|
應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要����。 安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu) 是 您可以通過VPC控制臺�����,定期查看當前資源配額使用情況。 應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要�����。 安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu) 否 您可以根據(jù)業(yè)務(wù)實際情況在創(chuàng)建實例是申請帶寬���,云監(jiān)控支持通過監(jiān)控彈性公網(wǎng)IP支持網(wǎng)絡(luò)帶寬監(jiān)控�。另可以配置 DDoS 原生防護能力�����,保障業(yè)務(wù)高可用性 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域�����,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址���。 安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu) 是 您可以基于業(yè)務(wù)需求劃分不同的安全域��,配置IP地址范圍��、配置路由表和網(wǎng)關(guān)等��。 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處�����,重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段�����。 安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu) 否 您需要配置ACL訪問控制策略�,可配置云防火墻實現(xiàn)VPC內(nèi)部東西流量隔離,提升VPC安全性�����。 應(yīng)提供通信線路�、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余,保證系統(tǒng)的可用性��。 安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu) 是 您需要配置負載均衡產(chǎn)品����,保障在流量波動情況下不中斷對外服務(wù)。 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性���。 安全通信網(wǎng)絡(luò) - 通信傳輸 是 您需要設(shè)置TLS,保障互聯(lián)網(wǎng)通信的安全性和數(shù)據(jù)完整性。 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性��。 安全通信網(wǎng)絡(luò) - 通信傳輸 是 您需要設(shè)置TLS�����,保障互聯(lián)網(wǎng)通信的安全性和數(shù)據(jù)完整性�����。 可基于可信根對通信設(shè)備的系統(tǒng)引導程序��、系統(tǒng)程序�、重要配置參數(shù)和通信應(yīng)用程序等進行可信驗證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證��,在檢測到其可信性受到破壞后進行報警���,并將驗證結(jié)果形成審計記錄送至安全管理中心�����,并進行動態(tài)關(guān)聯(lián)感知���。 安全通信網(wǎng)絡(luò) - 可信驗證 是 您可以通過IPSEC VPN遠程訪問,使業(yè)務(wù)數(shù)據(jù)可以在公網(wǎng)上通過IP加密信道進行傳輸,同時訪問使用SSL VPN�����,保障通信鏈路中數(shù)據(jù)的保密性���。 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信�。 安全區(qū)域邊界 - 邊界防護 否 因該指標只要求“可”�����,不是強制要求項����。 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行限制或檢查。 安全區(qū)域邊界 - 邊界防護 否 您需要配置ACL訪問控制策略���,訪問控制粒度為端口級��?���?梢酝ㄟ^云防火墻對VPC間的訪問流量進行檢測和控制�。 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行限制或檢查����。 安全區(qū)域邊界 - 邊界防護 否 您需要部署第三方網(wǎng)絡(luò)接入控制系統(tǒng)�,限制運維終端等設(shè)備非法接入到內(nèi)部網(wǎng)絡(luò)���,云防火墻支持云服務(wù)器從內(nèi)對外訪問控制策略配置�����。 應(yīng)限制無線網(wǎng)絡(luò)的使用���,保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。 安全區(qū)域邊界 - 邊界防護 是 部署云防火墻實現(xiàn)南北向和東西向訪問的網(wǎng)絡(luò)流量分析���,全網(wǎng)流量可視化����,對主動外聯(lián)行為的分析和阻斷�,配置開通、變更白名單策略��。
部署云安全中心實現(xiàn)非授權(quán)聯(lián)到外部惡意域名����、IP地址的行為進行檢查和攔截��。
