版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
新等保解決方案產(chǎn)品銷售指導正式版V1.0產(chǎn)品與解決方案中心王亮張培蔚2等級保護通用要求三級等保方案介紹方案優(yōu)勢&價值典型案例可銷售產(chǎn)品清單等級保護有法可依違法必究第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改…第五十九條網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的,由有關(guān)主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。等保2.0擴展—安全通用要求+五個擴展分冊GB/T22239.1-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第1部分安全通用要求GB/T22239.2-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第2部分云計算安全擴展要求GB/T22239.3-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第3部分移動互聯(lián)安全擴展要求GB/T22239.4-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第4部分物聯(lián)網(wǎng)安全擴展要求GB/T22239.5-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第5部分工業(yè)控制安全擴展要求GB/T22239.6-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第6部分大數(shù)據(jù)安全擴展要求三級安全控制項1.0:290項技術(shù)136管理154技術(shù)要求應用和數(shù)據(jù)安全設(shè)備和計算安全網(wǎng)絡(luò)和通信安全物理和環(huán)境安全管理要求安全策略和管理制度安全管理機構(gòu)和人員安全建設(shè)管理安全運維管理等保三級安全的控制項技術(shù)要求數(shù)據(jù)安全及備份恢復應用安全主機安全網(wǎng)絡(luò)安全物理安全管理要求系統(tǒng)運維管理系統(tǒng)建設(shè)管理人員安全管理安全管理機構(gòu)安全管理制度三級安全控制項2.0:229項技術(shù)116管理113等保2.0控制域控制項變化示例7等級保護通用要求三級等保方案介紹方案優(yōu)勢&價值典型案例可銷售產(chǎn)品清單安全運維安全產(chǎn)品與等保要求對應情況網(wǎng)絡(luò)技術(shù)要求物理安全網(wǎng)絡(luò)與通信安全設(shè)備和計算安全應用和數(shù)據(jù)安全機構(gòu)人員數(shù)據(jù)應用操作系統(tǒng)虛擬化NGFWAntiDDoS虛擬化安全天擎NACWAF網(wǎng)頁防篡改鷹眼VPNDB審計等保咨詢物理環(huán)境CCTV門禁漏掃管理要求機構(gòu)人員建設(shè)管理等保集成滲透測試建設(shè)管理SNINGSOC安全運維堡壘機等級保護安全架構(gòu)策略制度等保咨詢策略制度360ID應急響應駐場保障DLP安全培訓ICGIPS天眼防病毒墻防火防水電力保障機房抗震日志審計LAS電磁防護基礎(chǔ)環(huán)境評估注:物理安全由等保防護對象或電信基礎(chǔ)設(shè)施運營商提供網(wǎng)閘天巡漏掃代碼衛(wèi)士SMAC等保二級要求等保三級增加要求CA應用改造郵件網(wǎng)關(guān)容災備份等保二級要求等保三級增加要求第三方設(shè)備:360自有設(shè)備:等級保護生命周期安全服務(wù)(等保2.0)定級備案安全設(shè)計實施安全運行維護應急響應保障總體安全規(guī)劃等保咨詢服務(wù)安全規(guī)劃設(shè)計服務(wù)等保集成服務(wù)安全運維服務(wù)系統(tǒng)調(diào)查系統(tǒng)定級定級報告專家評審協(xié)助備案安全需求分析安全策略設(shè)計解決方案設(shè)計安全建設(shè)規(guī)劃詳細設(shè)計技術(shù)實現(xiàn)管理實現(xiàn)安全培訓運行管理服務(wù)商管控等級測評檢測改進基礎(chǔ)環(huán)境評估服務(wù)現(xiàn)場評估報告編制應