網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案

1、 網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案目錄CONTENTS網(wǎng)絡(luò)安全法解讀新等級(jí)保護(hù)差異變化等級(jí)保護(hù)解決方案網(wǎng)絡(luò)安全法解讀2016.11網(wǎng)絡(luò)安全法草案三審稿2016.11.7人大常委會(huì)表決通過2017年6月1日網(wǎng)絡(luò)安全法實(shí)施2015.7.7網(wǎng)絡(luò)安全法草案一審稿2016.6網(wǎng)絡(luò)安全法草案二審稿2014.2 網(wǎng)絡(luò)安全法首次在政府工作報(bào)告中提及網(wǎng)絡(luò)安全法的背景和歷程網(wǎng)絡(luò)安全法時(shí)間軸“一法一決定”執(zhí)法檢查開展“一法一決定”宣傳教育情況；制定“一法一決定”配套法規(guī)規(guī)章情況；強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)及 落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度情況；治理網(wǎng)絡(luò)違法有害信息，維護(hù)網(wǎng)絡(luò)空間良好生態(tài)情況；落實(shí)公民個(gè)人信息 保護(hù)制度，查處侵犯公民

2、個(gè)人信息及相關(guān)違法犯罪情況等. 2017年9月至12月網(wǎng)絡(luò)安全法頒布網(wǎng)絡(luò)領(lǐng)域的基本法總體牽頭：中央網(wǎng)信辦總體牽頭監(jiān)管單位：公安/工信/廣電/國辦（非密領(lǐng)域管理指導(dǎo)監(jiān)管檢查） 國M/國A/保M/機(jī)要/中B/科工委（涉密領(lǐng)域管理指導(dǎo)監(jiān)督檢查）國家安全五個(gè)領(lǐng)域（海、陸、空、天、網(wǎng)）目標(biāo)：網(wǎng)際空間自主可控安全可靠互聯(lián)網(wǎng)安全領(lǐng)域剛性需求上升重要系統(tǒng)基礎(chǔ)設(shè)施安全領(lǐng)域需求伴隨十三五涉及國家MM安全領(lǐng)域需求伴隨N網(wǎng)國產(chǎn)化替代安全領(lǐng)域試點(diǎn)推進(jìn)辯證思維網(wǎng)絡(luò)安全上升為國家戰(zhàn)略，成為總體國家安全觀的重要組成部分國家戰(zhàn)略統(tǒng)一體合作共贏將網(wǎng)絡(luò)安全和信息化工作視為一個(gè)統(tǒng)一體，形成了一體兩翼、驅(qū)動(dòng) 雙輪的網(wǎng)絡(luò)安全觀針對(duì)網(wǎng)絡(luò)安

3、全新形勢(shì)、新特點(diǎn)，提出了整體、動(dòng)態(tài)、開放、相對(duì)、共同的辯證網(wǎng)絡(luò)安全觀針對(duì)全球互聯(lián)網(wǎng)領(lǐng)域發(fā)展不平衡、規(guī)則不健全、秩序不合理等問題，提出了在相互尊重、相互信任基礎(chǔ)上合作共贏的網(wǎng)絡(luò)安全觀新 時(shí) 代 的 網(wǎng) 絡(luò) 安 全 觀網(wǎng)絡(luò)安全法的意義和作用以人為本將以人民為中心的發(fā)展思想貫穿到網(wǎng)絡(luò)安全領(lǐng)域，形成了“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”的以人為本的網(wǎng)絡(luò)安全觀沒有網(wǎng)絡(luò)安全就沒有國家安全網(wǎng)絡(luò)安全法的意義和作用（續(xù)）中國網(wǎng)絡(luò)安全法是網(wǎng)絡(luò)安全領(lǐng)域的基本法憲法、刑法（部分條款）國家安全法（部分條款）保守國家秘密法電子簽名法網(wǎng)絡(luò)安全法反恐法關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例互聯(lián)網(wǎng)信息服務(wù)管理辦法商

4、用密碼管理?xiàng)l例公安部（安全專用產(chǎn)品等）原信產(chǎn)部（互聯(lián)網(wǎng)域名等）國新辦（互聯(lián)網(wǎng)新聞信息服務(wù)）保密局（保密等）地方人民政府地方人大及常委會(huì)國務(wù)院全國人大及其常委會(huì)法律行政 法規(guī)地方性法規(guī)地方政府規(guī)章部門 規(guī)章國務(wù)院各部委多級(jí)立法北京市信息化促進(jìn)條例遼寧省計(jì)算機(jī)信息系統(tǒng)安全管理?xiàng)l例.北京市公共服務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全管理規(guī)定上海市公共信息系統(tǒng)安全測(cè)評(píng)管理辦法 .網(wǎng)絡(luò)安全法的意義和作用（續(xù)）是落實(shí)黨中央決策部署的重要舉措,是維護(hù)網(wǎng)絡(luò)安 全、國家安全的迫切需要是維護(hù)網(wǎng)絡(luò)空間國家主權(quán)的迫切需要是深化網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、保護(hù)國家關(guān)鍵信 息基礎(chǔ)設(shè)施和大數(shù)據(jù)安全的迫切需要是打擊網(wǎng)絡(luò)違法犯罪、維護(hù)廣大人民群眾利益

5、的 迫切需要是參與互聯(lián)網(wǎng)國際競(jìng)爭(zhēng)和國際治理的迫切需要制定網(wǎng)絡(luò)安全法的迫切性和必要性網(wǎng)絡(luò)安全法解讀網(wǎng)絡(luò)安全法整體框架“防御、控制與懲治”三位一體 7章79條網(wǎng)絡(luò)安全法解讀（續(xù)）章節(jié)核心內(nèi)容解讀第一章 總則目標(biāo)：保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展范圍：在中華人民共和國境內(nèi)建設(shè)、運(yùn)營(yíng)、維護(hù)和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理職責(zé)：國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作關(guān)鍵點(diǎn)：網(wǎng)絡(luò)