如果是IDC環(huán)境����,您需要根據(jù)云下資產(chǎn)對象����,獨立部署第三方網(wǎng)絡(luò)接入控制系統(tǒng)。 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則���,默認情況下除允許通信外受控接口拒絕所有通信����。 安全區(qū)域邊界 - 訪問控制 否 您可以根據(jù)云下無線網(wǎng)絡(luò)環(huán)境�,部署第三方網(wǎng)絡(luò)接入控制系統(tǒng),配置禁用無線網(wǎng)卡的策略��,無線網(wǎng)絡(luò)的使用按照客戶需求和具體應(yīng)用場景而定應(yīng)限制無線網(wǎng)絡(luò)的使用��,保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)��。 應(yīng)刪除多余或無效的訪問控制規(guī)則����,優(yōu)化訪問控制列表���,并保證訪問控制規(guī)則數(shù)量最小化。 安全區(qū)域邊界 - 訪問控制 否 云服務(wù)客戶配置ACL訪問控制策略��,訪問控制粒度為端口級��。
部署云防火墻實現(xiàn)統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的南北向訪問策略和業(yè)務(wù)與業(yè)務(wù)之間的東西向微隔離策略���,達到端口級訪問控制粒度。 應(yīng)對源地址���、目的地址�����、源端口��、目的端口和協(xié)議等進行檢查�,以允許/拒絕數(shù)據(jù)包進出����。 安全區(qū)域邊界 - 訪問控制 否 您需要根據(jù)業(yè)務(wù)需求優(yōu)化訪問控制列表�����。
部署云防火墻實現(xiàn)策略命中計數(shù)功能��,確保沒有無效的冗余策略�����,云防火墻訪問控制策略可配置優(yōu)先級�����,優(yōu)化訪問控制列表���。 應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。 安全區(qū)域邊界 - 訪問控制 否 您需要根據(jù)業(yè)務(wù)需求配置恰當?shù)脑L問控制策略表���。
部署云防火墻實現(xiàn)對進出訪問控制策略進行嚴格設(shè)置��,訪問控制策略包括源類型����、訪問源�、目的類型��、目的����、協(xié)議類型�、目的端口、應(yīng)用協(xié)議��、動作�����、描述和優(yōu)先級����。 應(yīng)對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制��。 安全區(qū)域邊界 - 訪問控制 否 部署云防火墻實現(xiàn)跨VPC數(shù)據(jù)流的應(yīng)用協(xié)議�、內(nèi)容的訪問控制。
部署WEB應(yīng)用防火墻實現(xiàn)應(yīng)用級協(xié)議和內(nèi)容訪問控制���。
部署DDoS高防實現(xiàn)所有業(yè)務(wù)流量進行清洗��,支持網(wǎng)絡(luò)四層和七層防護���。 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測�、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為�。 安全區(qū)域邊界 - 入侵防范 否 部署云安全中心實現(xiàn)網(wǎng)絡(luò)流量和主機中的入侵行為和文件樣本進行實時檢測和防御。
部署云防火墻實現(xiàn)對互聯(lián)網(wǎng)上的惡意流量入侵活動和常規(guī)攻擊行為進行實時阻斷和攔截�。
部署Web應(yīng)用防火墻實現(xiàn)流量檢測、過濾��、清洗后再代理轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器�。
部署DDoS高防實現(xiàn)抵御各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的DDoS攻擊���,秒級啟動流量清洗��,過濾掉攻擊流量支持全自動檢測和攻擊策略匹配�,實時防護��,清洗服務(wù)可用性99.95%��,可定制99.99%�。 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為���。 安全區(qū)域邊界 - 入侵防范 否 部署云安全中心實現(xiàn)主機系統(tǒng)層和應(yīng)用層的主動外聯(lián)和惡意攻擊行為�,對進程、網(wǎng)絡(luò)異常行為進行預警�。
部署云防火墻實現(xiàn)檢測東西向流量,配置相應(yīng)的安全策略����,阻斷防止從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。 應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析�����,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析��。 安全區(qū)域邊界 - 入侵防范 否 部署云安全中心實現(xiàn)挖礦���、勒索、蠕蟲��、DDoS木馬等基于新型網(wǎng)絡(luò)攻擊的攻擊預警��。
云防火墻對云上進出網(wǎng)絡(luò)的惡意流量進行實時檢測與阻斷���,支持防御挖礦蠕蟲等新型網(wǎng)絡(luò)攻擊���,并通過積累大量惡意攻擊樣本��,形成精準防御規(guī)則��;云防火墻入侵檢測功能支持發(fā)現(xiàn)挖礦蠕蟲感染事件����。 當檢測到攻擊行為時�,記錄攻擊源IP、攻擊類型�、攻擊目的、攻擊時間�����,在發(fā)生嚴重入侵事件時應(yīng)提供報警���。 安全區(qū)域邊界 - 入侵防范 否 部署云安全中心實現(xiàn)檢測到威脅時�,記錄事件賬號/源地址���、攻擊類型��、攻擊時間�����、事件級別以及處置建議���,同時支持自動化攻擊溯源�����,展示攻擊過程��。
部署云防火墻實現(xiàn)檢測攻擊行為���,提供網(wǎng)絡(luò)阻斷功能,記錄風險級別�����、事件名稱����、防御狀態(tài)����、源IP、目的IP、方向�����、判斷來源�、發(fā)生時間和動作。
部署Web應(yīng)用防火墻實現(xiàn)HTTP和HTTPS流量攻擊���,記錄攻擊事件類型�、攻擊URL��、來源IP����、目的Host��、時間��、Get請求內(nèi)容和攔截動作�����。
