等保合规安全解决方案

依托合规资质、丰富产品矩阵和强大的专家团队,为客户提供等保合规安全解决方案,帮助企业理解、提升安全防护能力,快速满足等保合规要求。

 
  • 服务安全可靠

    腾讯云集结行业最资深的专家服务团队,为您降低等保合规风险,提供安全、可靠、专业的安全合规产品和服务,快速、高效提升您的合规能力。

  • 合规生态完备

    无需头疼云上的信息系统综合规划建设,腾讯云与专业的咨询机构、测评机构通力合作,为您提供完整、持续的等保合规咨询服务和等保测评服务。

  • 防护架构严固

    腾讯云帮助您减少基础环境和安全产品投入,建立完整的安全技术架构,形成安全纵深防御,从而帮助您完成安全整改,以满足等保的基础合规技术要求。

  • 合规产品优质

    根据测评过程中发现的安全问题,腾讯云为您提供全周期的安全解决方案。结合灵活便捷、按需的选用腾讯云合规产品和服务,极大节省您的合规成本。

 

等保合规流程介绍

腾讯云依托自身的优势以及腾讯云安全产品能力打通行业优质资源,为客户提供一站式等保合规安全解决方案。从定级到等保测评,腾讯云提供全面的安全产品和服务,协助客户完成等保测评工作。

角色\流程 定级 备案 建议整改 等保评测 监督检查
客户 确定系统或者子系统的安全等级,准备定级报告 准备备案材料,到当地公安网监递交备案 基于等保的安全技术和管理要求进行建设和整改,以符合等保要求 准备和接受测评机构的测评 接受公安网监定期的检查,主动开展每年的定期测评
腾讯云 协调第三方为客户提供辅导服务 协调第三方为客户提供辅导服务 提供符合等保相关要求的安全产品和服务 提供云平台相关通过等保的证明材料 -
咨询机构 辅导客户定级,准备定级报告并组织专家评审(三级 辅导客户准备备案材料和备案 辅导客户进行定级相关系统和组件的安全加固,并协助建立安全管理体系 协助并指导客户进行测评整改 协助客户接受检查并指导整改
测评机构 提供等保定级指导 提供等保备案指导 - 对系统等级符合性状况进行测评,并出具测评报告 -
公安网监 - 审核受理备案材料 - - 监督检查单位开展等级保护工作情况
 

《网络安全等级保护基本要求》关键项解读

安全通信网络

网络架构

  • 划分不同的网络区域,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,建设高可用、冗余的网络

通信传输

  • 应采用校验技术、密码技术保证通信过程中数据的完整性和保密性

可信验证

  • 可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

条款解读

根据服务器角色和重要性,对网络进行安全域划分;确保网络带宽和处理能力能满足业务高峰期需要;确保通信传输过程数据的完整性和保密性,可采用可信进行可信验证

安全区域边界

边界防护

  • 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信,对非授权的内部/外部联接进行检查和限制

访问控制

  • 应在网络边界或区域之间设置最小化访问控制规则,除允许通信外受控接口拒绝所有通信;应能根据会话状态信息为进出数据流提供明确的允许/拒绝访间的能力,实现基于应用协议和应用内容的访问控制

入侵防范

  • 应在关键网络节点处采用技术措施检测、防止或限制从外部/内部发起的网络攻击行为,特别是新型网络攻击行为,并记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警

恶意代码防范

  • 应在关键网络节点处对恶意代码、垃圾邮件进行检测和防护,并维护恶意代码、垃圾邮件防护机制的升级和更新

安全审计

  • 应在网络边界、重要网络节点对每个用户及重要用户和重要安全事件进行安全审计,并记录和保护审计信息;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

可信验证

  • 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可 信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

条款解读

在内外网的安全域边界设置访问控制策略,并要求配置到具体的端口;在网络边界处应当部署入侵防范手段,防御并记录入侵行为;对网络中的用户行为日志和安全事件信息进行记录和审计;可采用可信进行可信验证

安全计算环境

身份鉴别

  • 应对登录的用户进行身份标识和鉴别,同时对身份标识和鉴别有相关安全策略要求,包括身份唯一性、密码策略、账号安全策略、双因素鉴别等

访问控制

  • 应对登录的用户分配账户和授予角色所需最小权限,实现管理用户的权限分离;避免共享账户和冗余账号的存在;实施强制访问控制,访问控制粒度达到用户级或进程级、文件、数据库表级等

安全审计

  • 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;并记录和保护审计信息;应对审计进程进行保护,防止未经授权的中断