6、安全與信息化發(fā)展并重、網(wǎng)絡(luò)安全戰(zhàn)略、基本要求和主要目標(biāo)、培養(yǎng)網(wǎng)絡(luò)安全人才、網(wǎng)絡(luò)技術(shù)研發(fā)、標(biāo)準(zhǔn)制定、義務(wù)、舉報(bào)，監(jiān)測(cè)、防御、處置境內(nèi)外安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施第二章 支持與促進(jìn)定義國家對(duì)網(wǎng)絡(luò)安全工作支持與推進(jìn)說明，包括相關(guān)標(biāo)準(zhǔn)制定與監(jiān)督；各級(jí)政府單位要支持網(wǎng)絡(luò)安全；包括信息安全技術(shù)、信息安全服務(wù)、信息安全測(cè)評(píng)、信息安全教育與宣傳、信息安全人才培養(yǎng)等工作網(wǎng)絡(luò)安全法解讀（續(xù)）章節(jié)核心內(nèi)容解讀第三章 網(wǎng)絡(luò)運(yùn)行安全第一節(jié)：國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求網(wǎng)絡(luò)關(guān)鍵設(shè)備和產(chǎn)品應(yīng)強(qiáng)制取得國家安全標(biāo)準(zhǔn)認(rèn)證對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提共標(biāo)準(zhǔn)的安全職責(zé)工作說明第二節(jié)：針對(duì)公共

7、通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)每年至少進(jìn)行一次檢測(cè)評(píng)估定期組織安全應(yīng)急演練安全等保上升到法律高度，不做等保防護(hù)，是屬違法!網(wǎng)絡(luò)安全法解讀（續(xù)）章節(jié)核心內(nèi)容解讀第四章 網(wǎng)絡(luò)信息安全個(gè)人隱私保護(hù)、發(fā)布信息監(jiān)管第五章 監(jiān)測(cè)預(yù)警與應(yīng)急處置網(wǎng)絡(luò)安全預(yù)警監(jiān)測(cè)、安全風(fēng)險(xiǎn)評(píng)估、應(yīng)急預(yù)案、風(fēng)險(xiǎn)發(fā)布第六章 法律責(zé)任最高100萬：違反22/27/33/34/36/38/41/42/43，最高100萬，主管10萬最高50萬：違反22/24/27/37/46/47/69信息通報(bào)制度上升為法律習(xí)近平在網(wǎng)絡(luò)安全與信息化工作座談會(huì)上的講

8、話信息技術(shù)變化越來越快，過去分散獨(dú)立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)、相互依賴，網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化，那種依靠裝幾個(gè)安全設(shè)備和安全軟件就想永保安全的想法已不合時(shí)宜，需要樹立動(dòng)態(tài)、綜合的防護(hù)理念。金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。我們必須深入研究，采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)。（要）全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)。知己知彼，才能百戰(zhàn)不殆。沒有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性，一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰進(jìn)來了不知道、是敵是友不知道、干了什

9、么不知道”，長(zhǎng)期“潛伏”在里面，一旦有事就發(fā)作了。要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制，把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來，龍頭企業(yè)要帶頭參加這個(gè)機(jī)制。關(guān)鍵安全預(yù)防措施加強(qiáng)網(wǎng)絡(luò)入侵防護(hù)關(guān)鍵基礎(chǔ)設(shè)施一旦被入侵，危害極大，要重點(diǎn)進(jìn)行網(wǎng)絡(luò)入侵的防護(hù)。對(duì)于傳統(tǒng)威脅，要做到快速、精準(zhǔn)的防護(hù)；對(duì)于高級(jí)未知威脅，也要做到智能檢測(cè)與防護(hù)。綜上，建設(shè)和加強(qiáng)入侵防護(hù)是網(wǎng)絡(luò)安全防護(hù)的核心關(guān)鍵工作維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂“聰者聽于無聲，明者見于未形”。綜上，感知網(wǎng)絡(luò)安全態(tài)勢(shì)是網(wǎng)絡(luò)安防護(hù)中最基本、最基礎(chǔ)的工作建設(shè)安全態(tài)勢(shì)平臺(tái)THE BUSENESS PLAN等級(jí)保護(hù)解

10、決方案等級(jí)保護(hù)背景介紹發(fā)展歷程信息安全等級(jí)保護(hù)是黨中央國務(wù)院決定在信息系統(tǒng)安全領(lǐng)域?qū)嵤┑幕緡咝畔踩燃?jí)保護(hù)是國家信息安全保障工作的基本制度信息安全等級(jí)保護(hù)是國家信息安全保障工作的基本方法中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 (1994年2月18日中華人民共和國國務(wù)院令147號(hào)發(fā)布)2003年9月中辦國辦頒發(fā)關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號(hào)）2004年11月四部委會(huì)簽關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字200466號(hào)）2005年9月國信辦文件 關(guān)于轉(zhuǎn)發(fā)電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南的通知 （國信辦200425號(hào)）2006年1月四部委會(huì)簽 關(guān)于印發(fā)信息安全等級(jí)

11、保護(hù)管理辦法的通知 （公通字20067號(hào)）2007年6月公安部、保密局、國密局、國信辦聯(lián)合印發(fā)信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào) ）2007年7月關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知 （公信安2007861號(hào)）2008年發(fā)布GB/T 222392008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求、GB/T 222402008 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南2009年公安部發(fā)文關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信安20091429號(hào)）2010年3月公安部發(fā)文關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知（公信安303號(hào)）2016年10月公安部網(wǎng)絡(luò)安全保

12、衛(wèi)局組織對(duì)原有國家標(biāo)準(zhǔn) GB/T 22239-2008等系列標(biāo)準(zhǔn)進(jìn)行了修訂，新的國家標(biāo)準(zhǔn)（簡(jiǎn)稱新國標(biāo)）將于近期正式發(fā)布。起步階段發(fā)展階段推行階段新等保階段信息安全等級(jí)保護(hù)是基本制度、基本國策、基本方法等級(jí)保護(hù)管理組織指導(dǎo)監(jiān)管部門：國家等保工作 開展、推進(jìn)、指導(dǎo)。技術(shù)支撐部門：國家等保標(biāo)準(zhǔn)制定、修訂、培訓(xùn)、技術(shù)指導(dǎo)以及全國測(cè)評(píng)單位管理。國家測(cè)評(píng)機(jī)構(gòu)行業(yè)測(cè)評(píng)機(jī)構(gòu)地方測(cè)評(píng)機(jī)構(gòu)等級(jí)保護(hù)主要工作流程一 定級(jí)二 備案三 建設(shè)整改備案是等級(jí)保護(hù)的核心 建設(shè)整改是等級(jí)保護(hù)工作落實(shí)的關(guān)鍵四 等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)是評(píng)價(jià)安全保護(hù)狀況的方法監(jiān)督檢查是保護(hù)能力不斷提高的保障定級(jí)是等級(jí)保護(hù)的首要環(huán)節(jié)重要行業(yè)關(guān)鍵信息系統(tǒng)劃分及