部署DDoS高防實現(xiàn)DDoS攻擊時����,記錄攻擊類型�����、攻擊目標、攻擊時間�����、攻擊流量峰值和清洗防護結(jié)果��。 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進行檢測和清除��,并維護惡意代碼防護機制的升級和更新。 安全區(qū)域邊界 - 惡意代碼和垃圾郵件防范 否 部署云安全中心實現(xiàn)蠕蟲病毒���、勒索病毒���、木馬、網(wǎng)站后門等惡意代碼的檢測和隔離清除�,定期升級相關(guān)惡意代碼規(guī)則庫。
部署云防火墻實現(xiàn)入侵防護和惡意代碼防范�����。
部署Web應(yīng)用防火墻實現(xiàn)流量惡意代碼檢測提供惡意代碼檢測功能��,惡意代碼規(guī)則庫定期更新�����。 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新���。 安全區(qū)域邊界 - 惡意代碼和垃圾郵件防范 是 您需求加固自身郵件服務(wù)器具備防垃圾郵件功能或部署第三方郵件防護系統(tǒng)���。 應(yīng)在網(wǎng)絡(luò)邊界�、重要網(wǎng)絡(luò)節(jié)點進行安全審計,審計覆蓋到每個用戶���,對重要的用戶行為和重要安全事件進行審計���。 安全區(qū)域邊界 - 安全審計 否 部署云安全中心實現(xiàn)主機登錄日志、進程啟動�、網(wǎng)絡(luò)連接、端口快照�����、賬戶快照���、暴力破解�、網(wǎng)絡(luò)會話���、DNS解析��、WEB會話����、安全告警、漏洞和基線日志進行審計�。
部署云防火墻實現(xiàn)日志審計模塊記錄所有流量日志、事件日志和操作日志�。
部署Web應(yīng)用防火墻對攻擊日志支持日志實時查詢分析。
部署堡壘機實現(xiàn)對云端虛擬主機ECS資產(chǎn)進行運維權(quán)限管控及運維審計�����。
部署數(shù)據(jù)庫審計實現(xiàn)對云上數(shù)據(jù)庫訪問行為進行監(jiān)控����,分析危險操作及可疑行為。 審計記錄應(yīng)包括事件的日期和時間����、用戶、事件類型�、事件是否成功及其他與審計相關(guān)的信息。 安全區(qū)域邊界 - 安全審計 否 部署云安全中心實現(xiàn)檢測到威脅時�����,記錄事件賬號/源地址、攻擊類型�、攻擊時間、事件級別以及處置建議�����。
部署云防火墻實現(xiàn)日志記錄事件被掃描到的時間����、威脅類型���、出/入方向�、源IP和目的IP���、應(yīng)用類型�、嚴重性等級以及動作狀態(tài)等信息�;
部署Web應(yīng)用防火墻實現(xiàn)記錄攻擊事件類型、攻擊URL���、來源IP�����、目的Host�����、時間���、Get請求內(nèi)容和攔截動作����。
部署DDoS高防實現(xiàn)檢測到DDoS攻擊時����,記錄攻擊類型、攻擊目標�����、攻擊時間�、攻擊流量峰值和清洗防護結(jié)果。
部署堡壘機實現(xiàn)日志記錄�,包括重要性、時間��、日志類型、日志內(nèi)容�、用戶、源IP地址和結(jié)果���。 應(yīng)對審計記錄進行保護�����,定期備份���,避免受到未預期的刪除���、修改或覆蓋等�����。 安全區(qū)域邊界 - 安全審計 否 部署云安全中心�����、云防火墻�、Web應(yīng)用防火墻���、DDoS高防��、堡壘機和數(shù)據(jù)庫審計等安全產(chǎn)品實現(xiàn)日志分析功能�����,依托日志服務(wù)產(chǎn)品�,可存儲6個月內(nèi)的日志數(shù)據(jù)提供實時日志分析能力。 應(yīng)能對遠程訪問的用戶行為���、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析����。 安全區(qū)域邊界 - 安全審計 否 部署云安全中心����、云防火墻、Web應(yīng)用防火墻��、DDoS高防���、堡壘機和數(shù)據(jù)庫審計等安全產(chǎn)品實現(xiàn)日志分析功能���,依托日志服務(wù)產(chǎn)品�,可存儲6個月內(nèi)的日志數(shù)據(jù)提供實時日志分析能力����。 可基于可信根對邊界設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序�、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證����,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心��,并進行動態(tài)關(guān)聯(lián)感知����。 安全區(qū)域邊界 - 可信驗證 是 部署云安全中心實現(xiàn)云上所有資產(chǎn)安全事件的綜合分析。 應(yīng)對登錄的用戶進行身份標識和鑒別���,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換�。 安全計算環(huán)境 - 身份鑒別 否 因該指標只要求“可”,不是強制要求項�。 應(yīng)具有登錄失敗處理功能,應(yīng)配置并啟用結(jié)束會話�����、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施。 安全計算環(huán)境 - 身份鑒別 否 部署云安全中心實現(xiàn)對云服務(wù)客戶登錄的配置和密碼復雜度進行定期安全檢查��,并提供安全建議并進行預警�����。
部署堡壘機實現(xiàn)口令策略支持8個字符以上���,必須包含大寫字母����、小寫字母����、數(shù)字及特殊符號,用戶身份有唯一標識�����,口令90天定期跟換���,新用戶強制更改口令�����。 當進行遠程管理時�,應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽���。 安全計算環(huán)境 - 身份鑒別 否 部署堡壘機實現(xiàn)登錄失敗處理功能配置����,建議配置云服務(wù)客戶最大登錄失敗5次�����,臨時鎖定30分鐘�,登錄連接超時時間為30分鐘。