入侵防范

  • 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

恶意代码防范

  • 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其 有效阻断

可信验证

  • 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

数据完整性

  • 应采用校验技术或密码技术保证重要数据在传输和存储过程中的完整性

数据保密性

  • 应采用密码技术保证重要数据在传输和存储过程中的保密性

数据备份恢复

  • 应提供重要数据处理系统的热冗余,保证系统的高可用性

剩余信息保护

  • 应保证存有鉴别信息、敏感数据的存储空间被释放或重新分配前得到完全清除

个人信息保护

  • 应仅采集和保存业务必需的用户个人信息,禁止未授权访问和非法使用用户个人信息

条款解读

针对服务器、数据库、应用系统等计算环境,借助第三方安全软件或通过应用本身的安全手段实现鉴权、账号安全、安全审计、数据安全保护等功能,保证系统层安全,防范入侵行为

安全管理中心

系统管理

  • 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作(系统资源和运行的配置、控制和管理),并对这些操作进行审计

审计管理

  • 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计

安全管理

  • 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计

集中管控

  • 对安全设备、安全组件进行集中管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对各个设备上的审计数据进行集中审计和分析

条款解读

借助第三方安全管理软件设立安全管理中心,对分散在网络中的各类设备、组件进行集中的管控、检测和审计

安全管理体系

安全管理制度

  • 应建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系

安全管理机构

  • 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或 授权

安全管理人员

  • 应制定人员方面的安全管理策略,确保人员录用、人员离岗、人员培训及外包人员的安全管理

安全建设管理

  • 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全建设

安全运维管理

  • 应采取必要的措施进行环境、资产、介质、设备维护、漏洞和风险、密码、变更等的安全运维管理

条款解读

参考业界成熟的方法论和最佳实践,建立一套符合企业实际情况的信息安全管理体系,开展并落实持续的安全建设和安全管理

 

等保合规推荐配置

安全建设体系化

以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,是对信息安全管理执行整体的规划和建设。

腾讯云安全产品

结合等保的要求,腾讯云基于丰富完备的安全产品,为客户提供合适的产品套餐,如网站管家、云镜、大禹Ddos、数据安全审计等,让客户从容应对云上合规挑战。

为客户带来更精简的合规成本投入

依托腾讯云公共云平台自身的等级保护三级认证资质;同时客户可通过灵活便捷、按需选用的方式进行合规产品和服务选购,能够极大的减少客户的合规成本投入。

 

等保合规相关产品

  • Web应用防火墙

    满足行业自身的安全需求; 满足等保要求中的入侵防范等要求; 满足等保要求中关于应用安全防护的要求。 实现对网站完整性安全防护,防范各种页面篡改攻击行为;检测限制外部发起网络攻击的要求、记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警.

    了解更多
  • DDoS 高防(BGP)

    满足等保要求中关于异常流量检测要求和业务高可用性要求,针对异常流量检测要求和业务高可用性要求、检测限制外部发起网络攻击的要求、网络各个部分的带宽满足业务高峰期需要.

    了解更多
  • 数据安全网关(堡垒机)

    满足等保要求中身份鉴别、访问控制和安全审计等要求;满足信息安全等级保护数据库管理要求以及访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级.

    了解更多
  • 数据安全审计

    满足等保要求中关于数据库安全审计的要求,满足信息安全等级保护数据库管理要求以及访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级,针对业务层面的审计.

    了解更多
  • SSL证书(CA)

    具有服务器身份验证和数据传输加密功能的安全服务。 满足等保对于链路加密https的要求,链路加密、禁止多个AP使用同一个认证密钥。

    了解更多
  • 主机安全(云镜)

    解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系,防止数据泄露。 满足等保要求中关于主机防病毒的要求。 满足等保要求中关于对补丁统一升级要求。

    了解更多
  • 密钥管理服务(KMS)

    满足采用密码技术保证重要数据在传输和存储过程中的保密。可以让您轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合监管和合规要求。

    了解更多
  • 敏感数据处理

    敏感数据脱敏与水印标记工具,可为数据系统中的敏感信息进行脱敏处理并在泄漏时提供追溯依据,为企业核心数据提供有效的安全保护措施。满足采集和保存业务必需的用户个人信息,禁止未授权访问和非法使用用户个人信息。

    了解更多
  • 网络资产风险监测系统 NARMS

    满足等保对可能存在的已知漏洞发现和修补的要求。 网络资产风险监测系统能够对企业的网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性风险预警和漏洞检测,并且为企业提供专业的修复建议,降低企业安全风险。

    了解更多
  • 安全运营中心

    通过对海量数据进行多维、智能的持续分析,为用户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力,并采取相应的安全措施,保障信息系统安全,帮用户实现全生命周期安全运营。满足对分散的设备、组件、主机以及安全策略、事件等进行集中管控、审计、报警和分析。

    了解更多
 

联系我们

关于等保合规安全解决方案使用场景和技术架构的更多咨询, 请联系我们的销售和技术支持团队。