“

2019年5月13日，等保2.0相关的国家标准正式发布，并于2019年12月1日正式实施。

作为未来指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，指导测评机构更加规范化和标准化地开展等级测评工作的系列标准，等保2.0一经发布就引起了广大安全人员的关注。

从等保1.0到等保2.0，我国等级保护制度走过了十几年。等级保护2.0是网络安全的一次重大升级，等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等，对企业与部门机构的安全部署，提出了更高层次的要求。

新形势下，企业面临着的数据安全问题日益严峻，越来越多的企业甚至不乏大型集团企业出现严重数据泄露事件。随着欧盟超严数据保护条例GDPR、《网络安全法》和等保2.0等法律、法规的颁布，如何有效进行数据已经成为企业亟待解决的问题。

毫无疑问，云计算、人工智能、5G引领着时代的潮流，却也给企业带来了相应的难题，随着网络泛化不断加剧，企业核心数据资产的保护变得更为困难。因此，本次沙龙活动也将探讨如何满足等保2.0的拓展要求，并解决企业数据全生命周期的安全保护问题。

”

为了进一步探究等保2.0下企业信息安全实践，2019年10月11日，安在隆重邀请兴业银行、光大银行上海分行、伯桥金融、翼支付、上投摩根基金、光大证券、上海市证券同业公会、中证投服、华宝银行、兴业证券、上海证券交易所、浙商银行、中国银行、上海银行、快钱、花旗银行、华通银行、万事达卡、东方证券、中国信托登记管理、中金所、华美银行、御付金融、东方花旗证券、华福证券、太平金科等企事业单位部门领导与技术骨干为活动嘉宾，积极探讨企业信息安全工作的心得和体会。

同时，安在还特邀上海市信息安全测评中心倪惠康、中银国际证券蒋琼、数篷科技杨一飞、国盛证券刘志敏等嘉宾发表主题演讲，分享企业在等保2.0方面的研究心得以及相应的安全解决方案。

本次沙龙活动由安在新媒体（AnZer_SH）发起，上海市信息安全测评中心支持，安在CEO张耀疆为沙龙活动主持人。

 安在CEO＆活动主持人张耀疆

网络安全创新沙龙活动作为安在特色系列活动之一，自上线以来始终受到甲方安全人员和乙方技术专家的好评。作为安全圈内稳定的线上线下交流平台，沙龙活动可以连接各行各业的网络安全人才，促进企业安全部门领导人、技术骨干、网安专家、乙方技术专家之间的交流。

对此，安在也成立了甲方用户、专家交流平台“诸子云”。诸子云的意义，在于通过媒体，在全国各地、各个行业，能够找到网络安全的同道，彼此摒弃传统的简单供需关系，真正从协作的角度来形成一种社群文化。同时削弱官方性质，以个人为主，在相对比较自由的宽松环境中，频繁碰撞，对从业者的提升也有巨大帮助。

此外，安全新媒体另一个独属于甲方用户、专家交流的平台——“诸子云”也已经在安全圈内快速发展。9月21日，诸子云首届“全国代表大会”在上海举行，二十多位来自全国各地的分会负责人、专家代表共同为诸子云一周岁“庆生”。

而在一年多的时间里，诸子云交出了一份不错的答卷：在上海、北京、深圳、杭州、武汉等地成立诸子云分会；发展超过700位来自全国各地不同城市、不同行业、不同领域的甲方安全从业者成为认证会员；举办多场线上线下交流活动和走进企业系列活动，收到参会者的一致好评。

议题介绍及专家观点

上海市信息安全测评中心 倪惠康

等保2.0时代的态势展望

1994年，国务院发布147号令提出计算机信息系统实行安全等级保护，直到2007年，信息安全等级保护管理办法正式发布，规定了“定级、备案、安全建设整改、等级测评、检查”等五个动作。

2019年5月13日，网络安全等级保护基本要求正式发布，并于2019年12月1日正式实施。等保2.0要求国家机关在不同方面（标准、预算、考核、培训、技术）支持等保工作，再次强调了五大步骤，并加入了部分网络安全法的内容，同时在等保定级、备案、安全整改建设、境外维护、等保测评政策方面都有相应的改变。

