近日��,國家標準新聞發(fā)布會在市場監(jiān)管總局馬甸辦公區(qū)新聞發(fā)布廳召開�����,網(wǎng)絡安全等級保護制度2.0標準正式發(fā)布�����,相關(guān)的《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》�����、《信息安全技術(shù) 網(wǎng)絡安全等級保護測評要求》���、《信息安全技術(shù) 網(wǎng)絡安全等級保護安全設計技術(shù)要求》等國家標準也隨之正式發(fā)布并于2019年12月1日開始實施����。
與等保1.0相比較�����,等保2.0在結(jié)構(gòu)、要求項數(shù)量����、覆蓋范圍、防護理念和定級流程等方面都進行了更新�,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎信息網(wǎng)絡�����、云計算�、大數(shù)據(jù)、物聯(lián)網(wǎng)��、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋并從等保1.0標準被動防御的安全體系向事前預防��、事中響應�、事后審計的動態(tài)保障體系轉(zhuǎn)變,注重全方位主動防御�、安全可信、動態(tài)感知和全面審計�����。
作為專業(yè)數(shù)據(jù)安全廠商�����,安華金和對等保2.0中數(shù)據(jù)安全相關(guān)要求進行梳理和合規(guī)解讀。
等保二級
等保二級在安全通用要求����、云計算安全擴展要求和參考要求中都分別對數(shù)據(jù)安全進行了要求�����。
安全通用要求
安全運維管理
7.1.10.5漏洞和風險管理
應采取必要的措施識別安全漏洞和隱患����,對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。
合規(guī)解讀:
應及時對數(shù)據(jù)庫漏洞�、弱口令、缺省配置����、權(quán)限寬泛等風險隱患進行評估,并通過人工+技術(shù)工具的方式進行針對性修補���。
云計算安全擴展要求
安全計算環(huán)境
7.2.4.3數(shù)據(jù)完整性和保密性
b)應確保只有在云服務客戶授權(quán)下�����,云服務商或第三方才具有云服務客戶數(shù)據(jù)的管理權(quán)限�����。
c)應確保虛擬機遷移過程中重要數(shù)據(jù)的完整性�����,并在檢測到完整性受到破壞時采取必要的恢復措施���。
合規(guī)解讀:
應對云服務客戶數(shù)據(jù)提供控制保障機制�,服務商需通過審批方式獲得云服務客戶的授權(quán)�,進而獲得數(shù)據(jù)的管理權(quán)限。
應對云計算環(huán)境中數(shù)據(jù)進行加密�,即使云服務方私自復制鏡像或數(shù)據(jù),也不能從底層拿到明文客戶數(shù)據(jù)���。
應在遷移前通過后臺備份重要數(shù)據(jù)庫的方式����,確保具備恢復能力�����。備份工作需要經(jīng)過審批授權(quán)后方可執(zhí)行。同時通過數(shù)據(jù)庫加密機制����,從根本上保證數(shù)據(jù)在虛擬機遷移過程中的安全,即使反向解析數(shù)據(jù)文件后����,看到的加數(shù)據(jù)仍是密文。
二級參考要求
安全計算環(huán)境
H.3.3安全計算環(huán)境
f)大數(shù)據(jù)平臺應提供靜態(tài)脫敏和去標識化的工具或服務組件技術(shù)����;
g)對外提供服務的大數(shù)據(jù)平臺�����,平臺或第三方只有在大數(shù)據(jù)應用授權(quán)下才可以對大數(shù)據(jù)應用的數(shù)據(jù)資源進行訪問�����、使用和管理�����。
合規(guī)解讀:
應通過技術(shù)工具對平臺中的敏感信息進行脫敏�。
應通過流程審批����、操作命令等方式對變更性運維進行細粒度控制����。同時提供完整執(zhí)行記錄。
等保三級
等保三級在安全通用要求�、云計算安全擴展要求及參考要求中對安全區(qū)域邊界、安全計算環(huán)境�����、安全管理人員��、安全通訊網(wǎng)絡等方面進行了更進一步的要求��。
安全通用要求
安全區(qū)域邊界
8.1.3.2訪問控制
c)應對源地址���、目的地址���、源端口、目的端口和協(xié)議等進行檢查����,以允許/拒絕數(shù)據(jù)包進出��;
e)應對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制�����。
合規(guī)解讀:
應基于地址�、ip���、時間����、執(zhí)行語句�、語句影響范圍等因素對數(shù)據(jù)庫協(xié)議和內(nèi)容進行細粒度控制�。
安全計算環(huán)境
8.1.4.2訪問控制
