报告行业投资评级 未提及 报告的核心观点 2019年等保2.0标准发布实施，对网络安全工作提出更高要求，腾讯等联合编制白皮书分享等保2.0理解与实践，涵盖技术、管理合规要求及腾讯相关实践，推动行业发展与知识共享 [14][15][16] 根据相关目录分别进行总结 前言 - 2019年5月13日等保2.0三大核心标准发布，12月1日实施，其特点是框架统一、采用三重防护结构、含新型应用扩展要求，且从推荐性提升到强制性标准，不开展等级保护违法 [14][15] 等级保护2.0技术合规要求分析和实践 可信计算合规 - 等保2.0由被动防御转变为主动、动态防御，可信计算是实现安全防护的落地措施，强化了相关技术要求，不同级别有不同具体要求 [18] - 腾讯实践中，将相关定义结合实际运维场景理解，早期遇到关键技术、管理途径、告警上报、安全事件记录等挑战，从供应链与自研两方面解决，方案落地面临软硬件兼容等难点，需长时间大规模测试迭代，未来将继续开展相关工作 [20][22][23][27][29][31] 密码技术合规 - 等保2.0对密码技术有明确要求，主要出现在三级和四级安全要求中，《密码法》对其实施有指导意义，密码技术对较高级别保护对象安全防护不可替代 [33][34] - 等保2.0对密码技术在安全通信网络、安全计算环境、安全管理中心、安全运维管理、云拓展等方面有具体要求 [38][39][40] - 密码技术主要解决身份鉴别、传输通道通信安全、存储过程数据安全、使用过程抗抵赖安全四类问题，有多种实现方式和典型案例 [41][42][43][46] - 腾讯实践中，等保2.0和《密码法》推动密码技术应用，但国内应用形势不乐观，企业合规建设有困难与挑战，需进行商用密码应用安全性评估，面临“三难”问题，腾讯云打造云数据安全中台架构，实现合规密码技术应用，为企业提供建议 [47][48][50][53][54][64] 操作系统镜像等保合规 - 痛点在于管理规定细但技术规范粗，工作效果难以标准化，中小企业应对复杂要求困难 [66][67][68][70][71] - 腾讯云每年开展多次等保合规认证，帮助用户测评，构建主流操作系统等保合规基线，实现工具化批量配置，提供默认合规系统镜像，构建自动化合规体系 [72][74][75] - 建议等保合规配置不过于严格，提前了解业务系统类型，考虑安全能力补充和运营管理，禁用或卸载无需求模块，自研主机安全入侵检测系统采集合规配置项参数 [78] IPv6网络安全合规实践 - IoT+5G+IPv6新趋势带来安全算力需求，企业需做好算力储备和提升以应对安全问题 [81] - 腾讯面临海量业务和全球规模计算压力，在硬件、软件层面研发优化安全算力，以实时计算TCP连接会话数量为例说明计算挑战，智能PaaS平台运维大流量镜像集群，实现RST包超低时延和高阻断成功率，安全算力成为产业互联网核心动能 [82][83][84][89][90] 安全管理中心应用合规 - 等保2.0要求建立以安全管理中心为核心的信息安全保障体系，腾讯云发布安全运营中心产品，实现一站式、可视化、自动化安全运营管理 [92] - 安全运营中心体系建设从识别、预防、监测、检测和响应五个方面进行，实现事前预防、事中监测、事后处置，通过安全仪表盘等实现安全全局可视 [95] - 安全运营中心架构由数据层、分析层、功能层和可视层组成，实现数据打通、分析、功能分散和安全态势展示，满足等保2.0安全管理中心合规要求 [98][99][100] 个人信息保护 - 我国网络数据丰富但个人信息保护面临挑战，相关法律法规和规定陆续出台 [101][102] - 等级保护2.0对个人信息保护在收集、使用、传输、存储方面有具体要求 [103][104][105][106][107][108] - 企业做到个人信息合规可从区分个人敏感信息、明确收集使用传输存储规则、完善保护制度等方面着手 [110][111][112][113][114][115][116][117][118] 等级保护2.0安全管理合规要求分析 安全管理制度 - 安全策略需结合企业情况和业务制定，以模板为例说明方针内容，包括总则、主要原则、组织与职责、系统安全运行管理、技术体系建设、附则等方面 [121][122][123][124][125][126][127][128][129][130][131][132][133][134][135][136][139] - 管理制度应形成体系，以运维为例说明日常工作制度和过程记录，项目里程碑节点文档应重视 [137][138][140][141] - 制度制定和发布要正式，有版本记录，定期修订和评审 [143] 安全管理机构 - 岗位设置要明确安全领导小组和安全部门架构，指定主管人员和安全主管，设置安全、系统、网络等管理员职位，安全管理员专职，系统和数据库管理员不能为同一人 [145] - 人员配备要求系统、网络、安全管理员至少1人以上，安全管理员专岗专职 [146] - 授权与审批要考察流程管理情况，提供审批记录，对审批事项等进行评审和定期审查 [147] - 沟通与合作要求与多方技术单位保持联系 [149] - 审核与检查要求企业每年定期进行全面安全检查，建议至少每半年评估一次并及时整改 [150] 安全管理人员 - 人员录用（入职前）要指定管理部门，具备人员管理制度和过程记录，对入职人员进行身份和安全背景调查，签订劳动合同和保密协议，关键岗位提供岗位说明书 [152][153] 腾讯等级保护2.0合规体系建设和腾讯云等级保护解决方案实践 未提及具体内容展开