13、定級(jí)建議等級(jí)對(duì)象侵害客體侵害程度監(jiān)管強(qiáng)度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查等級(jí)保護(hù)建設(shè)核心思想信息系統(tǒng)的安全設(shè)計(jì)應(yīng)基于業(yè)務(wù)流程自身特點(diǎn)，建立“可信、可控、可管”的安全防護(hù)體系，使得系統(tǒng)能夠按照預(yù)期運(yùn)行，免受信息安全攻擊和破壞?？尚?23即以可信認(rèn)證為基礎(chǔ)，構(gòu)建一個(gè)可信的業(yè)務(wù)系統(tǒng)執(zhí)行環(huán)境，即用戶、平臺(tái)、程序都是可信的，確保用戶無法被冒充、病毒無法執(zhí)行、入侵行為無法成功。可信的環(huán)

14、境保證業(yè)務(wù)系統(tǒng)永遠(yuǎn)都按照設(shè)計(jì)預(yù)期的方式執(zhí)行，不會(huì)出現(xiàn)非預(yù)期的流程，從而保障了業(yè)務(wù)系統(tǒng)安全可信。即以訪問控制技術(shù)為核心，實(shí)現(xiàn)主體對(duì)客體的受控訪問，保證所有的訪問行為均在可控范圍之內(nèi)進(jìn)行，在防范內(nèi)部攻擊的同時(shí)有效防止了從外部發(fā)起的攻擊行為。對(duì)用戶訪問權(quán)限的控制可以確保系統(tǒng)中的用戶不會(huì)出現(xiàn)越權(quán)操作，永遠(yuǎn)都按系統(tǒng)設(shè)計(jì)的策略進(jìn)行資源訪問，保證了系統(tǒng)的信息安全可控。即通過構(gòu)建集中管控、最小權(quán)限管理與三權(quán)分立的管理平臺(tái)，為管理員創(chuàng)建一個(gè)工作平臺(tái)，使其可以進(jìn)行技術(shù)平臺(tái)支撐下的安全策略管理，從而保證信息系統(tǒng)安全可管?？煽乜晒艿燃?jí)保護(hù)防護(hù)框架等級(jí)保護(hù)防護(hù)框架建設(shè)“一個(gè)中心”管理、“三重防護(hù)”體系，分別對(duì)計(jì)算環(huán)境、

15、區(qū)域邊界、通信網(wǎng)絡(luò)體系進(jìn)行管理，實(shí)施多層隔離和保護(hù)，以防止某薄弱環(huán)節(jié)影響整體安全分析應(yīng)用系統(tǒng)的流程，確定用戶（主體）和訪問的文件（客體）的級(jí)別（標(biāo)記），以此來制定訪問控制安全策略，由操作系統(tǒng)、安全網(wǎng)關(guān)等機(jī)制自動(dòng)執(zhí)行，從而支撐應(yīng)用安全重點(diǎn)對(duì)操作人員使用的終端、業(yè)務(wù)服務(wù)器等計(jì)算節(jié)點(diǎn)進(jìn)行安全防護(hù)，控制操作人員行為，使其不能違規(guī)操作，從而把住攻擊發(fā)起的源頭，防止發(fā)生攻擊行為等級(jí)保護(hù)總體設(shè)計(jì)流程分析關(guān)鍵保護(hù)點(diǎn)梳理主、客體及權(quán)限對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估梳理業(yè)務(wù)流程分層分域設(shè)計(jì)安全機(jī)制及策略設(shè)計(jì)梳理業(yè)務(wù)流程是給系統(tǒng)量身定制安全設(shè)計(jì)方案的基礎(chǔ)；通過業(yè)務(wù)流程的梳理，了解系統(tǒng)的現(xiàn)狀、特點(diǎn)及特殊安全需求，為后續(xù)方案設(shè)計(jì)奠

16、定基礎(chǔ)。找出系統(tǒng)中的所有主體及客體；明確主體對(duì)客體的最小訪問權(quán)限?；谝粋€(gè)中心、三重防護(hù)，構(gòu)建安全防護(hù)體系；從不同層次、不同位置設(shè)計(jì)縱深防御體系，防止單點(diǎn)失效。設(shè)計(jì)身份認(rèn)證及程序可信保護(hù)機(jī)制，確保主體可信；設(shè)計(jì)訪問控制機(jī)制及策略，保證主體對(duì)客體的最小訪問權(quán)限；設(shè)計(jì)保密性、完整性保護(hù)機(jī)制，確保重要客體的保密性及完整性不被破壞；設(shè)計(jì)安全管理中心，保證系統(tǒng)安全機(jī)制始終可管。等級(jí)保護(hù)基本框架要求物理安全技術(shù)要求管理要求系統(tǒng)安全防護(hù)要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理安全產(chǎn)品協(xié)助防護(hù)網(wǎng)絡(luò)安全解讀網(wǎng)絡(luò)安全結(jié)構(gòu)安全訪問控制安全審計(jì)邊界安全檢查入侵防

17、范惡意代碼防范設(shè)備防護(hù)要點(diǎn)：主要設(shè)備冗余空間、安全路徑控制、整體網(wǎng)絡(luò)帶寬、帶寬優(yōu)先級(jí)、重要網(wǎng)段部署要點(diǎn)：端口控制、防地址欺騙協(xié)議過濾、會(huì)話控制最大流量數(shù)及最大連接數(shù)要點(diǎn)：審計(jì)記錄審計(jì)報(bào)表審計(jì)記錄的保護(hù)要點(diǎn)：非授權(quán)設(shè)備接入非授權(quán)網(wǎng)絡(luò)聯(lián)出要點(diǎn)：記錄、報(bào)警、阻斷要點(diǎn)：記錄、報(bào)警、阻斷要點(diǎn)：組合鑒別技術(shù)特權(quán)用戶權(quán)限分離在云計(jì)算環(huán)境中，除以上必要的保護(hù)措施外，還需考慮云使用者利用云資源發(fā)起的網(wǎng)絡(luò)攻擊、云租戶之間的隔離以及云租戶與云服務(wù)商的審計(jì)獨(dú)立網(wǎng)絡(luò)安全解讀（1）分類基本要求說明及技術(shù)方案產(chǎn)品部署網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）a) 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要； 主要設(shè)備、

18、部件冗余方案及網(wǎng)絡(luò)設(shè)備保證b) 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要； 帶寬預(yù)留方案及網(wǎng)絡(luò)設(shè)備保證c) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑； 策略路由、靜態(tài)路由、動(dòng)態(tài)路由協(xié)議認(rèn)證方案及網(wǎng)絡(luò)設(shè)備保證d) 應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖； 根據(jù)實(shí)際情況繪制、更新拓?fù)鋱D（紙質(zhì)或管理軟件生成）eSighte) 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段； 合理劃分網(wǎng)段整體方案保證f) 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技

