Top
首页 > 正文

等保2.0时代,数据安全如何合规

发布时间:2019-06-13 18:35        来源:        作者:中安威士井明阳

本文简述等保2.0对数据安全的要求,以及当前技术条件下,如何对数据进行安全防护,满足合规性要求。 

一、等保2.0发展历程

6月10日-02.jpg

二、等保2.0总体情况 

首先,最大的变化,标准名称由原来的《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中名称保持一致。

信息系统安全等级保护技术1.0版本主要强调物理主机、应用、数据、传输,等保2.0保护对象由原来的“信息系统”改为“等级保护对象(网络和信息系统)”。相比1.0版本,等保2.0对等保1.0旧标准的10个分类重新做了调整,分别为:

技术部分4类: 安全物理环境、安全通信网络(原等保1.0网络安全分类拆分)、安全区域边界(原等保1.0网络安全分类拆分)、安全计算环境(原等保1.0主机安全、应用安全、数据及备份恢复等三个分类合并);

管理部分6类: 安全管理中心(新增)、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

等保2.0在原有通用安全要求的基础上新增安全扩展要求,变为通用安全要求+扩展安全要求项。等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,共有10个章节8个附录。其中第6、7、8、9、10章为五个安全等级的安全要求章节,8个附录分别为:安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。

三、等保2.0数据安全总体情况

数据安全建设是等级保护2.0建设的核心内容之一,在原有等保1.0对数据安全的要求基本不变的情况下,根据新计算环境和业务场景对数据安全保护能力做出了更贴合实际情况的明确要求。数据安全的测评指标主要来自于通用要求的“安全计算环境”部分,其中对数据访问的审计、访问控制、加密都有要求明确要求,并且在附录部分大数据应用场景说明中对脱敏和溯源也进行了相关规定。

四、安全通用要求中对数据安全要求和应对

1、通用安全要求

6月10日-03.jpg

2、云计算安全扩展要求 

6月10日-04.jpg

3、大数据应用场景

6月10日-05.jpg 

五、中安威士能针对等保2.0做什么?

中安威士(北京)科技有限公司作为中电科(中国网安)旗下数据安全专业公司,专注于数据安全15年,专注于提供数据安全的落地方案。对数据的全生命周期、数据的存管用(存储、管理、使用)的全场景实现安全防护。防护能力分为检测类和控制类。检测类包括对数据访问行为的留痕、控制、风险预警,控制类包括对敏感数据的字段级加密,脱敏等。产品涵盖关系型数据库和大数据平台中的数据。最新的产品方向是HADOOP大数据平台的安全、数据安全态势感知。另外研发了优质的数据库审计、数据库防火墙、数据库脱敏、数据库加密产品。围绕数据安全的产品系列的功能性、安全性性和性能,在业内首屈一指。2018年承担了国家信息中心,建设银行等企业的数据安全建设任务,并引入近亿元中电科(中国网安)投资基金,正式成为网络安全国家队成员。

6月10日-06.jpg

目前,中安威士数据库和大数据安全产品对标等保2.0,能够提供一系列功能特性,满足数据安全方面的合规性要求。

作者:中安威士井明阳

专题访谈

合作站点
stat