详解等保三级7大关键点
2019年,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,并于2019年12月1日开始实施,我国正式迈入等保2.0时代。
今天以等保三级为标准,介绍下认证等保三级不可不知的一些基本要求。
等保三级有多严格?
等保三级是国家对非银行机构的最高级认证,是安全标记保护级,属“监管级别”,由国家信息安全监管部门进行监督、检查,认证。
测评内容涵盖了5个等级保护安全技术要求和5个安全管理要求,具体包含信息保护、安全审计、通信保密等近300项要求,涉及73类测评分类,要求十分严格。
等保2.0时代,国家对于等级保护要求更为严格。对于有些行业来说,比如教育行业,没有拿到等级保护认证,其企业的网站、APP等都无法正常运行,因为教育行业的APP备案就需要企业先提交等保备案证明,没有证明不能备案。
等保三级之七大大关键点
01身份验证
身份验证需保证所有网络设备、安全设备、重要服务器、数据库服务器、应用业务系统等这些关键设备和业务系统不存在弱口令、空口令账户登录情况。
在确保无弱口令和空口令的前提下,所有重要设备都需采用双因子认证方式登录,尤其是针对核心业务应用系统,不能只采用基本的用户名/口令。比较常用的做法是采用令牌、智能卡、生物指纹、虹膜识别、人脸识别等高阶认证技术。
对于远程管理维护的操作,建议通过堡垒机、统一身份认证系统实现对登录用户的身份鉴别,并实现定期改密,同时使用SSLVPN建立加密隧道,防止数据在远程传输时被窃听。
02访问控制
当应用系统访问控制功能存在缺失,无法按照设计策略控制用户对系统功能、数据的访问,以及系统访问策略存在缺陷,导致可越权访问系统功能模块或查看其它用户数据,则系统被判定为高风险。
针对此类问题,建议将承载关键业务系统的服务器进行单独区域划分,部署第二代防火墙类设备进行边界隔离,深层次过滤访问行为。同时需有明确的管理制度不允许本地操作,或者对本地的操作进行访问控制。
针对远程操作进行访问控制策略控制,部署堡垒机对用户行为进行访问控制。对于非业务系统的网络设备、主机设备、服务器设备等只需要进行默认账户删除、修改默认口令、无法通过默认账户以及默认口令登录就可以满足最基本的要求。
03安全审计
当应用系统(包括前端系统和后台管理系统)无任何日记审计功能,无法对用户的重要行为进行审计,也无法对时间进行溯源,则可判定为高风险。
针对这种情况,建议在网络边界、重要网络节点进行安全审计,审计应覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
可使用防火墙进行网络攻击行为检测分析和记录行为,使用数据库设计对数据库访问行为进行审计。
通常使用第三方日志审计系统,除进行常规的日志记录收集外,对日志进行关联分析,筛查可能存在的安全风险。
04入侵防范
应遵循最小安装原则,仅安装需要的组件和应用程序,关闭不需要的系统服务、默认共享和高危端口。
通过设定终端接入方式或网络地址范围对通过网络进行管理的终端进行限制。提供数据有效性检验功能,保证人机接口输入或通过通信接口输入的内容符合系统设定要求。
对于一些互联网直接能够访问到的设备及系统,须尽快修补已在公开渠道披露的重大漏洞。尤其是业务应用系统,现阶段针对应用系统的SQL注入、跨站脚本等均为高风险漏洞,都会对业务应用系统正常运行造成严重后果。
05恶意防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并及时有效阻断。如果是相对封闭的网络,如工业控制系统,需安装白名单类软件进行恶意代码防范。
06数据完整性
应采用校验技术或密码技术保证重要数据在传输过程和存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
同时需对所有应用业务系统产生的重要数据都要在本地进行备份,对于一些特殊的领域,如金融、交通等需要进行异地备份,原则上同城异地机房直接距离不低于为30公里,跨省市异地机房直线距离不低于100公里。
07 数据的保密性
应采用密码技术保证重要数据在传输过程和存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。可通过VPN建立加密隧道,保证数据传输的保密性。
等级保护的意义
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。网络安全等级保护制度的制定与完善,意义重大,是中国网络安全的基石,也是维护国家安全、社会秩序和公共利益的根本保障。
“没有网络安全就没有国家安全”不止是一个理念,更是国家、企业、组织落实网安标准的基本原则。目前已经下发行业等保要求文件的有:金融、电力、广电、医疗、教育等行业等。
满足等级保护建设的要求也并不是一味的累加产品,更多的是对网络、业务系统的梳理,只有符合企业网络特点、业务特点的方案设计才是合适的等级保护解决方案。
中科三方于2017年就已通过公安部的等保三级测评认证,作为深耕行业20年的老牌互联网基建服务商,三方在等保认证和网络安全方面拥有丰富的实战经验,多次在“两会“、“一带一路峰会“等国家重大会议承担重保工作。
详解等保三级7大关键点相关推荐
- 前瞻: 拥抱量子计算时代!详解2020年全球十大杰出量子计算公司
拥抱量子计算时代!详解2020年全球十大杰出量子计算公司 https://blog.csdn.net/Qtumist/article/details/105462463 分类专栏: 新闻资讯 文章标签 ...