19、術(shù)隔離手段； 防火墻策略USG防火墻g) 應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。輔助防火墻設(shè)備部署QOS策略USG防火墻、ASG網(wǎng)絡(luò)安全解讀（2）分類基本要求說明及技術(shù)方案產(chǎn)品部署網(wǎng)絡(luò)安全訪問控制（G3） a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能； 防火墻做邊界訪問控制USG防火墻b) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)； 防火墻策略USG防火墻c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用層 HTTP、FTP 、TELNET、SMTP 、POP3等協(xié)議命令級(jí)的控制； IPS實(shí)現(xiàn)4-7

20、層協(xié)議安全控制USG防火墻d) 應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接； 防火墻會(huì)話老化，設(shè)置會(huì)話超時(shí)時(shí)間USG防火墻e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)； 防火墻策略USG防火墻f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙； ip、mac綁定防火墻、交換機(jī)組合方案保證g) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶； 第一層次基于IP的訪問控制，基本防火墻能力第二層次基于用戶身份的訪問控制，下一代防火墻支持，配合AAA系統(tǒng)使用USG防火墻h) 應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。撥號(hào)接入設(shè)備控制（可能包括PPTP等VPN方式）USG

21、防火墻網(wǎng)絡(luò)安全解讀（3）分類基本要求說明及技術(shù)方案產(chǎn)品部署網(wǎng)絡(luò)安全安全審計(jì)（G3）a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； 技術(shù)點(diǎn)解析：審計(jì)網(wǎng)絡(luò)設(shè)備操作記錄，提供有效展示，并確保日志安全存儲(chǔ)。應(yīng)對(duì)方案：通過流量分析系統(tǒng)、運(yùn)維管理系統(tǒng)配合實(shí)現(xiàn)LogCenter、CIS、堡壘機(jī)、eSightb) 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。邊界完整性檢查（S3）a) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)

22、行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷； 接入認(rèn)證、IP/MAC綁定Agile Controller+USGb) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。防私接Agile Controller+USG網(wǎng)絡(luò)安全解讀（4）分類基本要求說明及技術(shù)方案產(chǎn)品部署網(wǎng)絡(luò)安全入侵防范（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；攻擊檢測(cè)和防御NIP、USG、eSight、LogCenterb) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源 IP 、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)

23、生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。 惡意代碼防范（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除； 攻擊、病毒檢測(cè)和防御NIP、USG、FireHunterb) 應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。定期升級(jí)特征庫網(wǎng)絡(luò)安全解讀（5）分類基本要求說明及技術(shù)方案產(chǎn)品部署網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)（G3） a) 應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別； 網(wǎng)絡(luò)運(yùn)維人員身份管理網(wǎng)絡(luò)設(shè)備安全策略控制設(shè)定+堡壘機(jī)輔助b) 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制； ACL、安全策略c) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一； 堡壘機(jī)做雙因素認(rèn)證d) 主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別； 堡壘機(jī)做雙

24、因素認(rèn)證e) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； 設(shè)置復(fù)雜口令f) 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施； 設(shè)置策略控制非法登錄次數(shù)和超時(shí)退出g) 當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； 遠(yuǎn)程管理使用加密協(xié)議，如SSHh) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。設(shè)備上設(shè)置用戶權(quán)限主機(jī)安全解讀主機(jī)安全身份鑒別訪問控制安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制要點(diǎn)：組合鑒別技術(shù)要點(diǎn)：管理用戶權(quán)限分離敏感標(biāo)記的設(shè)置要點(diǎn)：審計(jì)記錄審計(jì)報(bào)表審計(jì)記錄的保護(hù)要點(diǎn)：空間釋放信息清除要點(diǎn)：

25、記錄、報(bào)警、阻斷要點(diǎn)：記錄、報(bào)警、阻斷與網(wǎng)絡(luò)惡意代碼庫分離要點(diǎn)：監(jiān)控重要服務(wù)器最小化服務(wù)檢測(cè)告警在云計(jì)算環(huán)境中，除以上必要的保護(hù)措施外，還需考慮不同租戶存儲(chǔ)空間的隔離、對(duì)外提供API的訪問控制、虛擬資源占用控制以及殺毒風(fēng)暴的避免等措施主機(jī)安全解讀（1）分類基本要求說明及技術(shù)方案產(chǎn)品部署主機(jī)安全身份鑒別（S3）a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的統(tǒng)一身份鑒別，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶權(quán)限分離，可由堡壘機(jī)輔助實(shí)現(xiàn)主機(jī)身份鑒別設(shè)定+堡壘機(jī)輔助b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換； 設(shè)置復(fù)雜密碼，

26、檢測(cè)弱口令，堡壘機(jī)定期改密，可由堡壘機(jī)輔助實(shí)現(xiàn)主機(jī)身份鑒別設(shè)定+堡壘機(jī)、漏掃輔助（缺失）c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； 主機(jī)策略設(shè)置登錄限制，安全配置核查系統(tǒng)定期對(duì)服務(wù)器嘗試登錄閾值進(jìn)行檢查，配置服務(wù)器檢測(cè)到超過一定失敗次數(shù)的登錄行為后，鎖定該賬號(hào)，重新啟用賬號(hào)需向管理員提交申請(qǐng)，可由堡壘機(jī)輔助實(shí)現(xiàn)主機(jī)身份鑒別設(shè)定+堡壘機(jī)輔助d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽； 加密管理，對(duì)服務(wù)器的遠(yuǎn)程管理采用SSH、SSL等加密協(xié)議，可由堡壘機(jī)輔助實(shí)現(xiàn)主機(jī)身份鑒別設(shè)定+堡壘機(jī)輔助e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的

27、不同用戶分配不同的用戶名，確保用戶名具有唯一性。 主機(jī)策略，按照不同用戶的職責(zé)為用戶分配不同權(quán)限，管理賬號(hào)不共用，確保用戶名唯一，可由堡壘機(jī)輔助實(shí)現(xiàn)主機(jī)身份鑒別設(shè)定+堡壘機(jī)輔助f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。靜態(tài)口令+動(dòng)態(tài)口令/證書/生物識(shí)別/短信認(rèn)證等技術(shù)，可由堡壘機(jī)輔助實(shí)現(xiàn)主機(jī)身份鑒別設(shè)定+堡壘機(jī)輔助主機(jī)安全解讀（2）分類基本要求說明及技術(shù)方案產(chǎn)品部署主機(jī)安全訪問控制（S3） a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問； 由操作系統(tǒng)自身的權(quán)限控制實(shí)現(xiàn)，可由堡壘機(jī)輔助主機(jī)訪問控制策略設(shè)定+堡壘機(jī)輔助b) 應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用

