您现在的位置:首页>>新闻中心>>公司新闻
新闻中心

等保2.0时代,数据安全如何合规

摘要:本文简述等保2.0对数据安全的要求,以及当前技术条件下,如何对数据进行安全防护,满足合规性要求。


等保2.0发展历程



等保2.0总体情况



首先,最大的变化,标准名称由原来的《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》的名称保持一致。


信息系统安全等级保护技术1.0版本主要强调物理主机、应用、数据、传输,等保2.0保护对象由原来的“信息系统”改为“等级保护对象(网络和信息系统)”。相比1.0版本,等保2.0对等保1.0旧标准的10个分类重新做了调整,分别为:


技术部分4类: 安全物理环境、安全通信网络(原等保1.0网络安全分类拆分)、安全区域边界(原等保1.0网络安全分类拆分)、安全计算环境(原等保1.0主机安全、应用安全、数据及备份恢复等三个分类合并);


管理部分6类: 安全管理中心(新增)、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。


等保2.0在原有通用安全要求的基础上新增安全扩展要求,变为通用安全要求+扩展安全要求项。等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,共有10个章节8个附录。其中第6、7、8、9、10章为五个安全等级的安全要求章节,8个附录分别为:安全要求的选择和使用、关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求、云计算应用场景说明、移动互联应用场景说明、物联网应用场景说明、工业控制系统应用场景说明和大数据应用场景说明。


等保2.0数据安全总体情况


数据安全建设是等级保护2.0建设的核心内容之一,在原有等保1.0对数据安全的要求基本不变的情况下,根据新计算环境和业务场景对数据安全保护能力做出了更贴合实际情况的明确要求。数据安全的测评指标主要来自于通用要求的“安全计算环境”部分,其中对数据访问的审计、访问控制、加密都有了明确的要求,并且在附录部分大数据应用场景说明中对脱敏和溯源也进行了相关规定。


安全通用要求中对数据安全要求和应对


1、通用安全要求


控制项

分析和应对

相关产品

8.1.4.1  身份鉴别(三级)

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

当采用进口数据库和大数据产品时,自身没有多因子身份鉴别能力。可以通过部署数据库防火墙或者大数据防火墙,对IP、MAC等进行认证,实现额外的二次认证系统,从而增强对数据访问的身份鉴别。

数据库(大数据)防火墙

7.1.4.2  访问控制(二级)

d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;

8.1.4.2  访问控制(三级)

d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;

e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

对于数据库和大数据系统,通过部署数据库防火墙或者大数据防火墙、脱敏、加密等产品,将原有超级管理员权限分为系统管理员、安全管理员和审计管理员。其中安全管理员可以通过角色或者标记来设置细粒度的访问控制,粒度可以到表一级甚至是字段、行、语句级。从而实现最小操作权限,限制DBA等超级管理员权限,实现分权分离。

数据库(大数据)防火墙、

数据库(大数据)脱敏、

数据库(大数据)加密等

7.1.4.3  安全审计(二级)

8.1.4.3  安全审计(三级)

a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

对数据的访问是最重要的安全事件,需要被审计。对于数据库和大数据系统,通过部署数据库审计产品或者大数据审计产品实现审计。包含并不仅限于重要命令,重要行为等对数据库的所有操作,操作所访问到的数据或者执行的结果。

数据库(大数据)审计

7.1.4.4  入侵防范(二级)

8.1.4.4  入侵防范(三级)

e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

对于数据库和大数据系统的存在的已知漏洞,需要及时修复。对于数据库和大数据系统,通过漏洞扫描产品定期对系统进行漏洞扫描发现可能存在的已知漏洞。并通过部署数据防火墙实现对漏洞的外部修复。

漏洞扫描产品、数据库(大数据)防火墙

8.1.4.8  数据保密性(三级)

b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

对于数据库和大数据系统,可通过部署加密产品,实现按列、按行、按记录方式进行加密。

数据库(大数据)加密

7.1.4.10  个人信息保护(二级)

8.1.4.11  个人信息保护(三级)

a) 应仅采集和保存业务必需的用户个人信息;

b) 应禁止未授权访问和非法使用用户个人信息。

部署数据脱敏产品在数据采集过程中实现对个人信息的脱敏操作,防止未授权访问和非法使用个人信息;部署数据库(大数据)加密产品、防火墙产品、脱敏产品,实现精细的访问控制,从根本上禁止非法使用用户个人信息。

数据库(大数据)防护墙、数据库(大数据)脱敏、数据库(大数据)加密


2、云计算安全扩展要求


控制项

分析和应对

相关产品

8.2.4.4  镜像和快照保护(三级)

c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

可通过部署数据库(大数据)加密产品,对敏感数据进行加密。

数据库(大数据)加密、

7.2.3.3  安全审计(二级)