- 大数据WEB阶段(十三)JSP(一)JSP基础、JSP指令详解、四大域九大隐式对象总结
JSP基础.指令.四大作用域九大隐式对象总结 (一)JSP基础 一.JSP概述 jsp其实是java动态页面技术 HTML可以用来组织页面但是HTML是一种静态web资源技术无法嵌入动态数据. Ser ...
- python金融大数据挖掘与分析全流程详解_(特价书)Python金融大数据挖掘与分析全流程详解...
前言 如何获取学习资源 第1章 Python基础 1.1 Python安装与第一个Python程序12 1.1.1 安装Python12 1.1.2 编写第一个Python程序13 1.1.3 PyC ...
- 角逐开源云计算下一站 详解EasyStack的“三级火箭”论
开源云大势,产品化突围,生态杠杆.有了这三级火箭,EasyStack的发展路径更加清晰了. 发布中文品牌名"易捷行云",宣布完成3亿元C+轮融资,推出创新的云就绪超融合新品ECS ...
- 一文详解自动驾驶数据闭环 | 大数据管理!
编辑 | 无人驾驶俱乐部 点击下方卡片,关注"自动驾驶之心"公众号 ADAS巨卷干货,即可获取 点击进入→自动驾驶之心[全栈算法]技术交流群 数据闭环涉及较多领域,本期主题则是五大 ...
- 10分钟详解:算法面试5大必考排序方式
来源:IT技术思维原创,转载请注明原出处 内容提供:苏勇, Google 资深软件工程师 算法学习其实是一种学习和提高思维能力的过程.无论是在面试还是实际的工作和生活中,都会碰见一些从没遇到过的问题 ...
- 大数据学习路线详解,零基础学大数据学习路线
在大数据蓬勃发展的现今,大家都看到了大数据未来不可限量的发展前景,跟着科技发展的潮流,不断学习新的技术知识,科多大数据相信,成为人生赢家不在话下. 大数据的三个发展方向,平台搭建/优化/运维/监控.大 ...
- 一文详解私募基金投资策略(8大类17小类)
私募策略架构图 股票策略 股票策略是以投资股票类资产为主要收益来源,其投资标的为沪深上市公司股票,以及和股票相关的金融衍生工具(股指期货.ETF期权等).股票策略是目前国内阳光私募行业最主流的投资策略 ...
- 一文详解微服务架构 神秘大咖为你讲解。
要理解微服务,首先要先理解不是微服务的那些.通常跟微服务相对的是单体应用,即将所有功能都打包成在一个独立单元的应用程序.从单体应用到微服务并不是一蹴而就的,这是一个逐渐演变的过程.本文将以一个网上超市 ...
最新文章
- pandas 读写 excel 数据
- STM32F030控制LED
- Spring IOC实现原理
- SAP Cloud Platform和S/4HANA的互联
- k8s的认证和service account简述
- ubuntu 12.04 LTS安装zimbra
- RTX5 | 消息队列03 - 获取消息队列里消息的数量,并一次性提取出来
- 课堂对Complex类运算符重载的小练习
- java 利用同步工具类控制线程
- 手机音频拼接软件_5款适合新手的手机音频剪辑APP
- win10桌面mac化保姆级教程[干货] 小白也能拥有的简(酷)约(炫)实用桌面
- Remote Desktop Connection Manager2.7 安装+基本使用
- Kindle PaperWhite 3 5.8.10越狱成功!
- 计算机网易云不能一键升级音质,网易云电脑版怎么调音效(一览网易云音效最佳调节技巧)...
- Windows下调试工具Windbg入门
- CKA 报考指南与准备事项
- 《秘密》之你的秘密和生命的秘密
- WiFi遥控小车(四):简单直流电机驱动及UDP通信程序
- (轉貼) 完全用Linux工作,摈弃Windows (OS) (Linux)
- 《数字图像处理》自学笔记(一)