急預案監(jiān)測響應評估改進應急保障安全應急服務(wù)行業(yè)/領(lǐng)域主管部門屬地公安機關(guān)有等保建設(shè)資質(zhì)的廠商,設(shè)計院等有等保建設(shè)資質(zhì)的廠商等保用戶專業(yè)安全廠商等保用戶專業(yè)安全廠商10等級保護通用要求三級等保方案介紹方案優(yōu)勢&價值典型案例可銷售產(chǎn)品清單1安全風險評估3安全運維2等保咨詢4應急響應5安全架構(gòu)設(shè)計安全集成一站式新等保三級解決方案優(yōu)勢1--產(chǎn)品覆蓋最全優(yōu)勢2--公司資質(zhì)最全序號資質(zhì)名稱網(wǎng)神啟明星辰綠盟科技天融信深信服華為東軟藍盾北信源亞信安恒阿里云認定認可類1計算機信息系統(tǒng)集成企業(yè)資質(zhì)(大型一級為最高級)二級二級二級二級×一級一級一級××二級×2商用密碼產(chǎn)品銷售許可證√√√√√√√×√×××3商用密碼產(chǎn)品生產(chǎn)定點單位證書√√√√××××√×××4納稅信用A級企業(yè)√√√√√√√√√√√√5ISO9001:2008質(zhì)量管理體系(包含網(wǎng)神科技)√√√√√√√√√×√×6ISO20000:2011信息技術(shù)服務(wù)管理體系√××√×√√√×√×√7ISO27001:2005信息安全管理體系√√√√×√√√×√√√8ISO14000環(huán)境管理體系認證√√×√×√√××√√×9ISO18000職業(yè)健康安全管理體系√××××√√×××××10TL9000電訊業(yè)質(zhì)量管理體系認證×××√×√××××××安全服務(wù)類1信息安全等級保護建設(shè)服務(wù)機構(gòu)能力評估合格證書√√√×××××√×√√2ISCCC信息安全服務(wù)資質(zhì)-應急處理服務(wù)一級一級一級一級×一級一級一級××一級×3ISCCC信息安全服務(wù)資質(zhì)-風險評估服務(wù)一級一級一級一級×一級一級一級××一級×4ISCCC信息安全服務(wù)資質(zhì)-信息系統(tǒng)安全集成服務(wù)一級一級一級一級×一級一級一級×一級××5國測信息安全服務(wù)資質(zhì)-安全開發(fā)類一級一級一級一級××一級×一級一級一級×6國測信息安全服務(wù)資質(zhì)-安全工程類二級二級二級二級×二級二級××一級二級×7CISP授權(quán)服務(wù)機構(gòu)√√×√××√×××√×8通信網(wǎng)絡(luò)安全服務(wù)能力評定證書
安全設(shè)計與集成(三級為最高級)二級一級二級二級×××一級×一級××9通信網(wǎng)絡(luò)安全服務(wù)能力評定證書
風險評估(三級為最高級)二級二級二級二級×××一級×一級一級×10通信網(wǎng)絡(luò)安全服務(wù)能力評定證書
應急響應(三級為最高級)一級一級一級一級××××××××11通信網(wǎng)絡(luò)安全服務(wù)能力評定證書
安全培訓(三級為最高級)一級一級一級一級××××××××服務(wù)支撐類1CNCERT/CC網(wǎng)絡(luò)安全應急服務(wù)支撐單位國家級國家級國家級國家級國家級省級國家級省級××國家級省級2CNCERT網(wǎng)絡(luò)安全信息通報單位√√√√×√×××√××優(yōu)勢3--威脅情報及大數(shù)據(jù)分析能力最強方案價值--“不止合規(guī)”等保2.0預警研判應急處置協(xié)同防御自動化的閉環(huán)協(xié)同處置“終端-網(wǎng)關(guān)-云端”聯(lián)動的動態(tài)縱深防御體系技術(shù)支援和決策建議幫助建設(shè)事件的應急處置能力。提供安全人才的實訓培養(yǎng)可視化技術(shù)--網(wǎng)絡(luò)整體安全態(tài)勢監(jiān)測及相關(guān)威脅的預警,提升組織安全管理效率。高質(zhì)量的威脅情報支撐,描繪攻擊者畫像,了解相關(guān)攻擊歷史15等級保護通用要求三級等保方案介紹方案優(yōu)勢&價值典型案例可銷售產(chǎn)品清單農(nóng)業(yè)部(金農(nóng)工程一期安全集成與服務(wù)項目):
開展定級、調(diào)研、設(shè)計、技術(shù)實施、管理實施、評估加固、測評、產(chǎn)品采購、運維等全過程。最終測評三級系統(tǒng)85分,二級系統(tǒng)95分。水利部(水利信息安全等級保護集成與服務(wù)項目):
