请选择 进入手机版| 继续访问电脑版
开启辅助访问 切换到窄版

等保合规安全解决方案

[复制链接]
作者:hanhongwen 
版块:
大数据智能解决方案 行业大数据安全解决方案 发布时间:2018-4-5 20:53:51
4810
hanhongwen 发表于 2018-4-5 20:53:51 | 显示全部楼层 |阅读模式
一、简介
为了帮助企业用户快速满足等保合规的要求,阿里云整合云盾产品的技术优势,建立“等保合规生态”,联合阿里云在各地的合作测评机构、安全咨询合作厂商,为您提供一站式等保测评,完备的攻击防护、数据审计、加密、安全管理,助您快速省心地通过等保合规。

二、安全专家解读
安全等级保护制度成为衡量“安全预防做得是否到位”的重要衡量指标。对于企业来说,等保是一个安全管理的“必过标杆”。您可能会认为过等保是一个非常艰巨,需要各方沟通的过程。看完阿里云安全专家易鑫的答疑,你会发现“过等保”,其实没有那么难。

三、《网络安全等级保护基本要求》重点解读

1、网络与通信安全
网络架构:应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;

访问控制:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

通信传输:应采用校验码技术或加解密技术保证通信过程中数据的完整性; 边界防护:应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;

入侵防范:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警;

安全审计:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

条款解读:

1. 根据服务器角色和重要性,对网络进行安全域划分;

2. 在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口;

3. 在网络边界处应当部署入侵防范手段,防御并记录入侵行为;

4. 对网络中的用户行为日志和安全事件信息进行记录和审计;

应对策略:

推荐使用阿里云的VPC和安全组对网络进行安全域划分并进行合理的访问控制;Web应用防火墙防范网络入侵;态势感知的日志功能对用户行为日志和安全事件进行记录分析和审计;对于经常面临DDoS威胁系统,还可使用DDoS高防进行异常流量过滤和清洗。

2、设备与计算安全
身份鉴别:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性;

访问控制:应根据管理用户的角色建立不同账户并分配权限,仅授予管理用户所需的最小权限,实现管理用户的权限分离;

安全审计:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

入侵防范:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

恶意代码防范:应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。

条款解读:

1. 避免账号共享、记录和审计运维操作行为是最基本的安全要求;

2. 必要的安全手段保证系统层安全,防范服务器入侵行为;

应对策略:

推荐使用阿里云的堡垒机、数据库审计对服务器和数据的操作行为进行审计,同时为每个运维人员建立独立的堡垒机账号,避免账号共享;使用安骑士对服务器进行完整的漏洞管理、基线检查和入侵防御;

3、应用和数据安全
身份鉴别:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求;

访问控制:应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;

安全审计:应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

数据完整性:应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性;

数据备份恢复:应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

条款解读:

1. 应用是具体业务的直接实现,不具有网络和系统相对标准化的特点。大部分应用本身的身份鉴别、访问控制和操作审计等功能,都难以用第三方产品来替代实现;

2. 数据的完整性和保密性,除了在其他层面进行安全防护以外,加密是最为有效的方法;

3. 数据的异地备份是等保三级区别于二级最重要的要求之一,是实现业务连续最基础的技术保障措施。

应对策略:

在应用开发之初,就应当考虑应用本身的身份鉴别、访问控制和安全审计等功能;对已经上线的系统,通过增加账号认证、用户权限区分和日志审计等功能设计满足等保要求;

数据的安全,推荐使用成熟的云盾CA证书服务实现HTTPS,确保数据在传输的过程中保持处于加密状态;数据备份,推荐使用RDS的异地容灾实例自动实现数据备份,亦可以将数据库备份文件手工同步到阿里云其他地区的服务器。

4、安全管理策略
安全策略和管理制度:应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。

安全管理机构和人员:应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。

安全建设管理:应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件;

安全运维管理:应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补;

条款解读:

1. 安全策略、制度和管理层人员,是保证持续安全非常重要的基础。策略指导安全方向,制度明确安全流程,人员落实安全责任。

2. 等保要求提供了一种方法论和最佳实践,安全可以按照等保的方法论进行持续的建设和管理。

应对策略:

安全策略、制度和管理层人员,需要客户管理层根据本企业的实际情况,进行梳理、准备和落实,并形成专门的文件。

漏洞管理过程中需要用到的技术手段,推荐使用阿里云的安全管家和先知众测服务,快速发现云上系统漏洞,及时处理。

四、云上等保合规架构

合规责任共担技术架构
1.png


阿里云平台与云上租户系统分别定级和测评;
阿里云平台测评结论可供租户系统测评时复用;

等保合规生态技术架构
2.png


为了便于云上系统能够快速通过等保测评,阿里云通过建立“等保合规生态”,提供一站式等保合规解决方案。

五、等保实施流程

1、系统定级
信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;三级以上系统,定级结论需要进行专家评审。

2、系统备案
信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》和定级报告;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。

3、建设整改
依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度;

4、等级测评
运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

5、监督检查
公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。

六、安全合规架构

基础合规架构
3.png


增强合规架构
4.png


七、方案优势

1、一站式等保测评服务
甄选并联合各地服务质量优异的咨询和测评机构,提供一站式、全流程合规,大大降低运营单位投入

避免多点沟通和重复工作,减少运营单位投入
效率大大提高,最快两周完成测评
阿里云提供云上安全和合规最佳实践

2、平台合规助力租户合规
金融云通过等保四级,公共云通过等保三级,显著提高租户在阿里云上系统的测评分数

阿里云金融云平台通过等保四级备案和测评
阿里云公共云平台通过等保三级备案和测评
平台的高等级合规显著提高租户测评分数

3、完备的安全防护体系
通过完备的云盾安全架构,运营单位可以在阿里云上找到对应的产品,完成对不符合项的整改,全面满足等保要求

攻击防护:高防IP、Web应用防火墙、安骑士
安全审计:态势感知、堡垒机、数据库审计
数据加密与安全管理:证书服务、安全管家、先知



如需架构咨询,点击与我交谈,祝你成功

↓↓↓


    15561578755
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表