言語|正式に5月13日にリリース国家標準2.0のネットワークセキュリティ保護システムの懸念、と正式に2019年12月1日に実装されます。ネットワークセキュリティ試験は、ほぼすべての企業が通過し、それを準備する方法?「クラウドプラスコミュニティ」はそれらに答えるために、コミュニティクラウドプラスマイクロチャネルグループ内のテンセントのクラウドセキュリティの専門家王遊を招待し、この記事では、株式併合(:テールエンドエディタ)から要約されています。プラスグループ「クラウドプラスコミュニティ」パブリック番号、返信「プラスグループに注意を払うにしてください。」
みなさん、こんにちは、私はあなたと共有し、情報セキュリティにおける18年間の仕事、上2.0程度の知識のネットワークセキュリティ保護システム今日の王です。
テンセントパブリッククラウドクラウドクラウドプラットフォームと金融プラットフォーム、このようなセキュリティ2.0の試用版や他のセキュリティ記録として規格に準拠した2016.12の初め以来と評価作業を行って、そして、最終的には、2017.5「ネットワーク保障法」、3を通してパブリッククラウドプラットフォーム、の正式な実装の際に4つの金融クラウドプラットフォームの評価。テンセント雲の結果が達成された組み合わせとコンプライアンスサービスで蓄積された経験の多くの年、私はセキュリティオペレーションセンター角と暗号化管理の詳細な解釈を行います。
まず、保護のレベルは何ですか?
(以下などの保険、と呼ぶ)の情報セキュリティレベルの保護は国家の専有情報を秘密情報、法人及びその他の団体や市民だけでなく、公開情報やストレージ、伝送、情報処理、情報システムセキュリティ、情報システムの階層的な実装を指し、実装レベルの管理、情報セキュリティインシデント情報システム等級応答および廃棄によって使用される情報セキュリティ製品。
2.0が正式に5月13日にリリースされ、正式に2019年12月1日実施される国家標準の懸念ネットワークのセキュリティ保護システム。同様にポール・情報システムの最小要件で2.0明確な5つのセキュリティレベル、情報システムの構築のセキュリティ管理指導・監督するための基本的な技術要件と基本的な管理要件をカバーし、基本的な安全要件です。
このよう、金融、医療、教育、その他の当局などの主要産業の生活は、仕事を遂行するために、関連する文書や保護の届出に必要なレベルを発行しました。クラウドセキュリティの仕事の影響を含め、企業の情報セキュリティ組織の標準のリリースは、明らかにされています。
第二に、保険、その他2.0主な変更点は何ですか?
「法」を「ガイド」1.
およびその他のセキュリティの変更1.0の最大の違いは、位相2.0の性質です。
そして、他の保険2.0、「2.0標準ネットワークセキュリティ保護システム」の正式名称は、ネットワークおよび情報システムでは、重要度分類に応じて、重要な標準の保護です。その後、仕事が従う必要があるため2.0と他のセキュリティでは、ネットワークセキュリティの専門家や規制当局は、安全基準や規制を実施します。そして、他の保険2.0は、セキュリティ上の義務を履行するための重要な部分であり、関連するユニットは、それに応じて処罰される場合は、実行することを拒否した「が、ポールは違法です。」
「法」を「ガイド」から、厳密さより少しよりも上昇しました。一方、保護の範囲も変更:クラウドコンピューティング、モバイルインターネット、物事、産業用制御および新しいフォーマットの基本的な要件に加えて、大規模な追加データなし。、定義された評価およびファイリングプロセスをグレーディング条件も調整されています。
2.「1つのセンター、三重の保護」のために設計されたネットワークセキュリティ技術の一般的な考えのために
安全である中央管理センター、三重の保護、国境セキュリティゾーン、セキュアな通信ネットワークであるコンピューティング環境確保。
システム管理、セキュリティ管理、監査管理に実装セキュリティ管理センターの要件は、集中管理および制御、能動的保護に受動防御からの変化の三つの側面、動的保護に静的ガードからの遷移は、全体的な保護の保護の一点からの遷移は、に広範囲保護からシフトします正確な保護。
トリプル保護は、プラットフォームセキュリティのフルレンジを達成するための技術的手段、アクセス制御、侵入防御、データの整合性、プライバシー、個人情報保護などのセキュリティ対策によって認証やセキュリティデバイスを実装するために企業が必要となります。
3.暗号化管理は、前方厳格な要件に置く
伝送ネットワーク通信が、明確な使用環境、認証、データの整合性、データの機密性を計算しながら、暗号化要件を考慮する必要があり、調達の初期設計と施工段階から、このような保険2.0明確な要件などを、暗号化技術のセキュリティ要件は、ほかにも、ミラーリングや雲のスナップショットと同様に、提案されている決定的な購入基準の国の秘密の暗号アプリケーションの保護との整合性検証の要件を強化する提案。
トラステッド・コンピューティング技術の重要な位置を確立4.
