等级保护2.0合规能力白皮书
AI智能总结
快快网络新一从去安全引领毒快快网络等保2.0合规能力白皮书 快快网络等级保护2.0 快快网络 快快冈 1/102 合规能力白皮书 版本:V1.0发布日期:2023.3 快快网络新一从去安全引领音快快网络等保2.0合规能力白皮书 声明 版权声明 本文档版权归履厦门快快网络科技有限公司所有,并保留一切权利。未经书面许可,任何公司和个人不得将此文中的任有部分公开,转我或以共其他方式散发给第三方,否则,必将注究其法律责任, 免责声明 本文档仅提供阶段性信息,所含内客可据产品的实际情况随时更新,急忽不另行通知,如因文档使用不当 快快网络 量成的直按或问接损失,本公司不承担任有责任, 文档更新 本文档由厦门快快网络科技有限公司于2023年3月最后修订。 公司网站 快快网络 wwwkkidc.com 客服电话4009188010 目录 快快网络等保2.0合规能力白皮书 2安全合规责任 3安全合规能力模型 3.1保护对象3.2安全措施,3.3安全能力, 10 3.4安全合规评估 10 4安全合规实践指引.. 4.1引用云平台等级保护结论 11 4.2基本要求合规分析.. 11 4.2.1安全物理环境 11 4.2.2安全通信网络 12 4.2.3安全区域边界, 19 4.2.4安全计算环境. 37 4.2.5安全管理中心 71 4.2.6安全管理制度 82 5快快网络一站式等级保护2.0解决方! 83 6典型场景及案例. 102 快快网络新一代士安全引领者 快快网络 快快 快快网络新一代击安全引领音快快网络等保2.0合规能力白皮书 1概述 网络安全法》2017年6月1日实施标志若网络安全保护进入有法可依的2.0时代,“网络安全等级保护制度”首次从法律层面提 及。网络安全等级保护对蒙由信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、物联网、大数据应用/平台/资源,物联网和工业控制系统等。2019年12月1日起, .GB/T22239-2019信息安全技术网络安全等级保护基本要求》(以 下简称“基本要求”)等系列标准正式实施,落实网络要全等级保护 制度是每个企业和单位的基本义务和责任。 快快网络 快快网络作为网络安全等级保护的先行者和践行者,在确保云平台自身满足基本要求的基础之上,利用云安全产品和DDOS防护技术优势,希望能够帮助云服务客户更快速、高效和持续的落实网络安全等级保护制度,提升“云上”业务系统的安全防护能力。 本白皮书介绍了快快网络如何助力云服务客户构建基实网络安全等级保护的安全合规体系,内容包括: 安全合规责任 安全合规能力模型安全合规实践指引 快快网络一站式等保2.0解决方案 典型场景及案例 快快网络新一代击安全引领音快快网络等保2.0合规能力白皮书 2安全合规责任 从传统数据中心的视角,云安全是指保护云服务本身在基础设施 即服务(Iaas)、平台即服务(PaaS)和软件即服务(SaasS)中的技 快快网络 术资源的安全性,以确保各类云服务能够持续、高效、安全、稳定地运行。云服务与传统数据中心存在明显差异,前者对云安全整体设计和实践更侧重于为云服务客户提供完善的、多维度的、按需要任意定制、组合的各种安全和隐私保护功能和配置,涵盖基础设施、平台、应用及数据安全等各个层面。同时,不同的云安全服务又进一步为云服务客户提供了各类可自主配置的高级安全选项。这些云安全服务需要通过深度嵌入各层云服务的安全特性、安全配置和安全管控来实现,并通过可整合多点汇总分析的、日趋自动化的云安全运维运营能力来 支撑。 快快网络按业界常规做法定义的安全责任共担模型,云服务客户 使用不同模式的云服务(Iaas、Paas或Saas)时,对资源的控制范 围不同,安全责任边界也根据控制范国的差异而有所不同。