等保技术要求
| 子项
| 主要内容
| 对应产品
|
安全通信网络
| 网络架构g
| 选型公道,分区隔离,凡余架构,高峰可用
| ngfw, 防ddos
|
通信传输g
| 采用校验技术/密码技术保证通信过程中数据的完备性和保密性和保密性
| ngfw(ipsec&sslvpn)
|
可信验证s
| 基于可信根对通信设备的体系引导,应用关键点动态验证,可报警,可审计
| 设备可信启动机制
|
安全地区边界
| 边界防护g
| 跨边界控制,内联设备,外联行为监测,无线网限制
| ngfw,网络准入控制
|
访问控制g
| 五元组过滤,内容过滤,策略优化,基于应用协议和应用内容的访问控制
| ngfw,安全控制器
|
入侵防范g
| 防外部攻击防内部攻击,防新型未知网络攻击
| ps/ids,探针,沙箱,nta
|
恶意代码防范g
| 网络防病毒,垃圾邮件过滤
| ngfw(av),ngfw(防
垃圾邮件)
|
安全审计g
| 用户行为,安全事件审计,长途用户行为,访问互联网用户行为单独审计和数据分析
| 堡垒机,上网行为管理,综合日记审计体系
|
可信验证s
| 基于可信根对地区设备的体系引导,应用关键点可动态验证,可报警,可审计
| 设备可信启动机制
|
安全盘算环境
| 身份鉴别s
| 身份唯一性,鉴别信息复杂度,口令,密码技术,生物技术等双因子及以上认证且此中一种必须为密码技术
| 堡垒机,认证服务器
|
访问控制s
| 用户权限管理,管理用户权限最小化
访问控制的粒度应到达主体为用户级或进程级,客体为文件, 数据库表级
| 访问控制平台,api网关
|
安全审计g
| 用户行为审计,对审计进程掩护
| 网行为管理,日记审计体系
|
入侵防范g
| 检测入侵行为,非使用端口关闭,管理终端限制,发现已知漏洞
| ips,漏洞扫描
|
恶意代码防范 g
| 安装防恶意代码软件或免疫可信验证机制,防护机制支持升级和更新
| ngfw(av),主机防病毒软件
|
可信验证s
| 基于可信根对盘算设备的体系引导,应用关键点动态验证,可报警,可审计
| 设备可信启动机制保障
|
数据完备性s
| 数据防篡改;应采用校验技术或密码技术保证告急数据在传输/存储过程中的完备性
| ngfw,vpn,waf,网页防篡改,加密机
|
数据备份规复a
| 数据本地备份和规复,提供异地及时备份功能,数据处理体系热冗余
| 多活数据中心
|
剩余信息掩护s
| 鉴别信息,敏感信息缓存清除
| 应用自身机制
|
个人信息掩护 s
| 个人信息最小收罗原则,访问控制
| 应用自身机制
|
安全管理中心
| 体系管理g
| 应对体系管理员举行身份鉴别,应通过体系管理员对体系的资源和运行举行配置,控制和管理
| 网管体系,堡垒机
|
审计管理g
| 应对安全审计员举行身份鉴别,应通过安全审计员对审计记载,应举行分析,并根据分析结果举行处理
| 堡垒机,综合日记审计体系、数据库审计
|
集中管控g
| 特定管理分区,同一网管和检测,日记收罗和集中分析,安全事件识别告警和分析,策略补丁升级集中管理
| 网管体系,安全控制器,态势感知体系,补丁服务器
|
安全管理g
| 应对安全管理员举行身份鉴别,应通过安全审计员对审计记载应举行分析,并根据分析结果举行处理
| 堡垒机,日记审计体系
|