部署云安全中心實現(xiàn)登錄失敗防御配置�,支持云服務(wù)客戶配置最大登錄失敗10次數(shù),臨時阻斷連接1天����、3天和7天�����。 應(yīng)采用口令、密碼技術(shù)��、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別�����,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)�。 安全計算環(huán)境 - 身份鑒別 否 部署堡壘機實現(xiàn)遠程連接至云服務(wù)器時,采用安全的SSH方式進行遠程登錄�����。
部署云安全中心實現(xiàn)對遠程管理的配置進行檢查���,防止不安全的配置導致傳輸被竊聽����。 應(yīng)對登錄的用戶分配賬戶和權(quán)限��。 安全計算環(huán)境 - 訪問控制 否 部署堡壘機實現(xiàn)作為唯一入口管理服務(wù)器�����,支持包括虛擬MFA、短信驗證碼在內(nèi)的多因子認證�。
部署云安全中心實現(xiàn)對云平臺配置提供基線核查,能夠?qū)崟r發(fā)現(xiàn)主賬號雙因素認證風險����。 應(yīng)重命名或刪除默認賬戶,修改默認賬戶的默認口令����。 安全計算環(huán)境 - 訪問控制 否 您需求根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)進行安全配置。需基于RAM對云服務(wù)進行合理授權(quán)�����。 應(yīng)及時刪除或停用多余的����、過期的賬戶,避免共享賬戶的存在��。 安全計算環(huán)境 - 訪問控制 否 您需要根據(jù)自身安全基線重命名或刪除多余過期賬戶�,或增強其口令。
部署云安全中心實現(xiàn)安全基線的持續(xù)檢查���,告警 應(yīng)授予管理用戶所需的最小權(quán)限�����,實現(xiàn)管理用戶的權(quán)限分離���。 安全計算環(huán)境 - 訪問控制 否 部署堡壘機實現(xiàn)云服務(wù)客戶對無用、多余賬戶會鎖定或刪除管理���。
部署云安全中心實現(xiàn)對平臺賬戶進行安全配置檢查�。 應(yīng)由授權(quán)主體配置訪問控制策略�,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。 安全計算環(huán)境 - 訪問控制 否 部署堡壘機實現(xiàn)基于用戶角色分配權(quán)限��,實現(xiàn)三權(quán)分立�����,角色分為超級管理員��、審計員和運維員����。
部署云安全中心實現(xiàn)對賬戶權(quán)限配置的安全檢查,云服務(wù)客戶權(quán)限分離的檢查���。 訪問控制的粒度應(yīng)達到主體為用戶級或進程級��,客體為文件�、數(shù)據(jù)庫表級。 安全計算環(huán)境 - 訪問控制 是 您需要基于云產(chǎn)品配置指南和業(yè)務(wù)應(yīng)用系統(tǒng)需求合理配置����。 應(yīng)對主體、客體設(shè)置安全標記�,并依據(jù)安全標記和強制訪問控制規(guī)則確定主體對客體的訪問。 安全計算環(huán)境 - 訪問控制 是 您需要基于云產(chǎn)品配置指南和業(yè)務(wù)應(yīng)用系統(tǒng)需求合理配置��。 應(yīng)啟用安全審計功能����,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計����。 安全計算環(huán)境 - 安全審計 否 因現(xiàn)使用的操作系統(tǒng)安全級別無法達到B類強制保護級,操作系統(tǒng)側(cè)自身暫無法實現(xiàn)強制訪問控制�����。 審計記錄應(yīng)包括事件的日期��、時間、類型����、主體標識、客體標識和結(jié)果等����。 安全計算環(huán)境 - 安全審計 否 部署堡壘機實現(xiàn)對所有云服務(wù)客戶的虛擬主機操作進行審計����,系統(tǒng)自身日志本地保存。
部署數(shù)據(jù)庫審計實現(xiàn)對數(shù)據(jù)庫風險操作行為進行記錄����,提供細粒度審計數(shù)據(jù)庫訪問行為。
部署云安全中心實現(xiàn)對賬戶9登錄進行記錄��,提供細粒度審計登錄時間����、登錄賬戶、登錄結(jié)果的記錄���,并通過報表進行實時監(jiān)控預警����。 應(yīng)對審計記錄進行保護,定期備份�����,避免受到未預期的刪除�、修改或覆蓋等。 安全計算環(huán)境 - 安全審計 否 部署堡壘機實現(xiàn)日志記錄�����,包括重要性���、時間��、日志類型��、日志內(nèi)容�、用戶���、源IP地址和結(jié)果��。
部署數(shù)據(jù)庫審計實現(xiàn)多維度線索分析�,包括會話行為、SQL行為���、風險行為和政策性報表�。
部署云安全中心實現(xiàn)日志記錄��,包括主機登錄日志���、進程啟動、網(wǎng)絡(luò)連接�、賬戶快照、端口快照����、DNS、Web訪問���、網(wǎng)站會話����、云平臺操作等日志結(jié)果��。 應(yīng)對審計進程進行保護��,防止未經(jīng)授權(quán)的中斷。 安全計算環(huán)境 - 安全審計 否 部署堡壘機���、數(shù)據(jù)庫審計實現(xiàn)日志實時推送至日志服務(wù)�,審計記錄可按需調(diào)整存儲空間���,支持6個月以上保存期�。
