从“过等保”到“过审计”一份可直接照抄的配置模板又到了每年合规审计季。去年我们公司同时面临等保2.0三级复测和欧盟客户要求的GDPR合规审查其中文件加密是两者共同的重点项。我们以天锐绿盾为基础整理了一套加密合规配置清单一次性通过了审计。今天分享出来希望对你有帮助。一、等保2.0 vs GDPR对加密的相同与不同要求项等保2.0三级GDPR我们的解读传输加密应保证传输过程中的数据保密性采取适当技术措施保护个人数据必须启用TLS禁止明文传输存储加密应对重要数据进行加密存储同左本地服务器全加密密钥管理应采用密码技术保证密钥安全确保处理安全性密钥不能明文存需分离保管审计日志应记录数据访问行为需记录处理活动谁、何时、访问了哪个加密文件数据最小化无直接要求核心原则只加密必要的字段/文件泄露通知有报告要求72小时内通知监管机构加密可豁免部分通知义务核心结论满足等保2.0基本就能覆盖GDPR大部分加密要求但GDPR对个人数据界定更细需要更精准的加密策略。二、我们的加密合规配置清单基于天锐绿盾以下配置项可直接在天锐绿盾管理端逐条设置每条均对应合规条款。模块1存储加密等保2.0三级 8.1.4.5 / GDPR Art.32配置项设置值合规说明加密算法国密SM4或AES-256等保要求国密GDPR接受AES-256加密范围所有用户文档目录 共享服务器指定文件夹覆盖重要数据存储位置强制加密策略启用用户不可自行关闭防止绕过离线加密启用最长离线7天笔记本不离线失密外发文件加密强制加密密码有效期控制扩散范围实操在“加密策略”中创建“合规加密组”关联所有受保护目录勾选“强制执行”。模块2访问控制与审计等保2.0三级 8.1.4.6 / GDPR Art.30配置项设置值谁可以解密仅文件所有者 部门主管 合规管理员三人审批解密申请流程提交工单 → 直属上级审批 → 合规部二次确认 → 自动解密并生成一次性临时副本审计日志保留不少于180天等保要求6个月日志内容操作人、时间、文件路径、操作类型加密/解密/外发/打印、结果日志防篡改发送至独立syslog服务器只追加不修改技巧天锐绿盾支持将日志实时转发到第三方SIEM我们对接了自家的Splunk方便审计员一键导出报表。模块3数据最小化GDPR特有我们用了天锐蓝盾的数据分类分级模块先扫描所有文件按敏感度打标S4极高敏感身份证号、银行卡、病历 → 强制加密 禁止外发S3高敏感合同、薪资 → 强制加密 外发需审批S2中敏感内部通讯录 → 只审计不加密S1公开官网文案 → 不加密这样既满足GDPR“不过度处理数据”的原则又避免了加密所有文件带来的性能负担。模块4密钥管理与备份等保2.0三级 8.1.4.6 / GDPR Art.32主密钥存储在专用加密机HSM中管理员分段持有密钥卡备份密钥每月一次导出至离线加密U盘存放于保险柜应急恢复密钥由厂商提供密封在信封中拆封需双人签字定期轮换每12个月更换一次主密钥旧密钥归档保留5年小贴士等保检查时检查员一定会看密钥备份记录。我们准备了一份《密钥生命周期管理手册》把每次轮换、备份、恢复都记录在案一次性通过。三、我们踩过的合规坑你别再踩坑1以为加密了就万事大吉忽略了内存中的明文等保和GDPR都要求“处理过程中也要保护”。我们曾发现解密后的文件会在临时目录留下明文副本。解决方案在天锐绿盾中启用“内存清理”和“临时文件自动删除”策略。坑2外发文件没有留痕有一次审计发现员工发给供应商的一个加密外发文件对方转手给了第三方。之后我们强制开启“外发文件水印”和“打开记录回传”谁在什么时间打开过后台一目了然。坑3日志只存本地被攻击后丢失等保要求日志留存且不可篡改。我们早期把日志存在加密服务器本地结果一次勒索病毒把日志也加密了。后来强制要求异地只写存储。四、合规审计时的常见问答提前准备Q加密是否会影响业务连续性A我们配置了离线缓存和紧急恢复密钥即使服务器宕机终端仍可正常工作最多7天且5分钟内可启用冷备服务器。Q如何证明加密的有效性A我们每季度进行渗透测试尝试从终端、网络、备份三个维度提取未授权明文并出具报告。最近一次测试中成功提取率为0%。Q个人数据加密后如何响应数据主体访问请求A合规专员在管理端发起“临时解密任务”生成仅限审计员打开的加密审计包发给数据主体前会进行脱敏处理。全程留痕。五、附可直接使用的每周自检脚本基于天锐绿盾CLI天锐绿盾提供命令行工具TiprayCLI.exe我们写了每周自动检查脚本batch:: check_encryption_compliance.bat :: 每周一凌晨执行 :: 1. 检查所有终端策略同步状态 TiprayCLI.exe /check_policy /report:policy_report.html :: 2. 检查离线策略剩余有效期低于3天预警 TiprayCLI.exe /check_offline /alert:admincompany.com :: 3. 检查密钥备份时间超过35天未备份报警 TiprayCLI.exe /check_key_backup /threshold:35 :: 4. 导出上周审计日志计算是否有未授权解密尝试 TiprayCLI.exe /export_log /last7days /format:csv findstr /c:失败 log_7days.csv fail_attempts.txt if not %errorlevel%0 (echo 发现解密失败记录请复核 | mail -s 合规告警 auditcompany.com)六、最后的话合规不是买一个加密软件就能交差它是一套持续的策略流程证据体系。天锐绿盾及蓝盾给我们提供了足够细的配置项和日志输出能力但更关键的是我们花了时间把每条合规要求翻译成了可执行的配置。建议你拿着这篇文章对照自己公司的加密系统一条条打勾。如果有缺失赶紧补上。审计员不会听“我以为”他们只看证据。#等保2.0 #GDPR #数据安全合规 #文件加密 #天锐绿盾
