freebuf等保2.0发布一周年之际,如何快速、平稳、高效通过等级保护测评,再度成为大中小企业的关注焦点。尤其是深度接入互联网技术的大型公司,他们的过保经验尤为珍贵。
例如,腾讯这种体量的企业是如何过等保的?在近日由腾讯安全联合FreeBuf举办的《产业安全公开课-等保2.0专场》上,来自腾讯安全管理部标准管理中心的副总监黄超就带来了腾讯与等级保护的幕后故事以及一手的实践干货。
据黄超介绍,腾讯与“等保”的渊源可以追溯到2011年,当时就已积极筹备等保的备案工作。从2016年开始,腾讯便开始系统性地开展等保工作的落地,在网络安全法实施后,腾讯云成为首家获得了云等保四级资质的云服务商,为后来发力产业互联网,助力企业乘云而上提前打下基础。
与此同时,腾讯通过参与标准制定和专项安全活动,积极推动等保相关标准的落地。近期出台的《信息安全技术 网络安全等级保护定级指南》,就有腾讯安全管理部标准管理中心的深度参与;实践方面,腾讯云早在2016年就已参与等保2.0“云扩展标准”的试点应用与测评工作,并在后续持续参与大型互联网企业网络安全保卫专项、游戏行业网络安全保卫专项、全国范围互联网企业网络安全保卫专项等,为等保2.0的全面落地输送“腾讯经验”。
早期就参与到等保的相关工作中,并不意味着腾讯自身过保没有挑战。作为一家拥有超过6万名员工、100+业务线的企业而言,腾讯过保的难度可想而知。黄超在公开课上也分享了腾讯应对这些挑战的具体做法。
CEO牵头负责
黄超认为,公司高层重视网络安全,决定了这个企业开展网络安全相关工作的执行力以及安全战略的高度。在第五届互联网安全领袖峰会上,腾讯安全也提出“在产业互联网时代,安全已经上升到企业CEO的一把手工程”,强调企业高层应该关注安全建设。
腾讯开展安全建设相关工作,正是受到了腾讯董事会主席兼首席执行官马化腾的直接关注。早在2008年的时候,腾讯就成立了一个虚拟组织——信息安全决策委员会,由马化腾担任主席,指导腾讯的安全建设。马化腾更是在多个公开场合强调,“安全永远是腾讯的生命线”。
建立体系化的安全团队
网络安全终究是人与人之间的对抗,能否有效地发挥安全人才的价值,直接检验企业安全建设的成果。腾讯在内部建立了多个承担不同功能的安全团队,例如负责安全战略的腾讯安全管理部,以及服务腾讯全业务线的腾讯安全平台部。
腾讯安全旗下科恩、玄武、湛泸、云鼎、反诈骗、反病毒、移动安全等七大实验室,更是国际顶尖的安全组织,在DEF CON、BlackHat等全球顶级的安全会议上发布过重磅研究成果,为腾讯建立全面的安全体系,提供源源不竭的底层动力。
“举全公司之力巩固安全长城”
在公司高层直接关注和扎实的安全团队支撑下,如何撬动公司员工的积极性参与到安全建设中,是大型企业在推动网络安全落地的“最后一公里”
腾讯的做法被称为“举全公司之力巩固安全长城”。在马化腾挂帅的信息安全决策委员会下,腾讯还成立了等级保护工作组,集结了来自公司内部各个安全团队的超过100名成员,推动等保工作落地。除了持续性的进行内部政策宣贯和标准培训外,腾讯还针对等保中的新技术、新场景邀请业内的专家培训,加速等保工作的开展。
“打自己”也是腾讯保障业务安全的一个特色举措——通过对公司自研业务的查漏补缺以及不定期举办安全专项,提升产品安全性。例如今年4月,腾讯安全应急响应中心(TSRC)联合云鼎实验室、腾讯会议共同发起“漏洞悬赏”, 邀请全国范围内的安全专家、白帽研究员、开发者及安全爱好者,对腾讯会议特定产品及域名范围进行安全众测,单个漏洞额外奖励最高可达20万元。
除了上述“过保三招”之外,腾讯数据安全架构师郭铁涛还带来了企业最为关注的数据安全经验分享,在围绕数据全生命周期的维度之外,腾讯还尝试站在入侵黑客的视角,分析不法分子的攻击手法和目标,从而推动自动监测、统一权限管理等手段内嵌在业务流程中。深圳网安公司技术总监洪跃腾也亮相本场公开课,解读了等保2.0的政策要点以及和“1.0”版本的变化,希望让企业在通过“等保大考”前掌握规则,少走“冤枉路”。
除了腾讯过保的经验分享之外,腾讯安全也携手众多生态合作伙伴在《产业安全公开课 · 等保2.0专场》以等保2.0解读和实践为核心,围绕网络安全相关的政策法规,向各行各业的企业客户输送企业过保的执行要点、密码法、关保条例、网络安全法、数据安全等相关等保政策的最佳实践经验。
转载请注明来自网盾网络安全培训,本文标题:《产业安全公开课 | 黄超:等保2.0时代,腾讯如何应对安全合规新挑战》
标签:安全合规