部署云安全中心實現(xiàn)日志記錄保存期為6個月�����,同時支持對操作審計日志配置進行基線核查�。 應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序�����。 安全計算環(huán)境 - 入侵防范 否 部署堡壘機����、數(shù)據(jù)庫審計實現(xiàn)日志實時推送至日志服務(wù)。
部署云安全中心實現(xiàn)對操作審計日志配置進行基線核查����。 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)���、默認共享和高危端口。 安全計算環(huán)境 - 入侵防范 否 云安全中心客戶端在上線前�,均經(jīng)過內(nèi)部的安全審核,并進行安全加固��,遵循最小化安裝原則��。 應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制����。 安全計算環(huán)境 - 入侵防范 否 部署云安全中心實現(xiàn)對主機、SLB����、RDS�、OSS等云產(chǎn)品進行高危配置、端口的基線檢查���。 應(yīng)提供數(shù)據(jù)有效性檢驗功能�����,保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求�����。 安全計算環(huán)境 - 入侵防范 是 部署云安全中心實現(xiàn)聯(lián)動云平臺IP白名單���、安全組的能力���,對網(wǎng)絡(luò)IP、端口����、協(xié)議進行管理和限制。 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞�,并在經(jīng)過充分測試評估后,及時修補漏洞����。 安全計算環(huán)境 - 入侵防范 否 您需對業(yè)務(wù)系統(tǒng)對輸入數(shù)據(jù)的有效性進行驗證,過濾特殊字符���。 應(yīng)能夠檢測到對重要節(jié)點進行入侵的行為�����,并在發(fā)生嚴重入侵事件時提供報警��。 安全計算環(huán)境 - 入侵防范 否 部署云安全中心實現(xiàn)漏洞修復�,組件支持Linux漏洞、Windows漏洞�、Web-CMS漏洞、應(yīng)用漏洞和應(yīng)急漏洞的一鍵修復功能����,支持安全基線檢測策略,支持平臺安全配置等檢查��,能夠?qū)崟r檢測已知漏洞����。
部署漏洞掃描實現(xiàn)資產(chǎn)威脅檢測,發(fā)現(xiàn)云服務(wù)客戶業(yè)務(wù)系統(tǒng)關(guān)聯(lián)資產(chǎn)���,實現(xiàn)自動化漏洞滲透測試和敏感內(nèi)容監(jiān)測。
進行滲透測試服務(wù)實現(xiàn)模擬黑客對云服務(wù)客戶業(yè)務(wù)系統(tǒng)進行安全測試���,發(fā)現(xiàn)安全缺陷和漏洞��,并提出修復建議�。 應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷����。 安全計算環(huán)境 - 惡意代碼和垃圾郵件防范 否 部署云安全中心實現(xiàn)檢測到對重要節(jié)點入侵行為并進行告警,主要包括異常登錄檢測����、網(wǎng)站后門查殺(Webshell)、主機異常行為檢測(進程異常行為和異常網(wǎng)絡(luò)連接檢測)��、主機系統(tǒng)及應(yīng)用的關(guān)鍵文件篡改檢測和異常賬號檢測等���。
部署Web應(yīng)用防火墻實現(xiàn)將Web流量引流到WAF上�,由WAF將流量進行檢測����、過濾、清洗后再代理轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器���。 可基于可信根對計算設(shè)備的系統(tǒng)引導程序�、系統(tǒng)程序�����、重要配置參數(shù)和應(yīng)用程序等進行可信驗證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證���,在檢測到其可信性受到破壞后進行報警��,并將驗證結(jié)果形成審計記錄送至安全管理中心��,并進行動態(tài)關(guān)聯(lián)感知����。 安全計算環(huán)境 - 可信驗證 是 部署云安全中心通過安全加固鏡像部署代理�����,實現(xiàn)對惡意的代碼實時攔截功能�����,在系統(tǒng)內(nèi)核層面���,識別惡意代碼�,并進行主動攔截�。 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性���,包括但不限于鑒別數(shù)據(jù)���、重要業(yè)務(wù)數(shù)據(jù)�����、重要審計數(shù)據(jù)�、重要配置數(shù)據(jù)���、重要視頻數(shù)據(jù)和重要個人信息等�。 安全計算環(huán)境 - 數(shù)據(jù)完整性 是 您需要在使用云產(chǎn)品支持常用產(chǎn)品開啟加密鏈路功能��。 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性�����,包括但不限于鑒別數(shù)據(jù)�����、重要業(yè)務(wù)數(shù)據(jù)����、重要審計數(shù)據(jù)���、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等����。 安全計算環(huán)境 - 數(shù)據(jù)完整性 是 您需要在使用阿里云產(chǎn)品時,啟用各云產(chǎn)品自帶的完整性校驗功能��。 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性���,包括但不限于鑒別數(shù)據(jù)��、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等�����。 安全計算環(huán)境 - 數(shù)據(jù)保密性 是 您需要在使用阿里云產(chǎn)品時����,如SLB�、CDN、OSS���、RDS等常用產(chǎn)品時開啟加密鏈路功能�。
