久久久亚洲精品成人,色五月丁香六月欧美综合,午夜影视啪啪免费体验区,噜噜综合亚洲AV中文无码

安全資訊

等保2.0三級(jí)要求解讀及建設(shè)策略

        等保2.0版本三級(jí)整體要求分為10個(gè)部分,其中1-5為基礎(chǔ)設(shè)施、技術(shù)產(chǎn)品相關(guān)要求,包括物理環(huán)境、通訊網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、管理中心等,此部分主要需要配合測(cè)評(píng)機(jī)構(gòu)登錄相關(guān)系統(tǒng)和設(shè)備查看產(chǎn)品功能、策略配置等形式進(jìn)行測(cè)評(píng),本文將重點(diǎn)對(duì)這部分內(nèi)容解讀和提供建設(shè)策略建議。6-10為管理規(guī)章制度要求,包括管理制度、管理機(jī)構(gòu)、管理人員、建設(shè)管理、運(yùn)維管理等,此部分主要需要以制度文檔、過(guò)程審計(jì)記錄等形式提供證明,此部分不在本文中展開(kāi)討論,如有需要會(huì)以文檔形式輔助提供支持。


一、安全物理環(huán)境


機(jī)房場(chǎng)地應(yīng)具備

1,七防護(hù):應(yīng)防震、防水、防火、防盜(視頻監(jiān)控)、防雷擊、防靜電、防電磁干擾

2,兩控制:機(jī)房具備溫、濕度調(diào)節(jié),出入口設(shè)置電子門(mén)禁

3,持續(xù)供電:冗余的電力電纜線路、備用電力

ER(Extended requirements , 擴(kuò)展要求):IDC建設(shè)于中國(guó)境內(nèi)

--建設(shè)策略:

建議選擇4星級(jí)以上標(biāo)準(zhǔn)機(jī)房,級(jí)別越低,提供的服務(wù)可用性和標(biāo)準(zhǔn)越低,舉個(gè)例子,電信5星機(jī)房承諾的故障次數(shù)是三年內(nèi)50%以上服務(wù)器阻斷30分鐘以上故障不超過(guò)1次,2星級(jí)承諾的是三年內(nèi)50%以上服務(wù)器阻斷2個(gè)小時(shí)以上故障不超過(guò)1次,至于2個(gè)小時(shí)以?xún)?nèi)的故障幾次不做承諾。對(duì)于公有云租戶(hù)來(lái)說(shuō)直接復(fù)用公有云物理環(huán)境等保測(cè)評(píng)結(jié)論即可。


二、安全通信網(wǎng)絡(luò)

1,網(wǎng)絡(luò)架構(gòu)

關(guān)鍵網(wǎng)絡(luò)設(shè)備要冗余,處理能力可以滿足業(yè)務(wù)高峰期需求

ER:

a)具備虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖繪制功能,對(duì)虛擬化網(wǎng)絡(luò)資源、網(wǎng)絡(luò)拓?fù)溥M(jìn)行實(shí)時(shí)更新;實(shí)現(xiàn)不同租戶(hù)虛擬網(wǎng)絡(luò)隔離;

b)為租戶(hù)提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制,具備租戶(hù)自主設(shè)置安全策略的能力

c)應(yīng)保證云計(jì)算平臺(tái)管理流量與云服務(wù)客戶(hù)業(yè)務(wù)流量分離;

d)應(yīng)提供開(kāi)放接口,允許云服務(wù)客戶(hù)接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù)

2,通信傳輸

采用校驗(yàn)碼技術(shù)或加解密技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性和保密性

3,可信驗(yàn)證

對(duì)通信設(shè)備的核心程序和配置參數(shù)具備動(dòng)態(tài)可信驗(yàn)證方案,關(guān)鍵環(huán)節(jié)出現(xiàn)問(wèn)題及時(shí)告警記錄

--建設(shè)策略

滿足租戶(hù)流量隔離、自主設(shè)置安全策略的要求,輔以邊界防火墻、WAF等設(shè)備實(shí)現(xiàn)邊界防護(hù)。同時(shí)云平臺(tái)系統(tǒng)間采用https協(xié)議交互,保證數(shù)據(jù)加密傳輸。


