ほとんどすべての企業が準備する方法、ネットワークセキュリティ試験に参加すべき?
リード| 2.0が正式に5月13日にリリースされ、正式に2019年12月1日実施される国家標準のネットワークセキュリティ保護システムの懸念。ネットワークセキュリティ試験は、ほぼすべての企業が通過し、それを準備する方法?「クラウドプラスコミュニティ」はそれらに答えるために、コミュニティクラウドプラスマイクロチャネルグループ内のテンセントのクラウドセキュリティの専門家王遊を招待し、この記事では、株式併合(:テールエンドエディタ)から要約されています。プラスグループ「クラウドプラスコミュニティ」パブリック番号、返信「プラスグループに注意を払うにしてください。」
みなさん、こんにちは、私はあなたと共有し、情報セキュリティにおける18年間の仕事、上2.0程度の知識のネットワークセキュリティ保護システム今日の王です。
テンセントパブリッククラウドクラウドクラウドプラットフォームと金融プラットフォーム、このようなセキュリティ2.0の試用版や他のセキュリティ記録として規格に準拠した2016.12の初め以来と評価作業を行って、そして、最終的には、2017.5「ネットワーク保障法」、3を通してパブリッククラウドプラットフォーム、の正式な実装の際に4つの金融クラウドプラットフォームの評価。テンセント雲の結果が達成された組み合わせとコンプライアンスサービスで蓄積された経験の多くの年、私はセキュリティオペレーションセンター角と暗号化管理の詳細な解釈を行います。
まず、保護のレベルは何ですか?
(以下などの保険、と呼ぶ)の情報セキュリティレベルの保護は国家の専有情報を秘密情報、法人及びその他の団体や市民だけでなく、公開情報やストレージ、伝送、情報処理、情報システムセキュリティ、情報システムの階層的な実装を指し、実装レベルの管理、情報セキュリティインシデント情報システム等級応答および廃棄によって使用される情報セキュリティ製品。
2.0が正式に5月13日にリリースされ、正式に2019年12月1日実施される国家標準の懸念ネットワークのセキュリティ保護システム。同様にポール・情報システムの最小要件で2.0明確な5つのセキュリティレベル、情報システムの構築のセキュリティ管理指導・監督するための基本的な技術要件と基本的な管理要件をカバーし、基本的な安全要件です。
このよう、金融、医療、教育、その他の当局などの主要産業の生活は、仕事を遂行するために、関連する文書や保護の届出に必要なレベルを発行しました。クラウドセキュリティの仕事の影響を含め、企業の情報セキュリティ組織の標準のリリースは、明らかにされています。
第二に、保険、その他2.0主な変更点は何ですか?
「ガイド」から「法」への1
セキュリティやその他の変更の最大の違いに関して、2.0は1.0の性質です。
そして、他の保険2.0、「2.0標準ネットワークセキュリティ保護システム」の正式名称は、ネットワークおよび情報システムでは、重要度分類に応じて、重要な標準の保護です。その後、仕事が従う必要があるため2.0と他のセキュリティでは、ネットワークセキュリティの専門家や規制当局は、安全基準や規制を実施します。そして、他の保険2.0は、セキュリティ上の義務を履行するための重要な部分であり、関連するユニットは、それに応じて処罰される場合は、実行することを拒否した「が、ポールは違法です。」
「法」を「ガイド」から、厳密さより少しよりも上昇しました。一方、保護の範囲も変更:クラウドコンピューティング、モバイルインターネット、物事、産業用制御および新しいフォーマットの基本的な要件に加えて、大規模な追加データなし。、定義された評価およびファイリングプロセスをグレーディング条件も調整されています。
2.設計されたネットワークセキュリティ技術の一般的な考え方について、「1センター、三重の保護」
すなわち、中央セキュリティ管理センター、すなわち三重保護安全なコンピューティング環境、安全ゾーン境界、セキュア通信ネットワーク。
システム管理、セキュリティ管理、監査管理に実装セキュリティ管理センターの要件は、集中管理および制御、能動的保護に受動防御からの変化の三つの側面、動的保護に静的ガードからの遷移は、全体的な保護の保護の一点からの遷移は、に広範囲保護からシフトします正確な保護。
トリプル保護は、プラットフォームセキュリティのフルレンジを達成するための技術的手段、アクセス制御、侵入防御、データの整合性、プライバシー、個人情報保護などのセキュリティ対策によって認証やセキュリティデバイスを実装するために企業が必要となります。
3.暗号化管理は、前方厳格な要件を置きます
そして調達の初期設計と施工段階から2.0明確な要件は、環境、認証、データの整合性、データの機密性を計算し、伝送ネットワーク通信しながら、暗号化要件を考慮すべき他の保険は明らかに加えて、セキュリティを実現するために暗号化技術を使用する必要があります、雲も提案決定的な購入基準のほか、国の秘密の暗号アプリケーションとして、ミラーリングとスナップショットの統合と整合性チェックの保護要件を提案しました。
4.信頼できるコンピューティング技術の重要な位置を確立します
これは同時に整合性の問題を検出し、信頼できる実行プロファイルとパラメータの要件が検証されたばかりで、それはまた、アラートと応答時間である必要があり、このような特別な重点を置いてポール2.0ファイルなどのセキュリティ機能です。
第三に、評価プロセス及びその他の保険2.0何?