 上海市信息安全测评中心 倪惠康

在涉密安全保护方面，分级保护定级流程、方案审查论证、涉密系统建设管理、产品使用管理、测评要求、系统变更与废止也有相应的改变。监督管理方面，省级以上政府部门可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。

可信验证也是等保2.0强调的内容之一，针对网络安全设备一共分为四级；在边界防护、访问控制、集中管控、个人信息保护、数据备份恢复、垃圾邮件防范、入侵防范、安全审计等细节方面也有相应的改变；除通用要求外，针对云计算、移动互联、物联网、大数据提出新的拓展要求。

总而言之，未来等保2.0要求较大幅度提高，关键基础设施保障将会成为新的热点，个人信息保护在立法后也将变的愈发重要。

专家：等保2.0之后，企业在等保定级方面是否有参照，企业该如何确定自己的等级？

倪惠康：关于定级有一个标准——定级指南。如果会对社会造成影响，那么应该定为三级、如果仅仅是影响自己的公司，那么可能是两级。在金融行业，主管部门也有下发相应的定级指南，对所有的证券行业都有详细的规定，覆盖了绝大部分系统。目前等保2.0对于定级暂时没有改，但是后续肯定会有更新。

专家：详细讲讲等保2.0中无线方面的要求和改变。

倪惠康：在通用变准中增加了一条要求，如果使用无线网络是不能直接接入系统服务器，一定要用防火墙进行隔离。如果企业有非常多的无线网络的话，可以参照新标准的要求。金融行业在办公环境使用无线网络是不能接入生产环境的。

中银国际证券 蒋琼

等保2.0体系下的数据安全管理实践

近年来数据安全形式十分严峻，2018年3月，Facenbook8700万用户数据泄露；6月圆通10亿条用户信息数据被出售；8月华住集团旗下酒店2.4亿入住记录泄露；这些事件都对企业造成了严重的危害。

针对数据泄露风险，世界各国纷纷出台相应的政策要求：2017年6月1日，《网络安全法》开始实施；2018年5月25日，欧洲联盟出台《通用数据保护条例》都对数据安全问题做出相应的规定和处罚。

 中银国际证券 蒋琼

就目前而言，数据泄露途径主要有三类，分别是窃密、失密和泄密，其中失密主要有文档权限失控、存储设备丢失和维修失密、对外信息发布失控，对于企业敏感信息要有相应的保护措施。

那么企业该如何进行数据防护治理？最佳实践主要分为发现和评估、数据分类、定义有效的策略、实施控制、监控报告和审计等几个方面，而主流数据保护方法主要有数据泄露保护、数据权限保护、加密和管理。

在数据保护实施过程中，企业必须做好数据识别、岗位权限识别、数据风险评估、数据保护策略设计、实施监理等工作，完善接入安全（验证用户合法性、验证设备合法性、阻止安全隐患设备访问内部网络），加强审计及设备管理，防止数据失密。

在即将实施的等保2.0中，对于数据安全保护有着硬性要求。如在第三级数据保护中就对数据完整性、数据保密性、数据的备份和恢复和剩余信息保护有着详细且明确的要求。

数篷科技 杨一飞

零信任技术在等保合规中的应用

随着云计算、人工智能、5G等新技术的兴起，网络泛化也随之而来，使得企业核心数据资产的保护变得更加困难。

等保2.0颁布后，除了通用性要求外，还对计算、移动互联网、物联网、工控、大数据提出了拓展要求，防御思路偏向主动防御，而基于身份的访问控制、可信验证、动态边界防护等也都纳入等保2.0安全技术进阶要求中。

 数篷科技 杨一飞

在这样的形势下，数篷科技提出用零信任技术为企业解决数据安全和隐私保护的关键问题，其核心要素为“永不信任，持续验证”，包括设备认证、人员认证、网络访问控制、应用访问控制四个方面。

因此，数篷科技技术解决思路也被称之为中国版谷歌BeyondCorp解决方案（BeyondCrop是在Google构建零信任网络的6年经验基础上打造的企业安全模型）。其三大核心技术为轻量可信计算环境（与操作系统深度融合体验更平滑）、软件定义边界（弹性零信任安全网络粒度细、精度高）、AI安全引擎（主动防御+动态权限安全管理更智慧）。