セキュリティある2.0は、信頼できる実行プロファイルおよびパラメータのためだけでなく、要件を強調して検証し、整合性の問題の検出にも警戒しなければならない時や、ファイル保護などの機能します扱います。
第三に、評価プロセス及びその他の保険2.0何?
評価プロセス及びその他の保険2.0具体的には、主に以下の態様を含みます。
1.ことを確認してくださいグレーディング
まず、システムの機能と責任の管理情報システム部門のシステム同定と説明、予備包括的なビジネスとシステムサービスの違反の程度は、システムのセキュリティのそのレベルを決定するオブジェクト。そこ当局は、当局による承認をする必要があります。四の以上の情報システムのために決定されるためには、それは専門家の審査によって見直されるべきです。
2.ファイリング
操作、および地元自治体の公安当局にレベルを決定すると、上記使用。新二次及びより高い情報システム、30日提出した後に決定、30日以内に動作させ、二次及びより高い情報システムは、レベルで実行されています。情報システム監査の提出の公安機関、証明するために、レコードの10営業日以内に発行された保護レベルの要件を満たすために。
3.行動分類された評価
業務、ユニットの使用およびコンプライアンス評価機関を選択しなければなら管轄当局は、定期的に情報システムのセキュリティレベルのステータスのレベルの評価を行います。評価機関は、評価報告書を発行し、評価結果、特急情報システムのセキュリティレベルと評価結果の通知を発行しなければなりません。
4.セキュリティシステムの改革と建設
技術基準や管理慣行に従ってユニットを使用して運用、管理のアプローチは、安全管理システムを開発し、実装するための情報セキュリティレベルの要件、セキュリティ組織の確立に、建設準拠した情報セキュリティ製品の選択が必要です。ないためのセキュリティ保護要件、操作のレベルに達し、整流の使用が公安当局に報告しなければなりません。
5.監督及び検査
公安機関は、定期的に情報システムのセキュリティチェックにユニットを使用して、情報セキュリティレベル保護管理実務、監督及び検査作業の保護のレベルに応じて作業を行います。オペレーティングユニットは、公共の安全、検査、指導のセキュリティ監督の臓器の対象となり、かつ公安機関に関連資料を提供しなければなりません。
することにより、このようなバオ2.0などの企業どのように迅速に第四に、
ほぼすべての企業が参加する必要がある「とポール」、必ずしも保険会社と人々の数が多いなどに参加するかどうかとは関係ありません。政府、金融、通信、電気......ぶっきらぼうにそれを言う、この「最終試験」は、基本的にすべての企業、特に政府機関や捜査の焦点として、金融業界をカバーしました。内容はセキュリティ技術と企業管理能力に焦点を当てて調べます。
そして、保険2.0の基本を理解する上で、他の企業は、どのようにしますか?「ポールと他の2.0」試験が近づいてどのように、「メイクアップ」を回避するか、またはそれを罰するために、事業単位レベルの保護、セキュリティシステム、自己改善を徹底的に理解?テンセントセキュリティ専門家は、企業のクリアランスキットの準備ができていました。
1.審査正しい態度
「の保証のうち、」優れた安全性の自己テストを持つ会社です
より厳密な包括的なエンタープライズセキュリティ、その後、引き続き、企業の安全保障と防衛能力が問題を特定し、解決するために強化され、同時に、「プロフォーマ」で、最も直接的な利益は、我々は簡単に一緒に司会者、企業のセキュリティコンプライアンス要件を満たすことができるということですこのシステムはよりよいのためのタイムリー、企業や健全な発展の傾向でなければなりません。
でもポール後と私たちはライセンス平等な権利を持っていません
国家機関や他の保険2.0は、保険会社がそうで2.0とした場合でも、目標ではない手段であり、あなたはセキュリティ上のライセンス免除を得るという意味ではありません。責任で、責任分担について話すには、主流のクラウドサービスプロバイダーの現在の国際的な基準、いわゆる「共同責任」モデルと一致プラットフォームを曇らせます。
(参照:共有責任のテンセントクラウドセキュリティモデル:https://cloud.tencent.com/services/securityを)
一般的には、全体の雲は計算し、基礎となる物理的なインフラストラクチャのセキュリティ環境では、多くの場合、より洗練され、専門的なサービス、アプリケーション、およびデータのセキュリティに多くの時間とエネルギーを入れて統一型クラウドサービスプロバイダ、およびクラウドの顧客に提供しています。各クラウドサービスプロバイダの標準は少し異なりますが、一般的な方向が似ていることがあります。これは、の要件を満たすために必要な要件およびその他の国家安全保障レベルの保護システムである「保険、その他2.0。」
2.時計の新しいテストセンター:センター+トリプル保護