評価プロセス及びその他の保険2.0具体的には、主に以下の態様を含みます。
1.確認評価
まず、システム識別及びシステム機能と責任の管理情報システム部門の説明は、予備的な包括的ビジネスおよびシステム・サービスの違反の程度は、システムのセキュリティのレベルを決定するオブジェクト。そこ当局は、当局による承認をする必要があります。四の以上の情報システムのために決定されるためには、それは専門家の審査によって見直されるべきです。
2.ファイリング
地元自治体の公安当局にレベルを決定すると、上記の動作、および使用。新二次及びより高い情報システム、30日提出した後に決定、30日以内に動作させ、二次及びより高い情報システムは、レベルで実行されています。情報システム監査の提出の公安機関、証明するために、レコードの10営業日以内に発行された保護レベルの要件を満たすために。
3.行動評価グレード
操作は、コンプライアンス評価機関を選択しなければならない単位や部署の使用は、定期的に情報システムのセキュリティレベルのステータスのレベルの評価を行います。評価機関は、評価報告書を発行し、評価結果、特急情報システムのセキュリティレベルと評価結果の通知を発行しなければなりません。
4.システムのセキュリティの建物と整流
技術基準や管理慣行に従ってユニットを使用しての操作は、管理アプローチは、セキュリティ組織の設立を開発し、安全管理システムを実装するために、情報セキュリティレベルの要件に選択情報セキュリティ製品、建設が準拠する必要があります。ないためのセキュリティ保護要件、操作のレベルに達し、整流の使用が公安当局に報告しなければなりません。
5.監督検査
公安機関は、定期的に情報システムのセキュリティチェックにユニットを使用して、情報セキュリティレベルの保護管理実務、監督と検査作業の保護のレベルに応じて業務を遂行します。オペレーティングユニットは、公共の安全、検査、指導のセキュリティ監督の臓器の対象となり、かつ公安機関に関連資料を提供しなければなりません。
第四に、どのように迅速な2.0により、保険などの企業
ほとんどすべての企業が必ずしも保険会社と人々の数が多いなどに参加するかどうかに関連していない、「とポールの」出席するために必要とされています。政府、金融、通信、電気......ぶっきらぼうにそれを言う、この「最終試験」は、基本的にすべての企業、特に政府機関や捜査の焦点として、金融業界をカバーしました。内容はセキュリティ技術と企業管理能力に焦点を当てて調べます。
そして、保険2.0の基本を理解する上で、他の企業は、どのようにしますか?「ポールと他の2.0」試験が近づいてどのように、「メイクアップ」を回避するか、またはそれを罰するために、事業単位レベルの保護、セキュリティシステム、自己改善を徹底的に理解?テンセントセキュリティ専門家は、企業のクリアランスキットの準備ができていました。
1.正しい姿勢試験
「保証期間のうちは」優れた安全性の自己テストを持つ企業である
と同時に、企業の安全保障と防衛機能が継続する「プロフォーマ」を発見し、問題を解決するために、最も直接的な利益は我々が簡単に一緒に企業の司会者の安全規制要件を満たすことができるということですよりよいのためのタイムリー、企業や健全な発展の傾向である必要があり、より厳格な包括的な企業のセキュリティシステムに続いて、で育ったこと。
ポールとそのライセンス同等の権利を持っていない後でも
、組織や他の国家安全保障上の目的2.0は手段ではない保険会社が上2.0などがあった場合でも、あなたはセキュリティ上のライセンス免除を得るという意味ではありません。責任で、責任分担について話すには、主流のクラウドサービスプロバイダーの現在の国際的な基準、いわゆる「共同責任」モデルと一致プラットフォームを曇らせます。
(参照:共有責任のテンセントクラウドセキュリティモデルHTTPS://cloud.tencent.com/ser ...)
