等保2.0体系互联网合规实践白皮书.pdf

1 版权声明 本白皮书版权属于白皮书编制组，并受法律保护。转载、摘编或利用任何其他方式使用白皮书文字或观点的，均应注明 “ 来源 :等保 2.0 体系互联网合规实践白皮书编制组 ” 。违反以上声明者，编制组将保留追究其相关法律责任 的权利。 编制 人员 刘羽、张益、洪跃腾、黄超、郭铁涛、郑兴、华珊珊、耿琛、肖煜、姬生利、孙少波、 霍珊珊、刘健、 王余、练美玲、王婷、李光辉、彭成锋、刘志高、刘泽美、谢旭、朱思霖 。 特别感谢 腾讯安全平台部 、 腾讯安全管理部、腾讯 安全 云鼎实验室、腾讯桌面安全产品部、 腾讯产业安全运营部、腾讯云安全合规部、 中国电子科技集团公司第十五研究所 、 深圳市网安计算机安全检测技术有限公司 。 2 目录 版权声明 . 1 编制人员 . 1 特别感谢 . 1 1 前言 . 6 2 等级保护 2.0 技术合规要求分析和实践 . 8 2.1 可信计算合规 . 8 2.2 密码技术合规 . 14 2.2.1 等保 2.0 对密码技术的要求 . 15 2.2.2 等保 2.0 如何使用密码技术 . 19 2.2.3 腾讯实践 . 21 2.3 操作系统镜像等保合规 . 28 2.3.1 腾讯云操作系统等保合规实 践 . 30 2.3.2 对操作系统等保合规实践的建议 . 32 2.4 IPv6 网络安全合规实践 . 33 2.4.1 来自 IoT+5G+IPv6 新趋势下的安全算力需求 . 33 2.4.2 来自腾讯自身海量业务 +全球规模的计算压力实践 . 33 2.5 安全管理中心应用合规 . 37 2.5.1 安全运营中心体系建设 . 38 2.5.2 安全运营中心功能与架构 . 39 2.6 个人信息保护 . 40 3 2.6.1 等级保护 2.0 个人信息保护要求 . 41 2.6.2 企业如何做到个人信息合规 . 43 3 等级保护 2.0 安全管理合 规要求分析 . 46 3.1 安全管理制度 . 46 安全策略 . 46 管理制度 . 52 制定和发布、评审和修订 . 53 3.2 安全管理机构 . 54 岗位设置 . 54 人员配备 . 55 授权与审批 . 55 沟通与合作 . 56 审核与检查 . 56 3.3 安全管理人员 . 56 人员录用（入职前） . 56 安全意识教育和培训（入职后） . 57 人员离岗（离职） . 58 外部人员访问管理 . 59 3.4 安全建设管理 . 59 安全方案设计 . 60 产品采购和使用 . 61 4 自行软件开发 . 62 外包开发、实施、验收、交付 . 63 服务供应商选择 . 67 3.5 安全运维管理 . 67 环境管理 . 68 资产管理 . 68 介质管理 . 69 设备维护管理 . 69 漏洞和风险管理 . 70 网络和系统安全管理 . 71 恶意代码防范管理 . 72 备份与恢复管理 . 73 安全事件处置、应急预案管理 . 73 外包运维管理 . 76 3.6 IPv6 合规 . 77 三个主要目标 . 79 技术合规 . 82 网络安全合规 . 83 新安全问题 . 87 3.7 安全建设管理安全通用要求部分责任边界举例 . 92 4 腾讯等级保护 2.0 合规体系建设和腾讯云等级保护解决方案实践 . 103 5 4.1 集团等级保护合规体系建设概述 . 103 4.2 腾讯云基于等级保护的云安全合规体系建设 . 104 4.3 腾讯云等级保护 2.0 解决方案实践 . 105 4.3.1 等级保护测评全流程工作分解 . 106 4.3.2 全生命周期等级保护建设方法论 . 108 6 1 前言 2019 年 5 月 13 日，网络安全等级保护制度 2.0（简称等保 2.0）三大核心标准（基本要求、测评要求和设计要求）正式发布，并于 2019 年12 月 1 日开始实施。随着等保 2.0 标准 的 陆续 发布 与实施 ， 中国特色社会主义建设全面深入推进 , 5G、人工智能、 云计算、物 联网、 工业互联网、 大数据等新技术新应用的兴起 ,以及关键信息基础设施安全保护、个人信息保护和数据安全等工作不断强化 ,对网络安全工作提出了更高的要求。