8.2.3.3  安全审计(三级)

b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

通过部署独立的数据库(大数据)审计系统,确保拥有独立于云服务商的第三方审计能力,确保云服务商在对云服务客户数据操作被系统全部审计。

数据库(大数据)审计

7.2.4.3  数据完整性和保密性(二级)

b) 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;

8.2.4.5  数据完整性和保密性(三级)

b) 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;

d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。

通过部署数据库(大数据)加密系统对云计算环境中数据进行加密,该加密系统可以调用云服务商提供的KMS系统。在云服务客户系统中部署访问控制节点,实现数据库访问控制能力,防止云服务商和第三方在未取得授权的情况下管理数据库。

数据库(大数据)加密、

数据库(大数据)防火墙等

8.2.5.1  集中管理(三级)

c)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计。

通过在云服务提供商和云服务客户两端分别部署数据库(大数据)审计系统,该审计系统必须支持集中日志分析能力。

数据库(大数据)审计


3、大数据应用场景


控制项

分析和应对

相关产品

H4.3 安全计算环境(二级)

H4.3 安全计算环境(三级)

f) 大数据平台应提供静态脱敏和去标识化的工具或服务组件技术。

在大数据系统中部署大数据脱敏节点,实现系统可以根据不同业务场景,选择全部替换、部分替换、部分遮蔽等脱敏方案进行脱敏,同时保证脱敏数据之间的一致性、关联性。

数据库(大数据)脱敏

H4.3 安全计算环境(二级)

H4.3 安全计算环境(三级)

g) 对外提供服务的大数据平台,平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理。

在大数据系统中部署大数据访问控制和脱敏节点,实现数据库访问控制能力。控制对象包括不局限于时间、IP、命令、语句影响范围等。

数据库(大数据)防火墙

H4.3 安全计算环境(三级)

h) 大数据平台应提供数据分类分级安全管理功能,供大数据应用针对不同类别级别的数据采取不同的安全保护措施。

在大数据系统中部署大数据访问控制和脱敏节点,根据数据分类分级结果,实现数据库访问控制能力。

数据库(大数据)防火墙、

数据库(大数据)脱敏

H4.3 安全计算环境(三级)

i) 大数据平台应提供设置数据安全标记功能,基于安全标记的授权和访问控制措施,满足细粒度授权访问控制管理能力要求;

在大数据系统中部署大数据访问控制和脱敏节点,根据数据安全标记结果,实现数据库访问控制能力。

数据库(大数据)防火墙、

数据库(大数据)脱敏

H4.3 安全计算环境(三级)

j) 大数据平台应在数据采集、存储、处理、分析等各个环节,支持对数据进行分类分级处置,并保证安全保护策略保持一致。

通过部署数据安全态势集管平台,使大数据系统具备数据梳理能力,支持数据分类分级,为设定安全防护策略提供依据,并保持安全防护策略一致。

数据安全态势集管平台

H4.3 安全计算环境(三级)

m) 应跟踪和记录数据采集、处理、分析和挖掘等过程,保证溯源数据能重现相应过程,溯源数据满足合规审计要求。

通过部署数据安全态势集管平台使大数据平台具备跟踪和记录数据采集、处理、分析和挖掘等过程全部数据操作记录,实现数据使用、分发的溯源能力。

数据安全态势集管平台

H4.3 安全计算环境(三级)

n) 大数据平台应保证不同客户大数据应用的审计数据隔离存放,并提供不同客户审计数据收集汇总和集中分析的能力。

通过部署大数据审计节点实现不同客户分别审计不同数据库的能力和集中分析展示能力,实现不同客户的数据库审计数据分别隔离存放。

数据库(大数据)审计

H4.5 安全运维管理(三级)

b) 应制定并执行数据分类分级保护策略,针对不同类别级别的数据制定不同的安全保护措施。

通过部署数据安全态势集管平台实现数据资产的分级分类功能;部署大数据访问控制和脱敏节点实现数据分类保护策略,根据不同级别数据,选择不同数据防御方案。

数据安全态势集管平台、

数据库(大数据)防火墙、

数据库(大数据)脱敏等

H4.5 安全运维管理(三级)

c) 应在数据分类分级的基础上,划分重要数字资产范围,明确重要数据进行自动脱敏或去标识的使用场景和业务处理流程。

通过部署数据安全态势集管平台实现数据资产的分级分类功能,通过部署脱敏节点实现根据不同业务场景,选择全部替换、部分替换、部分遮蔽和数据仿真等脱敏方案。

数据安全态势集管平台、

数据库(大数据)脱敏

H4.5 安全运维管理(三级)

d)应定期评审数据的类别和级别,如需要变更数据的类别或级别,应依据变更审批流程执行变更。

通过部署数据安全态势集管平台实现定期对重要数据进行梳理和定位工作便于配合数据评审工作的开展。

数据安全态势集管平台


中安威士能针对等保2.0做什么?