28、戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限； 由操作系統(tǒng)自身的權(quán)限控制實(shí)現(xiàn)，可由堡壘機(jī)輔助主機(jī)訪問控制策略設(shè)定+堡壘機(jī)輔助c) 應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離； 系統(tǒng)分級(jí)管理，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶分離，由不同的管理員行使特權(quán)主機(jī)訪問控制策略設(shè)定+堡壘機(jī)輔助d) 應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令； 漏掃系統(tǒng)定期檢查系統(tǒng)默認(rèn)賬戶口令主機(jī)訪問控制策略設(shè)定+堡壘機(jī)、漏掃輔助（缺失）e) 應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。 定期檢查系統(tǒng)多余賬號(hào)，員工離職或調(diào)崗需提交賬戶銷戶申請(qǐng)主機(jī)訪問控制策略設(shè)定+堡壘機(jī)輔助f) 應(yīng)對(duì)重要信息

29、資源設(shè)置敏感標(biāo)記； 基于安全標(biāo)志實(shí)施強(qiáng)制訪問控制，控制主體對(duì)客體的操作操作系統(tǒng)加固g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；基于安全標(biāo)志實(shí)施強(qiáng)制訪問控制，控制主體對(duì)客體的操作操作系統(tǒng)加固主機(jī)安全解讀（3）分類基本要求說明及技術(shù)方案產(chǎn)品部署主機(jī)安全安全審計(jì)（G3）a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶； 技術(shù)點(diǎn)解析：審計(jì)主機(jī)操作記錄，提供有效展示，并確保日志安全存儲(chǔ)、穩(wěn)定可靠。應(yīng)對(duì)方案：通過專用審計(jì)系統(tǒng)、運(yùn)維管理系統(tǒng)配合實(shí)現(xiàn)堡壘機(jī)、數(shù)據(jù)庫審計(jì)（缺失）SIEM（缺失）b) 審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系

30、統(tǒng)內(nèi)重要的安全相關(guān)事件； c) 審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等； d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； e) 應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷； f) 應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。 主機(jī)安全解讀（4）分類基本要求說明及技術(shù)方案產(chǎn)品部署主機(jī)安全剩余信息保護(hù)（S3） a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中； 用戶鑒別信息不在硬盤上靜態(tài)存儲(chǔ)，并配置服務(wù)器不顯示上次登錄用戶名系統(tǒng)加固b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等

31、資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除。操作系統(tǒng)對(duì)剩余信息進(jìn)行處理設(shè)置。以Windows系統(tǒng)為例：打開“本地安全策略”-本地策略中的安全選項(xiàng)；查看是否選中“關(guān)機(jī)前清除虛擬內(nèi)存頁面”；打開“本地安全策略”-“帳戶策略”中的密碼策略；查看是否選中“用可還原的加密來存儲(chǔ)密碼”系統(tǒng)加固入侵防范（G3） a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警； 系統(tǒng)入侵防范，網(wǎng)絡(luò)入侵防范系統(tǒng)輔助NIP、LogCenterb) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；

32、操作系統(tǒng)自身的安全機(jī)制保障系統(tǒng)配置和管理保障c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。強(qiáng)制補(bǔ)丁檢查、補(bǔ)丁分發(fā)主要涉及到兩個(gè)方面的內(nèi)容，分別是：系統(tǒng)服務(wù)、補(bǔ)丁升級(jí)。遵循最小安裝原則，僅開啟需要的服務(wù)，安裝需要的組件和程序，可以極大的降低系統(tǒng)遭受攻擊的可能性。及時(shí)更新系統(tǒng)補(bǔ)丁，可以避免遭受由系統(tǒng)漏洞帶來的風(fēng)險(xiǎn)AD域控終端管控軟件漏掃系統(tǒng)（缺失）主機(jī)安全解讀（5）分類基本要求說明及技術(shù)方案產(chǎn)品部署主機(jī)安全惡意代碼防范（G3）a) 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫； 安裝殺毒軟件，及時(shí)升級(jí)特征庫，強(qiáng)

33、制認(rèn)證檢查殺毒軟件版本和病毒庫防病毒軟件b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫； c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。資源控制（A3） a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄； 準(zhǔn)入控制系統(tǒng)策略+堡壘機(jī)輔助b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定； 系統(tǒng)配置保障系統(tǒng)策略+堡壘機(jī)輔助c) 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況； 應(yīng)用管理平臺(tái)輔助eSightd) 應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度； 系統(tǒng)配置保障系統(tǒng)配置保障e) 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。應(yīng)

34、用管理平臺(tái)輔助eSight應(yīng)用及數(shù)據(jù)安全應(yīng)用安全身份鑒別訪問控制安全審計(jì)剩余信息保護(hù)通信完整性通信保密性防抵賴軟件容錯(cuò)資源控制要點(diǎn)身份鑒別訪問控制安全審計(jì)剩余信息保護(hù)通信完整性通信保密性防抵賴軟件容錯(cuò)資源控制組合鑒別技術(shù)敏感標(biāo)記的設(shè)置審計(jì)報(bào)表及審計(jì)記錄的保護(hù)敏感信息清楚、存儲(chǔ)空間釋放加密技術(shù)整個(gè)報(bào)文及會(huì)話傳輸過程加密原發(fā)證據(jù)的提供出錯(cuò)校驗(yàn)、自動(dòng)保護(hù)資源分配、優(yōu)先級(jí)、最小化服務(wù)及檢測(cè)報(bào)警數(shù)據(jù)安全要點(diǎn)數(shù)據(jù)完整性數(shù)據(jù)保密性備份和回復(fù)數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)數(shù)據(jù)存儲(chǔ)、傳輸，完整性檢測(cè)和恢復(fù)數(shù)據(jù)存儲(chǔ)、傳輸，加密保護(hù)冗余、備份應(yīng)用安全解讀（1）分類基本要求說明及技術(shù)方案產(chǎn)品部署應(yīng)用安全身份鑒別（S3