開展定級、調(diào)研、設(shè)計、技術(shù)實施、管理實施、評估加固、測評、產(chǎn)品采購、運維等全過程。最終測評三級系統(tǒng)88分,二級系統(tǒng)97分。教育部(小金教等級保護咨詢服務(wù)項目):
495萬,等級保護咨詢項目,包含信息系統(tǒng)安全建設(shè)全生命周期。安監(jiān)總局國土等……承建了多個部委的等級保護建設(shè)項目的咨詢、集成與產(chǎn)品集成實施工作。承建了諸如金盾、金安、金農(nóng)、金水、金信、金質(zhì)、金土、金審等重大項目。部分案例17等級保護通用要求三級等保方案介紹方案優(yōu)勢&價值典型案例可銷售產(chǎn)品清單可銷售產(chǎn)品清單-23款產(chǎn)品產(chǎn)品名稱產(chǎn)品描述產(chǎn)品形態(tài)滿足的等??刂朴驍?shù)據(jù)庫審計網(wǎng)絡(luò)數(shù)據(jù)捕獲能力、數(shù)據(jù)庫協(xié)議解析、事件關(guān)聯(lián)分析為基礎(chǔ),可以精準識別數(shù)據(jù)庫操作硬件應用和數(shù)據(jù)安全DLP保護數(shù)據(jù)防竊密軟件應用和數(shù)據(jù)安全WAF+防篡改對網(wǎng)站服務(wù)器提供安全防護,作為針對網(wǎng)站服務(wù)器的各類訪問請求進行檢測和驗證。確保其安全性和合法性,對非法的請求予以實時阻斷,防止網(wǎng)頁被篡改,從而對各類網(wǎng)站站點進行有效防護。硬件應用和數(shù)據(jù)安全鷹眼通過鏡像流量的方式識別web資產(chǎn)、發(fā)現(xiàn)web漏洞硬件應用和數(shù)據(jù)安全天擎集防病毒與終端安全管控于一體的終端安全解決方案,提供終端資產(chǎn)管理、漏洞補丁管理、安全運維管控、網(wǎng)絡(luò)安全準入、移動存儲管理、終端安全審計、XP盾甲防護諸多功能軟件設(shè)備和計算安全NAC為企業(yè)終端提供安全合規(guī)準入規(guī)范及手段硬件設(shè)備和計算安全漏洞掃描由系統(tǒng)掃描、Web掃描、弱口令破解、配置指標檢查于一體化的專業(yè)安全產(chǎn)品硬件設(shè)備和計算安全+網(wǎng)絡(luò)和通信安全360ID一次性口令系統(tǒng)軟件/硬件設(shè)備和計算安全+網(wǎng)絡(luò)和通信安全NGFW為各行業(yè)網(wǎng)絡(luò)出口打造的“云+端+邊界+聯(lián)動”下一代安全防御體系硬件網(wǎng)絡(luò)和通信安全Anti-DDoS能夠解決流量型DDOS以及連接型DDOS攻擊造成的網(wǎng)絡(luò)癱瘓,服務(wù)無法正常運行的問題,是集攻擊檢測、攻擊防御、網(wǎng)絡(luò)監(jiān)控及管理于一體的安全產(chǎn)品硬件網(wǎng)絡(luò)和通信安全行為管理為企業(yè)提供法律遵從、企業(yè)合規(guī)、工作效率提升、互聯(lián)網(wǎng)防泄密等價值硬件網(wǎng)絡(luò)和通信安全IDS檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警。硬件網(wǎng)絡(luò)和通信安全IPS將深度內(nèi)容檢測、安全防護、應用識別管理等技術(shù)完美地結(jié)合在一起,配合定期更新的入侵攻擊特征庫,可檢測包括探測與掃描、溢出攻擊、DDOS攻擊、SQL注入、可疑代碼、蠕蟲、木馬、間諜軟件等各種網(wǎng)絡(luò)威脅并進行細粒度的處置。硬件網(wǎng)絡(luò)和通信安全天眼利用大數(shù)據(jù)分析技術(shù),提升用戶“精準發(fā)現(xiàn)”其網(wǎng)絡(luò)中威脅的能力,需捆綁安服銷售硬件網(wǎng)絡(luò)和通信安全防病毒墻NGFW加AVLicense提供防病毒墻功能硬件網(wǎng)絡(luò)和通信安全網(wǎng)閘位于不同安全級別的網(wǎng)絡(luò)之間或者不同的安全域之間,采用專用的2+1架構(gòu)實現(xiàn)安全隔離,通過協(xié)議轉(zhuǎn)換、信息擺渡的方式實現(xiàn)高效安全的數(shù)據(jù)交換硬件網(wǎng)絡(luò)和通信安全IDS檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警。硬件網(wǎng)絡(luò)和通信安全IPS將深度內(nèi)容檢測、安全防護、應用識別管理等技術(shù)完美地結(jié)合在一起,配合定期更新的入侵攻擊特征庫升級硬件網(wǎng)絡(luò)和通信安全SMAC防火墻集中配置,策略管理中心
