压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

突入其來的疫情，讓大量中小企業(yè)措手不及，被迫加速將辦公和業(yè)務(wù)場景從線下轉(zhuǎn)往線上，同時5G、AI、云計算等新一代信息技術(shù)的應(yīng)用也在加速各行業(yè)數(shù)字化和產(chǎn)業(yè)升級的進(jìn)程，隨著技術(shù)的發(fā)展和基礎(chǔ)設(shè)施建設(shè)的加速，對信息安全也提出了更高的要求。

然而面對網(wǎng)絡(luò)環(huán)境的急劇變化，企業(yè)在數(shù)字化轉(zhuǎn)型過程中往往難以快速切換角色以應(yīng)對日益模糊的安全邊界，而大部分的中小企業(yè)在人力儲備和技術(shù)能力上不足以應(yīng)對新的安全挑戰(zhàn)。

不斷出臺的法律法規(guī)也在強(qiáng)調(diào)著信息安全的重要性。距離網(wǎng)絡(luò)安全等級保護(hù)制度2.0（以下簡稱等保2.0）標(biāo)準(zhǔn)正式施行已經(jīng)過去了近五個月，等保2.0一方面橫向擴(kuò)展了對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)的安全要求；另一方面縱向擴(kuò)展了對等級保護(hù)測評機(jī)構(gòu)的管理規(guī)范、明確定級流程、擴(kuò)展定級對象確定方法等。如何在業(yè)務(wù)數(shù)字化轉(zhuǎn)型升級的同時，快速高效地通過等級保護(hù)測評，應(yīng)對新的安全挑戰(zhàn)，成為企業(yè)開展業(yè)務(wù)前必須思考的問題。

到底哪些企業(yè)需要通過等保？

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行相關(guān)的安全保護(hù)義務(wù)。同時第七十六條定義了網(wǎng)絡(luò)運(yùn)營者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

等級保護(hù)相關(guān)標(biāo)準(zhǔn)雖然為非強(qiáng)制性的推薦標(biāo)準(zhǔn)，但網(wǎng)絡(luò)（個人與家庭網(wǎng)絡(luò)除外）運(yùn)營者必需按網(wǎng)絡(luò)安全法開展等級保護(hù)工作。

即使企業(yè)使用了已經(jīng)通過等保的云服務(wù)器，將系統(tǒng)建立在云上，同樣也需要通過等保測評。業(yè)務(wù)上云有多種情況，如在公有云、私有云、專有云等不同屬性的云上，并采用IaaS、PaaS、SaaS、IDC托管等不同服務(wù)，雖然安全責(zé)任邊界發(fā)生了變化，但網(wǎng)絡(luò)運(yùn)營者的安全責(zé)任不會轉(zhuǎn)移。根據(jù)“誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰主管誰負(fù)責(zé)”的原則，應(yīng)承擔(dān)網(wǎng)絡(luò)安全責(zé)任進(jìn)行等級保護(hù)工作。

根據(jù)《信息安全技術(shù)?網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）附錄D，云服務(wù)商根據(jù)提供的IaaS、PaaS、SaaS模式承擔(dān)不同的平臺安全責(zé)任。業(yè)務(wù)系統(tǒng)上云后，云租戶與云平臺服務(wù)商之間應(yīng)遵循責(zé)任分擔(dān)矩陣共同承擔(dān)相應(yīng)的安全責(zé)任。

（云租戶與云平臺服務(wù)商責(zé)任共擔(dān)模型）

云上操作系統(tǒng)有哪些測評項要求？

對于廣大使用公有云的中小企業(yè)來說，在安全人員和技術(shù)能力的儲備上本來就相對欠缺，當(dāng)面對等保2.0復(fù)雜的要求時更是一頭霧水，尤其是對于云上操作系統(tǒng)的合規(guī)測評，需要進(jìn)行復(fù)雜的手動配置才能滿足超過30多個合規(guī)項的要求。

以 CentOS 7.x 操作系統(tǒng)為例，依據(jù)《GB/T22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，需要滿足的基線要求包括，身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗(yàn)證、 數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個人信息保護(hù)共 11 部分。

一、身份鑒別

◆ 測評要求

1. 應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；
2. 應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施；

……

二、訪問控制

◆ 測評要求

1. 應(yīng)對登錄的用戶分配賬戶和權(quán)限；
2. 應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；
3. 應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；
4. 應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；

……

三、安全審計

◆ 測評要求

1. 應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計；
2. 審計記錄應(yīng)包括事件的日期和時間、事件類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；

……

四、入侵防范

◆ 測評要求

1. 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；
2. 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞；
3. 應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報警。

……

五、惡意代碼防范

◆ 測評要求

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗(yàn)證機(jī)制，及時識別入侵和病毒行為，并將其有效阻斷。

除此之外，還有可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個人信息保護(hù)等共計11個部分30多項細(xì)致的測評要求。

如何配置才能快速通過操作系統(tǒng)測評？

面對如此復(fù)雜的測評要求，即使業(yè)務(wù)上云的企業(yè)摸清了具體的內(nèi)容，也很難梳理清楚具體應(yīng)該修改哪些服務(wù)器配置、修改到何種程度才能符合等保測評機(jī)構(gòu)的要求，甚至?xí)驗(yàn)樵诓僮鬟^程中誤配置或者修改（如SSH登錄配置項等），從而導(dǎo)致系統(tǒng)無法登錄或其他異常。

（手動配置過程中可能遭遇的問題）

那么除了自己手動配置之外，還有哪些輕松的方式可以通過操作系統(tǒng)的合規(guī)測評呢？

為了幫助云上租戶解決這一困擾，近期騰訊安全云鼎實(shí)驗(yàn)室在專業(yè)測評機(jī)構(gòu)提供基線標(biāo)準(zhǔn)支持下，免費(fèi)推出了云原生默認(rèn)等保合規(guī)鏡像——該產(chǎn)品基于原生公共鏡像打造，保持原生內(nèi)核未修改，在保障原生鏡像兼容性和性能的基礎(chǔ)上進(jìn)行了等保合規(guī)適配，幫助用戶擺脫復(fù)雜操作和配置的困擾，讓用戶無需手動操作，一鍵即可自動完成操作系統(tǒng)90%以上的基礎(chǔ)合規(guī)配置。

據(jù)了解，此前騰訊云分別以97.82分和97.57分的成績，高分通過了公有云等保三級和金融云等保四級的測評。騰訊云每年會針對內(nèi)部各類系統(tǒng)開展10次以上等保合規(guī)認(rèn)證，同時也會幫助各行業(yè)用戶提供等保測評支持。在這些過程中，騰訊云不僅與專業(yè)測評機(jī)構(gòu)進(jìn)行了深入的交流，并且積累了豐富的自動化測評工具集和經(jīng)驗(yàn)。

現(xiàn)在，在專業(yè)測評機(jī)構(gòu)的基線標(biāo)準(zhǔn)支持下，騰訊云將這些經(jīng)驗(yàn)和能力通過默認(rèn)合規(guī)鏡像的方式輸出給云上租戶，幫助租戶通過操作系統(tǒng)的等保測評，并且騰訊安全團(tuán)隊將對默認(rèn)合規(guī)鏡像進(jìn)行持續(xù)運(yùn)營維護(hù)，確保在出現(xiàn)新的重大安全威脅時，租戶使用到的默認(rèn)合規(guī)鏡像對已完成漏洞修復(fù)，持續(xù)獲得安全更新體驗(yàn)。