2022年數(shù)據(jù)安全治理解決方案

1、安全加固 合作共贏數(shù)據(jù)安全治理解決方案目錄content核心技術(shù)理念01解決方案與場景介紹02政策匹配（等保2.0與密評）03核心技術(shù)理念01目前針對核心應(yīng)用常規(guī)的保護(hù)方案城墻建的很高很厚，但是服務(wù)器基本還是祼奔！2022/7/234核心理念-計算執(zhí)行環(huán)境內(nèi)的加密隔離磁盤上的加密數(shù)據(jù)國產(chǎn)操作系統(tǒng)應(yīng)用程序操作系統(tǒng)加密增強(qiáng)中央崗哨平臺部件，互動關(guān)聯(lián)。OS加密增強(qiáng)系統(tǒng)按需從計算執(zhí)行環(huán)境中加密劃分出安全隔離的活動空間來進(jìn)行數(shù)據(jù)活動;實現(xiàn)數(shù)據(jù)自保-無論網(wǎng)絡(luò)和系統(tǒng)狀況如何，數(shù)據(jù)都能對已知和未知的攻擊免疫；防泄密，防勒索軟件，惡意內(nèi)部人員和根攻擊，防內(nèi)核、應(yīng)用程序漏洞；保障數(shù)據(jù)安全。程序軟件庫配置/腳本文件

2、運行參數(shù)/環(huán)境變量進(jìn)程內(nèi)存加密保護(hù)的數(shù)據(jù)中央崗哨運用密碼學(xué)技術(shù)形成完整的安全鏈2022/7/23502解決方案與場景零信任解決方案7網(wǎng)絡(luò)安全工作室數(shù)安終端版網(wǎng)絡(luò)安全工作室數(shù)安服務(wù)器版2022/7/23護(hù)網(wǎng)解決方案8網(wǎng)絡(luò)安全工作室(針對供應(yīng)商駐場安服人員)數(shù)安終端版（針對重要系統(tǒng)的管理員）數(shù)安服務(wù)器版數(shù)安服務(wù)器版數(shù)安服務(wù)器版2022/7/23黑客實施勒索9數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫文件黑客數(shù)據(jù)數(shù)據(jù)庫程序運行參數(shù)數(shù)據(jù)庫服務(wù)器黑客網(wǎng)頁服務(wù)器配置文件口令系統(tǒng)工具數(shù)據(jù)數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫文件黑客刪除、勒索數(shù)據(jù)庫程序防勒索解決方案-數(shù)據(jù) 源服務(wù)器（數(shù)據(jù)庫、hadoop）保護(hù)應(yīng)用服務(wù)器數(shù)據(jù) 源服務(wù)器文件系統(tǒng)加密數(shù)據(jù)應(yīng)

3、用服務(wù)進(jìn)程其他進(jìn)程明文其他進(jìn)程文件系統(tǒng)加密數(shù)據(jù)數(shù)據(jù) 源服務(wù)進(jìn)程明文配置、緩存、密碼等源數(shù)據(jù)、配置、緩存、等數(shù)據(jù) 源服務(wù)器提供的認(rèn)證加密信道SE加密隔離空間中央崗哨平臺信息收集事件觸發(fā)配置操作事件響應(yīng)CSP管理員信息展示批處理操作102022/7/23防勒索解決方案-存儲服務(wù)（云存儲、NAS、SAN）數(shù)據(jù)保護(hù)應(yīng)用服務(wù)器存儲服務(wù)器文件系統(tǒng)加載點應(yīng)用服務(wù)進(jìn)程其他進(jìn)程明文加密數(shù)據(jù)SE加密隔離空間中央崗哨平臺CSP管理員密文應(yīng)用服務(wù)器文件系統(tǒng)其他進(jìn)程加載點應(yīng)用服務(wù)進(jìn)程明文密文信息收集事件觸發(fā)配置操作事件響應(yīng)信息展示批處理操作11數(shù)安服務(wù)器版SE適用行業(yè)12政府部、委、辦、局等事業(yè)單位大數(shù)據(jù)局 醫(yī)療醫(yī)院衛(wèi)

