突然の流行により、多数の中小企業が油断し、オフィスおよびビジネスシナリオのオフラインからオンラインへの移行を加速せざるを得なくなりました。同時に、5G、AI、クラウドコンピューティングなどの新世代の情報技術の適用も、さまざまな産業のデジタル化と産業のアップグレードを加速しています。テクノロジーの開発とインフラストラクチャ構築の加速を伴うプロセスは、情報セキュリティに対するより高い要件も提唱しています。
ただし、ネットワーク環境の急激な変化に直面して、企業はデジタル変革中にセキュリティの境界がますますぼやけていることに対応して迅速に役割を切り替えることが困難なことがよくあります。
絶えず公布されている法律や規制も、情報セキュリティの重要性を強調しています。サイバーセキュリティレベル保護システム2.0(以下、iso-guaranteed 2.0と呼ばれます)の標準が正式に実装されてから約5か月が経過しました。一方で、iso-guaranteed 2.0は、クラウドコンピューティング、モバイルインターネット、モノのインターネット、産業用制御システム、ビッグデータの範囲を水平方向に拡大しています。一方、安全要件、つまりレーティング保護評価機関の管理仕様、レベルを明確に決定するプロセス、およびレーティングオブジェクトのレベルを決定する方法は、垂直方向に拡張されています。新しいセキュリティの課題に対応しながら、ビジネスのデジタル変革とアップグレードを実行しながら、新しいセキュリティの課題に迅速かつ効率的に対処する方法は、企業がビジネスを始める前に考慮しなければならない問題となっています。
どの会社が保証に合格する必要がありますか?
「中華人民共和国のネットワークセキュリティ法」の第21条に従い、ネットワークオペレーターは、ネットワークセキュリティレベル保護システムの要件に従って、関連するセキュリティ保護義務を実行するものとします。同時に、第76条は、ネットワークオペレーターがネットワークの所有者、マネージャー、およびネットワークサービスプロバイダーを指すことを定義しています。
階層保護に関連する標準は必須ではない推奨標準ですが、ネットワークのオペレーター(個人ネットワークおよびホームネットワークを除く)は、サイバーセキュリティ法に従って階層保護を実行する必要があります。
企業が保証に合格したクラウドサーバーを使用していて、システムがクラウド上に構築されている場合でも、保証テストに合格する必要があります。パブリッククラウド、プライベートクラウド、プライベートクラウド、その他のさまざまな属性、IaaS、PaaS、SaaS、IDCホスティング、その他のさまざまなサービスの使用など、ビジネスクラウドには多くの状況がありますが、セキュリティ責任の境界は変更されていますが、ネットワークオペレーターの安全責任は移転されません。「誰が責任を負い、誰が責任を負い、誰が責任を持ち、誰が責任を負うのか」の原則に従い、階層的保護のためのネットワークセキュリティの責任を負うべきである。
「情報セキュリティ技術ネットワークセキュリティレベル保護の基本要件」(GB / T 22239-2019)の付録Dによると、クラウドサービスプロバイダーは、提供されるIaaS、PaaS、およびSaaSモデルに基づいて異なるプラットフォームセキュリティの責任を負います。ビジネスシステムがクラウドに移行した後、クラウドテナントとクラウドプラットフォームサービスプロバイダーは、責任共有マトリックスに従って、対応するセキュリティ責任を共同で引き受ける必要があります。
(クラウドテナントおよびクラウドプラットフォームサービスプロバイダーの責任共有モデル)
クラウド上のオペレーティングシステムの評価要件は何ですか?
パブリッククラウドを使用している中小規模の企業の大多数にとって、セキュリティ担当者と技術キャパシティーの確保は比較的不足しています。isoguaranty2.0の複雑な要件に直面すると、特にクラウド上のオペレーティングシステムの連携について、さらに混乱します。規制評価では、30を超えるコンプライアンス項目の要件を満たすために、複雑な手動設定が必要です。
CentOS 7.xオペレーティングシステムを例にとると、「GB / T22239-2019情報セキュリティテクノロジーネットワークセキュリティレベル保護の基本要件」によると、満たすべき基本要件には、ID認証、アクセス制御、セキュリティ監査、侵入防止、悪意のあるコードの防止が含まれます。 、信頼性の検証、データの整合性、データの機密性、データのバックアップと復元、残余情報の保護、個人情報の保護、合計11個のパーツ。
1.識別
◆評価要件
ログインしたユーザーのIDを識別して認証する必要があります。IDは一意であり、ID認証情報には複雑な要件があり、定期的に置き換えられます。ログインの失敗を処理する機能があり、セッションを終了し、不正なログインの数を制限し、ログイン接続がタイムアウトした場合に構成および有効化する必要があります自動引き出しなどの関連措置; ...
