企業(yè)上云,上云后的三級等級保護(hù)合規(guī)的建設(shè)方案�,一般都會有堡壘機(jī)�����,為啥會這樣子設(shè)計(jì)呢?我們今天來簡單說明一下�,合理配置堡壘機(jī)�,為啥有利于滿足三級等級保護(hù)測評的要求。
我們先簡單來看看云租戶和云服務(wù)商各自的等級保護(hù)責(zé)任吧���。
客戶主要責(zé)任:云上的業(yè)務(wù)合規(guī)性���、應(yīng)用安全性。
云服務(wù)商主要責(zé)任:
業(yè)務(wù)合規(guī)��、背景可信����、資質(zhì)齊全�,保障基礎(chǔ)設(shè)施安全、云服務(wù)安全�����,提供云服務(wù)安全功能、云安全服務(wù)���。
應(yīng)對用戶進(jìn)行身份鑒別���、訪問控制、安全審計(jì)����,這是對應(yīng)于三級等保中應(yīng)用安全和安全管理,而且是云客戶或者云租戶需要負(fù)責(zé)的��。而堡壘機(jī)一些功能可以很好完成這些要求����。除了這些要求之外,堡壘機(jī)還可以完成一些數(shù)據(jù)安全方面的要求����。
1、 用戶身份鑒別
需要采用兩種或兩種以上組合方式進(jìn)行身份驗(yàn)證�����。堡壘機(jī)擁有本地認(rèn)證、AD域認(rèn)證�����、Radius認(rèn)證��、數(shù)字證書認(rèn)證�����,提供外部接口可供指紋識別認(rèn)證�����、UKEY(移動數(shù)據(jù)證書)認(rèn)證��,滿足三級系統(tǒng)的設(shè)計(jì)要求�����。
2����、 自主訪問控制
應(yīng)在安全策略控制范圍內(nèi)����,使用戶對其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)限���,并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問控制主體的粒度為用戶級��,客體的粒度為文件或數(shù)據(jù)庫表級和(或)記錄或字段級��。
堡壘機(jī)通過主從賬號一一對應(yīng)的授權(quán)方式�����,賦予用戶完成操作的最小權(quán)限�。其中命令訪問控制策略,能對高危命令進(jìn)行告警或阻斷;圖形控制策略能對RDP文件傳輸進(jìn)行控制�����,達(dá)到允許或阻斷的能力����。訪問控制粒度達(dá)到文件或命令級別,滿足三級系統(tǒng)的設(shè)計(jì)要求�。
3、 標(biāo)記和強(qiáng)制訪問控制
在對安全管理員進(jìn)行身份鑒別和權(quán)限控制的基礎(chǔ)上�����,應(yīng)由安全管理員通過特定操作界面對主、客體進(jìn)行安全標(biāo)記;應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則�,對確定主體訪問客體的操作進(jìn)行控制。
堡壘機(jī)通過旁路部署���,邏輯網(wǎng)關(guān)的形式接入用戶網(wǎng)絡(luò)��,不改變用戶現(xiàn)有的網(wǎng)絡(luò)構(gòu)架;為用戶提供C/S����、B/S兩種登錄方式����,不改變用戶現(xiàn)有的運(yùn)維習(xí)慣。登錄統(tǒng)一安全管理與綜合審計(jì)系統(tǒng)平臺����,由超級管理員進(jìn)行標(biāo)記分配來控制操作管理。滿足三級系統(tǒng)的設(shè)計(jì)要求����。
4、 系統(tǒng)安全審計(jì)
應(yīng)記錄系統(tǒng)的相關(guān)安全事件�。審計(jì)記錄包括安全事件的主體�����、客體、時(shí)間��、類型和結(jié)果等內(nèi)容����。應(yīng)提供審計(jì)記錄查詢、分類��、分析和存儲保護(hù);確保對特定安全事件進(jìn)行報(bào)警;確保審計(jì)記錄不被破壞或非授權(quán)訪問����。應(yīng)為安全管理中心提供接口。
堡壘機(jī)能夠?qū)ψ址?��、圖形��、數(shù)據(jù)庫操作��、WEB應(yīng)用��、應(yīng)用發(fā)布�、KVM等各類操作進(jìn)行審計(jì);字符類審計(jì)能不僅可以命令識別,而且還可以對
FTP/SFTP的文件傳輸進(jìn)行審計(jì)并記錄;圖形類審計(jì)能夠?qū)崿F(xiàn)實(shí)時(shí)的文字識別功能��,完成標(biāo)題欄的識別��,傳統(tǒng)的審計(jì)視頻流可被搜索�����、精準(zhǔn)定位;數(shù)據(jù)庫操作
能夠?qū)崿F(xiàn)協(xié)議解析�,完整無死角進(jìn)行操作審計(jì);WEB應(yīng)用、應(yīng)用發(fā)布以及KVM的安全審計(jì)�����,讓整個(gè)信息系統(tǒng)的任何操作都逃避不了堡壘機(jī)的“法眼”��,并能根據(jù)
客戶需求輸出各類可查詢的審計(jì)記錄;堡壘機(jī)作為獨(dú)立的第三方審計(jì)系統(tǒng)����,可以有效避免數(shù)據(jù)遭到破壞或非授權(quán)的訪問刪除、增加��、篡改;對于審計(jì)記錄只有超級管
理員和審計(jì)員可以查看����,并實(shí)現(xiàn)三權(quán)分立的原則;系統(tǒng)為安全管理中心提供接口��,輸出日志等相關(guān)信息����。滿足三級系統(tǒng)的設(shè)計(jì)要求����。
5���、
用戶數(shù)據(jù)完整性保護(hù)��、用戶數(shù)據(jù)保密性保護(hù)��、客體安全重用�、程序可信執(zhí)行保護(hù)堡壘主機(jī)在信息安全等級保護(hù)制度中的探究與應(yīng)用���。
堡壘機(jī)通過HTTPS加密協(xié)議進(jìn)行通信鏈路的傳輸�,采用加密技術(shù)對數(shù)據(jù)的存儲進(jìn)行保密性保護(hù);各模塊相互傳數(shù)據(jù)及配置和控制信息都采用加密傳輸方式����,提高了信息的保密性。傳輸?shù)臄?shù)據(jù)不被泄漏或篡改�,在傳輸錯(cuò)誤或異常中斷的情況下能重發(fā)數(shù)據(jù)���。數(shù)據(jù)保護(hù)機(jī)制采用HASH值對數(shù)據(jù)進(jìn)行驗(yàn)證,保證數(shù)據(jù)不會篡改�,保持?jǐn)?shù)據(jù)的完整性。滿足三級系統(tǒng)的設(shè)計(jì)要求���。
綜上所述��,堡壘機(jī)對于滿足等級保護(hù)三級測評要求�,是非常有好處的��。想要了解更具體的堡壘機(jī)配置方案和等保整改方案嗎?歡迎在線咨詢或者留言���。我們可以為您提供主機(jī)整改和云等保合規(guī)套餐服務(wù)���。
等保測評咨詢