数篷科技CTO杨一飞表示，数篷科技致力于帮助企业解决数据全生命周期的安全保护问题，其DACS解决方案可以助力企业达成等保2.0安全技术要求。

随后，杨一飞还分享了数篷科技所服务的大型金融企业、大型证券企业、大型在线旅游公司、上游厂商、游戏行业、大数据公司等实际案例。数篷科技的解决方案适合绝大多数信息系统的现状，部署成本低，具有广泛的行业普适性。

专家：数篷科技零信任解决方案和零信任标准解决方案有哪些区别？

杨一飞：谷歌BeyondCorp零信任解决方案引领着业内的潮流，但他是一个完整的访问控制模型，而数篷科技零信任解决方案在此基础上还可实现动态数据安全，即对数据的流向和使用进行管控，这也是数篷科技零信任解决方案最大的特点。此外，该解决方案所有的计算资源都使用本地，可以大大降低成本；我们使用的是真实流量带宽，有效降低网络环境敏感度。

国盛证券 刘志敏

重保活动安全防护实践

在重保活动中，国盛证券的做法可分为防护方案、演练阶段、重保阶段和总结阶段四部分。

在防护方案阶段首先要做的是组建团队，包括综合研判组和防护检测组，进行前期的准备、梳理、沟通工作；同时也要进行安全自查，包括资产梳理、网络安全检查、主机安全检查、应用安全检查、日志审计、安全整改加固等方面；并针对信息技术部人员进行安全培训，针对全员进行信息安全意识培训。

国盛证券 刘志敏

演练阶段阶段的工作主要是渗透攻击（组织攻击小组对目标系统开展真实的攻击），总结复盘（针对演练中发现的各类安全问题进行总结复盘）和安全加固（针对渗透攻击发现的问题进行相应的安全加固及整改工作）。

重保阶段的工作主要是安全事件实时监测（借助安全防护设备开展攻击安全事件实时监测），事件分析与处置（根据监测到的安全事件，协同进行分析和确认），整理攻击记录（整理攻击记录及分析报告），直至重保完成。

总结阶段主要是总结本次重保活动各阶段的工作情况，包括组织队伍、防守情况、安全防护措施、监测手段、响应和协同处置等，针对重保时期发现的攻击行为截图及数据包分析结果整理成文档。

现场花絮

主题分享

上海市信息安全测评中心：简称上海测评中心或SHTEC，于2000年1月挂牌运行，是经上海市人民政府批准成立的专门从事信息技术产品、信息系统安全测评及相关资质认证等业务的第三方专业机构，具有独立法人资格，是国内最早开展信息安全测评的机构之一。上海测评中心目前是华东地区检测资质最全、规模最大、综合性最强的信息安全专业测评机构。

中银国际证券：中银国际证券经中国证监会批准于2002 年3 月29 日在上海正式开业，注册资本15亿元人民币。中银国际证券总部位于上海，并在北京、深圳、广州、成都、哈尔滨等全国80多个主要城市设有115家分支机构。自成立以来，中银国际证券依托中国银行全方位的金融服务平台，努力为客户提供高品质、专业化、个性化的投资银行和证券服务。

数篷科技：数篷科技（深圳）有限公司成立于2018年6月，是一家提供数据安全与隐私保护服务的技术公司。团队核心骨干来自百度、谷歌、腾讯等顶尖互联网公司，具有多年安全及基础架构方向的经验，深谙大规模分布式系统工程和前沿安全技术之道。 数篷科技推出的首款产品--零信任自适应安全计算平台（DACS），是为中国企业量身打造的下一代企业安全解决方案，是谷歌引领的BeyondCorp 安全架构在中国的最佳实践。

国盛证券：国盛证券有限责任公司成立于2002年12月，2016年4月成为国盛金融控股集团股份有限公司全资子公司，注册资本46.95亿元。国盛证券总部位于江西南昌，在深圳、上海、北京等全国重点城市设立业务管理总部，在30个省(市)、自治区设立265家分支机构。国盛证券以金融科技图强"的经营理念，为客户提供资本市场全产业链产品及便捷的一站式综合金融服务。