三、安全區(qū)域邊界

1,邊界防護(hù)

能夠?qū)Ψ鞘跈?quán)的設(shè)備從外到內(nèi)及從內(nèi)到外的網(wǎng)絡(luò)行為進(jìn)行限制或檢查

2,訪問(wèn)控制

在網(wǎng)絡(luò)區(qū)域邊界設(shè)置訪問(wèn)控制規(guī)則,默認(rèn)情況下除允許策略拒絕所有通信,控制粒度為端口級(jí)

ER: 在虛擬化網(wǎng)絡(luò)邊界、不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問(wèn)控制機(jī)制,并設(shè)置訪問(wèn)控制規(guī)則。

3,入侵防范

在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;具備攻擊行為分析能力;當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類(lèi)型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警

ER: 應(yīng)能檢測(cè)到云服務(wù)客戶(hù)發(fā)起的網(wǎng)絡(luò)攻擊行為、對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類(lèi)型、攻擊時(shí)間、攻擊流量等;應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量并進(jìn)行告警。

4,惡意代碼

在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼、垃圾郵件檢測(cè)和防護(hù),并維護(hù)對(duì)應(yīng)的防護(hù)機(jī)制升級(jí)

5,安全審計(jì)

在重要網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)重要的用戶(hù)行為、安全事件進(jìn)行行為記錄,審計(jì)記錄應(yīng)定期備份,留存時(shí)間合規(guī),記錄應(yīng)至少包含事件日期、用戶(hù)、事件類(lèi)型、是否成功等信息

ER: 應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶(hù)遠(yuǎn)程管理時(shí)執(zhí)行特權(quán)命令進(jìn)行審計(jì),至少包括虛擬機(jī)刪除、虛擬機(jī)重啟;應(yīng)對(duì)云服務(wù)商對(duì)云服務(wù)客戶(hù)系統(tǒng)和數(shù)據(jù)操作可被云服務(wù)客戶(hù)審計(jì)

6,可信驗(yàn)證

對(duì)核心程序和配置參數(shù)具備動(dòng)態(tài)可信驗(yàn)證方案,關(guān)鍵環(huán)節(jié)出現(xiàn)問(wèn)題及時(shí)告警記錄

--建設(shè)策略

1.推薦邊界防火墻,對(duì)進(jìn)出安全區(qū)域邊界的訪問(wèn)鏈接進(jìn)行控制,阻斷非授權(quán)訪問(wèn);推薦堡壘機(jī)對(duì)遠(yuǎn)程執(zhí)行的命令進(jìn)行審計(jì)回放,對(duì)高危命令進(jìn)行阻斷;

2.推薦VPN、證書(shū)管理服務(wù),采取加密措施,防止數(shù)據(jù)在傳輸過(guò)程中遇到破壞;推薦VPC網(wǎng)絡(luò)在租戶(hù)數(shù)據(jù)傳輸過(guò)程中進(jìn)行vxlan封裝實(shí)現(xiàn)租戶(hù)隔離,保證數(shù)據(jù)完整性和保密性。

3.推薦DDoS高防,云WAF服務(wù),針對(duì)日漸增多的DDoS、Web攻擊進(jìn)行防御,精準(zhǔn)有效地實(shí)現(xiàn)對(duì)流量型攻擊和應(yīng)用層攻擊的全面防護(hù)

4,推薦日志審計(jì)服務(wù)對(duì)用戶(hù)行為日志統(tǒng)一采集、存儲(chǔ)、查詢(xún)、分析、告警

5,推薦云平臺(tái)在保證關(guān)鍵網(wǎng)絡(luò)設(shè)備架構(gòu)冗余的同時(shí),支持劃分特定管理區(qū)域,對(duì)安全資源池設(shè)備集中管控、監(jiān)控、告警,另外金山云自研的肉雞發(fā)現(xiàn)與防御系統(tǒng)可以有效識(shí)別肉雞對(duì)內(nèi)外部網(wǎng)絡(luò)攻擊行為并自動(dòng)進(jìn)行限速、告警處理。