35、）a) 應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別； 應(yīng)用系統(tǒng)自身保障外部認(rèn)證系統(tǒng)b) 應(yīng)對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別； 雙因素認(rèn)證，例如：靜態(tài)密碼+動(dòng)態(tài)口令外部認(rèn)證系統(tǒng)c) 應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識(shí)，身份鑒別信息不易被冒用； 不存在共享賬號(hào)應(yīng)用配置d) 應(yīng)提供登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施； 應(yīng)用設(shè)置應(yīng)用配置e) 應(yīng)啟用身份鑒別、用戶身份標(biāo)識(shí)唯一性檢查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處理功能，并根據(jù)安全策略配置相關(guān)參數(shù)。 不存在共享賬號(hào)應(yīng)用配置應(yīng)用安

36、全解讀（2）分類基本要求說明及技術(shù)方案產(chǎn)品部署應(yīng)用安全訪問控制（S3）a) 應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對(duì)文件、數(shù)據(jù)庫表等客體的訪問； 系統(tǒng)配置保障系統(tǒng)配置保障漏掃系統(tǒng)輔助b) 訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作； 系統(tǒng)配置保障c) 應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限； 系統(tǒng)配置保障d) 應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。 系統(tǒng)配置保障e) 應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能； 系統(tǒng)配置保障f) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；系統(tǒng)配置保障應(yīng)用安全解讀

37、（3）分類基本要求說明及技術(shù)方案產(chǎn)品部署應(yīng)用安全安全審計(jì)（G3） a) 應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)； 技術(shù)點(diǎn)解析：審計(jì)應(yīng)用系統(tǒng)操作記錄，提供有效展示，并確保日志安全存儲(chǔ)、穩(wěn)定可靠。應(yīng)對(duì)方案：通過專用審計(jì)系統(tǒng)、運(yùn)維管理系統(tǒng)配合實(shí)現(xiàn)堡壘機(jī)、SIEM（缺失）、數(shù)據(jù)庫審計(jì)（缺失）b) 應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄； c) 審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等； d) 應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。剩余信息保護(hù)（S3）a) 應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配

38、給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中； 應(yīng)用策略，用戶在退出、注銷系統(tǒng)后，系統(tǒng)要對(duì)訪問進(jìn)程清理，對(duì)存儲(chǔ)用戶鑒別信息數(shù)據(jù)空間進(jìn)行完全清除應(yīng)用配置b) 應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。 應(yīng)用策略，系統(tǒng)對(duì)訪問進(jìn)程清理應(yīng)用配置應(yīng)用安全解讀（4）分類基本要求說明及技術(shù)方案產(chǎn)品部署應(yīng)用安全通信完整性（S3）應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。應(yīng)用策略，完整性校驗(yàn)應(yīng)用配置實(shí)現(xiàn)通信保密性（S3）a) 在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證； 應(yīng)用加密，HTTPS指紋識(shí)別等技術(shù)b) 應(yīng)對(duì)

39、通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密。通信協(xié)議加密、內(nèi)容加密抗抵賴（G3）a) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能； 用戶操作要有日志記錄、交易電子簽名b) 應(yīng)具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。用戶操作要有日志記錄、交易電子簽名軟件容錯(cuò)（A3）a) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求； 應(yīng)用自身防護(hù)，對(duì)數(shù)據(jù)有效性檢驗(yàn)，并規(guī)定每個(gè)輸入接口只允許輸入數(shù)字、字符等限制 b) 應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。防攻擊系統(tǒng)提供保護(hù)功能，當(dāng)故障發(fā)

40、生時(shí)或操作失敗能回退，并且數(shù)據(jù)庫有實(shí)時(shí)鏡像備份，能夠進(jìn)行恢復(fù)應(yīng)用安全解讀（5）分類基本要求說明及技術(shù)方案產(chǎn)品部署應(yīng)用安全資源控制（A3）a) 當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話； 應(yīng)用安全策略，設(shè)置會(huì)話超時(shí)時(shí)間應(yīng)用配置實(shí)現(xiàn)b) 應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制； 應(yīng)用安全策略，通過配置數(shù)據(jù)庫和中間件實(shí)現(xiàn)c) 應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限制； 應(yīng)用安全策略，限制單用戶不能同時(shí)多點(diǎn)登錄，且只能在單一瀏覽器窗口登錄d) 應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制； 應(yīng)用安全策略，流量控制設(shè)備/通過中間件線程池進(jìn)行配置限制e) 應(yīng)能夠?qū)?/p>

41、一個(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額； 應(yīng)用安全策略，設(shè)置應(yīng)用系統(tǒng)資源限額，超出限額時(shí)會(huì)給出提示信息f) 應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警； 應(yīng)用安全策略，通過安全監(jiān)控平臺(tái)/管理平臺(tái)，監(jiān)測(cè)應(yīng)用系統(tǒng)服務(wù)水平g) 應(yīng)提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源。 應(yīng)用安全策略，配置應(yīng)用根據(jù)不同用戶的資源使用優(yōu)先級(jí)分配系統(tǒng)資源數(shù)據(jù)安全解讀（1）分類基本要求說明及技術(shù)方案產(chǎn)品部署數(shù)據(jù)安全數(shù)據(jù)完整性（S3）a) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測(cè)到完整性

42、錯(cuò)誤時(shí)采取必要的恢復(fù)措施； 利用校驗(yàn)技術(shù)來保證數(shù)據(jù)傳輸?shù)耐暾詡鬏敿用茌o助：防火墻、下一代防火墻b) 應(yīng)能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。 將存儲(chǔ)數(shù)據(jù)生成多份，保證當(dāng)數(shù)據(jù)完整性受到破壞時(shí)可恢復(fù)數(shù)據(jù)傳輸加密輔助：防火墻、下一代防火墻數(shù)據(jù)保密性（S3）a) 應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性； 加密機(jī)、加密協(xié)議、傳輸加密傳輸加密：防火墻、下一代防火墻b) 應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。備份和加密存儲(chǔ)，審計(jì)日志直接存儲(chǔ)，關(guān)鍵用戶信息進(jìn)

43、行加密存儲(chǔ)應(yīng)用配置數(shù)據(jù)安全解讀（2）分類基本要求說明及技術(shù)方案產(chǎn)品部署數(shù)據(jù)安全備份和恢復(fù)（A3）a) 應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放； 管理要求每天進(jìn)行完全數(shù)據(jù)備份，本地實(shí)時(shí)鏡像備份b) 應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地； 管理要求同城和異地準(zhǔn)時(shí)備份，批量傳送c) 應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障； 管理要求重要設(shè)備、服務(wù)器均采用冗余設(shè)計(jì)d) 應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。管理要求重要設(shè)備、服務(wù)器均采用冗余設(shè)計(jì)等級(jí)保護(hù)安全技術(shù)方案互聯(lián)網(wǎng)接入?yún)^(qū)SSL

