文档

等保三级预检合规包

更新时间:

本文为您解读等保2.0的具体内容,以及等保三级预检合规包中的默认规则。

什么是等保2.0

等保2.0是指网络安全等级保护制度2.0国家标准,该标准已于2019年05月13日正式发布,并于2019年12月01日正式实施。等保2.0的发展和演进史如下图所示。

等保2.0

等保2.0的重要变化

  • 云上信息系统纳入检测范围。

    基于等保1.0的网络和信息系统,新增了云计算平台、大数据平台、物联网、移动互联技术系统、工业控制系统。充分考虑了当前企业信息系统的业务多样性和复杂性。

  • 云上租户的信息系统成为独立的检测对象。

    在等保1.0中,企业托管资源的云平台通过相应等保等级,即认为相应云上租户通过了相应等级。随着云上服务的复杂度和灵活性日渐成熟,云上租户对托管的资源具有越来越高的控制权,所以从等保2.0开始,云上租户使用云平台服务所构建的云上信息系统将作为独立的检测对象。

  • 强调持续的安全能力构建,而非一次性检测。

    等保1.0主要关注在检测当时系统的合规状态,检测完成后,系统是否能持续保持安全合规是无法监管的。等保2.0在制定过程中,将对系统的持续合规要求融入到条例中,引导并监督企业构建一个可持续保护信息系统的安全能力。以PPDR(以策略为中心,构建防护、检测和响应防护机制)为核心思想、以可信认证为基础、以访问控制为核心,构建可信、可控和可管的立体化纵深防御体系。

    分类

    说明

    可信

    以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。

    可控

    以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。

    可管

    通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于本平台对系统进行更好的管理,从而弥补了我们现在重机制、轻管理的不足,保证信息系统安全可管。

    等保2.0以“一个中心,三重防护”为网络安全技术设计的总体思路,其中一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界和安全通信网络。

    • 安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变成主动防护,从静态防护转变成动态防护,从单点防护转变成整体防护,从粗放防护转变成精准防护。

    • 三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。

等保1.0和2.0的差异如下表所示。

等保1.0

等保2.0

事前预防、事中响应、事后审计的纵深防御思路。

在“一个中心、三重防护”的理念基础上,注重全方位主动防御、安全可信、动态感知和全面审计。

60分以上基本符合。等保三级每年检测一次,等保四级每半年检测一次。

70分以上基本符合,等保三级和四级每年检测一次。

云上信息系统过等保的五大困难

等保2.0侧重视持续的合规监管能力,且要求等保三级和等保四级均每年检测一次。但资源托管在云端,云上信息系统过等保,具体困难如下表所示。

困难

说明

云上检测范围不明确

虚拟化IT设施与传统IT的部分概念不同,面对复杂的云上配置,无从下手。

无集中的资源管理

云平台如果不提供配置管理数据库CMDB(Configuration Management Database)能力,在等保的反复检测和整改过程中,仅向检测结构举证和演示云上系统详情,操作就非常繁琐。

自己不掌握系统数据

资源托管在云端,等保2.0要求举证管理行为的日志和合规情况,需要依赖云平台对审计数据的输出。

无法自建自动化检测

通常云下企业都有自己的配置管理数据库CMDB,只要合规和要求明确,完全可以自己写脚本扫描配置完成自检和监控。现在资源托管在云上,如果想通过脚本实现自检,则需要持续同步云上配置到云下,仅配置同步就消耗巨大的成本。

混合云截断成两部分

混合云的技术选型导致同一个业务系统部分在云上,部分在云下,无论是自检、扫描、监控或检测,都必须分开两次,人力和时间成本巨大。

借助云平台能力,实现持续监管

针对以上五大困难,阿里云在配置审计服务中,为您提供免费的等保预检能力,在等保预检和整改环节为企业助力。

配置审计将等保2.0条例解读为云上的合规检测规则,并持续监控资源的变更,动态实时的执行合规评估,及时推送不合规告警,让企业能时刻掌握云上信息系统的合规性。

等保三级预检合规包

等保三级预检模板包含对等保2.0部分建议的规则,该合规包模板中的规则及其对应的建议项如下表所示。

说明

合规包模板为您提供通用的合规性框架,通过输入规则参数和修正设置,可以帮助您快速创建符合目标场景的合规包。规则的“合规”仅指符合规则定义本身的合规性描述,不确保您符合特定法规或行业标准的所有要求。

规则名称

规则描述

建议项编号

建议项说明

使用专有网络类型的ECS实例

如果未指定参数,检查ECS实例的网络类型为专有网络,视为“合规”;如果指定参数,检查ECS实例的专有网络实例在指定参数范围内,视为“合规”。

8.1.2.1

a)应保证网络设备的业务处理能力满足业务高峰期需要。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

8.1.2.1

e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。

8.1.2.2

a)应采用密码技术保证通信过程中数据的完整性。

8.1.2.2

b)应采用密码技术保证通信过程中数据的保密性。

使用专有网络类型的RDS实例

如果未指定参数,检查RDS实例的网络类型为专有网络,视为“合规”;如果指定参数,检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。