四、安全計(jì)算環(huán)境


1,身份鑒別

用戶(hù)密碼策略具有復(fù)雜度要求并定期更換檢測(cè)機(jī)制、限制非法登錄次數(shù),身份鑒別技術(shù)采用兩種或兩種以上組合,其中一種至少包含如動(dòng)態(tài)口令、密碼技術(shù)、指紋識(shí)別等。

ER: 當(dāng)遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備時(shí),管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制

2,訪問(wèn)控制

應(yīng)進(jìn)行角色劃分,對(duì)登錄的用戶(hù)分配賬戶(hù)和默認(rèn)最小權(quán)限;及時(shí)刪除或停用過(guò)期賬戶(hù);對(duì)敏感信息設(shè)置安全標(biāo)記并可控制對(duì)有安全標(biāo)記資源的訪問(wèn)

ER:

a) 應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí),訪問(wèn)控制策略隨其遷移

b) 應(yīng)允許云服務(wù)客戶(hù)設(shè)置不同虛擬機(jī)之間的訪問(wèn)控制策略

3,安全審計(jì)

啟動(dòng)安全審計(jì)功能,覆蓋到每個(gè)用戶(hù),對(duì)重要的用戶(hù)行為和安全事件進(jìn)行審計(jì);對(duì)審計(jì)記錄進(jìn)行定期備份,審計(jì)記錄存留時(shí)間合規(guī);對(duì)審計(jì)程序有保護(hù)手段,防止未經(jīng)授權(quán)的中斷

4,入侵防范

能發(fā)現(xiàn)可能存在的漏洞,并及時(shí)修補(bǔ)漏洞;遵循最小安裝原則,應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、高危端口;

能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警

ER: 能夠檢測(cè)虛擬機(jī)之間的資源隔離失效、非授權(quán)新建虛擬機(jī)、惡意代碼感染在虛擬機(jī)間蔓延等情況,并進(jìn)行告警


5,惡意代碼防范

能夠檢測(cè)惡意代碼感染及在虛擬機(jī)間蔓延的情況,并提出告警

6,可信驗(yàn)證

對(duì)核心程序和配置參數(shù)具備動(dòng)態(tài)可信驗(yàn)證方案,關(guān)鍵環(huán)節(jié)出現(xiàn)問(wèn)題及時(shí)告警記錄

7,數(shù)據(jù)完整性

應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程和存儲(chǔ)過(guò)程中的完整性, 包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等;

8,數(shù)據(jù)保密性

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程和存儲(chǔ)過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等

ER:

a) 應(yīng)確保只有在云服務(wù)客戶(hù)授權(quán)下,云服務(wù)商或第三方才具有云服務(wù)客戶(hù)數(shù)據(jù)的管理權(quán)限

b) 應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過(guò)程中重要數(shù)據(jù)的完整性,并在檢測(cè)到完整性受到破壞時(shí)采取必要的恢復(fù)措施

c) 應(yīng)支持云服務(wù)客戶(hù)部署密鑰管理解決方案,保證云服務(wù)客戶(hù)自行實(shí)現(xiàn)數(shù)據(jù)的加解密過(guò)程

9,數(shù)據(jù)備份恢復(fù)

應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能;應(yīng)提供異地實(shí)時(shí)備份功能;應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性

ER:

a) 云服務(wù)客戶(hù)應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份

b) 應(yīng)提供查詢(xún)?cè)品?wù)客戶(hù)數(shù)據(jù)及備份存儲(chǔ)位置的能力

c) 云服務(wù)商的云存儲(chǔ)服務(wù)應(yīng)保證云服務(wù)客戶(hù)數(shù)據(jù)存在若干個(gè)可用的副本,各副本之間的內(nèi)容應(yīng)保持一致

d) 應(yīng)為云服務(wù)客戶(hù)將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺(tái)和本地系統(tǒng)提供技術(shù)手段,并協(xié)助完成遷移過(guò)程。

