4.1 国家安全等级保护¶
课程简介¶
本课程将深入解读国家网络安全等级保护(简称“等保”)制度,特别是等保 2.0 标准的核心要求与实施指南。云计算环境下,安全责任由云厂商和租户共同承担(责任共担模型)。通过本课程,您将掌握如何合规地构建云上安全体系,确保业务满足国家法律法规要求。
学习目标¶
通过本课程的学习,您将能够:
- ✓ 理解法律合规:深刻理解《网络安全法》及等保制度的法律地位与责任。
- ✓ 掌握核心流程:熟练掌握等保工作的五个规定动作(定级、备案、建设整改、测评、监督检查)。
- ✓ 熟悉技术体系:理解“一个中心、三重防护”的技术架构设计思想。
- ✓ 应对云上挑战:掌握云租户在等保合规中的责任边界与实施策略。
- ✓ 了解信创趋势:认知信息技术应用创新(信创)与等保的融合发展。
第一部分:企业上云的安全挑战与合规需求¶
本部分导读
企业上云后,IT 基础设施的控制权发生转移,传统的安全边界变得模糊。本节分析云环境下的特有风险,并阐述合规的重要性。
一、云环境下的四大安全挑战¶
| 挑战维度 | 核心痛点 | 云上应对策略 |
|---|---|---|
| 1. 业务隔离 | 多租户共享资源,可能导致侧信道攻击或数据越权访问。 | 利用 VPC (虚拟私有云) 进行网络隔离,使用 CAM (访问管理) 进行资源隔离。 |
| 2. 数据安全 | 数据存储在云端,面临泄露、篡改及隐私合规风险。 | 实施 全链路加密(传输加密 TLS + 存储加密 KMS),配置 数据备份与容灾。 |
| 3. 安全管理 | 资产动态变化快,传统运维手段难以适应。 | 建立 DevSecOps 流程,使用 云安全中心 统一管理资产与漏洞。 |
| 4. 安全合规 | 需满足《网络安全法》、GDPR 等法律法规要求。 | 开展 等级保护测评,通过合规认证体系(如 ISO 27001)。 |
二、责任共担模型¶
在云上过等保,责任是分摊的: - 云平台 (腾讯云):负责云平台自身的底层基础设施安全(物理环境、宿主机、虚拟化层),并通过等保测评。 - 云租户 (客户):负责云上业务系统的安全(操作系统、应用软件、数据安全),需自行完成业务系统的等保测评。
第二部分:等级保护 2.0 核心体系¶
本部分导读
等保 2.0 是当前国家网络安全工作的核心标准。本节将详细解读其法律依据、发展历程及标准体系。
一、什么是等级保护?¶
定义:对国家重要信息、法人和其他组织及公民的专有信息以及公开信息,和存储、传输、处理这些信息的信息系统分等级实行安全保护。
核心思想: - 分等级保护:系统越重要,受损后危害越大,保护等级越高。 - 监管原则:谁主管谁负责,谁运营谁负责,谁使用谁负责。
二、发展历程:从 1.0 到 2.0¶
| 阶段 | 时间节点 | 标志性事件 | 核心特征 |
|---|---|---|---|
| 等保 1.0 | 1994-2018 | 1994年提出概念 2007年发布《管理办法》 |
重点针对传统信息系统,被动防御为主。 |
| 等保 2.0 | 2019-至今 | 2017年《网络安全法》实施 2019年发布 GB/T 22239-2019 |
全覆盖(云、物、移、工、大),主动防御,法律强制。 |
三、等保 2.0 的五级划分¶
| 等级 | 含义 | 侵害客体 | 侵害程度 | 典型系统 |
|---|---|---|---|---|
| 第一级 | 用户自主保护 | 公民、法人权益 | 一般损害 | 个人博客、小型官网 |
| 第二级 | 系统审计保护 | 社会秩序、公共利益 | 一般损害 | 普通企业系统、非核心电商 |
| 第三级 | 安全标记保护 | 社会秩序、公共利益 国家安全 |
严重损害 一般损害 |
金融交易、政务平台、核心电商 |
| 第四级 | 结构化保护 | 国家安全 | 严重损害 | 能源、电力、交通等国家关键基础设施 |
| 第五级 | 访问验证保护 | 国家安全 | 特别严重损害 | 核心涉密系统 |
重点关注:绝大多数企业的核心业务系统定级为 二级 或 三级。
第三部分:等级保护实施流程 (五步法)¶
本部分导读
做等保不是买几个防火墙就完事了,它是一个严谨的合规流程。请务必掌握这五个标准步骤。
graph LR
Step1[1. 定级] --> Step2[2. 备案]
Step2 --> Step3[3. 建设整改]
Step3 --> Step4[4. 等级测评]
Step4 --> Step5[5. 监督检查]
Step5 -.->|复测/年检| Step4
