等保2.0，我們劃下了這些重點

騰訊云公有云平臺和金融云平臺，自2016.12開始按照等保2.0試行版標準開展等保備案和測評工作，并最終在2017.5《網(wǎng)絡安全法》正式實施之際，通過了公有云平臺三級，金融云平臺四級的測評。結合騰訊云此前已取得的成果和多年合規(guī)服務中所積累的經(jīng)驗，我們將從安全運營中心和加密管理的角度進行詳細的解讀。

信息安全等級保護（以下簡稱等保）是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。

以“一個中心，三重防護“為網(wǎng)絡安全技術設計的總體思路

 一個中心即安全管理中心，三重防護即安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡。

安全管理中心要求在系統(tǒng)管理、安全管理、審計管理三個方面實現(xiàn)集中管控，從被動防護轉變到主動防護，從靜態(tài)防護轉變到動態(tài)防護，從單點防護轉變到整體防護，從粗放防護轉變到精準防護。

三重防護要求企業(yè)通過安全設備和技術手段實現(xiàn)身份鑒別、訪問控制、入侵防范、數(shù)據(jù)完整性、保密性、個人信息保護等安全防護措施，實現(xiàn)平臺的全方位安全防護。

對加密管理提出了嚴格要求

等保2.0明確要求，從建設初期設計和采購階段就應該考慮加密需求，同時在網(wǎng)絡通信傳輸、計算環(huán)境的身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)保密性明確了使用加密技術實現(xiàn)安全防護的要求，另外，云上還特別提出鏡像和快照的加固和完整性校驗保護要求，以及對密碼應用方案的國密化提出了明確的采購標準要求。

確立了可信計算技術的重要地位

這是等保2.0文件中特別強調的安全特性，不僅要求對配置文件及參數(shù)的可信執(zhí)行進行驗證，同時檢測到完整性問題時也應進行報警和應對。

針對等保2.0中提出的“安全管理中心”的新要求，在2018年10月騰訊云推出了云安全運營中心，實現(xiàn)了云上資源和業(yè)務安全集中管控，滿足系統(tǒng)管理、安全管理、審計管理三個方面的標準要求。

安全運營中心是基于企業(yè)云端安全數(shù)據(jù)和騰訊安全大數(shù)據(jù)的云安全運營平臺，通過對海量數(shù)據(jù)進行多維、智能的持續(xù)分析，為企業(yè)提供漏洞情報、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、泄漏監(jiān)測及風險可視等能力，并采取相應的安全措施，保障信息系統(tǒng)安全，幫用戶實現(xiàn)全生命周期安全運營。

而在密碼管理方面，從新標準的細則來看，騰訊云提供的完整的數(shù)據(jù)加密與密鑰管理方案，完全滿足國家等級保護及國密局的相關要求，能夠幫助企業(yè)便捷完成等保2.0在加密領域的合規(guī)化建設與改造。

借助騰訊云數(shù)據(jù)加密服務，企業(yè)可實現(xiàn)重要數(shù)據(jù)在傳輸、存儲、使用過程中的安全，應用場景包括敏感數(shù)據(jù)加密、金融支付安全、電子政務、電子票據(jù)、身份認證、CA、物聯(lián)網(wǎng)、區(qū)塊鏈等領域的加密安全保護。

在密鑰管理方面，依托騰訊云密鑰管理服務，企業(yè)可輕松創(chuàng)建KMS、保護以及執(zhí)行各項密鑰管理策略。在保護密鑰的保密性、完整性和可用性的同時，還能滿足企業(yè)多應用、多業(yè)務的密鑰管理和密碼管理需求。

此外在安全合規(guī)服務方面，騰訊云還提供涵蓋多項國內外權威標準（ISO 27001、ISO 27018、ISO 22301、ISO 20000、ISO 9001）以及相關的法律法規(guī)（如GDPR、個人信息保護規(guī)范）的咨詢、培訓、測評和評估等一系列服務。等保2.0正式發(fā)布，騰訊安全云鼎實驗室在保障騰訊云平臺本身及云上客戶的等保合規(guī)的同時，還能提供一站式等保合規(guī)解決方案協(xié)助客戶快速滿足等保要求。