證書服務(wù)支持云上簽發(fā)第三方CA證書頒發(fā)機構(gòu)的SSL證書,實現(xiàn)Https���。 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性,包括但不限于鑒別數(shù)據(jù)���、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等���。 安全計算環(huán)境 - 數(shù)據(jù)保密性 是 您需選擇、配置恰當?shù)拇鎯用芊绞健?/div> 應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能����。 安全計算環(huán)境 - 數(shù)據(jù)備份恢復 是 您需對重要的數(shù)據(jù)進行本地備份。 應(yīng)提供異地實時備份功能����,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地。 安全計算環(huán)境 - 數(shù)據(jù)備份恢復 是 您需根據(jù)自身重要數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)配置恰當備份策略�����,實現(xiàn)實時備份�����。 應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性�。 安全計算環(huán)境 - 數(shù)據(jù)備份恢復 是 云產(chǎn)品基于飛天分布式操作系統(tǒng)高可用架構(gòu),存儲產(chǎn)品支持高可用性����,支持用于基于業(yè)務(wù)處理能力,按照需求動態(tài)調(diào)整資源��,保證系統(tǒng)高可用�。 應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。 安全計算環(huán)境 - 剩余信息保護 是 阿里云對存儲過云服務(wù)客戶數(shù)據(jù)的內(nèi)存和磁盤�����,一旦釋放和回收��,其上的殘留信息將被自動進行零值覆蓋��,對于重用或報廢的物理設(shè)備�,對存儲介質(zhì)進行覆寫、消磁或折彎等數(shù)據(jù)清除處理��。 應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除��。 安全計算環(huán)境 - 剩余信息保護 是 阿里云支持不同云服務(wù)客戶內(nèi)存和持久化存儲空間相對獨立,當資源釋放時��,云服務(wù)客戶空間會被釋放和清除�����。 應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息����。 安全計算環(huán)境 - 個人信息保護 否 您需根據(jù)部署的應(yīng)用系統(tǒng)功能建設(shè)相應(yīng)的個人信息清除機制���。
部署敏感數(shù)據(jù)保護實現(xiàn)對個人信息進行發(fā)現(xiàn)�����、分類和保護�。 應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息����。 安全計算環(huán)境 - 個人信息保護 是 由您根據(jù)部署的應(yīng)用系統(tǒng)功能建設(shè)相應(yīng)的個人信息保護機制。 應(yīng)對系統(tǒng)管理員進行身份鑒別���,只允許其通過特定的命令或操作界面進行系統(tǒng)管理操作���,并對這些操作進行審計��。 安全管理中心 - 系統(tǒng)管理 否 您需基于用戶角色進行配置��,實現(xiàn)用戶三權(quán)分立��。 應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運行進行配置����、控制和管理��,包括用戶身份�、系統(tǒng)資源配置、系統(tǒng)加載和啟動��、系統(tǒng)運行的異常處理�、數(shù)據(jù)和設(shè)備的備份與恢復等。 安全管理中心 - 系統(tǒng)管理 否 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置系統(tǒng)資源�����。
部署云安全中心實現(xiàn)對系統(tǒng)異常進行處理�。 應(yīng)對審計管理員進行身份鑒別,只允許其通過特定的命令或操作界面進行安全審計操作�,并對這些操作進行審計。 安全管理中心 - 審計管理 否 您需基于用戶角色進行配置,實現(xiàn)用戶三權(quán)分立��。
部署堡壘機實現(xiàn)對審計管理操作進行審計���。
部署數(shù)據(jù)庫�����,實現(xiàn)對數(shù)據(jù)庫操作進行審計����。 應(yīng)通過審計管理員對審計記錄應(yīng)進行分析����,并根據(jù)分析結(jié)果進行處理�����,包括根據(jù)安全審計策略對審計記錄進行存儲����、管理和查詢等。 安全管理中心 - 審計管理 否 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置��。
部署堡壘機實現(xiàn)對審計記錄進行查詢、分析和管理����,審計記錄支持轉(zhuǎn)存到日志服務(wù)中。
部署數(shù)據(jù)庫實現(xiàn)對審計記錄進行查詢�����、分析和管理��,審計記錄存儲在日志服務(wù)中��。 應(yīng)對安全管理員進行身份鑒別���,只允許其通過特定的命令或操作界面進行安全管理操作�����,并對這些操作進行審計��。 安全管理中心 - 安全管理 是 您需基于用戶角色��,實現(xiàn)用戶三權(quán)分立����。安全管理員基于安全控制臺通過安全產(chǎn)品對云資源進行安全管理操作。 應(yīng)通過安全管理員對系統(tǒng)中的安全策略進行配置����,包括安全參數(shù)的設(shè)置,主體��、客體進行統(tǒng)一安全標記����,對主體進行授權(quán),配置可信驗證策略等���。 安全管理中心 - 安全管理 否 您需基于用戶角色����,實現(xiàn)用戶三權(quán)分立���。