第一步:定级 (Grading)¶
- 动作:企业自主确定系统等级,编写《定级报告》。
- 依据:受侵害客体(公民/社会/国家)+ 侵害程度(一般/严重/特别严重)。
- 建议:核心业务系统通常定为三级,非核心系统定为二级。
第二步:备案 (Filing)¶
- 对象:二级及以上系统。
- 机构:当地公安机关网安部门。
- 产出:《信息系统安全等级保护备案证明》(这是合规的第一张“身份证”)。
第三步:建设整改 (Construction & Rectification)¶
- 动作:对照等保标准,查漏补缺,采购安全设备,完善管理制度。
- 依据:GB/T 22239-2019《基本要求》。
- 腾讯云助力:购买 WAF、云防火墙、堡垒机、主机安全等产品满足合规技术要求。
第四步:等级测评 (Assessment)¶
- 实施主体:具有资质的第三方测评机构(不是公安,也不是云厂商)。
- 分数:测评结果通常分为优、良、中、差。70分以上通常被视为通过(具体视各地要求)。
- 周期:三级系统每年至少测评一次。
第五步:监督检查 (Inspection)¶
- 实施主体:公安机关网安部门。
- 动作:定期或不定期检查备案单位的等保落实情况。
第四部分:等保 2.0 技术体系架构¶
本部分导读
等保 2.0 提出了“一个中心,三重防护”的通用安全架构,这是技术整改的核心指导思想。
graph TD
subgraph 核心思想: 一个中心,三重防护
Center[安全管理中心]
subgraph 三重防护体系
Network[通信网络安全]
Boundary[区域边界安全]
Compute[计算环境安全]
end
Center -->|管理 & 监控| Network
Center -->|管理 & 监控| Boundary
Center -->|管理 & 监控| Compute
end
1. 一个中心:安全管理中心¶
目标:对分散的安全设备进行集中管理、汇总分析。 - 关键技术: - 系统管理:管理员身份鉴别、权限管理(堡垒机)。 - 审计管理:集中日志审计(数据库审计、日志服务 CLS)。 - 安全管理:统一策略配置、态势感知(SOC)。
2. 三重防护¶
(1) 安全通信网络 (网络传输)¶
重点:保障数据在传输过程中的完整性和保密性。 - 措施: - 全站 HTTPS 加密。 - 使用 VPN 建立安全通道。 - 关键网络节点冗余设计。
(2) 安全区域边界 (网络边界)¶
重点:防止非法入侵,管控进出流量。 - 措施: - 云防火墙 / 安全组:访问控制(ACL)。 - WAF:Web 攻击防护。 - DDoS 防护:抗拒绝服务攻击。 - 入侵防范:检测恶意代码和入侵行为。
(3) 安全计算环境 (主机/应用/数据)¶
重点:防御内部和外部对主机、应用和数据的攻击。 - 措施: - 主机安全:防病毒、补丁管理、基线检查(CWP)。 - 身份鉴别:双因子认证 (MFA)、强密码策略。 - 数据完整性/保密性:数据库加密、敏感信息脱敏。
第五部分:信创与国产化趋势¶
本部分导读
信创(信息技术应用创新)是国家安全的重要组成部分,旨在实现核心技术的自主可控。
一、信创 "2+8" 体系¶
- "2":党政机关(率先落地)。
- "8":八大关键行业(金融、电信、电力、石油、交通、教育、医疗、航空航天)。
二、腾讯云信创能力¶
- 基础设施:适配国产芯片(鲲鹏、海光、飞腾)的云服务器。
- 操作系统:TencentOS Server(兼容国产软硬件生态)。
- 数据库:TDSQL(全自研分布式数据库,广泛应用于银行核心系统)。
- 办公应用:企业微信、腾讯会议(支持私有化部署)。
课程总结¶
知识体系回顾¶
- 法律底线:不做等保是违法的(违反《网络安全法》)。
- 核心流程:定级 -> 备案 -> 整改 -> 测评 -> 检查。
- 技术架构:一个中心(管理中心),三重防护(网络、边界、计算)。
- 云上合规:利用云厂商的安全产品(WAF、防火墙、堡垒机等)可以快速满足等保技术要求。
架构师实践清单 (Checklist)¶
- [ ] 定级准确性:您的业务系统是否已定级?是否在当地公安备案?
- [ ] 技术合规性:是否部署了 WAF、云防火墙、堡垒机、主机安全、数据库审计等“等保五件套”?
- [ ] 管理合规性:是否建立了完善的安全管理制度和应急预案?
- [ ] 持续运营:是否每年定期进行测评和漏洞扫描?
本章课程到此结束。下一章,我们将深入 4.2 云安全体系与标准,探讨更广泛的云安全治理框架。