4、健委藥物研發(fā)制藥醫(yī)療器械制造業(yè)高科技制造業(yè)（芯片）汽車制造業(yè)（新能源）金融銀行保險基金2022/7/23數(shù)安終端版EE適用場景企業(yè)的財務(wù)/研發(fā)/設(shè)計部門會計師/律師/建筑設(shè)計事務(wù)所13各行業(yè)或企業(yè)中 “專機(jī)專用”2022/7/23網(wǎng)絡(luò)安全工作室QWS適用場景財務(wù)/OA設(shè)計/寫作/翻譯開發(fā)（VDI）/運維（外包）CXO/秘書142022/7/2303等保2.0與密評匹配解決方案數(shù)安產(chǎn)品與密評、等保評測的匹配等保2.0三級匹配通用要求-安全計算環(huán)境8.1.4.2訪問控制、8.1.4.3安全審計、8.1.4.4入侵防范、8.1.4.5惡意代碼防范、8.1.4.7數(shù)據(jù)完整性、8.1.4.8數(shù)據(jù)保密性等

5、保2.0匹配項162022/7/238.1.4.2 訪問控制通用安全計算環(huán)境訪問控制（1）8.1.4.2.d 授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離。說明：數(shù)安用基于進(jìn)程的訪問控制，有效彌補了傳統(tǒng)的基于角色的訪問控制的不足，實現(xiàn)了對管理用戶的最小授權(quán)策略，成功將計算機(jī)維護(hù)和服務(wù)管理等權(quán)限管理有效區(qū)分開來。提供了數(shù)據(jù)安全性。這一點，傳統(tǒng)的計算機(jī)管理系統(tǒng)沒有實現(xiàn)。8.1.4.2.e由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。說明：數(shù)安中，授權(quán)主體是數(shù)安的管理員，訪問主體是進(jìn)程，訪問客體是數(shù)據(jù)文件，數(shù)安有效實現(xiàn)了訪問策略的定義和嚴(yán)格執(zhí)行，保證了數(shù)據(jù)的防泄露，防勒索。

6、傳統(tǒng)的計算機(jī)系統(tǒng)中，DAC以用戶賬號為訪問主體，而一個用戶下面的所有數(shù)據(jù)一起為一個客體，通常無法應(yīng)對數(shù)據(jù)泄露和破壞。數(shù)安服務(wù)器版、數(shù)安網(wǎng)寶、數(shù)安文寶172022/7/23通用安全計算環(huán)境訪問控制（2）8.1.4.2.f 訪問控制的顆粒度達(dá)到主體為用戶級或進(jìn)程級，客體為文件或數(shù)據(jù)庫表級。說明：數(shù)安的訪問控制顆粒度達(dá)到主體是進(jìn)程，客體是文件。傳統(tǒng)的DAC原理上可以做到這個顆粒度，但是不實用，因為一個操作員使用多個計算機(jī)用戶賬號操作太不方便也就不實際。SE Linux也可以做到這個顆粒度，但是配置及其復(fù)雜，在現(xiàn)實中它通常被說IT管理員說成“鉆研到?jīng)Q定放棄”，實際上有效應(yīng)用SE Linux的場景也及其

7、少見。8.1.4.2.g 對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問。說明：數(shù)安以密碼學(xué)手段對訪問控制的主客體進(jìn)行標(biāo)識，嚴(yán)格實現(xiàn)主體對有安全標(biāo)識客體的訪問。傳統(tǒng)的DAC系統(tǒng)中無法通過安全標(biāo)識區(qū)分不同的資源。SELinux可以做到，但是其應(yīng)用太過復(fù)雜。數(shù)安服務(wù)器版、數(shù)安網(wǎng)寶、數(shù)安文寶8.1.4.2 訪問控制182022/7/238.1.4.3 安全審計通用安全計算環(huán)境安全審計8.1.4.3.a 啟用安全審計功能，審計覆蓋每個用戶，對重要用戶行為和重要安全事件進(jìn)行審計。說明：數(shù)安的崗哨平臺對所有被保護(hù)計算設(shè)備上的所有用戶的數(shù)據(jù)操作行為都予以管理并且實現(xiàn)審計記錄。8.1.4.