セキュリティなどの1.0に関しては、セキュリティおよびその他の調整コア企業セキュリティの2.0ペアは、と提案し、「1つのセンター、三重の保護、」戦略からビジネスを必要とするネットワークセキュリティ技術の設計の一般的な考え方、全体的なセキュリティ計画と設計上の視点。いわゆる戦略的な観点では、安全性の整合性にもっと注意を払うことです。
この新しい要件に応じて、我々はその会社を信じています:
Aは、クラウドリソースとビジネスセキュリティの集中管理と制御を確保するために、脆弱性インテリジェンス、脅威の検出、イベント処理、ベースラインのコンプライアンス、リーク検出およびリスクの可視化やその他のセキュリティ管理を実現するために、クラウドのセキュリティ・オペレーション・プラットフォーム・ベースのエンタープライズ・クラウドのセキュリティデータを確立しなければなりません;
第二には、伝送、ストレージ、および複数の保護の要件を満たすために、プロセスの使用における重要なデータのセキュリティを確保するために、完全なデータの暗号化と鍵管理プログラムを構築する、キー管理を強化することです。
第三に、クラウドセキュリティプラットフォームの建設、一般的なビジネスおよび開始、資産、構成から、コンプライアンスや安全管理の開閉角度、および安全管理、脆弱性の基盤を構築し、運用管理、セキュリティ、侵入テストおよびセキュリティを向上させるために良いベースラインで改善のメカニズムを確認してください。
3。フォーカス:個人情報、データセキュリティ
、単一のデータ・ポイント・防衛の増加故障の観点からは、我々は思考、データのセキュリティ保護の企業は、保護技術は、データ・ストリームのあらゆる側面に対処するために、リスクのレベルを上げる必要があることを信じて、2番目は団結することです孤立単一ポイントガード能力のシリーズですガバナンスプラットフォームは、保護間の死角をなくし、データの持続可能な管理を実現する、データのセキュリティ管理戦略の開発に注力するための3つが必要。
この考えに基づき、テンセントは、実用的な孤立セキュリティの各ノードの連携と統合を達成するためにAIと、意識、セキュリティ管理や共同予防とコントロール機能や他の企業を強化する上で、ヘルプ焦点に企業のデータセンター、データ資産のセキュリティシールドセキュリティ包括的な管理の数を開始しましたヘルプ企業は、ユーザ包括的な保護、行動、データ・ストリームの問題を解決します。
4.アラートのポイント「ハング」簡単に「試験」
元業界、明確性およびその他のセキュリティ2.0クラウドコンピューティング、モバイルインターネット、インターネットとネットワーキング業界の一般的な要件に加えて、まず、保護のための基本的な要件からレベルを調整し、そのような「拡張要件」などの新しい分野では、ルールは「メイクアップ」のための重要な前提条件につながっ誤算を避けるためです。
第二に、攻撃への伝統的な防衛、および他の保険に加えて、2.0も防衛した後、中に、前に行うために企業が必要となります。監査は、問題の根本を守るません。問題はその後トレーサブル介して起こるところ見つけて、次のガード準備をする必要がありました。防衛は変更早期警戒、ダイナミック保護と受動的保護の状況に緊急対応を知覚しなければなりません。
さらに、注意が払わと精度の他の保定レベルする必要があります。正確ではないグレーディングする必要があり、それは建設とその後の企業のセキュリティ・レベルの評価作業に誤解され、直接結果の安全保障と防衛に影響を与えます。ヘルプへのプロのセキュリティ企業や業界の専門家のサービスの導入は、それは人件費を削減し、効率のカットを改善する目的を達成し、サービス継続の建設を完了します。
5.ケーススタディ
車、事前に用意しないことについて、事業ネットワークに類似ホームビジネス、。保護評価のレベルによって頼まれ、その最初のアプリケーションでは、他の規制当局による審査があります。同社は、一定の時間で、最終的な結果を遅らせるので、ポールをした、オンライン全体的な遅延をビジネスアプリケーションをリードし、大きな損失を引き起こしました。
事業は、安全装置の束を購入するための要件をテストした後、小型のシステムインテグレータを探してもあります。最後に、けれどもそれは、機器を購入するために1億人以上かかりましたが、デバイスの役割を果たしていませんでした。
だから、ここで私はセキュリティ保護の評価機関の全国的なネットワークを探してお勧めします(付録の最後下記の参考文献を参照)、ディレクトリの評価メカニズムをお勧めします。
最後に、あなたに1つを思い出させるために:試験が正式にオープン2019年12月1日開催されます。注文した整流、行政処分、一時停止、登録、一時停止の操作や他の「メイクアップ」または「ハング枝」のリスクに直面して避けるために、早期に準備をしてください。
第五は、グループQA内
Q:どのようなテンセント雲がそれを提供するのに役立つことができますか?