一般的には、全体のクラウドコンピューティングは、基礎となる物理的なインフラストラクチャのセキュリティ環境は、多くの場合、統一されたクラウド・サービス・プロバイダーを提供し、クラウド顧客はより洗練され、専門的なサービス、アプリケーション、およびデータのセキュリティに多くの時間とエネルギーを置きます。各クラウドサービスプロバイダの標準は少し異なりますが、一般的な方向が似ていることがあります。これは、の要件を満たすために必要な要件およびその他の国家安全保障レベルの保護システムである「保険、その他2.0。」
2.時計の新しいテストサイト:トリプル保護センター+
このようなコアのエンタープライズ・セキュリティの調整のポール2.0ペアとしてセキュリティや他の用語に関して、1.0は、戦略的な観点から総合的な計画と設計を確保するために企業が必要とするネットワークセキュリティ技術の設計一般的なアイデアの「1つのセンター、三重の保護」ことを提案しました。いわゆる戦略的な観点では、安全性の整合性にもっと注意を払うことです。
この新しい要件に応じて、我々はその企業を信じて:
クラウドは安全なオペレーティングプラットフォームのクラウドベースのエンタープライズデータのセキュリティを確立しなければならない、知性は、脆弱性、脅威の検出、イベント処理、ベースラインのコンプライアンス、リーク検出を実現し、他のセキュリティが視覚的管理のリスク、制御を集中クラウドリソースとサービスのセキュリティを確保すること。
第二には、キー管理を強化することで、複数の保護の要件を満たすために、プロセスの送信、保管および使用中の重要なデータのセキュリティを確保するために、完全なデータの暗号化と鍵管理プログラムを構築する。
3クラウドセキュリティプラットフォームの建設で、スタート、資産、構成、および優れたベースラインからの一般的な企業のコンプライアンスや安全管理の観点は、安全管理、脆弱性の基盤を構築し、運用管理、セキュリティ、侵入テストおよびセキュリティチェックを向上させるために改善メカニズム。
3。フォーカス:個人情報、データのセキュリティ
故障データの防衛の成長の一点に鑑み、我々は思考データのセキュリティ保護の企業は、保護技術は、データ・ストリームのあらゆる側面に対処するためのリスクのレベルを上げる必要があることを信じて、2番目は、分離された単一のシリーズです統合管理プラットフォームを通じてですポイントの保護、保護間の死角をなくし、データの持続可能な管理を実現する、データのセキュリティ管理戦略の開発に注力するための3つが必要。
この考えに基づき、テンセントは、実用的な孤立セキュリティの各ノードの連携と統合を達成するためにAIと、意識、セキュリティ管理や共同予防とコントロール機能や他の企業を強化する上で、ヘルプ焦点に企業のデータセンター、データ資産のセキュリティシールドセキュリティ包括的な管理の数を開始しましたヘルプ企業は、ユーザ包括的な保護、行動、データ・ストリームの問題を解決します。
4.アラートの「試験」簡単に「ハング」のポイント
まず、基本的な要件からの保護のレベル、2.0新しいクラウドコンピューティング、モバイルインターネットについて、このような保険明快などの既存の業界の一般的な要件に加えて、そのような「拡張要件、」ルールは悪用を避けるためであるなどの分野で物事業界のインターネットを調整します「メイクアップ」の重要な前提条件をもたらすことが宣告;
第二に、攻撃への伝統的な守備に加えて、その他の保険2.0も防衛した後、中に、前に行うために企業が必要となります。監査は、問題の根本を守るません。問題はその後トレーサブル介して起こるところ見つけて、次のガード準備をする必要がありました。;防衛は変更早期警戒、ダイナミック保護と受動的保護の状況に緊急対応を認識しなければなりません
さらに、注意が払われるべきと精度の他の保定レベル。正確ではないグレーディングする必要があり、それは建設とその後の企業のセキュリティ・レベルの評価作業に誤解され、直接結果の安全保障と防衛に影響を与えます。ヘルプへのプロのセキュリティ企業や業界の専門家のサービスの導入は、それは人件費を削減し、効率のカットを改善する目的を達成し、サービス継続の建設を完了します。
5.ケーススタディ
車に関する事業ネットワークに類似ホーム事業は、事前に用意していません。保護評価のレベルによって頼まれ、その最初のアプリケーションでは、他の規制当局による審査があります。同社は、一定の時間で、最終的な結果を遅らせるので、ポールをした、オンライン全体的な遅延をビジネスアプリケーションをリードし、大きな損失を引き起こしました。
事業は、安全装置の束を購入するための要件をテストした後、小型のシステムインテグレータを探してもあります。最後に、けれどもそれは、機器を購入するために1億人以上かかりましたが、デバイスの役割を果たしていませんでした。
だから、ここで私はセキュリティ保護の評価機関の全国的なネットワークを探してお勧めします(付録の最後下記の参考文献を参照)、ディレクトリの評価メカニズムをお勧めします。
最後に、あなたに1つを思い出させるために:試験が正式にオープン2019年12月1日開催されます。注文した整流、行政処分、一時停止、登録、一時停止の操作や他の「メイクアップ」または「ハング枝」のリスクに直面して避けるために、早期に準備をしてください。
QAグループの第五、
Q:テンセント雲がそれを提供するのに役立つことができますか?