8、3.b 審計記錄應(yīng)包括日期和時間、用戶、類型、是否成功等。說明：數(shù)安的崗哨平臺記錄了所有的被保護(hù)數(shù)據(jù)的訪問，包括日期、事件、用戶、進(jìn)程、以及是否成功的結(jié)果。數(shù)安崗哨平臺數(shù)安崗哨平臺192022/7/238.1.4.4 入侵防范通用安全計算環(huán)境入侵防范/惡意代碼防范8.1.4.4.f 能夠檢測到對重要節(jié)點進(jìn)行入侵的行為，并在發(fā)生重大入侵事件時提供報警。 說明：數(shù)安的崗哨平臺上收集了所有的敏感數(shù)據(jù)的訪問控制信息，通過這些信息，崗哨平臺可以檢測到對重要計算節(jié)點的入侵行為。8.1.4.5 采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機(jī)制及時識別入侵和病毒行為，并將其有效阻斷。 說明：數(shù)安引擎通過定

9、義合法主體、敏感客體和相應(yīng)的操作規(guī)則，并嚴(yán)格實現(xiàn)所定義的只允許合法主體訪問被保護(hù)的敏感客體的規(guī)則，實現(xiàn)識別并免疫入侵或傷害行為，并且有效阻斷這些行為。和別的直接檢測病毒主體特征的惡意代碼防范方案不同，引擎不關(guān)心病毒主體本身的特征，而是專注在入侵傷害的病毒行為上，識別入侵和病毒行為，并且阻斷它的對敏感數(shù)據(jù)的傷害。8.1.4.5 惡意代碼防范數(shù)安崗哨平臺數(shù)安服務(wù)器版、數(shù)安網(wǎng)寶、數(shù)安文寶202022/7/238.1.4.7 數(shù)據(jù)完整性（郵件場景）通用安全計算環(huán)境數(shù)據(jù)完整性/數(shù)據(jù)保密性8.1.4.7.b 應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲中的完整性，包含但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計

10、數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。說明：安全郵件客戶端對所保護(hù)的重要數(shù)據(jù)，加上密碼學(xué)標(biāo)簽，實現(xiàn)對這些數(shù)據(jù)的完整性的監(jiān)視、審查和管控。8.1.4.8.b 采用密碼技術(shù)保證重要數(shù)據(jù)在存儲中的保密性，包含但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、和重要個人信息等。 說明：數(shù)安引擎在文件系統(tǒng)內(nèi)核層對所保護(hù)的重要數(shù)據(jù)進(jìn)行加解密處理，一次一密，這種加解密對應(yīng)用系統(tǒng)完全透明，完全不影響應(yīng)用系統(tǒng)邏輯，方便、安全。8.1.4.8 數(shù)據(jù)保密性數(shù)安紅鴿數(shù)安服務(wù)版、數(shù)安文寶212022/7/23密碼與密碼評測2019年3月，中華人民共和國密碼法審議通過，2020年1月1日起施行。2020年12月8日，國家密碼管

