对网络安全等级保护2.0的数据安全理解

按国家网络安全法要求，网络运营者必须按网络安全等级保护制度要求履行网络安全保护义务。

解读等保2.0中的二级通用要求

等保2.0二级数据安全技术要点涉及

 

 延伸到等保2.0 二级大数据应用场景扩展

• 大数据平台应对数据采集终端，数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别；
• 大数据平台应能对不同客户的大数据应用实施标识和鉴别；
• 大数据平台应为大数据应用提供管控其计算和存储资源使用状况的能力；
• 大数据平台应对其提供的辅助工具或服务组件，实施有效的管理；
• 大数据平台应屏蔽计算、内存、存储资源故障，保障业务正常运行；
• 大数据平台应提供静态脱敏和去标识化的工具或服务组件技术；
• 对外提供服务的大数据平台，平台或第三方只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理

解读等保2.0中的三级通用要求

 

 等保2.0 三级数据安全技术要点

 

 

 

通过对等保2.0中二级、三级安全的通用要求，以及大数据场景可补充的安全控制措施要求进行解读，梳理关于数据安全保护的要求：

对于等保二级可通过：

• 运维堡垒机，满足“身份鉴别”需求；
• 数据库漏洞扫描系统，满足对数据库漏洞、过期账号、弱口令管理的需求；
• 数据库审计（大数据审计）、日志审计系统，满足安全审计需求；
• 数据库防火墙，满足对于入侵防范的需求；
• 数据脱敏，满足对于个人信息保护的需求；
• 数据库状态监控，满足系统管理的需求。

对于等保三级，在等保二级的基础上，还可增加：

• 数据库加密，以满足对于数据保密性的需求；
• 数据安全综合治理平台，以满足安全管理中心对于集中管控的需求；
• 数据资产梳理系统，对大数据平台中数据资产的梳理及分类分级，以制定不同的安全防护措施。