精华内容
下载资源
问答
  • 安全物理环境 室外控制设备物理防护 室外控制设备应放置于采用铁板或其他防火材料制作的箱体...工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段; 工业控制系统内部应根据业务特...

    安全物理环境

    室外控制设备物理防护

    • 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;
    • 室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。

    安全通信网络

    网络架构

    • 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
    • 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
    • 涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

    通信传输

    • 在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

    安全区域边界

    访问控制

    • 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络设备;
    • 应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。

    拨号使用控制

    • 工业控制系统确需使用拨号服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施;
    • 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。

    无线使用控制

    • 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;
    • 应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;
    • 应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;
    • 对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。

    安全计算环境

    控制设备安全

    • 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制;
    • 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作;
    • 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理;
    • 应使用专用设备和专用软件对控制设备进行更新;
    • 应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。

    安全建设管理

    产品采购和使用

    • 工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。

    外包软件开发

    • 应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。
    展开全文
  • 日前,有孚云平台全面通过等保2.0测评,进一步提升了云计算用户服务安全能力。 随着云计算、大数据、人工智能、5G等技术的快速发展,以数字化、网络化、信息化和智能化为特征的数字化浪潮席卷全球。数字...

    无等保,不安全

     

    日前,有孚云平台全面通过等保2.0三级测评,进一步提升了云计算用户服务安全能力。

     

     

    随着云计算、大数据、人工智能、5G等技术的快速发展,以数字化、网络化、信息化和智能化为特征的数字化浪潮席卷全球。数字化转型下企业对“云”的依赖程度不断加深,导致了更频繁且多样化的数据安全威胁,对数据安全的保护提出了更高要求。

     

    2019年12月1日,网络安全等级保护制度 2.0 标准正式发布。与等保 1.0 版本主要强调物理主机、应用、数据、传输相比,等保 2.0 版本在技术标准上将云计算、大数据等技术列入到新的标准体系,同时也针对这些新技术提出了扩展性的要求。

     

    有孚云,作为有孚网络自主研发的云计算服务平台,致力于为客户提供一个安全、可控、可信的业务环境。

     

    有孚云平台始终关注并积极响应政策需求,在等保 2.0 标准发布后,从物理环境、主机、网络、业务应用系统、安全管理制度和人员等层面对有孚云平台进行等保 2.0 的三级测评。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、数据安全与备份恢复、安全策略和管理制度、安全管理机构和人员、系统建设管理、系统运维管理等多维度,对有孚云平台进行综合测评。

     

    在信息安全管理上,有孚网络一直把用户的数据安全当作重要的服务目标。目前,有孚网络已先后通过 ISO 27001 信息安全管理体系认证、ISO 22301 业务连续性管理认证、可信云“云服务用户数据保护能力”、ISO 27018公有云中个人身份信息(PII)处理者保护个人身份信息管理体系认证、CSA-STAR金牌等国内外第三方权威机构认证。

     

    此次有孚云平台等保2.0三级认证结果,进一步表明了有孚云在设立服务目标的同时,更是将这一服务落实到了每一位用户,基于有孚云的服务,用户可以获得切实的用户数据和隐私安全防护,无忧上云。

     

    展开全文
  • 一年以来,“等保2.0”始终是网络安全领域最热门的话题。无论是政府主管部门、厂商、行业用户、企业用户,都在宣传“等保2.0时代”已经到来。但在实际中,等保2.0的落地现状如何?业界对等保2.0的认知有哪些误区?...

    采访前言:2019年5月13日,网络安全等级保护2.0系列标准中最重要的三个标准正式发布。一年以来,“等保2.0”始终是网络安全领域最热门的话题。无论是政府主管部门、厂商、行业用户、企业用户,都在宣传“等保2.0时代”已经到来。但在实际中,等保2.0的落地现状如何?业界对等保2.0的认知有哪些误区?厂商与用户又应该如何更好地实施等保2.0?