如下图: BTA 快快网络新一代击安全引领毒 快快网络等保2.0合规能力白皮书 云服务客户金业价间 物联网点用E1应用智想园区点月传其点用大款器处理应用 应用管理与运维平台 应用平台) 网络基域管理 云计第平台 物理性置物理访问控制 防水和防肃电调防护电力检制 云基础设地(灵件。资源抽象控制)云服务客户 快快网络 如上两图所示,快快网络的主要责任是研发并运维运营快快网络数据中心的物理基础设施、提供的各项基础服务、平台服务和应用服务,也包括各项服务内置的安全功能。同时,快快网络还负责构建物理层、基础设施层、平台层、应用层、数据层和用户身份管理(IAM) 层的立体安全防护体系,并保障其运维运营安全。 云服务客户的主要责任是在租用的快快网络基础设施与服务之上定制配置并且运维运营其所需的虚拟网络、平台、应用、数据、管理、安全等各项服务,包括对快快网络服务的定制配置和对云服务客户自行部署的平台、应用、用户身份管理等服务的运维运营。同时,云服务客户还负责其在虚拟网络层、平台层、应用层、数据层和IAMI 层的各项安全防护措施的定制配置,运维运营安全及用户身份的有效 管理。 6/102 快快网络新一从去安全引领毒快快网络等保2.0合规能力白皮书 3安全合规能力模型 3.1保护对象 根据云计算环境等级保护对象划分及公有云合规责任共担模型 原则,云服务客户可以基于部署的云计算服务模式确定业务系统的等 级保护对象。 3.2安全措施 快快网络 快快网络打造集预测、防护、检测、响应和恢复为一体的云数据安全保障体系,动态协同多种安全防御措施,保障云上数据安全。 公有云安全治理目标管理 预测防护 数据安全 响应检测 公有云安全治理策略保障 预测 公有云安全治理技术保障 快快网络安全治理策略保障 公有云安全治理组织保障 快快网络构建了统一的分析和预警平台,全面掌握数据安全态势, 7/102 快快网络新一代击安全引领者快快网络等保2.0合规能力白皮书 快速识别、响应安全事件,同时通过对告警、事件、资产等信息的关联分析进行风险评估及安全态势预测,由此可预先制定安全防护策略,做到防范于未然。快快网络构建了完善的漏洞管理体系,实现漏洞的感知、处置、披露等全流程的跟踪与管理,确保云计算平台各云服务和组件的漏得到及时的发现与修复,降低漏洞被恶意利用所带来的 风险。 ●防护 物理和环境安全防护 快快网络 快快网络严格遵从国际、国内相关标准要求,对数据中心进行合理的选址及设计施工,同时进行统一垂直管理,实施分层分级的安全防护,从围栏到DC建筑,从DC建筑到模块,从模块到机柜,从机柜到服务器,安全防护措施逐级增强,确保云数据中心的物理和环境安全。在严格执行物理访间控制的同时,通过智能的7×24小时监 控,及时发现并修复安全隐患,确保数据中心稳定运行。网络安全防护 快快网络帮助云服务客户构建网络安全防护体系,防止数据被窃 取或泄露。快快网络在互联网边界部署Anti-DDos设备,来完成对 异常和超大流量攻击的检测和清洗。同时在关键网络分区边界部署入侵防御设备,识别来自互联网及云服务客户问的攻击行为,并能够进行自动化、精确的阻断。 所有云平台主机均安装安全防护软件,进行主机层面的弱密码检 快快网络新一代击安全引领者 快快网络等保2.0合规能力自白皮书 测、配置管理、入侵检测、应急响应等,构建合规、安全的主机环境。针对向外提供Web服务的系统,使用Web安全防护设备抵御应用层 攻击行为,确保web服务的安全。 运维管理 快快网络 快快网络制定并落实严格的规范、流程和管控措施,实现了运维操作的统一接入,统一认证,统一授权,统一审计。运维人员首先通过双因子认证接入运维环境,再集中从堡垒机跳转到自标机进行操作。自标机的口令被堡垒机回收并定期更新,确保运维人员无需也无法获取口令。严格的运维接入阻断了未授权的内部访问,是客户数据要全保护在关键环节。快快网络对于运维人员实行基于角色的访问控制权限管理,限定不同岗位不同职责的人员只能对所授权的运维自标进行特定操作。通过最小化的权限分配和严格的行为审计,确保运维人员不触碰云服务客户的数据。 ●检测 快快网络联动分析各要全设备的告警信息,结合机器学习技术和专家经验构建相应的模型,检测未知数据安全风险,并及时采取有效措施进行防御。快快网络遵从法律法规要求,具备集中,完整的日志审计系统。内部人员运维操作均被日志平台采集并记录。快快网络的日志审计系统有强大的数据保存及查询能力,确保所有日志内容保有时间超过6个月。快快网络设置独立的内审部门,定期对运维流程客项活动进行审计,及时发现、纠正违规行为。 快快网络新一代击安全引领音快快网络等保2.0合规能力白皮书 快快网络秉承快速发现、快速定界、快速隔离与快速恢复的“四快”原则,根据安全事件对全网及客户的影响,对事件进行分级响应。设置7*24的专业安全事件响应团队及专家资源池,依照法律法规要 求,对相关事件及时披露,及时知会服务客户,同时执行应急预案及恢复流程,降低业务影响。 3.3安全能力 安全能力是指安全措施作用于保护对象而形成抵御外部攻击的 快快网络 一种防护能力,云服务客户安全能力主要包括云平台原生安全能力、云服务安全能力(包括云安全服务安全能力)及云服务客户自建安全 能力。 3.4安全合规评估 快快网络一如既往地确保其基础设施和云服务通过业界认可的独立第三方安全权威组织的测评及安全认证机构的审核,并直只向云服务客户提供运行于安全合规的基础设施之上的云服务。这些安全测评和认证向云服务客户展示快快网络在基础设施和云服务的技术研发和运维运营中对流程、组织、技术等多方面制定的安全策略和安全 风险管控措施,使得云服务客户能够深入了解快快网络对用户数据保护和云上业务安全保障的有效管控能力。 快快网络新一代击安全引领者快快网络等保2.0合规能力白皮书 4安全合规实践指引 4.11引用云平台等级保护结论 接照网络安全等级保护相关要求,客户在开展等级保护测评工作时,快快网络最新等级测评报告涉及到的以下内容: (1)网络安全等级测评基本信息表(云平台等级测评报告)(2)云平台等级测评结论扩展表(云计算安全);(3云平台总体评价: (4)云平台主要安全问题及整改建议: 快快网络 (5)云服务商针对这些主要安全问题的整改情况的详细说明。 云服务客户业务应用亲统的安全保护能力依赖于云计算平台提 供的安全服务。因此,云服务客户应优先选择对应服务模式下的等级 评结论为优莫定坚实技术基础。 4.2基本要求合规分析 4.2.1安全物理环境 快快网络所有Region的安全保护等级为第三级。 云服务客户系统等级测评的安全物理环境部分可以沿用快快网 络平台安全保护等级测评报告结论。 快快网络新一代击安全引领者快快网络等保2.0合规能力白皮书 4.2.2安全通信网络 ●网络架构 1.应保证网络设备的业务能力满足业务高峰期需要 【安全措施】 弹性负载均衡、网络弹性伸缩、网络性能监控。 【保护对象】 虚拟网络设备、云服务客户业务系统网络。 【云产品安全满足度分析】VPC虚拟私有云:支持在云上申请的隔离的、私密的虚拟网络环 境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服 快快网络 务。 弹性负载均衡:将访问流量根据转发策略分发到后端多台服务器 的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力,消除单点故障。 云监控服务:为用户提供一个针对弹性云服务器、带宽等资源的 监控平台。客户可监控云上的资源使用情况、业务的运行状况,并及 时收到异常告警。 【云安全产品满足度分析】 不涉及。 【云服务客户自身安全能力建议】 通过VPC、负载均衡进行网络资源配置,同时可通过云监控服务定期查着网络资源使用情况。 快快网络新一代击安全引额者 快快网络等保2.0合规能力白皮书 【合规满足度】满足。 2.应保证网络每个部分的带宽满足业务高峰期的需要 【安全措施】 弹性负载均衡,网络带宽监控。 【保护对象】 云服务客户业务系统网络。 【云产品安全满足度分析】 快快网络 弹性负载均衡:将访问流量根据