部署云安全中心實現(xiàn)基線核查、安全策略�����、訪問控制策略統(tǒng)一配置����。 應(yīng)劃分出特定的管理區(qū)域����,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控�。 安全管理中心 - 集中管控 是 您需制定安全策略,劃分特定的管理區(qū)域�����。 應(yīng)能夠建立一條安全的信息傳輸路徑�����,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理��。 安全管理中心 - 集中管控 是 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置���。阿里云支持全鏈路通信進行SSL/TLS安全加密處理����,通過Https進行管理����。 應(yīng)對網(wǎng)絡(luò)鏈路�、安全設(shè)備��、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測���。 安全管理中心 - 集中管控 是 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置����。云監(jiān)控支持針對負載均衡�����、彈性IP地址����、DDoS高防、云服務(wù)器等運行狀態(tài)創(chuàng)建監(jiān)測規(guī)則�,并進行集中監(jiān)測和報警。 應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析����,并保證審計記錄的留存時間符合法律法規(guī)要求�����。 安全管理中心 - 集中管控 是 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。云安全產(chǎn)品支持將自身采集安全審計記錄在安全控制臺上展示�,并支持將審計記錄統(tǒng)一保存到云服務(wù)客戶指定的日志服務(wù)或存儲空間,日志留存時間滿足6個月�����。 應(yīng)對安全策略���、惡意代碼����、補丁升級等安全相關(guān)事項進行集中管理��。 安全管理中心 - 集中管控 是 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置���。
部署云安全中心實現(xiàn)云平臺配置核查��、漏洞檢測和修復���、基線核查、云安全補丁修復�,并對安全相關(guān)事件進行集中管理。 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別�����、報警和分析。 安全管理中心 - 集中管控 否 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置���。
部署云安全中心實現(xiàn)自動采集計算��、數(shù)據(jù)庫�����、負載均衡等等多種資產(chǎn)���,收集多種日志數(shù)據(jù),對重點安全威脅時管控�,對各類安全事件進行識別、分析和告警�,告警方式包括短信、郵件���、釘釘?shù)取?br>部署云防火墻實現(xiàn)對互聯(lián)網(wǎng)上的惡意流量入侵活動和常規(guī)攻擊行為進行實時阻斷和攔截�����。
部署Web應(yīng)用防火墻實現(xiàn)將Web流量引流到WAF上�,由WAF將流量進行檢測���、過濾���、清洗后再代理轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器。
部署DDoS高防實現(xiàn)所有業(yè)務(wù)流量進行清洗�,支持網(wǎng)絡(luò)四層和七層防護。 應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機制����,并設(shè)置訪問控制規(guī)則。 安全區(qū)域邊界 - 訪問控制 否 您需配置恰當訪問控制策略�。
部署云防火墻互聯(lián)網(wǎng)邊界防火墻實現(xiàn)統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的南北向訪問策略和業(yè)務(wù)與業(yè)務(wù)之間的東西向微隔離策略,訪問控制粒度可達端口級�。 應(yīng)在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機制,設(shè)置訪問控制規(guī)則�����。 安全區(qū)域邊界 - 訪問控制 否 您需配置恰當訪問控制策略��。
部署云防火墻實現(xiàn)對VPC邊界防火墻����、互聯(lián)網(wǎng)邊界防火墻以及主機邊界防火墻的訪問控制�����,用于檢測和控制兩個VPC間的通信流量�、限制主機對內(nèi)����、外雙向的未授權(quán)訪問和ECS實例間的未授權(quán)訪問。 應(yīng)對云服務(wù)商和云服務(wù)客戶在遠程管理時執(zhí)行的特權(quán)命令進行審計����,至少包括虛擬機刪除、虛擬機重啟���。 安全區(qū)域邊界 - 安全審計 否 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置��。
部署堡壘機實現(xiàn)操作審計�、職權(quán)管控�、安全認證功能,記錄所有運維操作記錄���、Linux命令審計��、Windows操作錄像�。