     

    本期“大咖访谈”,山石网科高级副总裁、首席技术专家、安全技术研究院院长杨庆华,将以资深网络安全专家的视角,为你深度解读等保2.0发布一周年来的施行情况,分析在标准落地过程中厂商与用户存在的误区与不足,指明推行等保2.0的新方向。 

     

    Question 1:等保2.0发布一周年,您认为国内的推进现状如何?

    A:等保2.0是由核心的6个标准加上3个辅助的标准所构成的一个系列标准。在2020年3月,9个标准全部发布了,等保2.0的系列标准已经构建完成,但我认为等保2.0时代还没有真正的到来,整体上是雷声大雨点小。

     

    首先,等保2.0系列标准还没有真正开始执行。比如2020年4月28号发布的定级指南,其实还没有真正的执行和实施。其次,缺乏相关的配套政策。现在我们遵循的还是2007年开始施行的《信息安全等级保护管理办法》对等级保护的管理办法,但是那个管理办法对于现在的等保2.0的部分内容是不太适合的。并且,等保2.0测试完成的项目还较少

     

    Question 2:经过这一年等保2.0的实施,您对等保2.0 有哪些新的认识和理解?

    A:等保2.0在定级领域、建设要求以及产品技术细节等方面解决了等保1.0所无法解决的问题。

     

    定级范围方面,等保2.0解决了云计算、工业控制、移动互联等新领域的定级问题。

     

    建设要求方面,等保2.0给“云、大、物、移、智、工业控制”这六大领域的从业者提供了明确的建设要求。

     

    技术细节方面,等保2.0有很多优化和更新。在疫情期间,我们做了9期基于等保维护和运维的培训,指导用户真正的发挥安全产品的作用。

     

     

    Question 3:您认为,目前业界对等保2.0的认知有哪些局限性和误区?

    A:目前业界对等保2.0的认知有五大误区。

     

    第一个误区:没有贯彻“三同步”的原则。

    等保2.0强调“同步规划,同步建设,同步运维”, 定级指南里明确要求必须过了三级系统测评之后才可以上线,但在等保1.0时期大家全是补丁思维,是系统建完之后,我为了过等保去做打补丁工作,这个误区现在依然存在。

     

    第二个误区:重技术,轻管理。

    在等保1.0时代,技术和管理是二大类,是分开要求的,但在等保2.0时代,不再把技术和管理分类,技术和管理同等重要地位。而问题是,不管是厂商宣传还是用户建设,大家谈的还是技术,忽略了管理。

    究其原因有三:第一是用户的能力不够、意识不够,第二是厂商不了解客户的业务和行业属性,第三是用户不愿意花这么多钱去提升管理能力,因为这是短期内见不到直接效益的。

     

    第三个误区:把等保的技术要求理解成产品要求。

    等保的基本要求叫技术要求,绝不是叫产品要求。不是说买了几个产品就能过等保2.0,美其名曰等保几件套,实际上等保没有任何一个要求是针对哪一个特定产品的。以边界安全里的访问控制为例,很多产品都能实现这个功能,防火墙、IPS、安全网关,甚至路由器都能做,没有要求必须用哪个特定的产品,只要能实现技术要求,用什么产品都是可以的

     

    第四个误区:等保建设的目的是通过测评。

    测评只是一个检查的手段,不是等保的目的。等保1.0在评分的时候只有基本符合和不符合,而等保2.0测评的结果分为优良中差,90分以上是优,70分以下就是差,差就是不合格,这样大家就有了明确的好和不好的区分,看到还可以提升的差距在哪里。

     

    第五个误区:只要过了等保、拿到检测证书,以后就不需要整改了。

    拿到检测证书之后,根据评分,还有很多问题是需要整改的。就像我们考试一样,60分及格,你考了61分,但你还有39分是不懂的,这些知识就会影响你后面的其他的学习。这些差距你要补,如果你不补,后面就可能出问题,但是这部分工作好像没人去做。

