等保安全通用要求解读
管理框架
技术(三级)详细解读
安全通信网络
| 控制点 | 要求项主要内容(8) | 对应产品 | 技术措施 |
| 网络架构 | 选型合理、分区隔离、冗余架构、高峰可用 | 抗DDOS、NGFW、网闸、光闸 |
1、 主要网络和安全设备的性能满足业务高峰期需求。 2、数据中心依据连接网络划分指挥信息网、互联网和电子政务外网三个不同安全级别的企业VPC。 3、安全和运维管理区按业务场景分为安全监控管理、安基础设施、日志流量分析三大子区。 4、出口、核心等关键位置双链路备份,设备冗余(主备或以活),部署双机热备、负载均衡。 |
| 通信传输 | 采用校验技术/密码技术保证通信过程中数据的完整性和保密性 | NGFW(IPsec & SSL vpn) | 1、提供终端连接电子政务外网业务VPN服务,PDT集群的无线通信安全;身份认证网关支持基于密码技术保证通信过程中数据的完整性。 |
| 可信验证 | 基于可信根对通信设备系统引导,应用关键点动态验证,可报警,可审计 | 网络设备自身可信启动机制 | 可选项 |
安全区域边界
| 控制点 | 要求项主要内容(20) | 对应产品 | 技术措施 |
| 边界防护 | 跨边界控制、内联设备,外联行为监测,无线网限制 | NGFW,光闸,视频安全接入系统,可信接入网关,网络准入,上网行为管理 |
1、通过NGFW等安全设备,保证数据中心与互联网边界等8大边界的访问和数据流通过受控接口进行通信。 2、可信接入网关验证终端设备,人员身份,应用身份的可信,保证非授权用户不能接入内肉。 3、通过利旧的上网行为管理对内部非授权用户连到外网的行为进行检查和限制。 4、无线网安全设计包括边界安全,网元安全,链路安和网络流量安全监测。确保无线网络通过受控的边界设备接入内网。 |
| 访问控制 | 五元组过滤,内容过滤,策略优化,基于应用协议和应用内容的访问控制 | NGFW,光闸,视频安全接入系统,无线安全网关 | 通过NGFW配置8大网络边界之间根据访问控制策略进行访问,NGFW实现基于应用协议和应用内容的访问控制等多种功能。 |
| 入侵防范 | 防外部攻击,防内部攻击,防新型未知网络攻击 | IPS、IDS、探针、沙箱、诱捕系统、蜜罐系统 |
1、数据中心与互联网边界部署了DDOS防护,IPS等进行防护 2、出口路由器旁路部署流量监测探针,实时对外发流量进行检测 3、部署诱捕、蜜罐系统并在自动全部散发陷井,自动仿真用户业务,以检测和防预APT、未知蠕虫等网络攻击行业。 |
| 恶意代码防范 | 网络防病毒、垃圾邮件过滤 | 防病毒网关、防火墙防病毒能力 | 在数据中心和互联网边界、数据中心与电子政务外网边界部署防病毒网关垃圾邮件过滤等以防范恶意代码和垃圾邮件 |
| 安全审计 | 用户行为,安全事件审计,远程用户行为,访问互联网用户行为单独审计和数据分析 | 堡垒机,上网行业管理 | 通过堡垒机,上网行为管理等系统对用户行为安全事件等进行事后审计,日志要求6个月的存储,根据管理要求制定相关审计记录的策略 |
| 可信验证 | 基于可信根对区域设备的系统引导,应用关键点可动态验证,可报警可审计 | 设备自身可信启动机制 | 可选项 |
安全管理中心
| 控制点(4) | 要求项主要内容(12) | 对应产品 | 技术措施 |
| 系统管理 | 应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置,控制和管理 | 网管系统,堡垒机 |
1、 通过堡垒机对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并参这些操作进行审计。 2、通过系统管理员对系统的资源和运行进行配置,控制和管理,包括用户身份配置等等 |
| 审计管理 | 应对安全审计员进行身份鉴别,应通过安全审计员对审计记录进行分析 ,并根据分析结果进行处理 | 堡垒机,日志审计系统,数据库审计 | 使用运维审计堡垒机服务,使用其成为运维唯一入口,主机连接都必须经过堡垒机的统一身份管理,并基于IP地址,帐号,命令进行控制,防止越权操作,而且整个操作过程都可以实现全程的审计记录 |
| 集中管理 | 特定管理分区,统一网管和检测,日志采集和集中分析,安全事件识别告警和分析,安全策略集中管理 | 统一网管,安全控制器,动态感知系统 | 对分散在各个设备上的审计数据进行收集汇部和集中分析,并保证审计数据的留存时间。对安全策略、恶意代码,补丁升级等安全相关事项进行集中管理,应能对网络中发生的各类安全事件进行识别,报警和分析。 |
| 安全管理 | 应对安全管理员进行身份鉴别,应通过安全审计员对审计记录进行分析,并根据分析结果进行处理 | 堡垒机,日志审计系统 |
1、通过堡垒机对安全管理员进行安全鉴别,只允许其通过指定的命令或操作界面进行安全管理操作,并对这些操作进行审计。 2、通过安全管理员对系统中的安全策略进行配置,包括安全参数设置等。 |
安全计算环境
| 控制点(11) | 要求项主要内容(34) | 对应产品 | 技术措施 |
| 身份鉴别 | 身份唯一性,鉴别信息复杂度,口令,密码技术,生物技术等双因子及以上认证且其中一种必须为密码技术 | 可信接入网关,堡垒机,VPN网关,AD等身份认证系统,数字证书 |
