《网络安全等级保护基本要求》关键项分析
  • 物理和环境安全

  • 网络和通信安全

  • 设备和计算安全

  • 应用和数据安全

  • 安全管理

物理和环境安全

物理位置选择:机房场地应选择在具有防震、防风和防雨等能力的建筑内

物理访问控制:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员

物理和环境安全:应确保云计算基础设施位于中国境内

防盗窃和防破坏:应设置机房防盗报警系统或设置有专人值守的视频监控系统

电力供应:应设置冗余或并行的电力电缆线路为计算机系统供电

建设策略

  • 华为云基础设施位于中国境内
  • 物理和环境安全,直接复用华为云等保测评结论即可

网络和通信安全

网络架构:根据云租户业务需求自主设置安全策略集,包括定义访问路径、选择安全组件、配置安全策略

访问控制:在不同等级的网络区域边界部署访问控制机制,设置访问控制规则

通信传输:应采用校验码技术或加解密技术保证通信过程中数据的完整性

边界防护:应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信

入侵防范:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警

安全审计:根据云服务方和云租户的职责划分,收集各自控制部分的审计数据

建设策略

  • 推荐安全组、vNGFW通过设置基本的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问
  • 推荐VPN、安全证书服务,采取加密措施,防止数据在传输过程中遇到破坏、窃取等各种攻击
  • 推荐Anti-DDOS,云WAF服务,针对互联网日渐增多的DDoS、Web攻击进行防御,精准有效地实现对流量型攻击和应用层攻击的全面防护
  • 推荐vNGFW、云审计服务,在安全区域边界建立必要的审计机制,对进出边界的各类网络行为进行审计,可以和主机审计、应用审计以及网络审计形成多层次的审计系统

设备与计算安全

身份鉴别:当进行远程管理时,管理终端和云计算平台边界设备之间建立双向身份验证机制

访问控制:提供云计算平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限

安全审计:根据云服务方和云租户的职责划分,收集各自控制部分的审计数据并实现集中审计

入侵防范:虚拟机之间的资源隔离失效,并进行告警

恶意代码防范:应能够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警

建设策略

  • 推荐堡垒机、数据库安全服务对服务器和数据库的运维及操作行为进行审计
  • 管理员使用各自的账户进行管理活动,管理员的权限仅分配其所需的最小权限。在制定好的访问控制策略下进行操作,杜绝越权非法操作
  • 推荐主机安全服务,防止各类具有针对性的入侵威胁,发现常见操作系统存在的各种安全漏洞,及时更新恶意代码库

应用与数据安全

身份鉴别:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换

访问控制:应授予不同账号为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系

安全审计:根据云服务方和云租户的职责划分,收集各自控制部分的审计数据并实现集中审计

数据完整性:应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性

数据备份恢复:云租户应在本地保存其业务数据的备份

建设策略

  • 云租户业务系统应自行实现身份鉴别、访问控制、安全审计功能,为相关安全事件提供审计
  • 推荐安全证书服务实现HTTPS,采取加密措施,确保数据在传输过程中处于加密状态
  • 推荐云硬盘备份服务,实现数据冗余备份机制

安全管理

安全策略和管理制度:应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系

安全管理机构和人员:应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权

安全建设管理:应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件

安全运维管理:应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补

建设策略

  • 企业应制定完善的安全管理制度,根据基本要求设置安全管理机构,梳理管理文件,明确组织人员的岗位职责,定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等
  • 推荐Web漏洞扫描、安全体检服务,检测租户站点的漏洞,提前防范黑客利用漏洞进行攻击,防止利益损失和数据泄露
业务挑战
  • 等保测评任务艰巨

    对于企业而言,等保是安全建设的必过标杆,但客户单位对新等保缺乏深入了解,不知道如何入手,整个等保测评流程时间过长

  • 等保服务质量参差不齐

    很大一部分客户单位需要专业的安全服务支持,但等保咨询和测评机构繁多,服务质量参差不齐,难以建立可靠的合作关系

  • 等保技术方案挑战大

    传统安全防御体系难以适应云计算模式,安全技术方案需要随之变化,如何选择适合云上租户自身的建设方案,是技术上的挑战

方案简介
  • 安全责任共担

  • 等保服务流程

  • 等保合规生态

安全责任共担

华为云和租户安全责任共担,云平台和租户单独定级

华为云可提供

华为云平台等保备案证明 华为云测评报告关键页 华为云部分测评项说明

责任分担详解

云租户主要负责对华为云服务的定制配置和自行部署的信息系统的运维运营
华为云对提供的各项基础服务、平台服务和应用服务负责,包括各项服务内置的安全功能

等保服务流程

华为云依托自身的行业优势以及华为云安全产品能力,拉通行业优质资源为客户提供一站式安全测评服务

等保服务流程

华为云推荐优质的咨询和测评机构,提供全面的安全产品和服务,协助客户完成等保测评工作,保证测评的时间以及测评的质量

等保合规生态

避免多点沟通和重复工作、缩短测评时间、提供云上安全合规的等保服务

等保工作分工

客户

做为等保的主体,分别与咨询和测评机构签订服务合同,负责业务系统满足等保要求的安全整改

华为云

推荐优质的咨询或测评机构,并根据客户的业务系统,提供全面的安全技术方案

咨询机构

沟通咨询需求,提供全流程技术支撑和咨询服务

测评机构

开展等保测评工作,给出整改建议,提供测评报告

等保认证中心

负责备案审核和监督检查

等保合规安全解决方案架构

等保合规架构

为客户提供一站式的安全技术方案,帮助客户快速、低成本完成安全整改,轻松应对等保合规测评

等保基本要求

  • 物理和环境安全:主要包括物理位置选择,物理位置访问控制
  • 网络和通信安全:主要包括网络架构、访问控制、通信传输、入侵防范、安全审计
  • 设备和计算安全:主要包括身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范
  • 应用和数据安全:主要包括身份鉴别、访问控制、安全审计、数据完整性与保密性、备份与恢复
  • 安全管理:主要包括安全策略、安全管理制度与流程规范、人员组织、安全管理基线
  • 产品推荐

    优势

    优质的等保测评服务

    联合各地优质的咨询和测评机构,避免多点沟通和重复工作、缩短测评时间

    合规的基础设施平台

    华为云平台已通过等保三级,平台等保测评结果能够为租户的等保合规认证复用

    全面的安全防护体系

    华为云提供丰富的安全产品,全面满足等保要求,快速、低成本完成安全整改

    完备的等保合规生态

    华为云引入优质的生态合作伙伴,提供客户多种选择

    立即注册