2.0要求,推出相應(yīng)解決方案��,助力用戶合規(guī)���,讓數(shù)據(jù)使用自由而安全�。
產(chǎn)品咨詢:4000 258 365 