1、有统一的身份认证系统,并核对基础设施方案中终端,操作系统是否定期修改密码, 2、所有身份认证系统都具务登录失败处理功能。 3、移动终端采用身份认证系统加数字证书的双因素方式,堡垒机采用AD加指纹的双因素认证方式 。 |
| 访问控制 | 用户权限管理 ,管理用户权限最小化 | 自身机制 |
1、自行开发或外购系统均具备权限管理功能,支持分配权限,基于用户等级和数据等级为其建立权限访问关系等。 2、日常运维中,权限管理满足SOD和最小授权等原则,各业务系统管理员及IT管理员对用户的权限进行管理,包括去除默认帐号,分配权限,去重,停用等安全措施。 |
| 安全审计 | 用户行业审计,对审计进行保护 | 上网行为管理,日志审计系统 |
1、数据中心安全和运维管理区部署带日志审计功能的堡垒机,部署上网行为管控用于用户行为审计。 2、审计设备和系统的日志格式和信息满足审计要求。 |
| 入侵防范 | 检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞 | IPS、漏洞扫描、安全配置核查系统,终端软件安全管理 |
1、部署IPS,并进行日常运维及时发现入侵行为。 2、通过配置合规检查,关闭不需要的系统服务,默认共享和高危端口等等操作以预防入侵行为。 3、定期采购外部渗透测试和漏洞扫描服务,对发现的漏洞进行整改。 |
| 恶意代码防范 | 安装防恶意代码软件或免疫可信验证机制,防护机制支持升级和更新 | 防毒墙,主机防病毒软件 | 已经部署防病毒网关免受恶意代码攻击,终端部署防病毒客户端,并实时进行病毒更新。 |
| 可信验证 | 基于可信根对计算设备的系统引导,应用关键点动态验证,可报警,可审计 | 设备自动可信启动机制 | 可选项。 |
| 数据完整性 | 采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性,防篡改。 | NGFW,VPN,WAF,防篡改,可信接入网关,CA系统,数据库加密网关,文档加密系统 |
1、VPN,可信接入采用密码技术保证传输完整性,身份认证网关支持基于国密算法保障数据传输的安全性。 2、通过基于基础设施组提供的密钥管理系统以及数据加密机,利用高性能密码技术对各类云存储数据进行存储加密,保证存储完整性。 |
| 数据保密性 | 数据全生命周期各个环节的防泄密 | 可信接入网关,数据库加密网关 |
1、通过可信接入网关等保证重要数据在传输过程中的保密性。 2、通过网络、存储、邮件、终端DLP系统防止数据的泄露。 |
| 数据备份恢复 | 数据本地备份和恢复,提供异地实时备份功能,数据处理系统热冗余。 | 多活数据中心 |
提供重要数据本地数据备份 重要数据处理系统至少都是N+1配置,通过系统的热冗余,保证高可用性。 |
| 剩余信息保护 | 鉴别信息,敏感信息缓存清除 | 启用自身机制 | 云平台设置彻底删除粉太碎敏感数据策略,保证存储空被释放或重新分配前得到完全删除。 |
| 个人信息保护 | 个人信息最小采集原则,访问控制 | 启用自身机制 | 识别个人隐私数据收集场景,个人信息最小采集原则,设立控制访问机制。 |
云计算安全扩展要求
| 控制类 | 控制点 | 要求项主要内容 | 对应产品 |
| 安全通信网络 | 网络架构 | 云计算客户虚拟网络隔离、通信安全 | 平台自身能力,VDC、VPC、虚拟防火墙服务、云防火墙服务,VPN,边界防火墙服务等,支持第三方安全接入:FGI。 |
| 安全区域边界 | 访问控制 | 虚拟化网络边界访问控制 | VDC,SG,虚拟防火墙服务,云防火墙服务。 |
| 入侵防范 | 监测云服务客户,虚拟网络节点攻击,监测虚拟机与宿主机/虚拟机的异常流量。 | 云防火墙服务、边界防火墙服务。 | |
| 安全审计 | 云服务商,云服务客户远程管理及操作审计 | 云堡垒机服务,综合审计服务 | |
| 安全计算环境 | 身份鉴别 | 远程管理云计算平台时建立双向身份验证机制 | 可信接入代理 |
| 访问控制 | 虚拟机迁移,不同云服务客户设置访问控制策略 | VPC/安全组/虚拟防火墙 | |
| 入侵防范 | 虚拟机资源隔离、非授权及恶意代码,并告警 | 平台自身能力 | |
| 镜像与快照保护 | 操作系统镜像加固,校验,防止恶意篡改及非法访问 | 平台自身能力 | |
| 数据完整性和保密性 | 云服务客户及虚拟机数据完整及保密性 | 密钥管理服务,数据加密服务,OBS加密服务 | |
| 数据备份恢复 | 数据本地备份和恢复,提供异地实时备份功能,数据处理系统热冗余 | 云服务器容灾服务,云服务器高可用服务,云服务器备份服务,云硬盘备份服务 | |
| 剩余信息保护 | 虚拟机及云服务客户数据完全清除 | 虚拟机删除后内存数据清除,存储清除数据删除 | |
| 安全管理中心 | 集中管控 | 特定管理分区,统一网管和检测,日志采集和集中分析,安全事件识别告警和分析,安全策略集中管理 | 平台自身能力 |
| 安全物理环境 | 基础设施位置 | 应保证云计算基础设施位于中国境内 | 云计算基础设施部署在中国境内 |
