1. 合规运营

2. 体系建设

3. 生态赋能

讲义

2.0时代，如何做好等保？

等保全称叫信息安全等级保护，是对是对信息和信息载体按照重要性等级分级别进行保护的一种工作。今天我们就来说一说等保的历史发展，以及个人信息保护相关的一些内容。

在等保历史最初的十年时间内，大家对于等级如何划分感到很头疼。但是在2003年27号文件发布后，大家便想通了，这个等级是重要性的等级。重要性是由系统在国家安全、社会秩序、公共利益、公民法人的重要性来决定的。等级不是围绕着简单的一个技术来划分的，而是这个系统或者是系统所承载的应用在社会上的地位、社会的属性来决定的。

2017年6月1日，《网络安全法》诞生了，在法律上等级保护有什么样的责任和要求呢？网络安全法第二十一条：国家实行网络安全等级保护制度；第三十一条，强调了关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护；第五十九条还要求了，如果不履行第二十一条的规定，可以处一万元以上或者十万元以下的罚款，对直接负责人处以五千元以上五万元以下的罚款。第七十三条中，指明网络运营者是指网络的所有者、管理者和网络的服务提供者。

根据计算机信息系统安全保护条例，可以对直接责任人员处五千元以下的罚款，对单位处以一万五千元以下的罚款。情节严重的可以给予六个月以内的停机联网、停机整顿的处罚，必要的情况下可以撤销机构的许可或者取消联网资格。

在两高司法解释中的第五条里面，刑法第两百五十三条提到了拒不履行信息网络安全管理义务罪，网络服务提供者不履行法律或者行政法规的、拒不整改的可以处三年以下的有期徒刑。那么第两百八十三条之一同样的，侵犯公民个人信息罪，如果是情节严重的分处三年以下有期徒刑；情节特别严重的要处三年以上七年以下的有期徒刑，并处罚金。

以上是等保的一些相关背景和法律义务。

等保2.0的特点和形成

为了适应新形势、新挑战和新标准，打好网络攻坚战，需要提高信息系统安全，不断完善网络安全的法律法规。那么等保2.0发展历程是什么样子的呢？

2016年10月10日，第五期全国信息安全等级保护技术大会召开，公安部网络安全保卫局的郭启全提出，国家对网络安全等级保护制度提出了新的要求，等级保护制度进入2.0的时代。去年5月13日，等级保护2.0的核心标准正式发布。当天发布的标准里面包括有基本要求、测评要求，还有安全设计技术要求。另外，今年3月实施指南正式开始实施。网络安全等级保护的这个定级指南正式稿也将在今年11月1日开始实施。2.0的标准是经过了多次的修订，众多专家呕心沥血整理的，网络安全法的颁布奠定的等保的法律地位。

在提出等级保护2.0标准的时候，工作目标也明确下来了。首先要落实分等级保护、突出重点、积极防御、综合防护的总体要求，建立打防管控一体化的网络安全综合防御体系，提高国家网络安全整体的防御能力

要做到变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防护，变粗放反复为精准防护。重点保护关键信息基础设施、重要信息系统和大数据安全等。要保障和全力推进网络安全的产业，让企业快速健康发展，打造世界一流的一个企业群。最后，坚决落实同步规划、同步建设、同步运行网络安全保护措施的三同步原则。

我们看一下这张图，这是我们早在去年就整理的。从下往上看，网络安全等级保护条例作为等级保护工作的上位文件，提出了总体要求。计算机信息系统安全保护等级划分准则作为上位标准给出系统等级划分的依据。准则之上是我们最熟悉的网络安全等级保护基本要求。右边的设计技术要求和实施指南用于指导等级保护建设工作开展。而左边测评要求和测评过程指南用于指导测评机构如何开展测评活动。所有的标准都是围绕着如何让网络信息系统分等级进行保护。图中黄色部分是通用的标准，绿色部分是行业的一些自身标准。

而对于网络运营者来说，实施指南是非常具有参考价值的，它对于从系统最初如何确定等级、如何备案，到系统建设的总体安全规划，包括安全需求分析、总体的安全设计、安全建设的规划，以及系统的安全设计实施阶段的安全方案设计技术实施、管理措施的实现，设备迁移和报废、信息转移等整个生命周期，都给出了指导意见。

