佰倬信息科技有限责任公司佰倬数安产品与等保2.0匹配度分析 佰倬信息科技有限责任公司
EN
等级保护
您当前的位置:首页>>等级保护
等级保护

数安系列产品满足等保2.0三级要

什么是等级保护?


信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。



  • 等级保护的实施意义:


图片1



哪些行业需要开展等级保护工作:

图片2



等级保护工作具体有哪些?

等级保护工作包括定级、备案、安全建设和整改、等级保护测评、安全检查等五个阶段。

图片3


什么是等保2.0?


网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法,《网络安全法》出台后,网络等级保护进入2.0时代。2019年5月13日,网络安全等级保护制度2.0标准(以下简称等保2.0标准)正式发布,将于2019年12月1日开始实施。




发展历程

图片4


等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。




等保2.0 - 安全保护等级划分

一共分为五级,一级防护水平最低,最高等级为五级:

图片5

等保2.0的关键需求:

从被动防御转变为主动防御、动态防御;

完善的网络安全分析能力、未知威胁的检测能力。

等保2.0的基本内容:

“一个中心,三重防护”为网络安全技术设计的总体思路,其中一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安全通信网络。

图片6

安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护。


三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。


为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等保2.0要求分为安全通用要求和安全扩展要求。《网络安全等级保护基本要求》针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。


佰倬数安系列产品满足等保2.0三级要求

通用要求--安全计算环境:

评测项

评测要求

解读

匹配产品

8.1.4.2

访问控制

d授予管理用户所需的最小权限,实现管理用户的权限分离。

佰倬数安用基于进程的访问控制,有效弥补了传统的基于角色的访问控制的不足,实现了对管理用户的最小授权策略,成功将计算机维护和服务管理等权限管理有效区分开来。提供了数据安全性。这一点,传统的计算机管理系统没有实现。




 

e由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。

佰倬数安中,授权主体是佰倬数安的管理员,访问主体是进程,访问客体是数据文件,佰倬数安有效实现了访问策略的定义和严格执行,保证了数据的防泄露,防勒索。传统的计算机系统中,DAC以用户账号为访问主体,而一个用户下面的所有数据一起为一个客体,通常无法应对数据泄露和破坏。

f访问控制的颗粒度达到主体为用户级或进程级,客体为文件或数据库表级。

佰倬数安的访问控制颗粒度达到主体是进程,客体是文件。

传统的DAC原理上可以做到这个颗粒度,但是不实用,因为一个操作员使用多个计算机用户账号操作太不方便也就不实际。SE Linux也可以做到这个颗粒度,但是配置及其复杂,在现实中它通常被IT管理员说成“钻研到决定放弃”,实际上有效应用SE Linux的场景也及其少见。

g对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

佰倬数安以密码学手段对访问控制的主客体进行标识,严格实现主体对有安全标识客体的访问。

传统的DAC系统中无法通过安全标识区分不同的资源。SELinux可以做到,但是其应用太过复杂。

8.1.4.3

安全审计

a 启用安全审计功能,审计覆盖每个用户,对重要用户行为和重要安全事件进行审计。

佰倬数安的岗哨平台对所有被保护计算设备上的所有用户的数据操作行为都予以管理并且实现审计记录。

 

b 审计记录应包括日期和时间、用户、类型、是否成功等。

佰倬数安的岗哨平台记录了所有的被保护数据的访问,包括日期、事件、用户、进程、以及是否成功的结果。

8.1.4.4

入侵防范

f 能够检测到对重要节点进行入侵的行为,并在发生重大入侵事件时提供报警。

佰倬数安的岗哨平台上收集了所有的敏感数据的访问控制信息,通过这些信息,岗哨平台可以检测到对重要计算节点的入侵行为。

 

8.1.4.5

恶意代码防范

采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

佰倬数安引擎通过定义合法主体、敏感客体和相应的操作规则,并严格实现所定义的只允许合法主体访问被保护的敏感客体的规则,实现识别并免疫入侵或伤害行为,并且有效阻断这些行为。

和别的直接检测病毒主体特征的恶意代码防范方案不同,佰倬引擎不关心病毒主体本身的特征,而是专注在入侵伤害的病毒行为上,识别入侵和病毒行为,并且阻断它的对敏感数据的伤害。

 

8.1.4.7

数据完整性(邮件场景)

b 应采用校验技术或密码技术保证重要数据在存储中的完整性,包含但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

佰倬安全邮件客户端对所保护的重要数据,加上密码学标签,实现对这些数据的完整性的监视、审查和管控。

 

8.1.4.8

数据保密性

b 采用密码技术保证重要数据在存储中的保密性,包含但不限于鉴别数据、重要业务数据、和重要个人信息等。

佰倬数安引擎在文件系统内核层对所保护的重要数据进行加解密处理,一次一密,这种加解密对应用系统完全透明,完全不影响应用系统逻辑,方便、安全。

 

 




云计算安全计算环境:


评测项

评测要求

解读

匹配产品

8.2.4.3

入侵防范

b 应能检测非授权新建虚机或者重新启用虚拟机,并进行告警。

QWS中的复制检测可以实现这一点,或者岗哨平台根据在每台服务器上岗哨的注册也可以做出响应。

8.2.4.4

镜像和快照保护

a 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。

QWS中的主机加固组件可以通过移植实现镜像的安全;佰倬数安可作为安全组件加载到虚拟机镜像中,以加密技术结合内核层强访问控制为云租户提供敏感资源保护。

c 应采取密码技术或其它技术防止镜像或快照中可能存在的敏感资源被非法访问。

8.2.4.5

数据完整性和保密性

 

b 应确保只有在云租户授权下,云服务商或第三方才具有云服务客户数据的管理权限。

由云租户安装管理的佰倬数安可以实现对客户自己数据的保护,对云服务商或第三方实现访问管控。

佰倬数安可以作为安全组件加载到虚机镜像中,为云服务商满足这一要求提供实例,为云租户提供一个具体的工具。

d 应支持云租户部署密钥管理解决方案,保证客户自行实现数据的加解密过程。



如果您想更多的探索 佰倬如何保护您的数据
可以拨打以下联系方式联系我们,或者在本官网留言,我们会及时给予反馈!
无锡总部:江苏省无锡市国金中心59楼(钟书路99号)
上海分公司:上海市天玥桥路329号嘉汇广场B栋735室
+86-0510-85762088
https://www.bicdroid.com.cn/
support@bicdroid.com.cn、sales@bicdroid.com.cn
版权所有:佰倬信息科技有限责任公司(www.bicdroid.com.cn)  苏ICP备18051125号-1