A:現在、テンセント雲がテンセントは、金融クラウドレベルによって4要件を保護されている、保護3のレベルを通過した、コンプライアンスは、保護2.0のレベルの評価を通じてテナントサービスシステムのための前提条件である、クラウドテナントのためのクラウドプラットフォームを提供することができます。
このような二次および三次要件については、保険などのセキュリティ製品およびサービスに固有の、テンセントは、セキュリティのWebアプリケーションファイアウォール(WAF)、DDOS高い防御力(もゆうとして知られている)、要塞機械(データセキュリティゲートウェイ)、データベース監査を含めました基本的なセキュリティシステム製品から、AIは、ワンストップのWebベースの政府や企業の事業運営のリスク保護、コンバインはAI人工知能、データベースのセキュリティ管理と監査システムソリューションの運用・保守を集中することをDDoS攻撃ソリューションのさまざまなを提供することができます。
同時に、我々はまた、対応関連製品、セキュリティの強化など、技術的な専門家のアドバイス、APP、などの基本的なサービスの二次および三次レベルの要件アウトビルド、情報セキュリティ上の弱点は、企業が情報資産やビジネスプロセスを識別することができ、かつこれは、情報セキュリティの脅威のための情報セキュリティリスク治療計画の推奨事項を提供します。また、クライアント上でクラウドを構築するための特別オファー体系的なチャネルネットワークのセキュリティ保護とコンプライアンスの評価サービスもあります。ましょう、セキュリティの建物は、もはや企業の負担はありません。
また、我々はまた、このような場面では、モバイルセキュリティなど、企業のクライアントのためのセキュリティサービスを提供することができます。セキュリティのエリアを移動するには、例えば、私たちは、モバイル端末の管理と制御を持っている、などUEM(ユーザーエクスペリエンス管理)製品などのモバイル制御アプリケーションは、モバイルアプリケーションの顧客のために、管理し制御端子に焦点を当て、より提供しています。
Q:先生、具体的な要件のチェックリストはありませんか?
:私たちは、「ネットワークセキュリティ要件の基本的なレベルを保護するためにGBT22239-2019情報セキュリティ技術」(懸念「クラウドプラスコミュニティ」公共の数は、そのような「ダウンロードPDFのバージョンなどのセキュリティ要件を返信)を参照することができます。
Q:開始する準備ができていない今ならば、それは遅すぎる少しではありません[彼の後ろに]はあなたのための非常に深刻な結果をもたらすのだろうか?
A:いいえ、それを認識するためには、次に進行、レコードのランキング第一、ギャップ分析、整流アップステップバイステップであります
Q:3とそのシステムに格納されているユーザ識別情報を保持する必要はありませんか?
:脱感作は、暗号化やストレージを必要とします。
Q:データのエクスポートのための要件はありませんか?
:限り、不正使用や不正アクセスを禁止するラインの通常の使用、など。
Q:しかし、それは黒である、または不正に取得されている場合。これが問題になることはありません。
A:あります。だから、保存されたああを暗号化します。
Q:に対処する方法にページが必要にショーのどのような。
A:いいえ。*戦い、または何ビューにクリックします。
Q:ページもショーの脱感作はそうではありませんか?
A:はい。
関連する問題を相談し続けたい場合は、この記事の最後にメッセージを残すことができます。
第六に、ゲスト解説
テンセントクラウドセキュリティの専門家王遊
18年のベテランの安全性、セキュリティ、および他の100の+ハンズオンプロジェクト。保護評価者のレベルを持っている、公認情報セキュリティ監査、国際クラウドセキュリティアライアンスの認証、ISO27001主任審査員は、状態は、情報セキュリティの専門家や他の資格の数を記録しました。
付録
全国ネットワークのセキュリティ保護評価機関推奨リスト
http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=nlbdLv3&id=402885cb35d11a540135d168e41e000c
この記事はからの株式併合の要約で「クラウドプラスコミュニティ」マイクロチャネルグループです。
「クラウドプラスコミュニティ」パブリック番号、返信「プラスグループ」にプラスグループください注意を払います
