12月1日,网络安全等级保护制度2.0标准正式开始实施,标志着等保2.0时代的到来。那么如何对数据进行安全防护,满足合规性要求?
等保2.0中的数据安全要求
我们对等保2.0标准中的数据安全要求进行整理,安全通用要求在安全通信网络、安全区域边界、安全计算环境三方面提出数据安全要求,云计算安全扩展要求在内的安全计算环境方面提出数据安全要求。
适用等保2.0的数据安全检测方案
等保安全通用要求、云计算安全要求中的安全计算环境,涵盖数据全生命周期中的各个环节,包括采集、存储、传输、使用、销毁等。因而,数据安全防护应全面覆盖数据生命周期各个环节,按等保要求提供各环节数据安全所需检测功能,如图所示:
实现覆盖全信息系统IT架构并覆盖全生命周期的数据安全检测方案:
⊙ 对于监管、测评机构的检查任务(如抽查)型应用场景,可以使用一台或多台全功能检测设备进行配置不同任务的多次检查。
⊙ 对于各单位、企业的信息系统自查型场景,更方便是将检测设备长期部署于信息系统中,自动进行周期性存储检查和连续性传输监测。
⊙ 在大型信息系统环境中的自查,为覆盖全面往往需要部署多台设备于不同区域、节点执行检测功能,更有效的方式是采用一个检测评估平台下挂多个分别部署于信息系统不同区域、节点的检查执行组件,在平台上统一配置各项规则策略,如信息源与检测对象、数据内容识别规则、检测任务与策略等,分别下发至各检测执行组件。并且,检测结果上报到平台,由平台统一给出测评报告、进行统计分析及敏感数据分布与流转态势展示,便于统一风险管理。策略平台-检测组件模式也利于功能扩展,并对接统一数据安全管控防护体系。
一款以等保2.0为依据的数据安全测评工具
世平信息自主研发的隐私信息安全评估系统SIMP-SRD,依据等保2.0《基本要求》、《测评要求》等相关法规标准,实现数据资产识别发现、敏感信息分布扫描和网络监测,并结合业务流程进行数据流转异常监控,实现统一、可视化数据态势感知。该产品已经通过公安三所的检测,支持等保2.0下的数据安全测评,为监管机构和政府、企业、网络运营者检测、监控重要数据和个人信息泄露风险提供有效技术手段和工具支撑。