√ 2021年8月20日,人大常务委员会通过了《个人信息保护法》,11月1日正式实施。对个人信息的收集、存储、使用、加工、传输、 提供、公开、删除作出了相应的规定与要求。
√ 2021年6月10日,人大常务委员会通过了《数据安全法》,9月1日正式实施。对数据的收集、存储、使用、加工、传输、 提供、公开等数据处理以及数据安全、运维都作了相应的规定与要求。
√ 2019年5月13日,国家标准化管理委员会发布了新修订的2.0版《网络安全等级保护基本要求》,12月1日正式实施。
√ 等保2.0注重全方位主动防御、动态防御、整体防控和精准防护,除了基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。
√ 等保2.0中身份治理关联功能与提升点(24项):
序号 |
类别 |
控制点 |
基于身份安全提升 |
安全提升点 |
1 |
网络安全 |
网络架构 |
√ |
统一访问入口与端口安全 |
2 |
通信传输 |
√ |
SSL/TSL网络准入 |
|
3 |
可信验证 |
√ |
身份鉴别与身份强认证 |
|
4 |
边界防护 |
√ |
内部身份治理与外部身份治理 |
|
5 |
访问控制 |
√ |
安全认证与统一访问 |
|
6 |
入侵防范 |
√ |
身份鉴别 |
|
7 |
恶意代码和垃圾邮件防范 |
|
|
|
8 |
安全审计 |
√ |
身份与行为审计 |
|
9 |
系统管理 |
|
|
|
10 |
安全管理 |
√ |
身份安全管理 |
|
11 |
集中管控 |
√ |
账号与认证集中管控 |
|
12 |
主机安全 |
身份鉴别 |
√ |
身份开通与鉴权 |
13 |
访问控制 |
√ |
安全认证与统一访问 |
|
14 |
安全审计 |
√ |
身份与行为审计 |
|
15 |
入侵防范 |
√ |
身份鉴别 |
|
16 |
恶意代码防范 |
|
|
|
17 |
可信验证 |
√ |
身份鉴别与身份强认证 |
|
18 |
数据完整性 |
|
|
|
19 |
应用安全 |
数据保密性 |
√ |
身份权限集中管控 |
20 |
数据备份恢复 |
|
|
|
21 |
剩余信息保护 |
|
|
|
22 |
个人信息保护 |
√ |
身份信息加密与使用控制 |
|
23 |
身份鉴别 |
√ |
身份开通与鉴权 |
|
24 |
访问控制 |
√ |
安全认证与统一访问 |
|
25 |
安全审计 |
√ |
身份与行为审计 |
|
26 |
系统运维管理 |
环境管理 |
√ |
特权账号管理 |
27 |
设备管理 |
√ |
服务器维护认证与权限管理 |
|
28 |
网络和系统安全管理 |
√ |
身份堡垒与认证 |
|
29 |
漏洞和风险管理 |
|
|
|
30 |
恶意代码防范管理 |
|
|
|
31 |
配置管理 |
|
|
|
32 |
密码管理 |
√ |
集中安全认证与密码加密 |
|
33 |
外包运维管理 |
√ |
外部人员身份管理 |
为满足政策法规与管控,企业需要构建一套基于身份安全、数据安全、网络安全为底座的零信任架构体系
1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3. 应对防止未经授权的中断。审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
4. 应对审计进程进行保护
1. 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据 和重要个人信息等;
1. 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
1. 应仅采集和保存业务必需的用户个人信息;
2. 应禁止未授权访问和非法使用用户个人信息。
信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
即以可信认证为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
即以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的策略进行资源访问,保证了系统的信息安全可控。
即通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行技术平台支撑下的安全策略管理,从而保证信息系统安全可管。