f)訪問控制的粒度應達到主體為用戶級或進程級,客體為文件�����、數(shù)據(jù)庫表級�����;
g)應對重要主體和客體設置安全標記,并控制主體對有安全標記信息資源的訪問��。
8.1.4.8數(shù)據(jù)保密性
b)應采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性�,包括但不限于鑒別數(shù)據(jù)�����、重要業(yè)務數(shù)據(jù)和重要個人信息等�����。
8.1.4.11個人信息保護
a)應僅采集和保存業(yè)務必需的用戶個人信息�;
b)應禁止未授權(quán)訪問和非法使用用戶個人信息。
合規(guī)解讀:
對數(shù)據(jù)庫操作控制力度:控制主體���、數(shù)據(jù)庫賬戶���、應用程序�、應用賬戶����,對操作對象(表��、列���、存儲過程名稱)、SQL語句進行細粒度控制
實現(xiàn)基于密文的增強訪問權(quán)限控制��,防止主體如DBA及高權(quán)限用戶對敏感客體數(shù)據(jù)進行訪問����。
被保護客體字段的權(quán)限控制獨立于數(shù)據(jù)庫的權(quán)限控制,防止主體數(shù)據(jù)庫用戶的權(quán)限提升訪問被保護數(shù)據(jù)�����。
對主體用戶����、操作(DML、DDL��、DCL)和客體對象進行訪問控制的限定
通過加密存儲機制��,從根本上保證數(shù)據(jù)安全�?��?芍С职戳小幢砜臻g方式進行加密。
對通過業(yè)務系統(tǒng)�、app等方式收集的個人信息進行盤點統(tǒng)計���,明確業(yè)務系統(tǒng)所需要的數(shù)據(jù)內(nèi)容。避免過量采集��、非法采集個人信息�����。
應對業(yè)務系統(tǒng)收集的信息進行梳理統(tǒng)計��,同時對個人信息是使用進行管理控制。
安全管理人員
8.1.8.4外部人員訪問管理
d)獲得系統(tǒng)訪問授權(quán)的外部人員應簽署保密協(xié)議�,不得進行非授權(quán)操作����,不得復制和泄露任何敏感信息。
合規(guī)解讀:
應對外部人員訪問數(shù)據(jù)庫等操作進行監(jiān)督控制�����。
安全建設管理
8.1.9.3產(chǎn)品采購和使用
b)應確保密碼產(chǎn)品與服務的采購和使用符合國家密碼管理主管部門的要求。
合規(guī)解讀:
應采購符合密碼管理局要求���,具備相應資質(zhì)的產(chǎn)品�。
安全運維管理
8.1.10.2資產(chǎn)管理
b)應根據(jù)資產(chǎn)的重要程度對資產(chǎn)進行標識管理���,根據(jù)資產(chǎn)的價值選擇相應的管理措施���;
8.1.10.6網(wǎng)絡和系統(tǒng)安全管理
g)應嚴格控制變更性運維,經(jīng)過審批后才可改變連接����、安裝系統(tǒng)組件或調(diào)整配置參數(shù),操作過程中應保留不可更改的審計日志�,操作結(jié)束后應同步更新配置信息庫;
i)應嚴格控制遠程運維的開通���,經(jīng)過審批后才可開通遠程運維接口或通道����,操作過程中應保留不可更改的審計日志���,操作結(jié)束后立即關(guān)閉接口或通道��。
合規(guī)解讀:
應對現(xiàn)有資產(chǎn)進行梳理后,根據(jù)業(yè)務重要程度進行不同級別的安全防護�。
應通過流程審批、操作命令等方式對變更性運維進行細粒度控制�。同時提供完整執(zhí)行記錄。
應對數(shù)據(jù)庫運維進行流程控制及完整審計����。
云計算擴展要求
安全通信網(wǎng)絡
8.2.2.1網(wǎng)絡架構(gòu)
e)應提供開放接口或開放性安全服務,允許云服務客戶接入第三方安全產(chǎn)品或在云計算平臺選擇第三方安全服務�����。
合規(guī)解讀:
云服務客戶應根據(jù)安全需要選擇引入獨立于平臺的第三方產(chǎn)品���。
安全區(qū)域邊界
8.2.3.3安全審計
b)應保證云服務商對云服務客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務客戶審計�����。
合規(guī)解讀:
應具備獨立于云服務商的第三方審計能力�����,確保云服務商在對云服務客戶數(shù)據(jù)操作的審計能力���。
安全計算環(huán)境
8.2.4.4鏡像和快照保護
c)應采取密碼技術(shù)或其他技術(shù)手段防止虛擬機鏡像�����、快照中可能存在的敏感資源被非法訪問���。
合規(guī)解讀:
應對云服務客戶數(shù)據(jù)提供控制保障機制,服務商需通過審批方式獲得云服務客戶的授權(quán)����,進而獲得數(shù)據(jù)的管理權(quán)限。
8.2.4.5數(shù)據(jù)完整性和保密性
d)應支持云服務客戶部署密鑰管理解決方案����,保證云服務客戶自行實現(xiàn)數(shù)據(jù)的加解密過程。
