等保安全解决方案

等保2.0

  网络安全等级保护制度2.0自2019年12月1日正式实施。该制度充分体现了“一个中心、三重防御”的思想，即建立“安全管理中心”，注重“安全区域边界、安全计境、安全网络通信”三重防御，满足云计算、物联网等新兴领域的安全扩展要求。

一、网络和通信安全

安全策略

1.安全策略-应具有提供通信传输、边界防护、入侵防范等安全机制；

2.网络架构-应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

3.访问控制-应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信应能根据会话状态信息   为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

4.通信传输-应采用校验码技术或加解密技术保证通信过程中数据的完整性；边界防护应保证跨越边界的访问和数据流通过边界防护设备提供的受控    接口进行通信；

5.入侵防范-应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击    时间，在发生严重入侵事件时应提供报警

6.安全审计-应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

二、设备和计算机安全

1.身份鉴别-应对登录的用户进行身份标识和鉴别，身份标识具有唯一性；

2.访问控制-应根据管理用户的角色建立不同账户并分配权限，仅授予管理用户所需的最小权限，实现管理用户的权限分离；

3.安全审计-应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

4.入侵防范-应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

5.恶意代码防-范应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链，实现系统运行过程中重要程序或文件完整性   检测，并在检测到破坏后进行恢复；

三、应用和数据安全

1身份鉴别-应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求；

2.访问控制-应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；

3.安全审计-应提供安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

4.数据完整性-应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性和保密性；

5.数据备份-恢复应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

四、物理和环境安全

1.安全策略和管理制度-：应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系；

2.安全管理机构和人员-应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权；

3.安全建设管理-应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，并形成配套文件；

4.安全运维管理-应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补；