如何让业务 能够安全合规的运营成为网络运营者 的关键需求。 等保 2.0 标准具有以下特点：第一，基本要求、测评要求和技术要求框架统一，采用安全管理中心支持下的三重防护结构框架；通用安全要求 +新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制等列入标准规范。其中云计算扩展要求作为重点内容被第一个单独列出来。 此次规范的发布将等保从 推荐行 提升到 强行性标准的 层面。等保 1.0 的最高国家政策是国务院 147 号令，而等保 2.0 标准的最高国家政策是网络安全法，其中中华人民共和国网络安全法第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案；第三十一条则要求，关键基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条规定的网络安全保护义务的，由有关主管部门给予处罚。因此不开展等级保护等于违法。 借此， 腾讯公司、中国电子科技集团公司第十五研究所 （信息产业信息安全测评中心） 、深圳市网安计算机安全检测技术有限公司 联 合编制了等保 2.07 体系互联网合规实践白皮书（简称 “白皮书”），将对等保 2.0 的理解和实践分享给用户和业 界，以求相互学习，相互借鉴，共同推动各行业等级保护领域的发展与知识共享。 8 2 等级保护 2.0 技术合规要求分析和实践 2.1 可信计算合规 等级保护 2.0 中，其中一个很重的要求变化，就是 已经由被动防御转变为主动防御、动态防御。 而作为应对的重要安全措施之一，就是需要通过不断强化 网络安全分析能力、未知威胁的检测能力 实现安全防护要求，而 可信计算 就是其中一个实现的落地措施和方 案 。 等级保护 2.0 也是 充分 采用 “ 一个中心三重防 护 ” 的 理念 ，一个中心指 “ 安全管理中心 ” ，三重防 护 指 “ 安全计算环境、安全区域边界、安全网络通信 ” ，在落实层面也是 强化 了 可信计算安全技术要求的使用 。 通过可信计算技术来实现对系统中应用和配置文件、参数进行验证，保障系统在可信环境下运行。网络安全等级保护基本要求中强化了可信计算，充分体现一个中心、三重防 护 的理念，部分具体要求变化见下表所示： 级别 要求 一级 可基于可信根对 通信设备 的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。 二级 可基于可信根对通信设备的系统引导程序、系统程序、 重要配置参数和通信应用程序 等进行可信验证，并在检测到其可信性受到破坏后进行报警， 并将验证结果形成审计记录送至安全管理中心。 9 三级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证， 并在应用程序的关键执行环节进行动态可信验证 ，在检测到其可信性受到破坏后进行报警，并将验证结果形成审。 四级 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的 所有执行环节 进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心， 并进行动态关联感知。 腾讯实践： 在当前可信计算的应用场景中，目前计算设备的可信化实践中，个人设备远超出服务器，而腾讯内部实践场景主要面向服务器层面，这在一定程度提高了可信计算在服务器端应用的门槛和技术难度。腾讯安全平台部洋葱反入侵团队、 Blade Team 安全研究团队联合相关部门专家，通过一系列研究和不断优化测试，最终形成了腾讯内部可落地的可信计算实践。这里我们主要简述部分实践内容，供业界同仁参考。 对于以上等保要求的理解，并结合腾讯实际经验和内部运维场景，在实践落地中，我们将以上： “通讯设备”的定义理解为：机房内的业务实现、通信、存储 的关键设备，主体即 x86 平台的服务器