安全資訊

等級保護2.0:網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全通用要求之一般安全要求

【時(shí)間】2021-03-09

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

說(shuō)實(shí)在的,在此前我個(gè)人是不太注意哪些產(chǎn)品是需要滿(mǎn)足一般安全要求,哪些產(chǎn)品是需要滿(mǎn)足增強安全要求,正好結合《信息安全技術(shù) 網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全通用要求》這個(gè)標準,我們探討一下這個(gè)問(wèn)題。

在我國境內銷(xiāo)售或提供的所有網(wǎng)絡(luò )產(chǎn)品和服務(wù)必須滿(mǎn)足一般安全要求,其中網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品還必須滿(mǎn)足增強安全要求。網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品范圍,具體參照國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認證認可監督管理委員會(huì )聯(lián)合印發(fā)的《關(guān)于發(fā)布<網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄>的公告》。網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品試看網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄(第一批)》詳細如下


設備或產(chǎn)品類(lèi)別

范圍

網(wǎng)絡(luò )關(guān)鍵設備

1.路由器

整系統吞吐量(雙向)≥12Tbps

整系統路由表容量≥55萬(wàn)條

2.交換機

整系統吞吐量(雙向)≥30Tbps

整系統包轉發(fā)率≥10Gpps

3. 服務(wù)器(機架式)

CPU數量≥8個(gè)

CPU內核數≥14個(gè)

內存容量≥256GB

4. 可編程邏輯控制器(PLC設備)

控制器指令執行時(shí)間≤0.08微秒

網(wǎng)絡(luò )安全

專(zhuān)用產(chǎn)品

5. 數據備份一體機

備份容量≥20T

備份速度≥60MB/s

備份時(shí)間間隔≤1小時(shí)

6. 防火墻(硬件)

整機吞吐量≥80Gbps

最大并發(fā)連接數≥300萬(wàn)

每秒新建連接數≥25萬(wàn)

7. WEB應用防火墻(WAF

整機應用吞吐量≥6Gbps

最大HTTP并發(fā)連接數≥200萬(wàn)

8. 入侵檢測系統(IDS

滿(mǎn)檢速率≥15Gbps

最大并發(fā)連接數≥500萬(wàn)

9.入侵防御系統(IPS

滿(mǎn)檢速率≥20Gbps

最大并發(fā)連接數≥500萬(wàn)

10.安全隔離與信息交換產(chǎn)品(網(wǎng)閘)

吞吐量≥1Gbps

系統延時(shí)≤5ms

11.反垃圾郵件產(chǎn)品

連接處理速率(連接/秒)>100

平均延遲時(shí)間<100ms

12.網(wǎng)絡(luò )綜合審計系統

抓包速度≥5Gbps

記錄事件能力≥5萬(wàn)條/

13. 網(wǎng)絡(luò )脆弱性?huà)呙璁a(chǎn)品

最大并行掃描IP數量≥60個(gè)

14. 安全數據庫系統

TPC-E tpsE(每秒可交易數量)≥4500個(gè)

15. 網(wǎng)站恢復產(chǎn)品(硬件)

恢復時(shí)間≤2ms

站點(diǎn)的最長(cháng)路徑≥10


一般安全要求

1、 惡意程序防范
網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:
a)   禁止在網(wǎng)絡(luò )產(chǎn)品和服務(wù)的研發(fā)、生產(chǎn)、交付、運維等過(guò)程中植入惡意程序;
b)   禁止在網(wǎng)絡(luò )產(chǎn)品和服務(wù)中設置隱蔽接口或未明示功能模塊,如隱蔽的管理接口或調試接口;
c)   禁止加載能夠禁用或繞過(guò)安全機制的組件,不存在硬編碼方式的默認口令和隱藏賬號;
d)   必須建立和實(shí)施網(wǎng)絡(luò )產(chǎn)品和服務(wù)的完整性保護措施,減少產(chǎn)品和服務(wù)的關(guān)鍵組件、過(guò)程和數據被篡改、偽造的風(fēng)險;
e)   保護用戶(hù)對軟件安裝、使用、升級、卸載的知情權和選擇權,安裝和升級軟件時(shí)必須明示告知用戶(hù)并獲得用戶(hù)同意,允許用戶(hù)卸載產(chǎn)品核心功能之外的軟件,禁止通過(guò)技術(shù)手段強制或誘導用戶(hù)安裝和升級用戶(hù)不知情的軟件;
f)   通過(guò)用戶(hù)協(xié)議、產(chǎn)品使用說(shuō)明書(shū)、門(mén)戶(hù)網(wǎng)站等途徑,承諾提供的網(wǎng)絡(luò )產(chǎn)品和服務(wù)不包含惡意程序、隱蔽接口或未明示功能模塊等。
2、 缺陷漏洞管理
網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:

a)   網(wǎng)絡(luò )產(chǎn)品和服務(wù)的設計、開(kāi)發(fā)環(huán)節識別安全風(fēng)險,制定安全策略,采取適當的安全措施保障關(guān)鍵組件的設計和開(kāi)發(fā)安全,網(wǎng)絡(luò )產(chǎn)品和服務(wù)在交付前必須進(jìn)行了安全性測試,控制安全風(fēng)險;

b)   建立和執行針對網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全缺陷、漏洞的應急響應機制和流程;

c)   在發(fā)現網(wǎng)絡(luò )產(chǎn)品和服務(wù)存在安全缺陷、漏洞時(shí),立即采取修復或替代方案等補救措施,按照國家網(wǎng)絡(luò )安全監測預警和信息通報制度等規定,及時(shí)告知用戶(hù)安全風(fēng)險,并向有關(guān)主管部門(mén)報告。

3、 安全運行維護
網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:
a)   在國家法律、行政法規、部門(mén)規章等規范性文件規定或與用戶(hù)約定的期限內,為網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供持續的安全維護;
b)   在國家法律、行政法規、部門(mén)規章等規范性文件規定或與用戶(hù)約定的期限內,不因業(yè)務(wù)變更、產(chǎn)權變更等原因單方面中斷或終止安全維護。
4、 用戶(hù)信息保護
具有收集用戶(hù)信息功能的網(wǎng)絡(luò )產(chǎn)品和服務(wù),網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者必須滿(mǎn)足以下要求:
a)   明確告知收集用戶(hù)信息的目的、用途、范圍和類(lèi)型,在用戶(hù)明示同意后,方可收集用戶(hù)信息;
b)   只收集實(shí)現產(chǎn)品和服務(wù)功能所需的最少用戶(hù)信息,收集的用戶(hù)信息僅用于用戶(hù)同意的目的和用途;
c)   應當對其收集的用戶(hù)信息嚴格保密,并建立了規范的用戶(hù)信息保護制度;
d)   采取安全措施(如加密存儲、安全審計)保護個(gè)人信息等重要用戶(hù)信息的安全,防止泄露、篡改、損毀、丟失;
e)   未經(jīng)用戶(hù)明示同意,不得向他人提供個(gè)人信息,經(jīng)處理無(wú)法識別特定個(gè)人且不能復原的除外;
f)   向個(gè)人信息主體提供查詢(xún)、更正個(gè)人信息的功能,當發(fā)現提供者違反法律、行政法規的規定或者雙方的約定收集、使用其個(gè)人信息的,個(gè)人有權要求提供者刪除其個(gè)人信息;

g)   制定個(gè)人信息泄露應急預案,當發(fā)生個(gè)人信息泄露事件時(shí),采取有效措施降低用戶(hù)的損失。

文章開(kāi)始,我們提到了在我國境內銷(xiāo)售或提供的所有網(wǎng)絡(luò )產(chǎn)品和服務(wù)必須滿(mǎn)足一般安全要求,其中網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品還必須滿(mǎn)足增強安全要求。也就是在我國所有網(wǎng)絡(luò )產(chǎn)品和服務(wù)皆需要滿(mǎn)足一般安全要求,同時(shí),我也經(jīng)常強調一點(diǎn),那就是在網(wǎng)絡(luò )安全等級保護測評中如何理解每條測評的要求,不能根據腦海中的一些淺薄知識望文生義,盡量能夠以標準釋標準。在實(shí)際操作中,無(wú)論是建設整改方案時(shí)期還是等級測評時(shí)期,充分理解標準要求,既可以滿(mǎn)足合規性,也可以避免客戶(hù)過(guò)度投入。

網(wǎng)絡(luò )安全等級保護是一個(gè)網(wǎng)絡(luò )安全領(lǐng)域合規的一個(gè)基本條件,而網(wǎng)絡(luò )安全等級保護是體系化的工作,需要安全監管部門(mén)、行業(yè)主管單位(部門(mén))、安全服務(wù)商、網(wǎng)絡(luò )運營(yíng)者、測評機構多方參與,而又需要各司其職。充分理解等級保護工作的重要性的同時(shí),也需要各方都對等級保護有個(gè)充分的認知,同時(shí)各方又能提供足夠專(zhuān)業(yè)符合等級保護工作的服務(wù)及售后服務(wù)。

我將努力為在等級保護工作中需要幫忙的朋友們,提供力所能及的幫助。與各行各業(yè)各單位在網(wǎng)絡(luò )安全等級保護以及關(guān)鍵信息安全保護的工作中,共同進(jìn)步。期待與你們一起加油!

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线