等保2.0的定级对象除了传统的信息系统，还包括像通信的网络设施、数据、工业控制系统、云计算平台、物联网和移动互联等。

定级首先应该要确定定级的对象，根据定级指南或行业细节初步判断系统的等级，然后组织专家对系统的情况进行评审，接着再报主管部门审核，这也是2.0的新要求。

等级保护对象的安全保护等级分为五个等级。对于通信网络设施、云计算平台/系统等定级对象，原则上不低于其承载的等级保护对象的安全保护等级。另外，涉及到大量公民信息以及为民提供公共服务的大数据平台原则上安全保护等级不能低于三级。

总的来说，等保2.0具有四个特点：

一、新标准强化了可信计算技术的使用要求，把可信验证了列入各个级别并逐级提出各个环节的主要可信验证要求。二、优化了密码技术要求，提出国产化。三、提出了“安全管理中心”的管理理念。四、提出“个人信息保护”。

前面说到等保2.0提出了个人信息保护的概念，我国出台了一些关于个人信息相关的法律法规，包括新安标委的个人信息安全规范、网信办的数据安全管理办法、个人信息出出境安全评估办法、公安的互联网个人信息安全保护指引等。

腾讯如何应对安全合规新挑战

站在企业的角度，做好等保合规不仅是符合国家要求的必须动作，也是夯实企业安全的重要举措。我们以腾讯为例，来谈谈企业如何应对安全合规新挑战。

腾讯一直在积极重视参与等保工作，并且有一个专门的团队来去系统性对接和跟踪等级保护的政策和标准体系。腾讯的董事会主席马化腾先生就担任了信息安全决策委员会的主席，他在很多场合都说过一句话：安全永远是腾讯的生命线。公司领导对于网络安全的重视是等保工作的重要基础。

除此以外，还要建立良好的公司级网络安全体系。腾讯有一个非常庞大的矩阵式的安全团队，集团层面设立了安全管理部，其中包括对外比较广为人知的各种安全实验室。在BG层面有非常多的业务安全团队，例如微信、QQ、腾讯云等大的业务团队都有专门的安全团队。

安全管理部是集团层面负责公司整体安全策略制定和组织实行的部门。安全平台部是集团层面的安全技术团队，服务于全部业务线的相关系统和用户安全。七大安全实验室是国内首个互联网安全实验室矩阵，专注于网络安全技术方面的研究，以及网络安全攻防体系的搭建。所以腾讯有非常强大的安全矩阵团队，一起去守护腾讯的产品和用户的安全，让安全具备组织保障。

数据安全一直是腾讯所面临的最大挑战之一。为了保障数据安全，腾讯推出了数据保护专项，以及很多针对性的安全专项，推动安全措施的落地。腾讯内部安全实践中上非常重要的一个特点，就是安全能力的一个自营和自建。自主研发了包括腾讯蓝君、门神和铁将军等安全产品和方案，长期沉淀和积累形成内部完善的安全体系。 5G、AI、云计算、物联网等新技术和新架构正在成为社会发展的“关键词”，在新基建的浪潮下产业数字化升级成为重中之重。网络等级保护工作的内涵随之持续扩展，面对各行各业的共性安全保护提出了安全通用要求。2019年5月13日，网络安全等级保护2.0标准正式发布，同年12月1日正式实施。

等保2.0发布一周年，过等保成为了企业合规运营的必经之路。在腾讯安全联合安全媒体FreeBuf举办《产业安全公开课 · 等保2.0专场》上，腾讯安全、深信服、深圳网安、鼎铉的各位安全专家围绕网络安全相关的政策法规，从不同的角度向各行各业分享了等保2.0的政策解读和实践经验。在之前的文章里，腾讯安全已经向读者陆续输出了等保政策、过保经验、密码、数据安全等维度上的内容，今天我们把六位安全专家的干货和精髓进行再次地提炼和凝聚，助力企业客户一站式读懂等保2.0。

第一课：学标杆

首度揭秘腾讯“过等保”经验

等保2.0标准所采用的“一个中心、三重防护”的安全理念，要求企业安全体系的防御重心从被动防御向事前防御、事中响应、事后审计的动态保障体系转变。尤其对于正在经历或者数字化转型初期企业而言，这种防御重心的改变进一步加剧了安全挑战。如何快速、平稳、高效通过等级保护，成为大中小企业的关注焦点。

尤其是深度接入互联网技术的大型公司，他们的过保经验尤为珍贵。作为一家拥有超过6万名员工、100+业务线的企业而言，腾讯这种体量的企业是如何过等保的？腾讯安全管理部标准管理中心副总监黄超带来的《等保2.0时代，腾讯如何应对安全合规新挑战》，就分享了腾讯与等级保护幕后故事和一手的实践干货。

