亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

新的合規要求之下,如何快速通過云操作系統等保測評

責編:gltian |2020-04-20 10:00:33

突入其來的疫情,讓大量中小企業措手不及,被迫加速將辦公和業務場景從線下轉往線上,同時5G、AI、云計算等新一代信息技術的應用也在加速各行業數字化和產業升級的進程,隨著技術的發展和基礎設施建設的加速,對信息安全也提出了更高的要求。

然而面對網絡環境的急劇變化,企業在數字化轉型過程中往往難以快速切換角色以應對日益模糊的安全邊界,而大部分的中小企業在人力儲備和技術能力上不足以應對新的安全挑戰。

不斷出臺的法律法規也在強調著信息安全的重要性。距離網絡安全等級保護制度2.0(以下簡稱等保2.0)標準正式施行已經過去了近五個月,等保2.0一方面橫向擴展了對云計算、移動互聯、物聯網、工業控制系統和大數據的安全要求;另一方面縱向擴展了對等級保護測評機構的管理規范、明確定級流程、擴展定級對象確定方法等。如何在業務數字化轉型升級的同時,快速高效地通過等級保護測評,應對新的安全挑戰,成為企業開展業務前必須思考的問題。

到底哪些企業需要通過等保?

根據《中華人民共和國網絡安全法》第二十一條規定,網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。

等級保護相關標準雖然為非強制性的推薦標準,但網絡(個人與家庭網絡除外)運營者必需按網絡安全法開展等級保護工作。

即使企業使用了已經通過等保的云服務器,將系統建立在云上,同樣也需要通過等保測評。業務上云有多種情況,如在公有云、私有云、專有云等不同屬性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服務,雖然安全責任邊界發生了變化,但網絡運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。

根據《信息安全技術?網絡安全等級保護基本要求》(GB/T 22239-2019)附錄D,云服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業務系統上云后,云租戶與云平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。

image001

(云租戶與云平臺服務商責任共擔模型)

云上操作系統有哪些測評項要求?

對于廣大使用公有云的中小企業來說,在安全人員和技術能力的儲備上本來就相對欠缺,當面對等保2.0復雜的要求時更是一頭霧水,尤其是對于云上操作系統的合規測評,需要進行復雜的手動配置才能滿足超過30多個合規項的要求。

以 CentOS 7.x 操作系統為例,依據《GB/T22239-2019 信息安全技術網絡安全等級保護基本要求》,需要滿足的基線要求包括,身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、 數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護共 11 部分。

一、身份鑒別

◆ 測評要求

  1. 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
  2. 應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;

……

二、訪問控制

◆ 測評要求

  1. 應對登錄的用戶分配賬戶和權限;
  2. 應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
  3. 應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;
  4. 應授予管理用戶所需的最小權限,實現管理用戶的權限分離;

……

三、安全審計

◆ 測評要求

  1. 應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
  2. 審計記錄應包括事件的日期和時間、事件類型、主體標識、客體標識和結果等;

……

四、入侵防范

◆ 測評要求

  1. 應關閉不需要的系統服務、默認共享和高危端口;
  2. 應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞;
  3. 應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警。

……

五、惡意代碼防范

◆ 測評要求

應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制,及時識別入侵和病毒行為,并將其有效阻斷。

除此之外,還有可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護等共計11個部分30多項細致的測評要求。

如何配置才能快速通過操作系統測評?

面對如此復雜的測評要求,即使業務上云的企業摸清了具體的內容,也很難梳理清楚具體應該修改哪些服務器配置、修改到何種程度才能符合等保測評機構的要求,甚至會因為在操作過程中誤配置或者修改(如SSH登錄配置項等),從而導致系統無法登錄或其他異常。

image002

(手動配置過程中可能遭遇的問題)

那么除了自己手動配置之外,還有哪些輕松的方式可以通過操作系統的合規測評呢?

為了幫助云上租戶解決這一困擾,近期騰訊安全云鼎實驗室在專業測評機構提供基線標準支持下,免費推出了云原生默認等保合規鏡像——該產品基于原生公共鏡像打造,保持原生內核未修改,在保障原生鏡像兼容性和性能的基礎上進行了等保合規適配,幫助用戶擺脫復雜操作和配置的困擾,讓用戶無需手動操作,一鍵即可自動完成操作系統90%以上的基礎合規配置。

據了解,此前騰訊云分別以97.82分和97.57分的成績,高分通過了公有云等保三級和金融云等保四級的測評。騰訊云每年會針對內部各類系統開展10次以上等保合規認證,同時也會幫助各行業用戶提供等保測評支持。在這些過程中,騰訊云不僅與專業測評機構進行了深入的交流,并且積累了豐富的自動化測評工具集和經驗。

現在,在專業測評機構的基線標準支持下,騰訊云將這些經驗和能力通過默認合規鏡像的方式輸出給云上租戶,幫助租戶通過操作系統的等保測評,并且騰訊安全團隊將對默認合規鏡像進行持續運營維護,確保在出現新的重大安全威脅時,租戶使用到的默認合規鏡像對已完成漏洞修復,持續獲得安全更新體驗。

上一篇:第二十一期 安全+ 沙龍之軟件安全成功舉辦?。ň€上)

下一篇:最高懸賞1.5萬美元,騰訊與HackerOne合作提供漏洞賞金計劃