最近では、プレスルーム市場監督局のオフィスエリアMadianの国家標準の記者会見では、「情報セキュリティ技術ネットワークセキュリティ「ネットワークセキュリティ要件の基本的なレベルを保護するため、情報セキュリティ技術」正式にリリースされたネットワークのセキュリティ保護システム2.0、関連を開催しました保護評価の要件「」ネットワークセキュリティ技術要件「およびその他の国の基準の安全性のレベルを保護するように設計された、情報セキュリティ技術のレベルとも正式に2019年12月1日にリリースされますが発効しました。
他のセキュリティ1.0、2.0、などのセキュリティ構造と比較して、必要な項目の数は、などカバレッジ、保護理念とグレーディングプロセスの態様は、基本的な情報ネットワークを実現するために、更新されている、雲、伝統的な大規模なデータ情報システム、物事、予防を進める1.0標準受動防御セキュリティシステムからの保護オブジェクトモバイルインターネットと情報システムと工業用制御の完全なカバレッジと他のセキュリティ、応答に何か、監査動的セキュリティシステムにおけるその後の変化、能動防御の全範囲に焦点を当て、セキュリティ、信頼できるダイナミックかつ包括的な知覚監査。
プロのデータのセキュリティベンダーとして、アンワル金と解釈櫛に関連するピア保護2.0データセキュリティおよびコンプライアンス要件。
他のポール2
などの一般的な2件のセキュリティ、クラウドセキュリティ要件の安全のための要件と参照要求データのセキュリティ要件にそれぞれ延びていました。
安全のための一般要求事項
安全運転・保守管理
7.1.10.5脆弱性とリスクマネジメント
修理後は適時に識別されたセキュリティ上の脆弱性とリスクにセキュリティ上の脆弱性とリスクを特定するために必要な措置を修理または評価に影響を与える可能性が取る必要があります。
コンプライアンス解釈:
これは、手動での技術ツールを+することで、データベースの脆弱性、弱いパスワード、デフォルトの設定、および潜在的なリスクを評価するための他の広範な権限、およびターゲットと修理のためのタイムリーです。
クラウドコンピューティングのセキュリティ拡張機能要件
セキュアコンピューティング環境
7.2.4.3データの機密性と整合性
b)のクラウドサービス、クラウドサービスプロバイダーまたはサードパーティのクラウドサービスの顧客データでのみ許可ユーザだけ管理者権限を持っていることを保証しなければなりません。
c)の仮想マシンの移行プロセスの重要なデータの整合性、および検出されたダメージの整合性を復元するために必要な措置をとることを保証しなければなりません。
コンプライアンス解釈:
制御セキュリティメカニズムを提供するために、クラウドサービスの顧客データに対処するために、クラウドサービスプロバイダーは道によって許可顧客サービスの承認を取得し、そのデータを管理するための許可を取得する必要があります。
データに対処するための環境をクラウドコンピューティングは、クラウドサービスのサイドミラーや平文顧客データを取得するために許可なくデータをコピーし、また下からしても、暗号化されています。
これは、重要なデータベースをバックアップ、リカバリの可用性を確保するためのバックグラウンドを通って移動する前のようにする必要があります。バックアップ作業は、彼らが認可される前に承認する必要があります。でも逆解析データファイルの後、基本的に仮想マシンの移行プロセスでデータのセキュリティを確保するために、データベースの暗号化メカニズムを通じて同時に、追加まだデータ暗号文を参照してください。
二つの基準が必要です
セキュアコンピューティング環境
H.3.3安全なコンピューティング環境
f)はビッグデータプラットフォームは、静的および匿名化されたの脱感作のツールやサービスコンポーネント技術を提供する必要があります。
g)は、ビッグデータプラットフォーム、プラットフォーム外のサービスを提供し、または第三者が大規模なデータアプリケーションでのみアクセス、使用およびデータ・アプリケーションにおけるデータ・リソースの管理は、許可することができます。
コンプライアンス解釈:
これは、技術ツールを通じて機密情報プラットフォームの脱感作すべきです。
承認プロセスを経て、操作が道にきめ細かく制御の運用・保守を変更するためのコマンド必要があります。完全な記録を提供しながら行われます。