     

     

    Question 4:如何更好的实施2.0?您认为哪些方面是必须要注意的?请提最重要的三点。

    A:第一,必须坚持三同步原则。

    即安全要与业务系统同步规划、同步建设、同步运维,而不是系统建设完毕后再考虑安全部分,为了过等保而过等保。

     

    第二,等保2.0不能简单依靠产品和技术的堆砌。

    等保绝不是买一堆产品,也不是单纯靠技术,甚至一个等保一体机就能解决的问题。应该结合运维管理、客户业务、行业属性等进行系统建设,如果一个产品就能解决等保所有的问题,那么等保2.0几百页的标准意义何在?

     

    第三,等保2.0是一个规划、建设与运维、测评、整改的循环过程。

    等保测评不是目的,是检验的一个手段。等保是一个PDCA(戴明环)这样的循环过程,即规划、建设与运维、测评、整改,然后将合格的纳入运行,不合格的留待下一循环去解决。

     

     

    Question 5:对于等保2.0,您还有什么想补充说明的?

    A:我再谈一下安全服务和应急演练的重要性,面对问题的态度,安全意识的提升,重视等保建设本质这几个方面。

     

    首先,等保建设要重视安全服务。

    比如等保测评实际上就是一种安全服务,还有漏洞发现、漏洞通报、漏洞情报共享、漏洞验证等安全服务,用户要充分利用安全服务以检验自身存在的安全威胁和风险。

     

    其次,应急演练一定要做。

    应急演练十分重要,第一要有非常详细的应急预案,第二是定时做应急演练。比如汶川512地震的时候,就有一个最牛小学校长,他每年搞两次所有学生规定动作的应急演练,所以地震那天,他们学校所有的孩子在4分钟内都到了操场,而且没有出现踩踏,到了操场之后,每个班谁站在哪个位置都是固定好的,这种应急演练的效果不言而喻。

    同时,应急预案中灾难恢复的优先级规则十分有价值,可以在受到攻击的时候及时取证,再按照预案先恢复什么,再恢复什么,既不会误操作毁灭证据,又能以最快的速度恢复业务。

     

    第三,敢于面对问题,承认问题,减少应付,多点实干。

    比如说每年国家的护网行动的初衷,是为了检验各个行业、各个系统,第一有没有问题,第二出了问题怎么去解决,逼着用户去把安全做好。但是很多单位护网期间减少甚至关闭自己的业务,把安全隐患藏起来,以逃避自己的网络和业务出问题,就像卫生大检查的时候,把所有的厕所都锁上,不让它用,导致护网行动流于形式,问题没能得到解决。

     

    第四,需要整体增强大家的网络安全意识。

    包括领导、管理员、普通员工的意识。在等保标准中,有非常重要的一条,叫做人员的安全意识教育和培训。现实中,这一条的执行情况往往并不理想。如果单位里的所有人都认为买个防火墙只是IT部门的一个采购的话,那就说明没有人把安全建设上升到安全理念的高度,网络安全意识还比较淡薄。

     

    最后,厂商做生意的同时,要真正帮助国家搞等保建设。

    很多中国厂商的功利心重,借着等保的时机,不是想着怎么把等保建设好,怎么把政策落实好,怎么把这个重视网络安全的精神发扬光大,而只是想着怎么基于这个政策带来的巨大利好去大幅捞钱,这是不可取的。

    展开全文
  • 等保2.0详解(附3检查表)

    万次阅读 2019-07-12 11:22:31
    1.0标准相比内涵更丰富在业界,网络安全等级保护制度被誉为一项伟大创举,是中国网络安全的基石,是维护国家安全、社会秩序和公共利益的根本保障。 新时期国家网络安全等级保护制度具有鲜明特点,其实现了两个全...