第二に、アクセス制御
◆評価要件
ログインユーザーにアカウントと権限を割り当てる必要があります。デフォルトアカウントの名前を変更または削除し、デフォルトアカウントのデフォルトパスワードを変更する必要があります。共有アカウントの存在を回避するために、冗長で期限切れのアカウントを削除または無効にする必要があります。管理ユーザーに必要な権限を付与する必要があります管理ユーザーの権限の分離を達成するための最小限の権限。
3.セキュリティ監査
◆評価要件
セキュリティ監査機能を有効にする必要があります。監査はすべてのユーザーを対象とし、重要なユーザーの行動と重要なセキュリティイベントを監査します。監査記録には、イベントの日時、イベントの種類、サブジェクトの識別、オブジェクトの識別、および結果を含める必要があります。
4.侵入防止
◆評価要件
不要なシステムサービス、デフォルトの共有、リスクの高いポートを閉じ、既知の脆弱性を発見し、十分なテストと評価を行った後、脆弱性にパッチを適用する必要があります。重大な侵入が発生したときにアラームを提供します。...
5、悪意のあるコードの防止
◆評価要件
侵入とウイルスの動作を適時に特定し、それらを効果的にブロックするために、悪意のあるコード攻撃または能動的な信頼できる検証メカニズムに対する技術的対策を採用する必要があります。
さらに、信頼できる検証、データの整合性、データの機密性、データのバックアップと復元、残余情報の保護、個人情報の保護など、11のパーツに対して30以上の綿密な評価要件があります。
オペレーティングシステムの評価にすばやく合格するように構成する方法
このような複雑な評価要件に直面しても、クラウドベースの企業が特定のコンテンツを理解していても、特定のサーバー構成と、保険評価機関の要件を満たすために変更できる度合いを分類することは困難です。運用中の設定ミスや変更(SSHログイン設定項目など)により、システムがログインできなくなったり、その他の異常が発生したりします。
(手動構成中に発生する可能性のある問題)
では、手動構成に加えて、オペレーティングシステムのコンプライアンス評価に合格できる簡単な方法は他にありますか?
クラウド上のテナントがこの問題を解決するのを助けるために、最近、Tencent Security Yunding Labは、専門の評価機関によって提供されるベースライン標準のサポートにより、無料のクラウドネイティブデフォルトおよびその他のコンプライアンスイメージを立ち上げました。この製品は、ネイティブパブリックミラーに基づいており、ネイティブを維持していますカーネルは変更されていません。元のイメージの互換性とパフォーマンスを保証することに基づいて、コンプライアンスを保証するように適合されており、ユーザーが複雑な操作と構成の問題を取り除くのに役立ち、ユーザーは手動操作なしでワンクリックでオペレーティングシステムの90%を自動的に完了することができます。上記の基本的なコンプライアンス設定。
Tencent Cloudは、パブリッククラウドの3年生とファイナンシャルクラウドの4年生の評価にそれぞれ97.82ポイントと97.57ポイントのスコアで合格していることがわかります。Tencent Cloudは、毎年、さまざまな内部システムに対してこのような10以上のコンプライアンス認証を実施し、さまざまな業界のユーザーが他のセキュリティ評価をサポートできるよう支援します。これらのプロセスでは、Tencent Cloudは専門の評価機関と詳細なやり取りを行っただけでなく、自動化された評価ツールと経験の豊富なセットを蓄積しました。
現在、専門の評価機関のベースライン標準のサポートにより、Tencent Cloudはこれらのエクスペリエンスと機能をデフォルトのコンプライアンスイメージを介してクラウド上のテナントにエクスポートし、テナントがオペレーティングシステムやその他のセキュリティ評価に合格できるようにします。Tencentセキュリティチームは、ミラーイメージは継続的に運用および維持され、新しい主要なセキュリティの脅威が発生したときに、テナントが使用するデフォルトのコンプライアンスイメージのペアが脆弱性の修復を完了し、セキュリティ更新エクスペリエンスを引き続き取得します。
