12月1日,網絡安全等級保護制度2.0標準正式開始實施,標誌着等保2.0時代的到來。那麼如何對數據進行安全防護,滿足合規性要求?
等保2.0中的數據安全要求
我們對等保2.0標準中的數據安全要求進行整理,安全通用要求在安全通信網絡、安全區域邊界、安全計算環境三方面提出數據安全要求,雲計算安全擴展要求在內的安全計算環境方面提出數據安全要求。
適用等保2.0的數據安全檢測方案
等保安全通用要求、雲計算安全要求中的安全計算環境,涵蓋數據全生命週期中的各個環節,包括採集、存儲、傳輸、使用、銷燬等。因而,數據安全防護應全面覆蓋數據生命週期各個環節,按等保要求提供各環節數據安全所需檢測功能,如圖所示:
實現覆蓋全信息系統IT架構並覆蓋全生命週期的數據安全檢測方案:
⊙ 對於監管、測評機構的檢查任務(如抽查)型應用場景,可以使用一臺或多臺全功能檢測設備進行配置不同任務的多次檢查。
⊙ 對於各單位、企業的信息系統自查型場景,更方便是將檢測設備長期部署於信息系統中,自動進行週期性存儲檢查和連續性傳輸監測。
⊙ 在大型信息系統環境中的自查,爲覆蓋全面往往需要部署多臺設備於不同區域、節點執行檢測功能,更有效的方式是採用一個檢測評估平臺下掛多個分別部署於信息系統不同區域、節點的檢查執行組件,在平臺上統一配置各項規則策略,如信息源與檢測對象、數據內容識別規則、檢測任務與策略等,分別下發至各檢測執行組件。並且,檢測結果上報到平臺,由平臺統一給出測評報告、進行統計分析及敏感數據分佈與流轉態勢展示,便於統一風險管理。策略平臺-檢測組件模式也利於功能擴展,並對接統一數據安全管控防護體系。
一款以等保2.0爲依據的數據安全測評工具
世平信息自主研發的隱私信息安全評估系統SIMP-SRD,依據等保2.0《基本要求》、《測評要求》等相關法規標準,實現數據資產識別發現、敏感信息分佈掃描和網絡監測,並結合業務流程進行數據流轉異常監控,實現統一、可視化數據態勢感知。該產品已經通過公安三所的檢測,支持等保2.0下的數據安全測評,爲監管機構和政府、企業、網絡運營者檢測、監控重要數據和個人信息泄露風險提供有效技術手段和工具支撐。