11、理局發(fā)布信息系統(tǒng)密碼應(yīng)用評測要求。商用密碼應(yīng)用安全性評估（簡稱“密評”）是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評估，包括規(guī)劃階段的方案評審和建設(shè)、運行階段的安全評估?？蓱?yīng)用于通信、金融、稅控、社保、能源等重要領(lǐng)域。222022/7/23密評相關(guān)政策法規(guī)231、中華人民共和國密碼法國家密碼管理部門負(fù)責(zé)管理全國的密碼工作。縣級以上地方各級密碼管理部門負(fù)責(zé)管理本行政區(qū)域的密碼工作。密碼管理部門和有關(guān)部門建立日常監(jiān)管和隨機(jī)抽查相結(jié)合的事中事后監(jiān)管制度。未按照要求使用密碼，或者未按照要求開展密碼應(yīng)用安全性評估的，由密碼管理部門責(zé)令改正，給予警告；拒

12、不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。2、國家政務(wù)信息化項目建設(shè)管理辦法各部門應(yīng)當(dāng)嚴(yán)格遵守有關(guān)法律法規(guī)規(guī)定，構(gòu)建全方位、多層次、一致性的防護(hù)體系，按要求采用密碼技術(shù)，并定期開展密碼應(yīng)用安全性評估，確保政務(wù)信息系統(tǒng)運行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。對于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運行維護(hù)經(jīng)費，項目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。3、商用密碼管理條例強(qiáng)化密碼應(yīng)用要求，突出對關(guān)鍵信息基礎(chǔ)設(shè)施及網(wǎng)絡(luò)安全等級保護(hù)第三級以上信息系統(tǒng)的密碼應(yīng)用監(jiān)管，并實施商用密碼應(yīng)用安全

13、性評估和安全審查制度。4、網(wǎng)絡(luò)安全等級保護(hù)評測要求明確將密碼測評結(jié)果列為等保測評通過的必要條件。5、信息安全等級保護(hù)商用密碼管理辦法實施意見第三級以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)建設(shè)方案應(yīng)當(dāng)通過密碼管理部門組織的評審后方可實施。第三級以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)，應(yīng)當(dāng)通過國家密碼管理部門指定測評機(jī)構(gòu)的密碼測評后方可投入運行。2022/7/23密測匹配度分析密碼應(yīng)用評測要求設(shè)備和計算安全6.3.3 系統(tǒng)資源訪問控制信息完整性6.3.6 重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性應(yīng)用和數(shù)據(jù)安全6.4.2 訪問控制信息完整性6.4.3 重要信息資源安全標(biāo)記完整性6.4.5 重要數(shù)據(jù)存儲機(jī)密性6.

14、4.7 重要數(shù)據(jù)存儲完整性密測匹配項通用評測要求密碼算法和密碼技術(shù)合規(guī)性242022/7/23密碼算法和密碼技術(shù)合規(guī)性信息系統(tǒng)中使用的密碼算法應(yīng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。說明：數(shù)安服務(wù)器版產(chǎn)品符合中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)GM/T 0028-2014 密碼模塊安全技術(shù)要求。數(shù)安服務(wù)器版產(chǎn)品符合中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)GM/T 0039-2015 密碼模塊安全檢測要求。通用評測要求252022/7/23設(shè)備和計算安全6.3.3 系統(tǒng)資源訪問控制信息完整性采用密碼技術(shù)保證系統(tǒng)資源訪問控制信息的完整性。6.3.6 重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性采用密碼技術(shù)對重要可執(zhí)行程序進(jìn)行完整性保護(hù)，并對其來源進(jìn)行真實性驗證。說明：由數(shù)安服務(wù)器版應(yīng)用于保護(hù)重要的系統(tǒng)資源文件以及重要的應(yīng)用程序，不接受未授權(quán)訪問，并且進(jìn)行完整性和真實性檢驗。密碼應(yīng)用評測要求（1）262022/7/23應(yīng)用和數(shù)據(jù)安全6.4.2 訪問控制信息完整性采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的訪問控制信息的完整性。6.4.3 重要信息資源安全標(biāo)記完整性采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息資源安全標(biāo)記的完整性。說明：數(shù)安服務(wù)器版應(yīng)用于保護(hù)重