だからポール3
ポールと安全性の一般的な要件で他の3、クラウドコンピューティングのセキュリティ要件と境界領域のセキュリティ、安全なコンピューティング環境、セキュリティ管理、セキュリティ、通信ネットワーク、およびその他の要件の面で要件を展開するには、さらに参照しました。
安全のための一般要求事項
国境のセキュリティゾーン
8.1.3.2アクセス制御
C)送信元アドレス、宛先アドレス、送信元ポート、宛先ポートへの対応、およびプロトコルは/パケットを拒否できるようにチェックします。
E)着信および発信ネットワークデータフローベースのアクセス制御アプリケーションプロトコル及びアプリケーションコンテンツに応答します。
コンプライアンス解釈:
声明、ステートメントおよびデータベースきめ細かい制御プロトコルの範囲と内容に影響を与えるその他の要因を実行し、アドレス、IP、時間に基づくべきです。
セキュアコンピューティング環境
8.1.4.2アクセス制御
F)ユーザーレベルのアクセス制御の粒度は、オブジェクトはファイル、データベーステーブルレベルで、身体またはプロセスレベルに達するべきです。
g)を重要な課題とオブジェクトセキュリティマークを設定するとの契約、および情報資源のマーキングメインセキュリティへのアクセスを制御します。
8.1.4.8データの機密性
b)は、これらに限定されないが、認証データ、重要なデータや重要な個人情報を含む貯蔵中の重要なデータの暗号化技術の機密性を確保するために使用されるべきです。
個人情報の保護8.1.4.11
A)のみ必要なサービスの利用者の個人情報を採取し保存しなければなりません。
b)の不正アクセスや個人情報の不正使用から保護しなければなりません。
コンプライアンス解釈:
データベースの動作を制御するための努力:本体制御、データベース・アカウント、アプリケーション、アプリケーション・アカウント、操作オブジェクト(テーブル、列、ストアドプロシージャ名)、SQL文きめ細かい制御
暗号文に基づいて強化されたアクセス制御を実現し、かつ、そのような機密性の高いデータ・オブジェクトへのDBA高い特権ユーザのアクセスとして体を防ぎます。
アクセス制御の制御権で保護されたオブジェクトのフィールドは、データベースのユーザー権限が保護されたデータへのアクセスを強化するために身体を防ぐために、データベースとは無関係です。
对主体用户、操作(DML、DDL、DCL)和客体对象进行访问控制的限定
通过加密存储机制,从根本上保证数据安全。可支持按列、按表空间方式进行加密。
对通过业务系统、app等方式收集的个人信息进行盘点统计,明确业务系统所需要的数据内容。避免过量采集、非法采集个人信息。
应对业务系统收集的信息进行梳理统计,同时对个人信息是使用进行管理控制。
安全管理人员
8.1.8.4外部人员访问管理
d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
合规解读:
应对外部人员访问数据库等操作进行监督控制。
安全建设管理
8.1.9.3产品采购和使用
b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。
合规解读:
应采购符合密码管理局要求,具备相应资质的产品。
安全运维管理
8.1.10.2资产管理
b)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
8.1.10.6网络和系统安全管理
g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。
合规解读:
应对现有资产进行梳理后,根据业务重要程度进行不同级别的安全防护。
应通过流程审批、操作命令等方式对变更性运维进行细粒度控制。同时提供完整执行记录。
应对数据库运维进行流程控制及完整审计。
云计算扩展要求
安全通信网络
8.2.2.1网络架构
e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。
合规解读:
云服务客户应根据安全需要选择引入独立于平台的第三方产品。
安全区域边界
8.2.3.3安全审计
b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
