網絡安全等級保護是國家網絡安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式發佈,這是繼2008年發佈等保1.0十餘年來繼網絡安全法實施後的一次重大升級。等保2.0在等保1.0的基礎上,更加註重全方位主動防禦、安全可信、動態感知和全面審計。
等級保護的對象範圍在傳統基礎上也擴大了對雲計算、移動互聯網、物聯網、工業互聯網、大數據等重要基礎設施的關注。新時代下國家網絡安全面臨着哪些新的挑戰,等保合規工作又要如何開展?
國家對數據安全、個人信息着重做了鋪設和加強。
變化:
國家對訪問控制的要求是明顯做了顆粒度的細化,強調了主體跟客體以文件和數據庫表及作爲訪問控制的目標對象,在等保1.0裏是非常不明確甚至是沒有提及的,這是個非常大的進步。
國家加強了對個人信息的保護,提出了未授權概念,不允許在未授權的賬戶運營的情況下去訪問和使用個人的用戶數據。
對企業內部的外包人員所使用的企業內部的系統、數據的訪問權限,也是有一些保密協議以及技術安全的管理要求,明確提出了外部人員離開現場應該清除所有的訪問權限和使用權限。這裏邊的離場我們可以理解成外包人員以項目的形式進駐企業,當項目截止之後,企業收回原來開放給他的所有的賬號,以及所有的應用系統跟數據訪問權限。
對賬號管理做了更強力度的措施,明確提出應在對外包運維服務期間簽訂保密協議,並在所能涉及的相關的敏感數據的處理和存儲中要求安全措施。
我們總結起來,在等保2.0下去做數據安全的建設,
主要從這四個方面去展開:
用戶行爲鑑權(加強用戶行爲的鑑權)
數據訪問控制(有效地建立起對數據訪問控制機制)
敏感數據脫敏(對數據本身的一些使用和落盤的數據要做脫敏和加密)
業務/重要數據加密
從這張圖上的話想表達的是說構建整個等保2.0下的數據安全,我們應該考慮遵從一個比較科學的規範,也就是數據的生命週期要以一個全生命週期的方式去覆蓋去防禦我們的生命數據。
防禦數據傳防禦傳統的網絡安全有個最大差別是原來的網絡是有邊界的,但數據它相對是個無邊界的狀態,我們要去遵從一個數據從生存到銷燬的自然生命週期,它覆蓋了創建存儲傳輸交換處理和銷燬這六個生命的自然節點。在不同的生命週期上,我們將通過不同的技術手手段去做我們的安全措施。
譬如說在數據創建的時候,我們要幫助用戶去梳理他的數據資產,所謂的數據資產就是要告訴用戶你的數據有哪些,存在什麼地方,以什麼方式在存儲,以什麼方式在讀取,數據本身有沒有做過基於安全屬性基於業務屬性的分級分類?有了這些數據的標籤,這些對數據管理和流動性控制都是非常好的基礎。
存儲過程中我們會強調的數據落盤的存儲會通過偷TD加密或者動態加密的方式去幫助用戶在存儲和傳輸過程中做到安全的措施。
傳輸跟交換過程中,我們會強調了用安全審計的方式去幫助用戶還原它的每一份數據,每次請求所對應用系統對數據系統是誰在什麼時候訪問,對數據做了哪些操作行爲,我們都會一一的記錄,以便事後的回溯以及事中的告警。
通過數據鑑權,可以對用戶的訪問的身份做動態地識別。我們可以去對接用戶他裏邊對裏邊的一些應用系統的默認的一些管理的一些賬號體系,以及對每個用戶的終端去訪問應用訪問數據的時候,對它的終端環境做一個畫像去鑑定環境此時此刻訪問的數據是否足夠安全,我們通過環境變量來判斷他的身份下的另外一種安全的一些狀態,去判斷他能不能去安全去閱讀一份數據訪問一份數據獲取份數據。
最後,在它獲取到相應的權限之後,真正地從數據源從數據庫裏邊去獲取返回的時候,同樣的我們通過我們剛纔說了對等保2.0提到的對數據的字段級別的表管控和標籤,我們對他所返回的數據可以提供一份非常良好的一個保護措施,對敏感數據對業務重要數據做脫敏。