代碼衛(wèi)士源代碼安全缺陷檢測、合規(guī)檢測、溯源檢測三大檢測功能,并可實現(xiàn)軟件安全開發(fā)生命周期管理硬件安全建設(shè)管理堡壘機基于軟硬件一體化設(shè)計,集賬號、認證、授權(quán)、審計為一體的設(shè)計理念,實現(xiàn)對事企業(yè)IT中心的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備、主機系統(tǒng)、中間件等資源統(tǒng)一運維管理和審計硬件安全運維日志審計系統(tǒng)滿足各個行業(yè)及單位對合規(guī)性要求的日志審計軟件/硬件安全運維SNI/NGSOC實現(xiàn)威脅發(fā)現(xiàn)、持續(xù)性內(nèi)外部態(tài)勢感知、分析溯源、聯(lián)動處置和安全運維,有效提升管理能力硬件安全運維可銷售服務(wù)清單-7款服務(wù)產(chǎn)品名稱產(chǎn)品描述產(chǎn)品形態(tài)滿足的等??刂朴虻燃壉Wo咨詢1、定級咨詢;2、差距評估;3、方案設(shè)計;4、協(xié)助測評服務(wù)一次性安全管理機構(gòu)和人員安全策略和管理制度等級保護建設(shè)集成(行業(yè)五群CSI
周華濤)1、安全技術(shù)體系設(shè)計;2、安全管理體系設(shè)計;3、安全產(chǎn)品集成實施;4、風險評估;5、安全加固服務(wù)一次性安全建設(shè)管理滲透測試360CERT滲透測試工具采用高速滲透式掃描引擎配合漏洞驗證手段??梢钥焖賹Υ笈烤W(wǎng)站進行工具滲透并對結(jié)果進行驗證。100%無誤報,所有漏洞均提供截圖驗證。服務(wù)一次性安全策略和管理制度安全運維管理基礎(chǔ)環(huán)境評估1,漏洞掃描2,對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)邊界進行配置核查一次性,人工服務(wù)安全建設(shè)管理應急響應在用戶發(fā)生確切的安全事件時,應急響應實施人員及時采取行動限制事件擴散和影響的范圍,限制潛在的損失與破壞服務(wù)一次性安全運維管理駐場安全保障服務(wù)安全策略優(yōu)化,定期風險評估,安全監(jiān)控服務(wù)年付安全運維管理機構(gòu)和人員管理業(yè)務(wù)安全技能培訓培訓內(nèi)容從攻擊者、防御者、管理者等多角度對企業(yè)安全進行深入淺出的解一次學員不超過10人安全管理機構(gòu)和人員THANKS解決方案負責人產(chǎn)品與解決方案中心王亮
wangliang01@周永剛
zhouyonggang@張培蔚zhangpeiwei@附錄一安全要求和屬性標識技術(shù)/管理分類安全控制點屬性標識安全技術(shù)要求物理和環(huán)境安全物理位置選擇G物理訪問控制G防盜竊和防破壞G防雷擊G防火G防水和防潮G防靜電G溫濕度控制G電力供應A電磁防護S網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)G通信傳輸G邊界防護G訪問控制G入侵防范G惡意代碼防范G安全審計G集中管控G安全技術(shù)要求設(shè)備和計算安全身份鑒別S訪問控制S安全審計G入侵防范G惡意代碼防范G資源控制A應用和數(shù)據(jù)安全身份鑒別S訪問控制S安全審計G軟件容錯A資源控制A數(shù)據(jù)完整性S數(shù)據(jù)保密性S數(shù)據(jù)備份恢復A剩余信息保護S個人信息保護S安全管理要求安全策略和管理制度安全策略G管理制度G制定和發(fā)布G評審和修訂G安全管理機構(gòu)和人員崗位設(shè)置G人員配備G授權(quán)和審批G溝通和合作G審核和檢查G人員錄用G人員離崗G安全意識教育和培訓G外部人員訪問管理G安全管理要求安全建設(shè)管理定級和備案G安全方案設(shè)計G產(chǎn)品采購和使用G自行軟件開發(fā)G外包軟件開發(fā)G工程實施G測試驗收G系統(tǒng)交付G等級測評G服務(wù)供應商管理G安全管理要求安全運維管理環(huán)境管理G資產(chǎn)管理G介質(zhì)管理G設(shè)備維護管理G漏洞和風險管理G網(wǎng)絡(luò)與系統(tǒng)安全管理G惡意代碼防范管理G配置管理G密碼管理G變更管理G備份與恢復管理G安全事件處置G應急預案管理G外包運維管理G網(wǎng)絡(luò)和通信安全安全要求分類安全要求細則主要應對產(chǎn)品及功能網(wǎng)絡(luò)架構(gòu)a)