    与1.0标准相比内涵更丰富在业界,网络安全等级保护制度被誉为一项伟大创举,是中国网络安全的基石,是维护国家安全、社会秩序和公共利益的根本保障。

    新时期国家网络安全等级保护制度具有鲜明特点,其实现了两个全覆盖,一是覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会;二是覆盖所有保护对象,如网络、信息系统、云平台、物联网、工控系统、大数据、移动互联等各类技术应用,无一例外都要落实等级保护制度,这两个全覆盖是它的核心,是重中之重。

    • 确立可信计算的重要技术地位

    等保2.0标准一个很大的特点是把可信计算使用写入了标准范围,从一级开始到四级全部提出了可信验证空间。 如可信验证一级可基于可信根对设备的系统引导程序、系统程序等进行验证,并在检测到其可信性受到破坏后进行报警;可信验证四级可基于可信根对设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。

    在等级保护2.0的安全框架当中,明确提出了要态势感知,而且在等保2.0标准当中也提出要具备对新型攻击分析的能力,要能够检测对重点节点及其入侵的行为,对各类安全事件进行识别报警和分析。

    • 为什么要学习等保2.0?
    • 【对组织的好处】

    学习等级保护2.0详解,可以帮助组织规避合规风险,提升企业的竞争力。

    帮助企业了解等级保护2.0详解要求,为企业进行等级安全保护建设提供帮助。

    • 【对个人的好处】
    • 全面的解析等级保护2.0的各项要求,使学习能够清晰的了解到等级保护2.0的要求重点。
    • 为日常的信息安全管理工作提供借鉴参考。

    网络安全等级保护(等保2.0)所涉及的具体指导文件:《等级保护2.0详解》《安全等级保护划分准则》、《网络安全等级保护定级指南》、《 网络安全等级保护测试评估技术指南》、《网络安全等级保护基本要求》、《云计算安全扩展要求》、《移动互联安全扩展要求》、《工业控制系统安全扩展要求》等这些文件都需要认真解读。

    推荐内容《等级保护2.0详解》(以安全牛课堂为主)

    课程亮点:

    内容分享者在银行、证券、央企、电信等行业的咨询实施经验,分享信息安全管理最佳实践经验。

    同时该分享者主导过携程等大型互联网企业的ISO27001信息安全管理体系建设及信息安全等级保护三级、PCI-DSS当方面的审核工作。

    采取案例式、角色扮演等教学方式,注重信息安全管理实践经验的传递

    附3级检查表:
    在这里插入图片描述

    展开全文
  • 一、等级保护 一般情况下,小的私营企业可以不用做等级保护的,虽然网络...今年是等保2.0落地的第一年,等保2.0与等保1.0的区别还是有一些的,但是对于甲方来说,区别并不是很大,公司业务没有革命性变化,业务就还是
  • 新版《GBT 22240-2020信息安全技术网络安全等级保护定级指南》正式发布...现在对于定级系统的称呼统一改为等级保护对象(旧标准中称为信息系统),这也与等保2.0其他系列标准保持一致。 2、等保定级要素都有哪些? ..
  • 企业级网站后台管理系统

    千次下载 热门讨论 2010-04-22 10:59:44
    PageAdmin网站后台管理系统(PageAdmin CMS),是一款基于微软ASP.NET平台开发,集成内容发布、文章、产品、图片、招聘、留言、自定义模型、采集功能于一体的企业级网站管理系统。作为国内最受欢迎的.NET类网站...
  • 桃源网络硬盘v5.3SQL企业破解版.rar