A:現在、テンセント雲がテンセントは、金融クラウドレベルによって4要件を保護されている、保護3のレベルを通過した、コンプライアンスは、保護2.0のレベルの評価を通じてテナントサービスシステムのための前提条件である、クラウドテナントのためのクラウドプラットフォームを提供することができます。
このような二次および三次要件については、保険などのセキュリティ製品およびサービスに固有の、テンセントは、セキュリティのWebアプリケーションファイアウォール(WAF)、DDOS高い防御力(もゆうとして知られている)、要塞機械(データセキュリティゲートウェイ)、データベース監査を含めました基本的なセキュリティシステム製品から、AIは、ワンストップのWebベースの政府や企業の事業運営のリスク保護、コンバインはAI人工知能、データベースのセキュリティ管理と監査システムソリューションの運用・保守を集中することをDDoS攻撃ソリューションのさまざまなを提供することができます。
同時に、我々はまた、対応関連製品、セキュリティの強化など、技術的な専門家のアドバイス、APP、などの基本的なサービスの二次および三次レベルの要件アウトビルド、情報セキュリティ上の弱点は、企業が情報資産やビジネスプロセスを識別することができ、かつこれは、情報セキュリティの脅威のための情報セキュリティリスク治療計画の推奨事項を提供します。また、クライアント上でクラウドを構築するための特別オファー体系的なチャネルネットワークのセキュリティ保護とコンプライアンスの評価サービスもあります。ましょう、セキュリティの建物は、もはや企業の負担はありません。
また、我々はまた、このような場面では、モバイルセキュリティなど、企業のクライアントのためのセキュリティサービスを提供することができます。セキュリティのエリアを移動するには、例えば、私たちは、モバイル端末の管理と制御を持っている、などUEM(ユーザーエクスペリエンス管理)製品などのモバイル制御アプリケーションは、モバイルアプリケーションの顧客のために、管理し制御端子に焦点を当て、より提供しています。
Q:先生、具体的な要件のチェックリストはありませんか?
:私たちは、「ネットワークセキュリティ要件の基本的なレベルを保護するためにGBT22239-2019情報セキュリティ技術」(懸念「クラウドプラスコミュニティ」公共の数は、そのような「ダウンロードPDFのバージョンなどのセキュリティ要件を返信)を参照することができます。
Q:開始する準備ができていない今ならば、それは遅すぎる少しではありません[彼の後ろに]はあなたのための非常に深刻な結果をもたらすのだろうか?
A:いいえ、それを認識するためには、次に進行、レコードのランキング第一、ギャップ分析、整流アップステップバイステップで
Q:3ので、システムに格納されたユーザ識別情報を保持する必要はありませんか?
:脱感作は、暗号化やストレージを必要とします。
Q:データのエクスポートのための要件はありませんか?
:限り、不正使用や不正アクセスを禁止するラインの通常の使用、など。
Q:しかし、それは黒である、または不正に取得されている場合。これが問題になることはありません。
A:あります。だから、保存されたああを暗号化します。
Q:に対処する方法にページが必要にショーのどのような。
A:いいえ。*戦い、または何ビューにクリックします。
Q:ページもショーの脱感作はそうではありませんか?
A:はい。
関連する問題を相談し続けたい場合は、この記事の最後にメッセージを残すことができます。
第六に、ゲスト解説
テンセントクラウドセキュリティの専門家王より
18年のベテランの安全性、セキュリティ、および他の100の+ハンズオンプロジェクト。保護評価者のレベルを持っている、公認情報セキュリティ監査、国際クラウドセキュリティアライアンスの認証、ISO27001主任審査員は、状態は、情報セキュリティの専門家や他の資格の数を記録しました。
付録
全国ネットワークのセキュリティ保護アセスメント機関推奨リスト
のhttp://www.djbh.net/webdev/we ...
この記事はからの株式併合の要約で「クラウドプラスコミュニティ」マイクロチャネルグループです。
「クラウドプラスコミュニティ」パブリック番号、返信「プラスグループ」にプラスグループください注意を払います
