等保2.0

行业资讯1

等保2.0密码要求是什么?法律依据有哪些?

等保2.0 政策已经明确要求密码技术,密码技术主要出现在三级和四级安全要求中,主要涉及安全通信网络、安全计算环境、安全运输管理等部分。那等保2.0密码具体要求是什么?法律依据有哪些? 等保2.0密码要求是什么? 1、真实性 应在通信前基于密码技术对通信的双方进行验证或认证; 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 2、保密性 应采用密码技术保证通信过程中数据的保密性。 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 3、完整性 应采用校验技术或密码技术保证通信过程中数据的完整性; 应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; 应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 4、不可否认性 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。 5、密码管理要求 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容; 密码管理应遵循密码相关国家标准和行业标准; 密码管理应使用国家密码管理主管部门认证核准的密码技术和产品。 6、利用密码技术可以有效解决的问题 ①可信验证: 可基于可信根对系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知; 应采用可信验证机制对接入到网络中的设备进行可信验证,保证接入网络的设备真实可信; ②远程管理:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; ③集中管理:应能够建立一条安全的信息传输路径,对网络中的安全设备或者安全组件进行管理。 等保2.0密码要求法律依据有哪些? 1、网络安全法 “网络安全法”总则第十条中明确,“维护网络数据的完整性、保密性和可用性”。 第二十一条中表明“国家实行网络安全等级保护制度,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,且需要采取数据分类、重要数据备份和加密等措施”。以上内容均可以通过正确、有效地使用密码技术来满足相应的需求,其中使用密码技术对数据加密可以防数据泄露,使用密码技术的完整性功能可以防止攻击者对数据的篡改。 2、密码法 密码法”第八条表明“公民、法人和其他组织可以依法使用商用密码保护网络与信息安全”。 第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。同时建立了以国产密码为核心的密码体系:1)国家建立和完善商用密码标准体系;2)推进商用密码检测认证体系建设;3)商用密码产品的检测认证;4)关键信息基础设施由商用密码检测机构开展商用密码应用安全性评估;5)采用商用密码技术从事电子政务电子认证服务。 3、信息安全等级保护管理办法 第三十四条国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。 信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。 第三十五条信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。 【相关链接】: 1、 等保2.0云计算安全扩展要求包括哪些? 2、 等保2.0政策之物联网安全扩展要求包括哪四个? 3、等 保2.0基本要求是什么?跟等保1.0一样吗?

2022年6月27日 · 行云管家
运维干货2

等保备案是等保测评吗?两者是什么关系?

等保 政策正在如火如荼的进行,但还有很多人对于 等保2.0 相关政策不是很了解。例如不知道傻傻分不清楚什么是 等保备案,什么是 等保测评,不知道两者是否一样吗?今天我们就来一起探讨一下。 等保备案是等保测评吗?两者是什么关系? 首先我们要明确一点的是,等保备案不是等保测评。等保备案是指二级以上信息运营、使用单位到所在地公关机关部门办理的备案手续。而等保测评是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。 其次,我们要知道等保备案和等保测评是等级保护工作的其中两个环节。我国实行网络安全等级保护制度,网络运营者需按照规定落实 等级保护 工作。等级保护工作具体又分为定级、备案、安全建设、等级测评、监督检查几个流程。备案指申办单位持定级报告和备案表等材料到公安机关网安部门进行备案,测评指申办单位委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。也就是说,等保备案不等于等保测评。 第三,对于二级及以上的信息系统来说,等保备案和等保测评都是必须做的。有些省份还要求企业一定要做完测评并提交正式的测评报告,不然得不到证书。 综上所述,等保备案不是等保测评,但两者又息息相关。 【相关链接】: 1、 等保备案是什么意思?应该去哪里办理备案? 2、 等保以及等保测评概念说明-行云管家 3、 等保测评是安全认证吗?

2022年6月24日 · 行云管家
大图营销子链-堡垒机-518-292

口令安全是什么意思?等保2.0政策中口令安全标准条款有哪些?

随着互联网的快速发展,口令的设置直接影响到网络的安全。所以确保口令安全至关重要。那口令安全具体是什么意思呢? 等保2.0 政策中口令安全标准条款有哪些?企业如何保障口令安全? 口令安全是什么意思? 口令又称密码,口令安全简单来说就是确保密码的安全性。现实生活中人们日常使用的开机“密码”、微信“密码”、银行卡支付“密码”等,这些“密码”实际上是口令。口令只是进入个人计算机、手机、电子邮箱或者个人银行账户的“通行证”,它是一种简单、初级的身份认证手段。 等保2.0政策中口令安全标准条款有哪些? 1、GB/T 22239—2019 《信息安全 网络安全等级保护基本要求》(GB/T 22239—2019)的第二级安全要求中,安全计算环境的身份鉴别控制点要求:“应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。” 2、GB/T 28448—2019 《信息安全 网络安全等级保护测评要求》(GB/T 28448—2019)中对身份鉴别控制点的测评实施提出如下要求: 1)应核查用户在登录时是否采用了身份鉴别措施; 2)应核查用户列表确认用户身份标识是否具有唯一性; 3)应核查用户配置信息是否不存在空口令用户; 4)应核查用户鉴别信息是否具有复杂度要求并定期更换。 单元判定:如果1-4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。 企业如何保障口令安全? 当企业拥有数量众多的硬件设备(如网络互联设备、安全设备和服务器等),一般可以采用 堡垒机 对这些设备进行统一运维管理。大多数情况下,通过将设备的账户口令管理托管到 堡垒机,管理员不再需要手工登录每台设备,并一一对口令长度、复杂度、更换周期策略等安全参数进行配置。这样从一定程度上保障了口令安全。 【相关链接】: 1、 等保2.0云计算安全扩展要求包括哪些? 2、 等保2.0政策之物联网安全扩展要求包括哪四个? 3、 等保2.0基本要求是什么?跟等保1.0一样吗?