合规解读:
应具备独立于云服务商的第三方审计能力,确保云服务商在对云服务客户数据操作的审计能力。
安全计算环境
8.2.4.4镜像和快照保护
c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
合规解读:
应对云服务客户数据提供控制保障机制,服务商需通过审批方式获得云服务客户的授权,进而获得数据的管理权限。
8.2.4.5数据完整性和保密性
d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
合规解读:
应对云计算环境中数据进行加密,即使云服务方私自复制镜像或数据,也不能从底层拿到明文客户数据。
应通过数据库加密机制,将密文管理权限与数据库权限相分离,进而实现云服务客户自行管理的目的。
安全管理中心
8.2.5.1集中管理
c)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;
合规解读:
应具备数据库审计能力,同时可对审计信息进行划分,避免审计信息泄露。
参考要求
大数据应用
安全计算环境
H.4.3安全计算环境
h)大数据平台应提供数据分类分级安全管理功能,供大数据应用针对不同类别级别的数据采取不同的安全保护措施;
i)大数据平台应提供设置数据安全标记功能,基于安全标记的授权和访问控制措施,满足细粒度授权访问控制管理能力要求;
j)大数据平台应在数据采集、存储、处理、分析等各个环节,支持对数据进行分类分级处置,并保证安全保护策略保持一致;
k)涉及重要数据接口、重要服务接口的调用,应实施访问控制,包括但不限于数据处理、使用、分析、导出、共享、交换等相关操作;
l)应在数据清洗和转换过程中对重要数据进行保护,以保证重要数据清洗和转换后的一致性,避免数据失真,并在产生问题时能有效还原和恢复;
m)应跟踪和记录数据采集、处理、分析和挖掘等过程,保证溯源数据能重现相应过程,溯源数据满足合规审计要求;
n)大数据平台应保证不同客户大数据应用的审计数据隔离存放,并提供不同客户审计数据收集汇总和集中分析的能力。
合规解读:
应建立完整数据库资产清单,并根据数据安全级别不同,选择不同数据库防御方案。
通过数据库加密等技术工具,对数据库中重要数据进行安全标记,带有标记的数据访问需遵守严格的访问条件。
それは、データを並べ替えるための分類とグレーディングのための基礎を提供し、データの整合性資産を確保する能力を持っている必要があります。
これは、データベースのアクセス制御を持っている必要があります。制御対象は、時間が限定されるものではなく、IP、コマンド、および文のように範囲を備えています。
一貫性、データの脱感作との相関関係を確保しながら、それは、可逆的脱感作する能力を持っている必要があります。
これは、データの使用、トレーサビリティの分布を持っている必要があります。
私たちは、異なる顧客が異なるデータベースである監査する能力を持っている必要があります。
ビッグデータアプリケーション
安全運転・保守管理
H.4.5安全な操作と保守管理
B)を開発し、分類とグレーディングデータ保護戦略を実施、データのレベルの異なる種類から保護するためにさまざまなセキュリティ対策を整備します。
C)データを脱感作することは明らかに重要なデータの使用シナリオとビジネスプロセスの重要なデジタル資産の範囲を分割し、分類および等級に基づいて、または自動的に識別されなければなりません。
d)に定期的に必要なクラスやレベル変更データとして、変更の承認プロセスは、変更の実装に基づいている必要があり、データの種類とレベルを確認するものとします。
コンプライアンス解釈:
異なるデータベース守備のスキームを選択し、データの異なるレベルに基づくべきです。
さまざまなビジネスシナリオによると、すべての代替品、部分的な代替品を選択し、部分的に他の脱感作プログラムを隠さ。
万一、データの評価を行うのにフィットテクノロジーツール、ポジショニングを、コーミングすることにより、重要なデータの定期的に。
国家のデータセキュリティのガバナンスの概念の提唱者として、アンワル金及びデータ利用の自由と安全なように、ユーザーのコンプライアンスを支援するために、2.0及びその他の保険の要件に積極的に適切なソリューションの導入を応答します。