日韩欧美国产精品免费一二-日韩欧美国产精品亚洲二区-日韩欧美国产精品专区-日韩欧美国产另-日韩欧美国产免费看-日韩欧美国产免费看清风阁

等保2.0和1.0差異一：標準名稱差異

等保2.0和1.0差異二：定級劃分差異

等保2.0和1.0差異三：定級流程差異

等保2.0和1.0差異四：等保對象差異

等保2.0和1.0差異五：測評結(jié)論差異

等保2.0技術(shù)要點—等保二級

等保2.0技術(shù)要點—等保三級

等保2.0通用要求重要變更—安全能力

邊界防護

• 應限制無線網(wǎng)絡的使用，保證無線網(wǎng)絡通過受控邊界設備接入內(nèi)網(wǎng)

• 對非授權(quán)終端連接內(nèi)網(wǎng)、用戶非授權(quán)外聯(lián)行為進行檢測和監(jiān)控

訪問控制

• 明確應在關(guān)鍵網(wǎng)絡節(jié)點處對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制

通信傳輸

• 加密傳輸在網(wǎng)絡與通信和應用和數(shù)據(jù)都有強調(diào)，等保1.0在網(wǎng)絡安全處章節(jié)沒有強調(diào)

入侵防范

• 實現(xiàn)對網(wǎng)絡攻擊特別是未知的新型網(wǎng)絡攻擊的檢測和分析；

• 應在關(guān)鍵網(wǎng)絡節(jié)點處檢測和限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為；

惡意代碼防范

• 應在關(guān)鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新

集中管控

• 等保2.0新增為技術(shù)要求，等保1.0對應管理要求，強調(diào)集中管控，集中監(jiān)測，集中分析

數(shù)據(jù)安全

• 數(shù)據(jù)備份恢復部分，應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地

個人信息保護

• 等保2.0中，特別增加了個人信息保護的要求。包括采集最小原則和使用需授權(quán)原則

等保2.0通用要求重要變更—可信驗證

一級：

• 可基于可信根對邊界設備系統(tǒng)引導程序、系統(tǒng)程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警

二級：

• 可基于可信根對邊界設備系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。

三級：

• 可基于可信根對邊界設備系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證，并在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。

四級：

• 可基于可信根對邊界設備系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證，并在應用程序的所有環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心，并進行動態(tài)關(guān)聯(lián)感知。

等保2.0的差異化小結(jié)

等保解決方案設計模型

等保2.0通用要求解決方案

等保2.0通用要求方案-通信網(wǎng)絡

合規(guī)要點

• 選型合理：

  保證路由器、交換機、防火墻等設備業(yè)務處理能力和帶寬滿足業(yè)務高峰期需要；

• 分區(qū)分域：

  劃分不同的網(wǎng)絡區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡區(qū)域分配地址；重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術(shù)隔離手段；

• 加密通信：

   采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性及保密性

• 冗余架構(gòu) 

    提供通信線路、關(guān)鍵網(wǎng)絡設備的硬件冗余。

• 可信驗證：

  基于可信根對通信設備的系統(tǒng)引導，應用關(guān)鍵點動態(tài)驗證，可報警、可審計。

等保2.0通用要求方案-區(qū)域邊界

合規(guī)要點

• 訪問控制：

跨邊界、非授權(quán)設備接入、非授權(quán)用戶外聯(lián)、無線設備接入、聯(lián)接行為檢查、應用協(xié)議和內(nèi)容檢查，優(yōu)化訪問控制規(guī)則。

• 入侵防范：

內(nèi)/外部發(fā)起的攻擊，對網(wǎng)絡行為進行分析，未知的新型網(wǎng)絡攻擊；

• 惡意代碼和垃圾郵件

在關(guān)鍵網(wǎng)絡節(jié)點處對 惡意代碼/垃圾郵件,進行檢測和清除，并維護其升級和更新；

• 安全審計

覆蓋到用戶，審計用戶行為，重要安全事件，記錄需備份，內(nèi)/外部用戶行為審計和數(shù)據(jù)分析；

• 可信驗證：

基于可信根對邊界設備的系統(tǒng)引導，應用關(guān)鍵點動態(tài)驗證，可報警、可審計

等保2.0通用要求方案--計算環(huán)境

合規(guī)要點

• 雙因素認證：

采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn);

• 管理通道加密傳輸：

遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；

• 弱點和漏洞處理

刪除默認賬號/過期賬號/默認口令，要求密碼復雜度、密碼定期更換；關(guān)閉無需服務、高危端口，修復已知系統(tǒng)漏洞；

• 主機安全

識別并阻斷入侵和病毒；

• 數(shù)據(jù)安全

采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸（存儲）過程中的完整性（保密性）；數(shù)據(jù)備份方案、剩余數(shù)據(jù)處理、個人信息保護。

• 可信驗證：

基于可信根對計算設備的系統(tǒng)引導，應用關(guān)鍵點動態(tài)驗證，可報警、可審計

等保2.0通用方案—安全管理中心

合規(guī)要點

• 分權(quán)分角色：

包括系統(tǒng)管理員、審計管理員、安全管理員;

• 集中監(jiān)測：

網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況；

• 集中管理：

對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理；對系統(tǒng)的資源和運行進行配置、控制和管理；

• 集中審計

對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析；

• 態(tài)勢感知

對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析。

等保2.0方案新增關(guān)鍵點—可信驗證

合求：

可基于可信根對邊界設備系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信驗證，并在應用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心。

• 可信根：

華為設備采用自研海思CPU芯片，完全自主可控，硬件可信根固化在CPU內(nèi)部，完成最基礎(chǔ)的啟動驗證，驗證引導程序完整性；

• 可信啟動：

啟動過程由硬件可信根開始并逐級向后校驗，確保啟動過程中的信任鏈。硬件信任根在上電第一時間執(zhí)行，BIOS階段使用數(shù)字簽名驗證下一階段的完整性，以此類推，每個階段啟動完成后都要對下一個啟動階段進行完整性校驗，如果驗證不通過，啟動過程中止。

• 應用關(guān)鍵環(huán)節(jié)可信驗證：

對應用軟件版本升級前，補丁和插件加載前，將使用數(shù)字簽名對軟件包進行完整性校驗；

• 告警日志與遠程證明：

規(guī)劃中。

等保2.0方案新增關(guān)鍵點—未知威脅

規(guī)要

方案特點

• 合規(guī)要求：

應采取技術(shù)措施對網(wǎng)絡行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是未知的新型網(wǎng)絡攻擊的檢測和分析；

• 主動誘捕

低成本布防探針，可手動或自動設置誘捕陷阱，誘導攻擊者攻擊誘捕器，誘捕器通過交互確認攻擊并產(chǎn)生告警、記錄交互過程。

• 大數(shù)據(jù)分析

華為CIS網(wǎng)絡安全智能系統(tǒng)，基于機器學習樣本分析，采用大數(shù)據(jù)分析方法檢測威脅，實現(xiàn)的是對APT等高級威脅檢測，其核心思想是以持續(xù)檢測應對持續(xù)攻擊；

• 聯(lián)動阻斷

對流量和威脅日志的進行采集，通過大數(shù)據(jù)分析，網(wǎng)絡與安全聯(lián)動閉環(huán)，實現(xiàn)APT威脅的自動阻斷隔離。

閱讀原文：原文鏈接