本篇講述等保2.0基本要求之安全計算環境要求。
在安全計算環境控制項下,等保2.0制定了身份鑑別、訪問控制、安全審計、入侵防範、惡意代碼防範、可信驗證、數據完整性、數據保密性、數據備份與恢復、剩餘信息保護和個人信息保護等11個方面的要求。
該控制項下,各保護等級的控制點數量如下圖所示
身份鑑別
一級等保:
- a) 應對登錄的用戶進行身份標識和鑑別,身份標識具有唯一性,身份鑑別信息具有複雜度要求並定期更換
- b) 應具有登錄失敗處理功能,應配置並啟用輝結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施
二級等保:同一級等保
三級等保:
- a和b同一級等保
- c) 當進行遠程管理時,應採取必要措施防止鑑別信息在網絡傳輸過程中被竊聽
- d) 應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑑別技術對用戶進行身份鑑別,且其中一種鑑別技術至少應使用密碼技術來實現
四級等保:同三級等保
訪問控制
一級等保:
- a) 應對登錄的用戶分配帳戶和權限
- b) 應重命名或刪除默認帳戶,修改默認帳戶的默認口令
- c) 應及時刪除或停止多餘的、過期的帳戶,避免共享帳戶的存在
二級等保:
- a,b和c同一級等保
- d) 應授予管理用戶所需的最小權限,實現管理用戶的權限分離
三級等保:
- a-d同二級等保
- e) 應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則
- f) 訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、資料庫表級
- g)應對重要主體和客體設置安全標記,並控制主體對有安全標記信息資源的訪問
四級等保:
- a-f同三級等保
- g)應對主體和客體設置安全標記,並依據安全標記和強制訪問控制規則確定主體對客體的訪問
安全審計
一級等保:無
二級等保:
- a) 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
- b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息
- c) 應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等
三級等保:
- a-c同二級等保
- d) 應對審計進程進行保護,防止未經授權的中斷
- 四級等保:同三級等保
入侵防範
一級等保:
- a) 應遵循最小安裝的原則,僅安裝需要的組件和應用程式
- b) 應關閉不需要的系統服務、默認共享和高危埠
二級等保:
- a-b同一級等保
- c) 應通過設定終端接入方式或網絡地址範圍對通過網絡進行管理的管理終端進行限制
- d) 應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求
- e) 應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞
三級等保:
- a-e同二級等保
- f) 應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供報警
- 四級等保:同三級等保
惡意代碼防範
一級等保:應安裝防惡意代碼軟體或配置具有相應功能的軟體,並定期進行升級和更新防惡意代碼庫
二級等保:同一級等保
三級等保:同一級等保
四級等保:應採用主動免疫可信驗證機制及時識別入侵和病毒行為,並將其有效阻斷
可信驗證
一級等保:
- 可基於可信根對計算設備的系統引導程序、系統程序等進行可信驗證,並在檢測到其可信性收到破壞後進行報警
二級等保:
- 可基於可信根對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程式等進行可信驗證,並在檢測到其可信性收到破壞後進行報警,並將驗證結果形成審計記錄送至安全管理中心
三級等保:
- 可基於可信根對邊界設備的系統引導程序、系統程序、重要配置參數和應用程式等進行可信驗證,並在應用程式的關鍵執行環節進行動態可信驗證,在檢測到其可信性收到破壞後進行報警,並將驗證結果形成審計記錄送至安全管理中心
四級等保:
- 可基於可信根對邊界設備的系統引導程序、系統程序、重要配置參數和應用程式等進行動態可信驗證,並在應用程式的關鍵執行環節進行動態可信驗證,在檢測到其可信性收到破壞後進行報警,並將驗證結果形成審計記錄送至安全管理中心,並進行動態關聯感知
數據完整性
一級等保:應採用校驗技術保證重要數據在傳輸過程中的完整性
二級等保:同一級等保
三級等保:
- a) 應採用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性,包括但不限於鑑別數據、重要業務數據、重要審計數據、重要視頻數據和重要個人信息等
- b) 應採用校驗技術或密碼技術保證重要數據在存儲過程中的完整性,包括但不限於鑑別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
四級等保:
- a-b同三級等保
- c) 在可能涉及法律責任認定的應用中,應採用密碼技術提供數據原發證據和數據接收證據,實現數據原發行為的抗抵賴和數據接收行為的抗抵賴
數據保密性
數據備份與恢復
剩餘信息保護
個人信息保護
一級等保:無
二級等保:
- a) 應僅採集和保存業務必須的用戶個人信息
- b) 應禁止未授權訪問和非法使用用戶個人信息
三級等保:同上
四級等保:同上
以上,歡迎收藏、評論交流