44、VPN網(wǎng)關(guān)管理區(qū)數(shù)據(jù)中心區(qū)管理區(qū)FW上網(wǎng)行為管理邊界FW核心FW/IPSInternetDDoS防御運(yùn)維審計(jì)系統(tǒng)Web服務(wù)區(qū)Web服務(wù)器Web防火墻安全沙箱網(wǎng)絡(luò)管理系統(tǒng)終端安全準(zhǔn)入系統(tǒng)日志審計(jì)系統(tǒng)接入?yún)^(qū)接入用戶接入用戶接入用戶IPS/AV防火墻漏洞掃描系統(tǒng)態(tài)勢(shì)感知CIS等級(jí)保護(hù)二、三級(jí)關(guān)鍵點(diǎn)說明技術(shù)方面安全審計(jì)、邊界完整性檢查、入侵防范、資源控制以及通信保密性等控制點(diǎn)網(wǎng)絡(luò)安全不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時(shí)還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時(shí)的需要加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù)，增加了安全審計(jì)、邊界完整性檢查、入侵防范等控制點(diǎn)對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡(jiǎn)單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)

45、的要求。是等級(jí)保護(hù)二級(jí)要求的擴(kuò)展加強(qiáng)三級(jí)要求主干鏈路冗余，設(shè)備性能有冗余技術(shù)方面網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴，如訪問控制增加了對(duì)重要信對(duì)身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進(jìn)一步的要求息資源設(shè)置敏感標(biāo)記等網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)處理能力增加了“優(yōu)先級(jí)”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時(shí)仍能夠正常運(yùn)行網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動(dòng)的“防”，還應(yīng)能夠主動(dòng)發(fā)出一些動(dòng)作，如報(bào)警、阻斷等，網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。二級(jí)三級(jí)三級(jí)等保實(shí)施方案（通用）三級(jí)系統(tǒng)安全保護(hù)環(huán)境基本要求與對(duì)應(yīng)產(chǎn)品使用范圍基本要求產(chǎn)品類型舉例

46、安全計(jì)算環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)（VLAN劃分）三層交換機(jī)（防火墻）MPLS VPN訪問控制（權(quán)限分離）主機(jī)核心加固系統(tǒng)入侵防范（檢測(cè)告警）主機(jī)入侵檢測(cè)產(chǎn)品（HIDS）備份恢復(fù)（數(shù)據(jù)備份）設(shè)備冗余、本地備份（介質(zhì)場(chǎng)外存儲(chǔ)）數(shù)據(jù)完整性、保密性VPN設(shè)備剩余信息管理終端綜合管理系統(tǒng)身份認(rèn)證（雙因素）證書、令牌、密?？◥阂獯a防范（統(tǒng)一管理）網(wǎng)絡(luò)版主機(jī)防病毒軟件安全區(qū)域邊界區(qū)域邊界訪問控制（協(xié)議檢測(cè)）防火墻（IPS）資源控制（優(yōu)先級(jí)控制）帶寬管理、流量控制設(shè)備區(qū)域邊界入侵檢測(cè)IDS區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)，沙箱區(qū)域邊界完整性保護(hù)終端綜合管理系統(tǒng)安全通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全審計(jì)上網(wǎng)行為管理數(shù)據(jù)傳輸完整性、保密性

47、保護(hù)VPN設(shè)備安全管理中心系統(tǒng)管理 安全管理平臺(tái)審計(jì)管理（網(wǎng)絡(luò)、主機(jī)、應(yīng)用） 安全審計(jì)系統(tǒng)等級(jí)保護(hù)幾點(diǎn)問題澄清等保不僅僅是安全的舞臺(tái)，像交換機(jī)、路由器都是需要的，數(shù)通安全同品牌可是我們克敵制勝法寶哦等保是功能的要求，而不是設(shè)備的羅列防火墻-必備入侵防御- 三級(jí)必備交換機(jī)等數(shù)通產(chǎn)品-必備網(wǎng)閘-四級(jí)以上漏掃-沒要求堡壘機(jī)-推薦我們?cè)O(shè)備種類全面滿足等保的要求，華為的自主可控是最好的等保廠商等級(jí)保護(hù)建設(shè)常見問題THE BUSENESS PLAN新等級(jí)保護(hù)差異變化云計(jì)算帶來了新的安全風(fēng)險(xiǎn)IDC云IDC虛擬化平臺(tái)共享彈性資源租戶傳統(tǒng)網(wǎng)絡(luò)邊界消失業(yè)務(wù)自動(dòng)化傳統(tǒng)IDC租戶資源物理獨(dú)立租戶網(wǎng)絡(luò)邊界清晰新增業(yè)務(wù)耗

48、時(shí)外部威脅內(nèi)部威脅DDOS攻擊網(wǎng)絡(luò)掃描、監(jiān)聽木馬、蠕蟲、病毒入侵掛馬、SQL注入非授權(quán)訪問越權(quán)訪問&操作內(nèi)網(wǎng)IP、ARP欺騙病毒二次擴(kuò)散非法終端接入關(guān)鍵信息泄密新增外部威脅新增內(nèi)部威脅接入終端更多樣，各種移動(dòng)終端、VDI終端；新的針對(duì)Hypervisor漏洞攻擊；VM存在相互攻擊、流量不可視，取證困難；VM動(dòng)態(tài)遷移需要安全策略保持一致性；存儲(chǔ)數(shù)據(jù)物理位置不可知，用戶擔(dān)心數(shù)據(jù)隱私泄露；云IDC的管理集中帶來管理員的權(quán)限濫用風(fēng)險(xiǎn)；云計(jì)算平臺(tái)面臨的挑戰(zhàn)風(fēng)險(xiǎn)影響嚴(yán)重持續(xù)增多數(shù)據(jù)丟失篡改或泄露網(wǎng)絡(luò)攻擊利用不安全接口的攻擊云服務(wù)中斷越權(quán)、濫用與誤操作濫用云服務(wù)利用共享技術(shù)漏洞進(jìn)行的攻擊過度依賴數(shù)據(jù)殘留新環(huán)

49、境下等保的變革等保2.0國家標(biāo)準(zhǔn)GB/T 222392008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求在開展信息安全等級(jí)保護(hù)工作的過程中起到了非常重要的作用，被廣泛應(yīng)用于各個(gè)行業(yè)和領(lǐng)域開展信息安全等級(jí)保護(hù)的建設(shè)整改和等級(jí)測(cè)評(píng)等工作，但是隨著信息技術(shù)的發(fā)展，GB/T 222392008在時(shí)效性、易用性、可操作性上需要進(jìn)一步完善。為了適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用情況下信息安全等級(jí)保護(hù)工作的開展，需對(duì)GB/T 222392008進(jìn)行修訂，修訂的思路和方法是針對(duì)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域提出擴(kuò)展的安全要求。GB/T 22239.1

