等保合规 蛙云依托自身安全能力与安全合规生态,为客户提供一站式的安全解决方案,帮助客户快速、低成本完成安全整改,轻松满足等保合规要求。 立即咨询

《网络安全等级保护基本要求》重点解读

  • 物理和环境安全
  • 网络和通信安全
  • 设备和计算安全
  • 应用和数据安全
  • 安全策略管理
  • 物理和环境安全
    • 物理位置选择 机房场地应选择在具有防震、防风和防雨等能力的建筑内
    • 物理访问控制 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
    • 物理和环境安全 应确保云计算基础设施位于中国境内
    • 防盗窃和防破坏 应设置机房防盗报警系统或设置有专人值守的视频监控系统
    • 电力供应 应设置冗余或并行的电力电缆线路为计算机系统供电
    • 建设策略 互盟基础设施位于中国境内 物理和环境安全,直接复用互盟等保测评结论即可
  • 网络和通信安全
    • 网络架构 根据云租户业务需求自主设置安全策略集,包括定义访问路径、选择安全组件、配置安全策略
    • 访问控制 在不同等级的网络区域边界部署访问控制机制,设置访问控制规则
    • 通信传输 应采用校验码技术或加解密技术保证通信过程中数据的完整性
    • 边界防护 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信
    • 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
    • 安全审计 根据云服务方和云租户的职责划分,收集各自控制部分的审计数据
    • 建设策略 推荐安全组、vNGFW通过设置基本的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问 推荐VPN、安全证书服务,采取加密措施,防止数据在传输过程中遇到破坏、窃取等各种攻击 推荐Anti-DDoS,云WAF服务,针对日渐增多的DDoS、Web攻击进行防御,精准有效地实现对流量型攻击和应用层攻击的全面防护 推荐vNGFW、云审计服务,在安全区域边界建立必要的审计机制,对进出边界的各类网络行为进行审计,可以和主机审计、应用审计以及网络审计形成多层次的审计系统
  • 设备和计算安全
    • 身份鉴别 当进行远程管理时,管理终端和云计算平台边界设备之间建立双向身份验证机制
    • 访问控制 提供云计算平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限
    • 安全审计 根据云服务方和云租户的职责划分,收集各自控制部分的审计数据并实现集中审计
    • 入侵防范 虚拟机之间的资源隔离失效,并进行告警
    • 恶意代码防范 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警
    • 建设策略 推荐堡垒机、数据库安全服务对服务器和数据库的运维及操作行为进行审计 管理员使用各自的账户进行管理,管理员的权限仅分配其所需的最小权限,在制定好的访问控制策略下进行操作,杜绝越权非法操作 推荐主机安全服务,防止各类具有针对性的入侵威胁,发现常见操作系统存在的各种安全漏洞,及时更新恶意代码库
  • 应用和数据安全
    • 身份鉴别 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换
    • 访问控制 应授予不同账号为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系
    • 安全审计 根据云服务方和云租户的职责划分,收集各自控制部分的审计数据并实现集中审计
    • 数据完整性 应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性
    • 数据备份恢复 云租户应在本地保存其业务数据的备份
    • 建设策略 云租户业务系统应自行实现身份鉴别、访问控制、安全审计功能,为相关安全事件提供审计 推荐安全证书服务实现HTTPS,采取加密措施,确保数据在传输过程中处于加密状态 推荐云硬盘备份服务,实现数据冗余备份机制
  • 安全策略管理
    • 安全策略和管理制度 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系
    • 安全管理机构和人员 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权
    • 安全建设管理 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件
    • 安全运维管理 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补 应设置冗余或并行的电力电缆线路为计算机系统供电
    • 建设策略 企业应制定完善的安全管理制度,根据基本要求设置安全管理机构,梳理管理文件,明确组织人员的岗位职责,定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等 推荐漏洞扫描服务、安全体检服务,检测租户站点的漏洞,提前防范黑客利用漏洞进行攻击,防止利益损失和数据泄露

实施流程

第一阶段 系统定级 信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;三级以上系统,定级结论需要进行专家评审。
第二阶段 系统备案 信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》和定级报告;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。
第三阶段 建设整改 依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度。
第四阶段 等级测评 运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第五阶段 监督检查 公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。

服务优势

name