應保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要;1、防火墻、網(wǎng)閘隔離安全域2、防火墻、網(wǎng)閘、行為管理、WAF、抗DDOS和堡壘機具備HA功能b)
應保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要;c)
應劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址;d)
應避免將重要網(wǎng)絡(luò)區(qū)域部署在網(wǎng)絡(luò)邊界處且沒有邊界防護措施;e)
應提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余,保證系統(tǒng)的可用性。通信傳輸a)
應采用校驗碼技術(shù)或加解密技術(shù)保證通信過程中數(shù)據(jù)的完整性;防火墻和網(wǎng)閘均可滿足b)
應采用加解密技術(shù)保證通信過程中敏感信息字段或整個報文的保密性。邊界防護a)
應保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護設(shè)備提供的受控接口進行通信;防火墻和網(wǎng)閘提供訪問控制和身份認證b)
應能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行限制或檢查;c)
應能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行限制或檢查;行為管理具備防私接能力d)
應限制無線網(wǎng)絡(luò)的使用,確保無線網(wǎng)絡(luò)通過受控的邊界防護設(shè)備接入內(nèi)部網(wǎng)絡(luò)。天巡網(wǎng)絡(luò)和通信安全安全要求分類安全要求細則主要應對產(chǎn)品及功能訪問控制a)
應在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,默認情況下除允許通信外受控接口拒絕所有通信;防火墻、網(wǎng)閘b)
應刪除多余或無效的訪問控制規(guī)則,優(yōu)化訪問控制列表,并保證訪問控制規(guī)則數(shù)量最小化;c)
應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查,以允許/拒絕數(shù)據(jù)包進出;d)
應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級;e)
應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對內(nèi)容的訪問控制。入侵防范a)
應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為;1、防火墻和IPS的入侵防御2、天眼的威脅檢測b)
應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;c)
應采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析;d)
當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警。惡意代碼防范a)
應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除,并維護惡意代碼防護機制的升級和更新;防火墻和網(wǎng)閘的病毒防護功能b)
應在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。網(wǎng)絡(luò)和通信安全安全要求分類安全要求細則主要應對產(chǎn)品及功能安全審計a)
應在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;1、防火墻、網(wǎng)閘、行為管理、抗DDOS、WAF等產(chǎn)品2、數(shù)據(jù)庫審計系統(tǒng)、堡壘機、SNI、LAS等產(chǎn)品b)
審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;c)
應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;d)
審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生,以確保審計分析的正確性;e)