部署云安全中心實現(xiàn)云服務(wù)客戶所有資產(chǎn)安全事件的綜合分析。 應(yīng)保證云服務(wù)商對云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計��。 安全區(qū)域邊界 - 安全審計 是 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置����?����?赏ㄟ^阿里云RAM授權(quán)和AccessKey�����,實現(xiàn)密鑰訪問阿里云API���,如果雙方均為合法證書則建立雙向加密通道����。 當遠程管理云計算平臺中設(shè)備時�,管理終端和云計算平臺之間應(yīng)建立雙向身份驗證機制。 安全計算環(huán)境 - 身份鑒別 是 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置���。云服務(wù)商對云服務(wù)客戶系統(tǒng)的操作需提交工單�����,通過云服務(wù)客戶授權(quán)后進行操作�����,相關(guān)操作行為通過云服務(wù)客戶的管理平臺進行審計�����。 應(yīng)確保云服務(wù)客戶數(shù)據(jù)�、用戶個人信息等存儲于中國境內(nèi),如需出境應(yīng)遵循國家相關(guān)規(guī)定���。 安全計算環(huán)境 - 數(shù)據(jù)完整性 是 您需遵守業(yè)務(wù)數(shù)據(jù)不出境的規(guī)定�����,若出境遵循國家相關(guān)規(guī)定�。 云服務(wù)客戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份�。 安全計算環(huán)境 - 數(shù)據(jù)備份恢復 是 您需進行本地備份業(yè)務(wù)數(shù)據(jù)。 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責劃分�����,收集各自控制部分的審計數(shù)據(jù)并實現(xiàn)各自的集中審計。 安全建設(shè)管理 - 集中管控 否 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置�����。
部署堡壘機實現(xiàn)對所有云服務(wù)客戶的操作進行審計�����,操作系統(tǒng)自身日志本地保存��。
部署數(shù)據(jù)庫審計實現(xiàn)對數(shù)據(jù)庫風險操作行為進行記錄��,提供細粒度審計數(shù)據(jù)庫訪問行為����。云客戶安全能力 應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責劃分����,實現(xiàn)各自控制部分,包括虛擬化網(wǎng)絡(luò)����、虛擬機��、虛擬化安全設(shè)備等的運行狀況的集中監(jiān)測��。 安全建設(shè)管理 - 集中管控 是 您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置�。云監(jiān)控支持針對負載均衡�、彈性IP地址、DDoS高防�、云服務(wù)器等運行狀態(tài)創(chuàng)建監(jiān)測規(guī)則,并進行集中監(jiān)測和報警�����。 應(yīng)選擇安全合規(guī)的云服務(wù)商����,其所提供的云計算平臺應(yīng)為其所承載的業(yè)務(wù)應(yīng)用系統(tǒng)提供相應(yīng)等級的安全保護能力。 安全建設(shè)管理 - 云服務(wù)商選擇 是 您可以根據(jù)業(yè)務(wù)需求選擇合規(guī)的云服務(wù)商�����。阿里云提供的公共云平臺安全保護等級為第三級�����,并通過公安部指定測評機構(gòu)等保測評����。 應(yīng)在服務(wù)水平協(xié)議中規(guī)定云服務(wù)的各項服務(wù)內(nèi)容和具體技術(shù)指標�����。 安全建設(shè)管理 - 云服務(wù)商選擇 是 您在選定云服務(wù)商后�,需簽訂相關(guān)服務(wù)等級協(xié)議����。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議。 應(yīng)在服務(wù)水平協(xié)議中規(guī)定云服務(wù)商的權(quán)限與責任���,包括管理范圍、職責劃分���、訪問授權(quán)��、隱私保護��、行為準則�、違約責任等��。 安全建設(shè)管理 - 云服務(wù)商選擇 是 您在選定云服務(wù)商后���,需簽訂相關(guān)服務(wù)等級協(xié)議���。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議��。 應(yīng)在服務(wù)水平協(xié)議中規(guī)定服務(wù)合約到期時�,完整提供云服務(wù)客戶數(shù)據(jù)����,并承諾相關(guān)數(shù)據(jù)在云計算平臺上清除。 安全建設(shè)管理 - 云服務(wù)商選擇 是 您在選定云服務(wù)商后�,需簽訂相關(guān)服務(wù)等級協(xié)議。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議��。 應(yīng)與選定的云服務(wù)商簽署保密協(xié)議����,要求其不得泄露云服務(wù)客戶數(shù)據(jù)。 安全建設(shè)管理 - 云服務(wù)商選擇 是 您在選定云服務(wù)商后���,需簽訂相關(guān)服務(wù)等級協(xié)議����。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議��。 應(yīng)確保供應(yīng)商的選擇符合國家有關(guān)規(guī)定。 安全建設(shè)管理 - 供應(yīng)鏈管理 是 您在選擇第三方安全產(chǎn)品接入時�,應(yīng)明確供應(yīng)商是否滿足國家相關(guān)規(guī)定。阿里公共云平臺基礎(chǔ)設(shè)施供應(yīng)商選擇均按照國家相關(guān)規(guī)定���,對供應(yīng)商資質(zhì)��、誠信以及產(chǎn)品情況進行審核篩選��,阿里云提供云服務(wù)均按照國家相關(guān)規(guī)定對外售賣�����。
|