    热门讨论 2010-09-15 16:47:16
    2008SRBJ0659)是一套可用于网络上文件办公、共享、传递、查看的多用户文件存储系统,广泛应用于互联网、公司、网吧、学校地管理及使用文件,多方式的共享权限,全方位的后台管理,满足从个人到企业各方面应用的...
  • 介绍:PageAdmin网站内容管理系统(PageAdmin CMS),是一款基于微软ASP.NET平台开发,集成内容发布、文章、产品、图片、招聘、留言、自定义模型、采集功能于一体的企业级网站管理系统。作为国内最受欢迎的.NET类...
  • 介绍:PageAdmin网站内容管理系统(PageAdmin CMS),是一款基于微软ASP.NET平台开发,集成内容发布、文章、产品、图片、招聘、留言、自定义模型、采集功能于一体的企业级网站管理系统。作为国内最受欢迎的.NET类...
  • 桃源网络硬盘 5.8.zip

    2019-05-27 16:06:11
    桃源网络硬盘可广泛应用于互联网、企业、学校、政府、科研不同机构的异构网络环境中,不限制系统终端用户量,有关产品分免费共享版和付费商业版两大类,前者可在本公司网站(www.mytaoyuan.com)或各大下载站轻松...
  • asp.net知识库

    2015-06-18 08:45:45
    C# 2.0与泛型 动态调用对象的属性和方法——性能和灵活性兼备的方法 泛型技巧系列:用泛型打造可复用的抽象工厂 泛型技巧系列:如何提供类型参数之间的转换 .NET 2.0 泛型Quiz Visual Studio 2005体验泛型编程 C++ ...
  • 此版功能更强大,后台系统更管理方便,类别模块清晰,界面新颖,拿去就可以用,不需要太多的网络知识就可以轻松建立企业门户分类信息网站,仿赶集网信息网站。 网软分类信息网站系统.net正式版下载分类信息网站模板...
  • 我们掌握了数据库及其应用技术、数据库原理、计算机网络技术课程,对数据库的设计、应用、维护及局域网的组成有了深刻的认识一定的动手实践能力,考取了信息处理、程序设计、数据库技术国家IT认证。...
  • 负载能力,安全等级,功能可操控性和权限严密性方面都全面的考量。凭借 CC工作室从2003年12月到 现在开发团队长期积累的丰富的 web 开发及数据库经验,和强于创新,追求完美的设计理念,使得我们 的产品在很短...
  •  通过网络或磁盘方式,把公钥编码传送给李四,李四接收到张三编码后的公钥,将其解码,李四用张三的公钥加密信息,并发送给李四,张三用自己的私钥解密从李四处收到的信息…… Java利用DES私钥对称加密代码实例 ...
  • JAVA上百实例源码以及开源项目

    千次下载 热门讨论 2016-01-03 17:37:40
     通过网络或磁盘方式,把公钥编码传送给李四,李四接收到张三编码后的公钥,将其解码,李四用张三的公钥加密信息,并发送给李四,张三用自己的私钥解密从李四处收到的信息…… Java利用DES私钥对称加密代码实例 ...
  • 分类信息系统同城风格网站模板,此版功能更强大,后台系统更管理方便,类别模块清晰,界面新颖,拿去就可以用,不需要太多的网络知识就可以轻松建立企业门户分类信息网站,仿赶集网信息网站。仿58同城分类信息系统有...
  • awesome-python 是 vinta 发起维护的 Python 资源列表,内容包括:Web 框架、网络爬虫、网络内容提取、模板引擎、数据库、数据可视化、图片处理、文本处理、自然语言处理、机器学习、日志、代码分析。由「开源前哨...
  • <br>IBatisNet是一个轻量ORMap工具,它把所有的SQL脚本以模板的方式集中到若干个XML配置文件里,用反射的方式向把C#类实体对象属性SQL模板的参数绑定,动态生成参数化的SQL语句发送给数据库执行,查询的结果...
  • 涵盖了所有重要的oracle 体系结构特性,包括文件、内存结构和进程,锁和闩,事务、并发和多版本,表和索引,数据类型,分区和并行,以及数据加密,并利用具体的例子来全面介绍每个特性,不仅讨论了各个特性是什么...

空空如也

空空如也

1 2
收藏数 22
精华内容 8
关键字:

企业级网络安全与等保2.0