國(guó)家法律法規及行業監管政策都(dōu)要求開(kāi)展等級保護工 作。如《網絡安全法》和《信息安全等級保護管理辦 法》明确規定信息系統運營、使用單位應當按照網絡 安全等級保護制度要求,履行安全保護義務,如果拒 不履行,將(jiāng)會(huì)受到相應處罰。
信息系統運營單位在向(xiàng)外部客戶提供業務服務時,通 過(guò)等保測評,能(néng)向(xiàng)客戶及利益相關方展示信息系統安 全性承諾,增強客戶、合作夥伴及利益相關方的信 心。
信息系統運營、使用單位通過(guò)開(kāi)展等級保護工作可以 發(fā)現系統内部的安全隐患與不足之處,可通過(guò)安全整 改提升系統的安全防護能(néng)力,降低被(bèi)攻擊的風險。
物理位置選擇:機房場地應具有防震、防風和防雨等能(néng)力的建築内,避免設在建築物的頂層或地下室
物理訪問控制:機房出入口應安排專人值守或配置電子門禁系統,控制、鑒别和記錄進(jìn)入的人員
防盜竊、防破壞、防雷擊
溫濕度控制:應設置溫濕度自動調節設施,使機房溫濕度變化在設備運行所允許的範圍内
電力供應:應提供短期的備用電力供應,至少滿足設備在斷電情況下的正常運行要求
電磁防護:電源線和通信線纜應隔離鋪設,避免互相幹擾
建議選擇大型、安全合規、有資質的雲廠商
應采用校驗碼技術或加解密技術保證通信過(guò)程中數據的完整性
根據雲租戶業務需求自主設置安全策略集,包括定義訪問路徑、選擇安全組件、配置 安全策略
在不同等級的網絡區域邊界部署訪問控制機制,設置訪問控制規則
根據雲服務方和雲租戶的職責劃分,收集各自控制部分的審計數據
應在關鍵網絡節點處檢測、防止或限制從外部發(fā)起(qǐ)的網絡攻擊行爲;當檢測到攻擊行 爲時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事(shì)件時應提 供報警
推薦安全組、vNGFW通過(guò)設置基本的訪問控制策略,對(duì)進(jìn)出安全區域邊界的數據信 息進(jìn)行控制,阻止非授權及越權訪問 推薦VPN、安全證書服務,采取加密措施,防 止數據在傳輸過(guò)程中遇到破壞、竊取等各種(zhǒng)攻擊 推薦Anti-DDoS,雲WAF服務,針 對(duì)日漸增多的DDoS、Web攻擊進(jìn)行防禦,精準有效地實現對(duì)流量型攻擊和應用層攻 擊的全面(miàn)防護 推薦vNGFW、雲審計服務,在安全區域邊界建立必要的審計機制,對(duì) 進(jìn)出邊界的各類網絡行爲進(jìn)行審計,可以和主機審計、應用審計以及網絡審計形成(chéng)多 層次的審計系統
當進(jìn)行遠程管理時,管理終端和雲計算平台邊界設備之間建立雙向(xiàng)身份驗證機制
根據雲服務方和雲租戶的職責劃分,收集各自控制部分的審計數據并實現集中審計
虛拟機之間的資源隔離失效,并進(jìn)行告警
雲服務客戶應在本地保存其業務數據的備份;應提供查詢雲服務客戶數據及備份存儲位置的能(néng)力
應能(néng)夠檢測惡意代碼感染及在虛拟機間蔓延的情況,并提出告警
推薦堡壘機、數據庫安全服務對(duì)服務器和數據庫的運維及操作行爲進(jìn)行審計 管理員使用各自的賬戶進(jìn)行管理,管理員的權限僅分配其所需的最小權限,在制定好(hǎo)的訪問控制策略下進(jìn)行操作,杜絕越權非法操作 推薦主機安全服務,防止各類具有針對(duì)性的入侵威脅,發(fā)現常見操作系統存在的各種(zhǒng)安全漏洞,及時更新惡意代碼庫 推薦雲備份、存儲容災服務,爲雲主機提供本地數據備份及異地數據備份
通過(guò)安全管理中心對(duì)被(bèi)保護系統和安全管理中心自身的運行狀态進(jìn)行監控
通過(guò)部署安全管理中心、業務安全審計平台,對(duì)被(bèi)保護系統和安全管理中心的相關重要安全事(shì)件和用戶操作行爲進(jìn)行審計
通過(guò)部署安全管理中心、業務安全審計平台,并對(duì)安全管理員進(jìn)行身份鑒别,對(duì)主體進(jìn)行授權,配置可信驗證策略等
通過(guò)部署安全管理中心、業務安全審計平台、APT威脅檢測系統,并對(duì)分布在網絡中的安全設備、網絡設備和服務器等的運行狀況進(jìn)行集中監測與管控
通過(guò)安全事(shì)件管理等模塊協助實施應急響應機制 确保用戶行爲的可追溯性,及時發(fā)現異常的安全行爲,同時爲綜合分析提供數據支撐 數據收集、安全策略、惡意代碼、補丁升級等安全相關事(shì)項和各類安全事(shì)件進(jìn)行集中管理,分析
應形成(chéng)由安全策略、管理制度、操作規程、記錄表單等構成(chéng)的全面(miàn)的信息安全管理制度體系
應成(chéng)立指導和管理信息安全工作的委員會(huì)或領導小組,其最高領導由單位主管領導委任或授權
人員錄用、人員離崗、人員考核、安全意識教育及培訓、外部人員訪問管理
應根據保護對(duì)象的安全保護等級及與其他級别保護對(duì)象的關系進(jìn)行安全整體規劃和安全方案設計,并形成(chéng)配套文件
應采取必要的措施識别安全漏洞和隐患,對(duì)發(fā)現的安全漏洞和隐患及時進(jìn)行修補或評估可能(néng)的影響後(hòu)進(jìn)行修補
應設置冗餘或并行的電力電纜線路爲計算機系統供電
企業應制定完善的安全管理制度,根據基本要求設置安全管理機構,梳理管理文件,明确組織人員的崗位職責,定期進(jìn)行全面(miàn)安全檢查,特别是系統日常運行、系統漏洞和數據備份等 推薦漏洞掃描服務、安全體檢服務,檢測租戶站點的漏洞,提前防範黑客利用漏洞進(jìn)行攻擊,防止利益損失和數據洩露