中安威士(北京)科技有限公司作为中电科(中国网安)旗下数据安全专业公司,专注于数据安全15年,专注于提供数据安全的落地方案。对数据的全生命周期、数据的存管用(存储、管理、使用)的全场景实现安全防护。防护能力分为检测类和控制类。检测类包括对数据访问行为的留痕、控制、风险预警,控制类包括对敏感数据的字段级加密,脱敏等。产品涵盖关系型数据库和大数据平台中的数据。最新的产品方向是HADOOP大数据平台的安全、数据安全态势感知。另外研发了优质的数据库审计、数据库防火墙、数据库脱敏、数据库加密产品。围绕数据安全的产品系列的功能性、安全性性和性能,在业内首屈一指。2018年承担了国家信息中心,建设银行等企业的数据安全建设任务,并引入近亿元中电科(中国网安)投资基金,正式成为网络安全国家队成员。


产品

满足等保2.0中的要求项

中安威士数据库(大数据)审计

l  满足等保2.0通用安全要求中的访问控制要求,实现管理用户的权限分离;

l  满足等保2.0通用安全要求对安全审计的要求,对所有用户的重要的用户行为和重要安全事件进行审计,包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

l  满足等保2.0云计算安全扩展要求中安全审计要求,保证云服务商对云服务客户系统和数据的操作可被云服务客户审计;

l  满足等保2.0云计算安全扩展要求中集中管理要求,根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;

l  满足等保2.0大数据应用场景中的安全计算环境要求,保证不同客户大数据应用的审计数据隔离存放。

中安威士数据库(大数据)防火墙

l  满足等保2.0通用安全要求中的身份鉴别要求,实现两种以上组合的鉴别技术对用户进行身份鉴别;

l  满足等保2.0通用安全要求中对访问控制的要求,实现管理用户的权限分离和高细粒度的访问控制以及安全标记功能。

l  满足等保2.0通用安全要求中对于入侵防范的要求,内置漏洞扫描功能,拥有发现可能存在的已知漏洞能力;

l  满足等保2.0云计算安全扩展要求中数据完整性和保密性要求,确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;

l  满足等保2.0大数据应用场景中的安全计算环境要求,实现平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理等要求;

l  满足等保2.0大数据应用场景中的安全计算环境要求,实现针对不同类别级别的数据采取不同的安全保护措施,满足细粒度授权访问控制管理能力要求。

中安威士数据库(大数据)加密

l  满足等保2.0通用安全要求中的访问控制要求,实现管理用户的权限分离;

l  满足等保2.0通用安全要求中的数据保密性要求,采用密码技术保证重要数据在存储过程中的保密性;

l  满足等保2.0通用安全要求中的个人信息保护要求,禁止未授权访问和非法使用用户个人信息;

l  满足等保2.0云计算安全扩展要求中快照和镜像保护要求,采取密码技术防止虚拟机镜像、快照中可能存在的敏感资源被非法访问;

l  满足等保2.0云计算安全扩展要求中数据完整性和保密性要求,支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。

中安威士数据库(大数据)脱敏

l  满足等保2.0通用安全要求中的访问控制要求,实现管理用户的权限分离;

l  满足等保2.0通用安全要求中的个人信息保护要求,禁止未授权访问和非法使用用户个人信息;

l  满足等保2.0大数据应用场景中的安全计算环境要求,提供静态脱敏和去标识化的工具或服务组件技术;

l  满足等保2.0大数据应用场景中的安全计算环境要求,提供数据分类分级安全管理功能;

l  满足等保2.0大数据应用场景中的安全运维管理要求,实现在数据分类分级的基础上,划分重要数字资产范围,明确重要数据进行自动脱敏或去标识的使用场景和业务处理流程。

中安威士数据安全态势集管平台

l  满足等保2.0大数据应用场景中的安全计算环境要求,在数据采集、存储、处理、分析等各个环节,支持对数据进行分类分级处置;

l  满足等保2.0大数据应用场景中的安全计算环境要求,提供数据安全标记功能,基于安全标记的授权和访问控制措施,满足细粒度授权访问控制管理能力要求;

l  满足等保2.0大数据应用场景中的安全计算环境要求,以数据分级分类为标准,通过集管平台保证安全保护策略保持一致;

l  满足等保2.0大数据应用场景中的安全运维管理要求,根据数据分级分类,对数据进行自动脱敏或去标识;

l  满足等保2.0大数据应用场景中的安全运维管理要求,跟踪和记录数据采集、处理、分析和挖掘等过程,保证溯源数据能重现相应过程;

l  满足等保2.0大数据应用场景中的安全运维管理要求,定期通过集管平台评审数据的类别和级别。



目前,中安威士数据库和大数据安全产品对标等保2.0,能够提供一系列功能特性,满足数据安全方面的合规性要求。



中安威士:保护核心数据,捍卫网络安全


来源:中安威士




Copyright © 2016 中安威士(北京)科技有限公司 版权所有 京ICP备14001844号-1