久久免费精品国产-日本道欧美一区二区aaaa-欧美资源一区,护士下面又紧又湿,天海翼一区,一本一道久久久a久久久精品蜜臀

跳轉到主要內容

等保2.0解決方案

需求與挑戰

         國家政策:2018年6月27日,公安部會同中央網信辦、國家保密局、國家密碼管理局起草發布《網絡安全等級保護條例(征求意見稿)》(簡稱“《等保條例》”)。作為《網絡安全法》的重要配套法規,“等保條例”為等保建設建設提出了更加具體、操作性也更強的要求,為開展等級保護工作提供了重要的法律支撐。

等保2.0解讀:

        網絡安全等級保護基本要求之整體框架——

框架

技術框架——

技術框架

管理框架——

管理框架

等保2.0三級通用要求解讀:

要求解讀

等保2.0解決方案

安全通用要求:技術方案總體框架

技術方案架構

(1)安全物理環境

物理安全

  • 物理訪問控制

機房出入口應配置電子門禁系統,控制、鑒別和記錄進入的人員

  • 防盜竊和防破壞

應設置機房防盜報警系統或設置有專人值守的視頻監控系統

  • 防火

機房應設置火災自動消防系統,能夠自動檢測火情,自動報警,并自動滅火,

 

  • 溫濕度控制

應設置溫濕度自動調節設施,使機房溫濕度的變化在設備運行所允許的范圍之內,

  • 電力供應

應提供短期的備用電力供應,至少滿足設備在斷電情況下的正常運行要求。

應設置冗余或并行的電力電纜線路為計算機系統供電

(2)安全通信網絡

安全通信網絡

  • 選型合理

保證各個部分的路由器、交換機、防火墻等設備業務處理能力和各個部分網絡帶寬滿足業務高峰期需要;

  • 分區分域(①所用設備)

劃分不同的網絡區域,并按照方便管理和控制的原則為各網絡區域分配地址;重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段;

  • 加密通信(②所用設備)

采用校驗技術或密碼技術保證通信過程中數據的完整性及保密性

  • 冗余架構

提供通信線路、關鍵網絡設備的硬件冗余。

  • 可信驗證:

基于可信根對通信設備的系統引導,應用關鍵點動態驗證,可報警、可審計。

 

(3)安全區域邊界

安全區域邊界

  • 訪問控制(①所用設備)

跨邊界、非授權設備接入、非授權用戶外聯、無線設備接入、聯接行為檢查、應用協議和內容檢查,優化訪問控制規則。

  • 入侵防范:(②所用設備)

內/外部發起的攻擊,對網絡行為進行分析,未知的新型網絡攻擊;

  • 惡意代碼和垃圾郵件(③所用設備)

在關鍵網絡節點處對 惡意代碼/垃圾郵件,進行檢測和清除,并維護其升級和更新;

  • 安全審計(④所用設備)

覆蓋到用戶,審計用戶行為,重要安全事件,記錄需備份,重要內網用戶、遠程訪問用戶、訪問互聯網用戶行為審計和數據分析;

  • 可信驗證:

基于可信根對邊界設備的系統引導,應用關鍵點動態驗證,可報警、可審計

 

(4)安全計算環境

安全計算環境

  • 身份鑒別(①所用設備)

應對登錄的用戶進行身份唯一性鑒別;遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;采用口令、密碼技術、生物技術等組合的鑒別技術對用戶進行身份鑒別

  • 訪問控制

用戶權限管理、管理用戶權限最小化(應用自身實現)

  • 安全審計(②所用設備)

應對審計進程進行保護,防止未經授權的訪問

  • 入侵防范(③所用設備)

檢測入侵行為、非使用端口關閉、管理終端限制、發現已知漏洞(滲透測試)

  • 惡意代碼防范(④所用設備)

應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。

  • 可信驗證

可基于可信根對計算設備的系統引導,應用關鍵點動態驗證,可報警、可審計

  • 數據完整性(⑤所用設備)

采用校驗技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性、防篡改

  • 數據保密性(⑥所用設備)

采用校驗技術或密碼技術保證重要數據在傳輸和存儲過程中的保密性

  • 數據備份恢復

數據本地備份和恢復、提供異地實時備份功能、數據處理系統熱冗余(災備或多活數據中心)

  • 剩余信息保護

鑒別信息、敏感信息緩存清除(應用自身實現)

  • 個人信息保護

個人信息最小采集存儲原則、訪問控制(應用自身實現)           

(5)安全管理中心

安全管理中心

  • 系統管理(①所用設備)

應對系統管理員進行身份鑒別、應通過系統管理員對系統的資源和運行進行配置、控制和管理

  • 審計管理(②所用設備)

應對安全審計員進行身份鑒別、應通過安全審計員對審計記錄應進行分析,并根據分析結果進行處理

  • 集中管控(③所用設備)

特定管理分區、統一網管和檢測、日志采集和集中分析、安全事件識別告警和分析(態勢感知)、安全策略集中管理

  • 安全管理(④所用設備)

應對安全管理員進行身份鑒別、應通過安全審計員對審計記錄應進行分析,并根據分析結果進行處理

通用產品清單

通用產品清單

注意:

  1. 防火墻可以通過license控制IPS功能,因此可單獨配置硬件IPS設備或開通防火墻IPS功能滿足該要求
  2. 防火墻或者IPS設備上可以通過license控制AV功能,任一設備開啟均可滿足要求

方案價值:

  • 滿足合法合規要求,落實網絡安全保護義務,合理規避風險。
  • 明確組織整體目標,改變以往單點防御方式,讓安全建設更加體系化。
  • 提高人員安全意識,樹立等級化防護思想,合理分配網絡安全投資
  • 以等保為契機,加強網絡安全建設,源于等保,不止于等保,滿足自身業務安全需求