2022年6月22日 · 行云管家
02-头条456x300

大数据系统包含哪些组件?需要过等保吗?

最近看到很多 过等保 小伙伴再问,大数据系统包含哪些组件?需要过等保吗?组件可以单独过等保吗?这里我们小编就给你简单回答一下吧! 大数据系统包含哪些组件? 【回答】:大数据系统主要包含四大组件,具体组件名称以及功能如下: 1、基础设施层:提供物理或虚拟的计算、网络和存储能力; 2、数据平台层:提供结构化和非结构化数据的物理存储、逻辑存储能力; 3、计算分析层:提供处理大量、高速、多样和多变数据的分析计算能力; 4、大数据管理:平台提供大数据平台的辅助服务能力。 大数据系统需要过等保吗? 【回答】:为了满足大数据发展带来的安全防护诉求,确保大数据系统的安全。一般大数据系统需要过等保。但具体定级需要 等保测评机构 进行测评。上述组件可能由不同运营者承担安全责任,从定级对象的责任主体出发,这些组件可独立或者组合作为定级对象,例如大数据平台、大数据应用、大数据资源、大数据资源与大数据应用、大数据资源与大数据平台等等。 知识拓展1: 大数据相关名称解释看这里 1、 大数据:具有体量巨大、来源多样、生成极快且多变等特征,并且难以用传统数据体系结构有效处理的包含大量数据集的数据。 2、数据生命周期:数据从产生,经过数据采集、数据传输、数据存储、数据处理(包括计算、分析、可视化等)、数据交换,直至数据销毁等各种生存形态的演变过程。 3、大数据应用:基于大数据平台对数据执行处理过程,通常包括数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁等环节。 4、大数据平台:为大数据应用提供资源和服务的支撑集成环境,包括基础设置层、数据平台层和计算分析层以及大数据管理平台等部分或者全部的功能。 知识拓展2:过等保用什么堡垒机品牌好? 过等保就选 行云管家堡垒机!行云管家堡垒机是业界领先的、全面满足 等保2.0 要求的 信息安全运维审计系统,经过严格测试,已经获得了计算机信息系统安全产品身份鉴别(网络)类销售许可证。其具备集中管控、多重防护等多种特性,支持多云、混合云IT架构,全方位保障了企业信息安全,是过等保之必备利器。

2022年6月17日 · 行云管家
03-头条456x300

【堡垒机】常见的堡垒机部署模式有哪些?

随着 等保2.0 政策的严格落地执行,越来越来多的企业需要 过等保。因此了解 堡垒机 相关知识也是非常必要的。有运维人员问,常见的堡垒机部署模式有哪些? 常见的堡垒机部署模式有哪些? 【回答】: 堡垒机 部署的方式有多种,一般来说有单机部署、HA高可靠部署、异地同步部署以及分布式部署。这几种部署方式各有差异。在单机部署方式下堡垒机主要是旁路部署,逻辑是串联的。异地同步部署方式下堡垒机之间可以自动同步。而分布式部署则是对很多堡垒机进行统一部署,同时有一个备用堡垒机。一旦主机堡垒机出现故障,则备用机自动接管服务。每一个部署方式各有所长,不同的应用场景下可以使用不同的部署方式。所以堡垒机部署模式主要取决于使用场景。 举例:行云管家堡垒机部署模式 1、标准单机部署:配置简单,实施成本低,适合小规模的资产管理; 2、高可用集群部署:高可用、可以有效避免单点故障,不中断业务; 3、分布式集群部署:针对多分支机构、对系统性能和稳定性有较高要求的集团性企业。 如需了解更多,请拨打4008825683! 知识拓展1:什么是堡垒机? 堡垒机 即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。 知识补充2:行云管家云堡垒机功能介绍 1、IT资产:支持对主机、网络存储设备、公有云以及私有云的混合式管理; 2、管理协议:支持RDP、SSH、VNC、Telnet、FTP/SFTP等多种管理协议; 3、运维审计:所有操作均可云端录像,全程审计; 4、移动运维:支持手机、平板等智能终端运维; 5、运维策略:对不同角色制定不同的运维策略; 6、密码策略:对主机进行批量改密和下发密钥; 7、 数据库 运维:持对MySQL、Oracle、SQLServer等主流数据库运维审计; 8、 自动化运维:对多台主机进行批量操作。 温馨提示:现在采购行云管家堡垒机优惠多多,咨询电话4008825683!

2022年6月16日 · 行云管家