應能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。集中管控a)
應劃分出特定的管理區(qū)域,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控;1、防火墻通過SMAC做集中管控2、網(wǎng)閘可集中監(jiān)控3、SNI支持ssh網(wǎng)絡(luò)管理防火墻和網(wǎng)閘的病毒防護功能b)
應能夠建立一條安全的信息傳輸路徑,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理;c)
應對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測;d)
應對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析;e)
應對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理;f)
應能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。設(shè)備和計算安全安全要求分類安全要求細則主要應對產(chǎn)品及功能身份鑒別a)
應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;防火墻、網(wǎng)閘、行為管理、數(shù)據(jù)庫審計系統(tǒng)、堡壘機和天擎、360IDb)
應具有登錄失敗處理功能,應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施;c)
當進行遠程管理時,應采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;d)
應采用兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別。訪問控制a)
應對登錄的用戶分配賬號和權(quán)限;1、防火墻、網(wǎng)閘、數(shù)據(jù)庫審計系統(tǒng)、堡壘機和天擎的功能完整2、行為管理、WAF、抗DDOS和漏掃支持用戶權(quán)限管理和三權(quán)分立b)
應重命名默認賬號或修改默認口令;c)
應及時刪除或停用多余的、過期的賬號,避免共享賬號的存在;d)
應授予管理用戶所需的最小權(quán)限,實現(xiàn)管理用戶的權(quán)限分離;e)
應由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則;f)
訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表級;g)
應對敏感信息資源設(shè)置安全標記,并控制主體對有安全標記信息資源的訪問。安全要求分類安全要求細則主要應對產(chǎn)品及功能安全審計a)
應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;數(shù)據(jù)庫審計、堡壘機、天擎、行為管理、LAS和SNIb)
審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;c)
應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;d)
應對審計進程進行保護,防止未經(jīng)授權(quán)的中斷;e)審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生,以確保審計分析的正確性入侵防范a)
應遵循最小安裝的原則,僅安裝需要的組件和應用程序。1、天擎的準入、綁定、漏洞管理等功能滿足2、WAF和抗DDOS可以抵御對應的WEB攻擊和DDOS攻擊b)
應關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口;c)
應通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制;d)
應能發(fā)現(xiàn)可能存在的漏洞,并在經(jīng)過充分測試評估后,及時修補漏洞;e)
