國(guó)家法律法规及行业监管政策都要求开展等级保护工 作。如《网络安全法》和《信息安全等级保护管理(lǐ)办 法》明确规定信息系统运营、使用(yòng)单位应当按照网络 安全等级保护制度要求,履行安全保护义務(wù),如果拒 不履行,将会受到相应处罚。
信息系统运营单位在向外部客户提供业務(wù)服務(wù)时,通 过等保测评,能(néng)向客户及利益相关方展示信息系统安 全性承诺,增强客户、合作伙伴及利益相关方的信 心。
信息系统运营、使用(yòng)单位通过开展等级保护工作可(kě)以 发现系统内部的安全隐患与不足之处,可(kě)通过安全整 改提升系统的安全防护能(néng)力,降低被攻击的风险。
物(wù)理(lǐ)位置选择:机房场地应具有(yǒu)防震、防风和防雨等能(néng)力的建筑内,避免设在建筑物(wù)的顶层或地下室
物(wù)理(lǐ)访问控制:机房出入口应安排专人值守或配置電(diàn)子门禁系统,控制、鉴别和记录进入的人员
防盗窃、防破坏、防雷击
温湿度控制:应设置温湿度自动调节设施,使机房温湿度变化在设备运行所允许的范围内
電(diàn)力供应:应提供短期的备用(yòng)電(diàn)力供应,至少满足设备在断電(diàn)情况下的正常运行要求
電(diàn)磁防护:電(diàn)源線(xiàn)和通信線(xiàn)缆应隔离铺设,避免互相干扰
建议选择大型、安全合规、有(yǒu)资质的云厂商(shāng)
应采用(yòng)校验码技术或加解密技术保证通信过程中数据的完整性
根据云租户业務(wù)需求自主设置安全策略集,包括定义访问路径、选择安全组件、配置 安全策略
在不同等级的网络區(qū)域边界部署访问控制机制,设置访问控制规则
根据云服務(wù)方和云租户的职责划分(fēn),收集各自控制部分(fēn)的审计数据
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行為(wèi);当检测到攻击行 為(wèi)时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提 供报警
推荐安全组、vNGFW通过设置基本的访问控制策略,对进出安全區(qū)域边界的数据信 息进行控制,阻止非授权及越权访问 推荐VPN、安全证书服務(wù),采取加密措施,防 止数据在传输过程中遇到破坏、窃取等各种攻击 推荐Anti-DDoS,云WAF服務(wù),针 对日渐增多(duō)的DDoS、Web攻击进行防御,精准有(yǒu)效地实现对流量型攻击和应用(yòng)层攻 击的全面防护 推荐vNGFW、云审计服務(wù),在安全區(qū)域边界建立必要的审计机制,对 进出边界的各类网络行為(wèi)进行审计,可(kě)以和主机审计、应用(yòng)审计以及网络审计形成多(duō) 层次的审计系统
当进行遠(yuǎn)程管理(lǐ)时,管理(lǐ)终端和云计算平台边界设备之间建立双向身份验证机制
根据云服務(wù)方和云租户的职责划分(fēn),收集各自控制部分(fēn)的审计数据并实现集中审计
虚拟机之间的资源隔离失效,并进行告警
云服務(wù)客户应在本地保存其业務(wù)数据的备份;应提供查询云服務(wù)客户数据及备份存储位置的能(néng)力
应能(néng)够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警
推荐堡垒机、数据库安全服務(wù)对服務(wù)器和数据库的运维及操作行為(wèi)进行审计 管理(lǐ)员使用(yòng)各自的账户进行管理(lǐ),管理(lǐ)员的权限仅分(fēn)配其所需的最小(xiǎo)权限,在制定好的访问控制策略下进行操作,杜绝越权非法操作 推荐主机安全服務(wù),防止各类具有(yǒu)针对性的入侵威胁,发现常见操作系统存在的各种安全漏洞,及时更新(xīn)恶意代码库 推荐云备份、存储容灾服務(wù),為(wèi)云主机提供本地数据备份及异地数据备份
通过安全管理(lǐ)中心对被保护系统和安全管理(lǐ)中心自身的运行状态进行监控
通过部署安全管理(lǐ)中心、业務(wù)安全审计平台,对被保护系统和安全管理(lǐ)中心的相关重要安全事件和用(yòng)户操作行為(wèi)进行审计
通过部署安全管理(lǐ)中心、业務(wù)安全审计平台,并对安全管理(lǐ)员进行身份鉴别,对主體(tǐ)进行授权,配置可(kě)信验证策略等
通过部署安全管理(lǐ)中心、业務(wù)安全审计平台、APT威胁检测系统,并对分(fēn)布在网络中的安全设备、网络设备和服務(wù)器等的运行状况进行集中监测与管控
通过安全事件管理(lǐ)等模块协助实施应急响应机制 确保用(yòng)户行為(wèi)的可(kě)追溯性,及时发现异常的安全行為(wèi),同时為(wèi)综合分(fēn)析提供数据支撑 数据收集、安全策略、恶意代码、补丁升级等安全相关事项和各类安全事件进行集中管理(lǐ),分(fēn)析
应形成由安全策略、管理(lǐ)制度、操作规程、记录表单等构成的全面的信息安全管理(lǐ)制度體(tǐ)系
应成立指导和管理(lǐ)信息安全工作的委员会或领导小(xiǎo)组,其最高领导由单位主管领导委任或授权
人员录用(yòng)、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理(lǐ)
应根据保护对象的安全保护等级及与其他(tā)级别保护对象的关系进行安全整體(tǐ)规划和安全方案设计,并形成配套文(wén)件
应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可(kě)能(néng)的影响后进行修补
应设置冗余或并行的電(diàn)力電(diàn)缆線(xiàn)路為(wèi)计算机系统供電(diàn)
企业应制定完善的安全管理(lǐ)制度,根据基本要求设置安全管理(lǐ)机构,梳理(lǐ)管理(lǐ)文(wén)件,明确组织人员的岗位职责,定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等 推荐漏洞扫描服務(wù)、安全體(tǐ)检服務(wù),检测租户站点的漏洞,提前防范黑客利用(yòng)漏洞进行攻击,防止利益损失和数据泄露