50、信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第 1 部分 安全通用要求； GB/T 22239.2 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第 2 部分 云計(jì)算安全擴(kuò)展安全要求； GB/T 22239.3 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第 3 部分 移動(dòng)互聯(lián)安全擴(kuò)展要求； GB/T 22239.4 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第 4 部分 物聯(lián)網(wǎng)安全擴(kuò)展要求； GB/T 22239.5 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第 5 部分 工業(yè)控制安全擴(kuò)展要求；GB/T 22239.6 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第 6 部分 大數(shù)據(jù)安全擴(kuò)展要求； 新等保系列標(biāo)準(zhǔn)

51、目前主要有六個(gè)部分 安全通用技術(shù)要求物理和環(huán)境安全設(shè)備與計(jì)算安全應(yīng)用和數(shù)據(jù)安全物理位置的選擇物理訪問控制防盜竊和防破壞防雷/火/水/潮溫濕度控制電力供應(yīng)防靜電電磁防護(hù)身份鑒別惡意代碼防范訪問控制入侵防范安全審計(jì)資源控制身份鑒別訪問控制安全審計(jì)網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)通信傳輸邊界防護(hù)訪問控制入侵防范惡意代碼防范安全審計(jì)集中管控軟件容錯(cuò)資源控制數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復(fù)剩余信息保護(hù)個(gè)人信息保護(hù)技術(shù)要求新舊等級(jí)保護(hù)標(biāo)準(zhǔn)主要變化點(diǎn)主體增加責(zé)任不同云平臺(tái)的安全保護(hù)等級(jí)不能低于所承載信息系統(tǒng)的安全保護(hù)等級(jí)，即云平臺(tái)只能承載等保同級(jí)別或低級(jí)別的租戶系統(tǒng)。級(jí)別匹配云計(jì)算平臺(tái)的測(cè)評(píng)對(duì)象較之傳統(tǒng)測(cè)評(píng)對(duì)象新增了

52、虛擬化相關(guān)的測(cè)評(píng)對(duì)象對(duì)象增加云定級(jí)主體包括兩部分：云平臺(tái)本身云租戶信息系統(tǒng)IaaS模式下物理機(jī)房、物理服務(wù)器、物理網(wǎng)絡(luò)和云平臺(tái)軟件的安全由云服務(wù)商負(fù)責(zé)，租戶需要對(duì)業(yè)務(wù)系統(tǒng)安全、虛擬機(jī)OS安全、數(shù)據(jù)安全、虛擬網(wǎng)絡(luò)安全等負(fù)責(zé)。 舊等保新等保等級(jí)保護(hù)對(duì)象原來描述“信息系統(tǒng)”“物理安全”、“網(wǎng)絡(luò)安全”、“主機(jī)安全”、“應(yīng)用安全”和“數(shù)據(jù)安全和備份與恢復(fù)“安全管理制度” “安全管理機(jī)構(gòu)” “人員安全管理” “系統(tǒng)建設(shè)管理”“系統(tǒng)運(yùn)維管理”“安全策略和管理制度”“安全管理機(jī)構(gòu)和人員”“安全建設(shè)管理”“安全運(yùn)維管理”物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全

53、應(yīng)用和數(shù)據(jù)安全原來有安全控制點(diǎn)的SAG標(biāo)注取消了為何云平臺(tái)需要等保三級(jí)認(rèn)證云平臺(tái)等級(jí)保護(hù)三級(jí)認(rèn)證 云計(jì)算是一種能夠動(dòng)態(tài)伸縮的虛擬化資源，通過互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶的計(jì)算模式。云計(jì)算時(shí)代，資源和數(shù)據(jù)都在云端，相比傳統(tǒng)IT技術(shù)，云計(jì)算面臨更嚴(yán)峻的安全挑戰(zhàn)。云平臺(tái)通過等保三級(jí)，一方面意味著其安全性達(dá)到國家標(biāo)準(zhǔn)的較高水準(zhǔn)，另一方面則可以助力云平臺(tái)所承載業(yè)務(wù)的安全水平提升，有利于業(yè)務(wù)系統(tǒng)自身的等級(jí)保護(hù)安全建設(shè)。反之，若云平臺(tái)不通過等保三級(jí)，則無法承載三級(jí)或三級(jí)以上政務(wù)系統(tǒng)。云等保的定級(jí)對(duì)象是什么在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)，云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)

54、對(duì)象定級(jí)。對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。云平臺(tái)-物理和環(huán)境安全云服務(wù)方所提供的物理設(shè)備以及云租戶的關(guān)鍵業(yè)務(wù)和數(shù)據(jù)都應(yīng)該在“中國境內(nèi)”確保數(shù)據(jù)不出境。云服務(wù)方應(yīng)具有IDC運(yùn)營(yíng)資質(zhì)。解讀確保云計(jì)算服務(wù)器、承載云租戶賬戶信息、鑒別信息、系統(tǒng)信息及運(yùn)行關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的物理設(shè)備均位于中國境內(nèi)；IDC應(yīng)具有國家相關(guān)部門頒發(fā)的IDC運(yùn)營(yíng)資質(zhì)。標(biāo)準(zhǔn)條款6.1.1：在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)，物理和環(huán)境安全應(yīng)符合以下要求：云平臺(tái)-網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)劃分資源池云平臺(tái)上需要?jiǎng)澐仲Y源池既有二級(jí)業(yè)務(wù)又有三級(jí)業(yè)務(wù)的，需要?jiǎng)澐侄?jí)資源池和三級(jí)資源池資源池之間的隔離三級(jí)（含）以下業(yè)務(wù)，資源池之間網(wǎng)絡(luò)隔離，允許邏輯隔離；四級(jí)資源池與級(jí)別資源池之間隔離，必須物理隔離。解讀標(biāo)準(zhǔn)條款: （三級(jí)）f)根據(jù)承載的業(yè)務(wù)系統(tǒng)安全保護(hù)等級(jí)劃分不同安全級(jí)別的資源池區(qū)域，并實(shí)現(xiàn)資源池之間的網(wǎng)絡(luò)隔離；（四級(jí)）f）根據(jù)承載的業(yè)務(wù)系統(tǒng)安全保護(hù)等級(jí)劃分不同