應能夠檢測到對重要節(jié)點進行入侵的行為,并在發(fā)生嚴重入侵事件時提供報警。惡意代碼防范應采用免受惡意代碼攻擊的技術(shù)措施或采用可信計算技術(shù)建立從系統(tǒng)到應用的信任鏈,實現(xiàn)系統(tǒng)運行過程中重要程序或文件完整性檢測,并在檢測到破壞后進行恢復。天擎的殺毒功能設(shè)備和計算安全安全要求分類安全要求細則主要應對產(chǎn)品及功能資源控制a)
應限制單個用戶或進程對系統(tǒng)資源的最大使用限度;行為管理、抗DDOS、WAF、堡壘機和天擎b)
應提供重要節(jié)點設(shè)備的硬件冗余,保證系統(tǒng)的可用性;c)
應對重要節(jié)點進行監(jiān)視,包括監(jiān)視CPU、硬盤、內(nèi)存等資源的使用情況;d)
應能夠?qū)χ匾?jié)點的服務(wù)水平降低到預先規(guī)定的最小值進行檢測和報警。設(shè)備和計算安全應用和數(shù)據(jù)安全安全要求分類安全要求細則主要應對產(chǎn)品及功能身份鑒別a)
應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,鑒別信息具有復雜度要求并定期更換;數(shù)據(jù)庫審計和堡壘機的用戶管理及認證管理功能b)
應提供并啟用登錄失敗處理功能,多次登錄失敗后應采取必要的保護措施;c)
應強制用戶首次登錄時修改初始口令;d)
用戶身份鑒別信息丟失或失效時,應采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)安全;訪問控制a)
應提供訪問控制功能,對登錄的用戶分配賬號和權(quán)限;網(wǎng)閘、數(shù)據(jù)庫審計和堡壘機b)
應重命名默認賬號或修改這些賬號的默認口令;c)
應及時刪除或停用多余的、過期的賬號,避免共享賬號的存在;d)
應授予不同賬號為完成各自承擔任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系;e)
應由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則;f)
訪問控制的粒度應達到主體為用戶級,客體為文件、數(shù)據(jù)庫表級、記錄或字段級;g)
應對敏感信息資源設(shè)置安全標記,并控制主體對有安全標記信息資源的訪問。應用和數(shù)據(jù)安全安全要求分類安全要求細則主要應對產(chǎn)品及功能安全審計a)
應提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;數(shù)據(jù)庫審計、堡壘機、網(wǎng)閘、LAS和SNIb)
審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息;c)
應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;d)
應對審計進程進行保護,防止未經(jīng)授權(quán)的中斷;e)
審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生,以確保審計分析的正確性。軟件容錯a)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《市場化服務(wù)型政府》課件
- 養(yǎng)老院老人生活設(shè)施改造升級制度
- 養(yǎng)老院老人保健知識普及制度
- 中國傳統(tǒng)文化-節(jié)日習俗課件(春節(jié)、端午節(jié)、中秋節(jié)、清明節(jié)、元宵節(jié)等)
- 《科學技術(shù)哲學緒論》課件
- 旅店手續(xù)轉(zhuǎn)借他人協(xié)議書(2篇)
- 2024年生物制藥研發(fā)與技術(shù)轉(zhuǎn)讓合同
- 2025年北海貨車上崗證理論模擬考試題庫
- 2024年午托班學員心理健康輔導合同3篇
- 2025年漢中道路運輸貨運考試題庫
- 華西口腔修復學教學大綱
- 插畫設(shè)計智慧樹知到答案章節(jié)測試2023年江西制造職業(yè)技術(shù)學院
- 應用國學:修身 立人 濟世 成物智慧樹知到答案章節(jié)測試2023年四川大學
- 物業(yè)客服年終總結(jié)動態(tài)PPT模板
- 預防接種門診的設(shè)置
- 雷頓三坐標操作手冊
- LY/T 1143-2006飾面用浸漬膠膜紙
- GB/T 30041-2013頭部防護安全帽選用規(guī)范
- 醫(yī)療器械質(zhì)量管理體系文件全套
- 2023年終物業(yè)保安工作總結(jié)
- 《城市規(guī)劃設(shè)計計費指導意見》2017修訂稿
評論
0/150
提交評論