www.亚洲视频,性生活一级视频,美女**毛片免费观看

站在等保2.0的視角下看IT信息系統安全技術的要求

當前位置：點晴教程→知識管理交流 →『技術文檔交流』

admin

2024年4月3日 17:37 本文熱度 667

一般來說，需要做等保的信息系統都是單位重要的信息系統，承載著單位的核心業務。并傳輸和存儲著大量的敏感信息。

這樣的信息系統是個香餑餑，肯定會被內外部的不法分子盯上（外部多點，內部少點）。所以，我們需要從多層級、多維度來建設整體的安全防御體系。

這個整體安全防御體系，站在等保的視角下主要有這幾大塊，每一大塊里面又有很多小的要求。

安全技術要求
安全管理要求
安全運營要求

那么今天這篇就先聊一下安全技術要求，明天后天聊一下安全管理要求和安全運營要求吧。

安全技術要求，站在等保2.0的視角又分為以下幾個小塊：

物理環境安全要求
通信網絡安全要求
區域邊界安全要求
計算環境安全要求

每個小塊內容雖然有點繁瑣，但是理解了就不麻煩了。開始吧！

1、物理環境安全要求

物理環境如果出問題，很可能會導致網絡癱瘓、網絡設備不能用，那么信息系統肯定也不可用了撒。所以物理環境是整個網絡信息系統安全的前提和基礎。

既然是前提和基礎，等保2.0中就把物理環境作為第一個測評大項寫在前面的。物理和環境安全主要包括機房建設、設備設施的防盜防破壞、防火、防水、電力供應、電磁防護等，需要在數據中心機房的建設過程中嚴格按照國家相關標準進行機房建設、綜合布線、安防建設，并經過相關部門的檢測和驗收。如果是按照國家標準建設的機房，物理環境一般都能過等保三級。

目前很多信息系統都是上云的，什么政務云、阿里云、華為云、騰訊云。這個物理和環境安全就很省事了，相當于把這部分技術要求轉移給了云廠商了。

2、通信網絡安全要求

這個要求其實就是希望網絡整體架構和傳輸線路要可靠、穩定并具有保密性。想一想，如果傳輸過程中都有問題，服務器防護得很好有啥用呢？

所以，這塊也算是一個基礎的安全技術要求。等保2.0中就把安全通信網絡作為第二個測評大項寫在了前面。

這塊內容的細分項主要包括：網絡架構安全、通信傳輸安全、區域邊界安全、防入侵、防惡意代碼、網絡安全審計等。當然，等保2.0還有一個可信驗證，不過這個可信驗證一直沒有條件做起來，所以目前就當成一面旗幟，指引我們前進前進前進進就行。

2.1 網絡架構安全

網絡架構主要強調的是架構能否承載業務需要，比如一些關鍵網絡設備有沒有冗余部署；帶寬有沒有滿足業務高峰期數據交換要求；有沒有合理的劃分網段和WLAN等。

2.2 通信完整性和保密性

通信協議具有標準、公開的特征。所以，數據在網絡上存儲和傳輸的過程會面臨攻擊和欺騙。很好理解吧，都知己知彼了，還不好騙你嗎?

因此，我們要使用一個法寶——密碼技術來保證通信過程中的完整性和保密性，這塊一般說是有一個SSL，就算合規了。

3、區域邊界安全要求

3.1 邊界隔離與訪問控制

隨著移動辦公的發展，無線網絡的使用對網絡邊界的有效管控帶來了挑戰。為了方便辦公，在網絡設計時會保留大量的接入端口，這對于快捷接入到業務網絡進行辦公是非常方便的，但同時也帶來了安全風險。可能會導致病毒木馬的入侵、文件的泄密等。

所以，我們要對邊界進行隔離并進行訪問控制。尤其要對無線網絡的使用進行管控。另外，對于內部用戶非授權聯到外部網絡的行為要進行限制或者檢查。

3.2 防入侵和防病毒

目前計算機病毒的傳播不再依賴移動介質傳播了，主要是網絡傳播。這種網絡形態的病毒一旦通過網絡邊界傳入局域網內部，就會導致信息系統的破壞。因此，我們要在區域邊界處部署防病毒的安全設備，在網絡層進行病毒查殺，防止感染系統內部主機。

除了防病毒，其他來自互聯網、非可信網絡的各類網絡攻擊也需要通過安全措施實現主動阻斷，比如端口掃描、DDoS等。

一般云上的企業級防火墻、WAF和高防就夠用了。

3.3 網絡安全審計

網絡安全審計主要是在網絡邊界、重要網絡節點上進行流量的采集和檢測，并進行基于網絡行為的審計分析，從而及時發現異常行為。

安全審計一直是等保比較強調的點，不僅僅網絡層面要審計，應用層面、操作系統層面都要有審計。因為一旦發生網絡安全事件，需要進行事件的追蹤與分析，通過審計才能有效溯源。

4、計算環境安全要求

計算環境是哪些呢？基本上信息系統的所有設備、主機、網絡設備、安全設備都被囊括進來了。

不過，計算環境主要包括對主機和應用系統進行身份鑒別和訪問控制、安全審計、對主機和各類終端的入侵防范和惡意代碼防護、數據保密性和完整性保護、數據備份與恢復、剩余信息保護和個人信息保護等。具體包括：

4.1 主機身份鑒別

主機操作系統登錄必須做好身份鑒別，要提高口令的復雜度并定期更換。要有登錄失敗處理能力，要能防止鑒別信息被竊聽，這個呢，一般不太難，不管是哪種操作系統，都有足夠的措施讓你來實現這點。防竊聽使用加密技術就行了。

4.2 主機訪問控制

訪問控制，在等保2.0中，級別越大，要求越嚴。主機訪問控制主要為了保證用戶對主機資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進入系統，低權限的合法用戶也可能企圖執行高權限用戶的操作，這些行為將給主機系統帶來了很大的安全風險。用戶必須擁有合法的用戶標識符，在制定好的訪問控制策略下進行操作，杜絕越權非法操作。

4.3 系統審計

系統審計要能覆蓋到每個能登錄主機的用戶，便于日后的分析、調查、取證，規范主機使用行為。除此之外，審計記錄要得到有效保護。

4.4 惡意代碼防范

除了在網絡層采取必要的病毒防范措施外，必須在主機部署惡意代碼防范軟件進行監測與查殺，同時保持惡意代碼庫的及時更新。

4.5 數據完整性與保密性

數據是信息資產的直接體現。所有的措施最終無不是為了業務數據的安全。因此數據的備份十分重要，是必須考慮的問題。具體包括：

需要采用校驗碼技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；

采用密碼技術保證重要數據在傳輸和存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。

4.6 數據備份和恢復

對于關鍵數據應建立數據的備份機制，而對于網絡的關鍵設備、線路均需進行冗余配置，備份與恢復是應對突發事件的必要措施。

這里再多說一句，應用系統的要求也是一樣哈。而且應用系統還強調剩余信息保護，釋放內存或磁盤空間前，上一個用戶的登錄信息和訪問記錄會被完全清除或被覆蓋。

站在等保2.0的視角下看信息系統安全技術的要求差不多就是這些，等保2.0的一級、二級、三級要求都會隨著級別的升高而增加，我們在設計信息系統的安全技術體系時，可以具體的參考標準來設計。