合規(guī)解讀:
應對云計算環(huán)境中數(shù)據(jù)進行加密�����,即使云服務方私自復制鏡像或數(shù)據(jù)����,也不能從底層拿到明文客戶數(shù)據(jù)。
應通過數(shù)據(jù)庫加密機制,將密文管理權(quán)限與數(shù)據(jù)庫權(quán)限相分離�,進而實現(xiàn)云服務客戶自行管理的目的。
安全管理中心
8.2.5.1集中管理
c)應根據(jù)云服務商和云服務客戶的職責劃分��,收集各自控制部分的審計數(shù)據(jù)并實現(xiàn)各自的集中審計�;
合規(guī)解讀:
應具備數(shù)據(jù)庫審計能力��,同時可對審計信息進行劃分�,避免審計信息泄露。
參考要求
大數(shù)據(jù)應用
安全計算環(huán)境
H.4.3安全計算環(huán)境
h)大數(shù)據(jù)平臺應提供數(shù)據(jù)分類分級安全管理功能�,供大數(shù)據(jù)應用針對不同類別級別的數(shù)據(jù)采取不同的安全保護措施;
i)大數(shù)據(jù)平臺應提供設置數(shù)據(jù)安全標記功能�����,基于安全標記的授權(quán)和訪問控制措施�,滿足細粒度授權(quán)訪問控制管理能力要求;
j)大數(shù)據(jù)平臺應在數(shù)據(jù)采集��、存儲���、處理��、分析等各個環(huán)節(jié)��,支持對數(shù)據(jù)進行分類分級處置���,并保證安全保護策略保持一致�;
k)涉及重要數(shù)據(jù)接口�����、重要服務接口的調(diào)用��,應實施訪問控制����,包括但不限于數(shù)據(jù)處理、使用��、分析���、導出���、共享、交換等相關(guān)操作��;
l)應在數(shù)據(jù)清洗和轉(zhuǎn)換過程中對重要數(shù)據(jù)進行保護,以保證重要數(shù)據(jù)清洗和轉(zhuǎn)換后的一致性��,避免數(shù)據(jù)失真,并在產(chǎn)生問題時能有效還原和恢復;
m)應跟蹤和記錄數(shù)據(jù)采集����、處理、分析和挖掘等過程���,保證溯源數(shù)據(jù)能重現(xiàn)相應過程�����,溯源數(shù)據(jù)滿足合規(guī)審計要求;
n)大數(shù)據(jù)平臺應保證不同客戶大數(shù)據(jù)應用的審計數(shù)據(jù)隔離存放����,并提供不同客戶審計數(shù)據(jù)收集匯總和集中分析的能力。
合規(guī)解讀:
應建立完整數(shù)據(jù)庫資產(chǎn)清單����,并根據(jù)數(shù)據(jù)安全級別不同,選擇不同數(shù)據(jù)庫防御方案���。
通過數(shù)據(jù)庫加密等技術(shù)工具�,對數(shù)據(jù)庫中重要數(shù)據(jù)進行安全標記����,帶有標記的數(shù)據(jù)訪問需遵守嚴格的訪問條件��。
應具備數(shù)據(jù)梳理能力�����,確保數(shù)據(jù)資產(chǎn)完整性��,進而為分類分級提供依據(jù)��。
應具備數(shù)據(jù)庫訪問控制能力���。控制對象包括不局限于時間����、ip、命令�����、語句影響范圍等��。
應具備可逆脫敏能力����,同時保證脫敏數(shù)據(jù)之間的一致性��、關(guān)聯(lián)性���。
應具備數(shù)據(jù)使用、分發(fā)的溯源能力���。
應具備不同客戶分別審計不同數(shù)據(jù)庫的能力�。
大數(shù)據(jù)應用
安全運維管理
H.4.5安全運維管理
b)應制定并執(zhí)行數(shù)據(jù)分類分級保護策略�,針對不同類別級別的數(shù)據(jù)制定不同的安全保護措施��;
c)應在數(shù)據(jù)分類分級的基礎上��,劃分重要數(shù)字資產(chǎn)范圍�����,明確重要數(shù)據(jù)進行自動脫敏或去標識的使用場景和業(yè)務處理流程�����;
d)應定期評審數(shù)據(jù)的類別和級別���,如需要變更數(shù)據(jù)的類別或級別�����,應依據(jù)變更審批流程執(zhí)行變更��。
合規(guī)解讀:
應根據(jù)不同級別數(shù)據(jù)����,選擇不同數(shù)據(jù)庫防御方案。
應根據(jù)不同業(yè)務場景�����,選擇全部替換�����、部分替換��、部分遮蔽等脫敏方案��。
應通過技術(shù)工具�����,定期對重要數(shù)據(jù)進行梳理、定位�����,配合數(shù)據(jù)評審工作的開展��。
作為國內(nèi)數(shù)據(jù)安全治理理念的提出者����,安華金和積極響應等保2.0要求,推出相應解決方案�,助力用戶合規(guī),讓數(shù)據(jù)使用自由而安全��。
產(chǎn)品咨詢:4000 258 365 