10,剩余信息保護(hù)

應(yīng)保證存有敏感數(shù)據(jù)和鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除

ER: 

a) 應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)得到完全清除

b) 云服務(wù)客戶(hù)刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí),云計(jì)算平臺(tái)應(yīng)將云存儲(chǔ)中所有副本刪除

11,個(gè)人信息保護(hù)

應(yīng)采集和保存業(yè)務(wù)必需的用戶(hù)個(gè)人信息;應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶(hù)個(gè)人信息

ER: 鏡像和快照保護(hù)

a) 應(yīng)針對(duì)重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像或操作系統(tǒng)安全加固服務(wù)

b) 應(yīng)提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能,防止虛擬機(jī)鏡像被惡意篡改

c) 應(yīng)采取密碼技術(shù)或其他技術(shù)手段防止虛擬機(jī)鏡像、快照中可能存在的敏感資源非法訪問(wèn)

--建設(shè)策略

1,云平臺(tái)相關(guān)包括租戶(hù)、運(yùn)維、運(yùn)營(yíng)等系統(tǒng)設(shè)計(jì)應(yīng)考慮至少2種身份認(rèn)證機(jī)制,包括密碼、動(dòng)態(tài)口令等,用戶(hù)密碼長(zhǎng)度、復(fù)雜度、更換周期等應(yīng)符合標(biāo)準(zhǔn)要求,用戶(hù)信息應(yīng)加密存儲(chǔ);平臺(tái)用戶(hù)應(yīng)具備角色管理模塊,不同角色授予最小權(quán)限;重要的用戶(hù)行為應(yīng)具備審計(jì)功能;

2,推薦安全客戶(hù)端產(chǎn)品通過(guò)植入主機(jī)系統(tǒng)提供入侵防范、惡意代碼檢測(cè)、防病毒等功能;

3,云平臺(tái)提供遷移功能,支持業(yè)務(wù)系統(tǒng)遷移到其他平臺(tái);提供重要數(shù)據(jù)異地實(shí)時(shí)備份和恢復(fù)功能;提供鏡像、快照功能并具備完整性校驗(yàn),當(dāng)租戶(hù)刪除業(yè)務(wù)數(shù)據(jù)時(shí),對(duì)應(yīng)存儲(chǔ)空間的所有副本數(shù)據(jù)完全刪除;提供租戶(hù)側(cè)自助密鑰管理解決方案如AK/SK等。

4,云平臺(tái)對(duì)相關(guān)組件、服務(wù)如openssh、mysql、apache、php等遵循最小安全原則,對(duì)已知漏洞具備發(fā)現(xiàn)和預(yù)先修補(bǔ)能力。


五、安全管理中心

1,集中管控


劃分特定管理區(qū)域,對(duì)安全設(shè)備或組件集中管控;對(duì)審計(jì)數(shù)據(jù)集中匯總和分析;對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)相關(guān)事項(xiàng)集中管理;對(duì)網(wǎng)絡(luò)、服務(wù)器、安全設(shè)備集中監(jiān)控并對(duì)發(fā)生的安全事件進(jìn)行識(shí)別、分析和報(bào)警。

ER:

a) 應(yīng)能對(duì)物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配

b) 應(yīng)保證云計(jì)算平臺(tái)管理流量與云服務(wù)客戶(hù)業(yè)務(wù)流量分離

c) 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶(hù)的職責(zé)劃分,收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì)

d) 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶(hù)的職責(zé)劃分,實(shí)現(xiàn)各自控制部分,包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測(cè)

--建設(shè)策略

推薦云平臺(tái)基于公有云同源架構(gòu)分別提供云服務(wù)商側(cè)視角的underlay和租戶(hù)側(cè)視角的overlay的資源監(jiān)控、審計(jì)數(shù)據(jù)、資源調(diào)度和流量分離方案。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)

宜川县| 临朐县| 法库县| 漯河市| 贵阳市| 海丰县| 毕节市| 宁明县| 铜陵市| 胶州市|