解決方案

Solution

等保2.0合規安(ān)全

近年來,《網絡安(ān)全法》、《密碼法》、《國(guó)家政務(wù)信息化項目建設管理(lǐ)辦(bàn)法》等法律法規、标準規範的頒布,标志(zhì)着我國(guó)網絡安(ān)全等級保護工(gōng)作(zuò)進入了等保2.0時代以及密碼應用(yòng)安(ān)全性評估工(gōng)作(zuò)的全面展開。這對網絡運營者提出了更高的要求,網絡運營者必須将兩者有(yǒu)機融合,才能(néng)事半功倍,真正确保網絡安(ān)全的合規有(yǒu)效。具(jù)體(tǐ)應從工(gōng)作(zuò)流程和技(jì )術措施兩個層面進行考慮。

一.工(gōng)作(zuò)流程

網絡運營者應在網絡規劃、網絡建設、運行維護三個階段,同步開展等保2.0和密碼應用(yòng)與安(ān)全性評估工(gōng)作(zuò)。

(一)規劃階段:網絡運營者應根據《信息安(ān)全技(jì )術網絡安(ān)全等級保護安(ān)全設計技(jì )術要求》、《信息安(ān)全技(jì )術網絡安(ān)全等級保護基本要求》和《信息系統密碼應用(yòng)基本要求》等标準要求,立足業務(wù)實際,分(fēn)析等保2.0和密碼應用(yòng)的需求,形成網絡安(ān)全設計方案和密碼應用(yòng)方案,方案應經專家論證或測評機構評審通過後方可(kě)立項。

(二)建設階段:網絡運營者應深化網絡安(ān)全設計方案和密碼應用(yòng)方案,嚴格按照方案進行建設,形成統一的技(jì )術體(tǐ)系和管理(lǐ)體(tǐ)系,通過測評驗收。

(三)運行維護階段:網絡運營者應定期進行等保測評和密碼應用(yòng)安(ān)全性評估,發現存在的嚴重隐患問題,及時整改,不斷完善技(jì )術體(tǐ)系和管理(lǐ)機制。

二.技(jì )術措施

等保2.0和密碼應用(yòng)與安(ān)全性評估工(gōng)作(zuò)均對密碼技(jì )術與産(chǎn)品提出了相應等級的要求,主要涉及以下密碼技(jì )術。

(一)身份鑒别:等保2.0要求身份鑒别中(zhōng)至少要使用(yòng)一種密碼技(jì )術,密碼标準要求對網絡設備以及用(yòng)戶的登錄都要進行身份鑒别,包括網絡設備的邊界接入,以及管理(lǐ)員、審計員、操作(zuò)用(yòng)戶的身份的真實性。

(二)數據機密性:等保2.0的安(ān)全計算環境對數據的保密性提出了要求。映射到密碼标準即是對數據的機密性要求。要求對敏感信息、身份鑒别信息、重要數據都需要保證機密性。

(三)數據完整性:等保2.0要求對通信數據、鑒别數據、重要業務(wù)數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息進行數據完整性保護。密碼标準在此基礎上增加了對電(diàn)子門禁系統進出記錄、視頻監控音像記錄的完整性要求。

(四)密碼産(chǎn)品和服務(wù):等保2.0要求密碼産(chǎn)品與服務(wù)的采購(gòu)和使用(yòng)符合國(guó)家密碼管理(lǐ)主管部門的要求。密碼标準中(zhōng)更加細化的要求系統中(zhōng)所使用(yòng)的算法、技(jì )術、産(chǎn)品、服務(wù)均遵循國(guó)家密碼管理(lǐ)主管部門的要求。

等保2.0和密碼應用(yòng)與安(ān)全性評估工(gōng)作(zuò)相輔相成,缺一不可(kě)。在實際工(gōng)作(zuò)中(zhōng)必須将兩者有(yǒu)機結合,網絡安(ān)全工(gōng)作(zuò)才能(néng)切實可(kě)行,行之有(yǒu)效。