黄超在课上表示，公司高层重视网络安全，决定了这个企业开展网络安全相关工作的执行力以及安全战略的高度。在腾讯公司高层直接关注和扎实的安全团队支撑下，腾讯的做法被称为“举全公司之力巩固安全长城”——成立等级保护工作组，集结了来自公司内部各个安全团队的超过100名成员，推动等保工作落地。

除了持续性的进行内部政策宣贯和标准培训外，腾讯还针对等保中的新技术、新场景邀请业内的专家培训，对公司自研业务的查漏补缺以及不定期举办如“漏洞悬赏”的安全专项，加速等保工作的开展。

第二课：借力过保

腾讯安全如何助力企业步入合规之路

几乎所有的企业都要通过网络安全等保大考，尤其是关系国计民生的重点行业如金融、医疗、教育等，相关主管部门已经下发详细的工作开展知识和全方位的过保标准。产业安全公开课·等保2.0专场的第二课，腾讯安全的等级保护合规服务负责人王余为客户分享了《腾讯如何助力企业通过等级保护》，详细讲述在网络安全建设和等级保护合规建设全生命周期中，腾讯如何为网络运营者提供快速过保的产品、服务、解决方案及最佳实践经验。

腾讯安全从各行业实践中梳理和总结等保2.0时代网络安全合规工作方式与方法，以“一个中心、三重防护”为核心，在云平台合规、技术支持、专家服务等方面旨在助力提升企业网络安全能力，规避和缓解企业风险。

一方面，腾讯云已通过等级保护三级、腾讯金融云已通过等级保护四级要求，可以为云租户提供一个合规的云平台；另一方面，腾讯安全整合身份安全、网络安全、终端安全、应用安全、数据安全、业务安全、安全管理和安全服务等多种安全领域的相关产品和服务优势，为企业提供更加体系化、标准化的安全防护设计，让整体防护更加协同、高效，并通过技术、流程、人的协同机制形成闭环，满足不同场景下的安全合规需求。此外，针对关键服务阶段，腾讯安全专家服务能够为企业提供更加体系化、标准化的安全防护设计，让整体防护更加协同、高效，并通过技术、流程、人的协同机制形成闭环，在落实等保合规的基础上持续提高安全运营能力。

第三课：业务安全和等保合规

“双轮”驱动商用密码应用

密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑，是国家安全的重要战略资源，也是国家实现安全可控信息技术体系弯道超车的重要突破口。为解决当前密码应用存在的突出问题，国家颁布实施了《网络安全法》《密码法》《网络安全审查办法》等一系列法律法规，都对密码应用安全性评估提出要求，希望通过密码应用安全性评估促进商用密码的使用和管理规范。

为此，产业安全公开课·等保2.0专场第三课，全国首家第三方商用密码检测机构鼎铉公司的安全测评部副部长邹超在《信息系统密码应用设计、改造与评估要点解析》课程中，针对法律法规对密码上的要求进行了解读与分享。?5分钟速看密码评测精华《关于密码测评，你必须了解的10个基本问题》

邹超表示，运营者在企业信息系统建设的过程中，应充分使用商用密码对业务和数据进行保护。尤其是面向社会服务的政务信息系统、涉及国计民生和基础信息资源的信息系统关键基础设施、等保三级等重要领域网络和信息系统，在建设之初就应充分规划和配置相关密码设备及服务，启用商密算法/协议等功能配置，保障业务安全稳定地发展。

腾讯安全打造了端到端的云数据全生命周期安全体系，以“数据安全中台”为中心，保障数据在识别、使用、消费过程中的安全。基于腾讯安全云数据安全中台，腾讯安全以数据加密软硬件系统、密钥管理系统、凭据管理系统以及云数据加密代理网关为核心，实现从数据获取、数据处理及检索、数据分析与服务、数据访问与消费过程中的安全、合规的密码防护。

第四课：关键信息基础设施

等保2.0的重中之重

关键信息基础设施保护直接关系到国家安全、国计民生和公共利益，是等级保护的重点，关键信息基础设施保护与网络安全等级保护的关系紧密不可分割。来自深信服的安全解决方案专家杨帆帆在产业安全公开课·等保2.0专场第四课《关键信息基础设施保护相关政策解读》中，分享了深信服基于对网络安全等级保护政策和标准的研究以及等级保护领域的大量实践经验。

杨帆帆在课程中说道，关键信息基础设施的确定通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度以及信息系统发生网络安全事故后可能造成的损失来认定关键信息基础设施。