8.1.2.1

a)应保证网络设备的业务处理能力满足业务高峰期需要。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

8.1.2.1

e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。

8.1.2.2

a)应采用密码技术保证通信过程中数据的完整性。

8.1.2.2

b)应采用密码技术保证通信过程中数据的保密性。

使用专有网络类型的Redis实例

如果未指定参数,检查Redis实例的网络类型为专有网络,视为“合规”;如果指定参数,检查Redis实例的专有网络实例在指定参数范围内,视为“合规”。

8.1.2.1

a)应保证网络设备的业务处理能力满足业务高峰期需要。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

8.1.2.1

e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。

8.1.2.2

a)应采用密码技术保证通信过程中数据的完整性。

8.1.2.2

b)应采用密码技术保证通信过程中数据的保密性。

使用专有网络类型的MongoDB实例

如果未指定参数,则检查MongoDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查MongoDB实例的专有网络实例在指定参数范围内,视为“合规”。

8.1.2.1

a)应保证网络设备的业务处理能力满足业务高峰期需要。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

8.1.2.1

e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。

8.1.2.2

a)应采用密码技术保证通信过程中数据的完整性。

8.1.2.2

b)应采用密码技术保证通信过程中数据的保密性。

推荐使用专有网络类型的PolarDB实例

如果未指定参数,则检查PolarDB实例的网络类型为专有网络,视为“合规”;如果指定参数,则检查PolarDB实例的专有网络实例在指定参数范围内,视为“合规”。

8.1.2.1

a)应保证网络设备的业务处理能力满足业务高峰期需要。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

8.1.2.1

e)应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。

8.1.2.2

a)应采用密码技术保证通信过程中数据的完整性。

8.1.2.2

b)应采用密码技术保证通信过程中数据的保密性。

弹性IP实例带宽满足最低要求

弹性公网IP实例的可用带宽大于等于您设置的参数,视为“合规”。

8.1.2.1

b)应保证网络各个部分的带宽满足业务高峰期需要。

SLB实例满足指定带宽要求

SLB实例的可用带宽大于等于规则中指定的参数值,视为“合规”。

8.1.2.1

b)应保证网络各个部分的带宽满足业务高峰期需要。

安全组不允许对全部网段开启风险端口

当安全组入方向网段未设置为0.0.0.0/0时,视为“合规”;当安全组入方向网段设置为0.0.0.0/0,但指定的风险端口为关闭状态时,视为“合规”。

8.1.3.1

a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

8.1.4.4

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

安全组入网设置有效

安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现时,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

SLB实例未绑定公网IP

SLB实例未绑定公网IP地址,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

RDS实例未申请外网地址

RDS实例未申请外网地址,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

ECS实例未绑定公网地址

ECS实例未直接绑定IPv4公网IP或弹性公网IP,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

OSS存储空间ACL禁止公共读

OSS存储空间的ACL策略禁止公共读,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

Redis实例IP白名单不设置为全网段

Redis实例的IP白名单未设置为0.0.0.0/0,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

MongoDB实例IP白名单不设置为全网段

MongoDB实例的IP白名单未设置为0.0.0.0/0,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

PolarDB实例IP白名单不能设置为全网段

PolarDB实例的IP白名单未设置为0.0.0.0/0,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

SLB访问控制列表不允许配置所有地址段

SLB实例开启白名单方式的访问控制,且访问控制策略组的IP地址段未设置为0.0.0.0/0,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

RDS实例正确开启安全白名单

RDS实例已开启安全白名单,且安全白名单中不包含0.0.0.0/0,视为“合规”。

8.1.3.1

b)应能够对非授权设备私自联到内部网络的行为进行限制或检查。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

操作审计开启跟踪状态

操作审计中存在开启状态的跟踪,视为“合规”。

8.1.3.5或8.1.4.3

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

RAM用户开启MFA

RAM用户开启MFA,视为“合规”。

8.1.4.1

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

SLB开启HTTPS监听

为SLB实例在规则中指定的监听端口开启HTTPS监听,视为“合规”。

8.1.4.7

a)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

CDN域名开启HTTPS加密

CDN域名开启HTTPS协议加密,视为“合规”。

8.1.4.7

a)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

OSS存储空间开启服务端加密

OSS存储空间开启服务端的OSS完全托管加密,视为“合规”。

8.1.4.7

b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

8.1.4.8

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

ECS数据磁盘开启加密

ECS数据磁盘开启加密,视为“合规”。

8.1.4.7

b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

使用高可用的RDS实例

RDS实例为高可用版,视为“合规”。

8.1.4.9

a)应提供重要数据的本地数据备份与恢复功能。

8.1.4.9

b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。

8.1.4.9

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

使用多可用区的RDS实例

RDS实例支持多个可用区,视为“合规”。

8.1.4.9

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

OSS存储空间开启同城冗余存储

OSS存储空间开启同城冗余存储,视为“合规”。

8.1.4.9

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

使用数据库代理模式访问SQL Server

RDS实例的SQL Server类型数据库的访问模式为代理模式,视为“合规”。

8.1.4.9

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

  • 本页导读 (1)
文档反馈