关键信息基础设施安全保护则分为五个环节。其中识别认定是首要环节，是开展安全防护检测监督预警处置的基础，而安全防护环节是在识别认定的基础上实施安全防护措施，检测评估环节检验安全防护措施的有效性，分析潜在的安全风险，监测预警环节针对已经发生或者可能发生的网络事件进行提前的预警，最后的事件处置环节主要针对检测评估、监测预警环节发生的问题实施应对措施，保障关键信息基础设施的业务连续性。

第五课：推出全栈解决方案

实现重保高效精准打击构建

近年来，企业级安全建设面临混合云、DevSecOps、零信任体系、敏捷开发要求等综合复杂场景引入，企业级安全问题出现了不同于以往的新形态。如何在这样的新形态下做好企业IPO等关键时刻的重点防护，全局性提升企业安全成为很多行业面临的问题。

产业安全公开课·等保2.0专场第五课，腾讯安全专家咨询中心企业级安全服务负责人李光辉以《企业安全重保解构，高效精准打击构建》为题，结合当前的安全态势环境，解析企业面临的通用安全问题，并分享了腾讯安全在金融、泛互等行业领域的重保护航最佳实践。

腾讯安全从情报、攻防、管理、规划四个维度依托自身在身份安全、网络安全、终端安全等八大领域的安全能力，为客户设计了安全重保防护全栈安全解决方案，从企业自身所处的行业以及业务特殊性出发进行整体安全咨询。方案包含安全整体提升、内部检验、实战驻场三个阶段。

首先在安全整体提升阶段，主要通过资产普查和风险评估、漏洞扫描和基线检查、关键核心业务的渗透测试、应急响应方案编写、建立应急响应组织体系、渗透测试和复测等工作及时发现业务风险点，加强防护能力。在内部检验阶段，通过红蓝对抗以及检查防护策略的有效性及完整性，避免策略疏漏和失效导致被外部利用。在实战驻场阶段，通过7x24安全监控分析，对安全设备、系统等安全日志和事件告警进行持续监测，对安全事件进行应急响应处理，确保零安全事件发生。

第六课：明确权责、规范指引

构建全生命周期的数据安全纵深防御

等保2.0在等保1.0对数据安全的要求基本不变的情况下，根据新网络环境和业务场景对数据安全保护能力，对数据的审计、访问控制、加密都有更明确的要求。为了向各行各业的企业客户分享等保2.0在数据安全领域的政策解读和实践经验，产业安全公开课·等保2.0专场第六课《等保2.0中核心数据安全要求解读》中，腾讯数据安全产品经理周京川围绕如何保障数据的全生命周期安全，保障数据存储的完整性、保密性来解读等保2.0的数据安全条款。

等保2.0对于数据安全的要求升级和新规范设置，实际上是顺应了社会普遍对数据治理的底层需求。等保2.0在1.0的基础上，将主机安全、应用安全、数据安全及备份恢复统一纳入“安全计算环境”范围，细分身份认证、访问控制、安全审计、数据保密性、个人信息保护、安全管理中心等维度进行明确，从事前、事中、事后实现整体性防范，要求企业不仅要做好数据审计，还要在出现问题的时候可以实现数据风险溯源。

面对由从云计算、大数据、AI、量子对抗到5G层层开放发展带来的安全挑战，产业互联网时代的企业应当抓住时代前沿技术红利，以战略视角构建基础安全架构、综合运营管理和租户云安全中心的云数据原生、全生命周期纵深防御技术架构和安全运维体系，为产业云化升级中的信息安全对抗提供全面支撑。

等保2.0标准作为我国网络安全领域的基本国策、基本制度和基本方法，不仅是企业品牌树立、可持续发展的重要保障，更是我国信息系统安全在新时代、新态势下网络安全的“风向标”。

数字化转型是当今社会发展的主流趋势。从产业的内生建设来看，发展需要兼顾“效率”与“稳定”，信息化建设与应急能力在产业快速迭代转型的同时，需要将安全能力纳入考量指标；就外部环境而言，产业数字升级的过程中会形成更多数据和信息的“价值洼地”，这也使得网络攻击组织的渗透和破坏得到了更大的空间，迫切需要企业和社会将安全防护和健康稳定放在发展规划的首位。面对复杂的网络安全形势，腾讯安全依托自身深入产业互联网实践所积累的技术、人才与生态优势，联合生态伙伴共同深耕等保的研究与实践，为企业持续提供高效务实的等保规划和经验分享，助力企业赢在产业转型的起跑线。 原文链接：https://mp.weixin.qq.com/s/4r-9YNmuS9hfre_bE9QA9w