1、安全加固 合作共贏數據安全治理解決方案目錄content核心技術理念01解決方案與場景介紹02政策匹配（等保2.0與密評）03核心技術理念01目前針對核心應用常規的保護方案城墻建的很高很厚，但是服務器基本還是祼奔！2022/7/234核心理念-計算執行環境內的加密隔離磁盤上的加密數據國產操作系統應用程序操作系統加密增強中央崗哨平臺部件，互動關聯。OS加密增強系統按需從計算執行環境中加密劃分出安全隔離的活動空間來進行數據活動;實現數據自保-無論網絡和系統狀況如何，數據都能對已知和未知的攻擊免疫；防泄密，防勒索軟件，惡意內部人員和根攻擊，防內核、應用程序漏洞；保障數據安全。程序軟件庫配置/腳本文件

2、運行參數/環境變量進程內存加密保護的數據中央崗哨運用密碼學技術形成完整的安全鏈2022/7/23502解決方案與場景零信任解決方案7網絡安全工作室數安終端版網絡安全工作室數安服務器版2022/7/23護網解決方案8網絡安全工作室(針對供應商駐場安服人員)數安終端版（針對重要系統的管理員）數安服務器版數安服務器版數安服務器版2022/7/23黑客實施勒索9數據庫服務器數據庫文件黑客數據數據庫程序運行參數數據庫服務器黑客網頁服務器配置文件口令系統工具數據數據庫服務器數據庫文件黑客刪除、勒索數據庫程序防勒索解決方案-數據 源服務器（數據庫、hadoop）保護應用服務器數據 源服務器文件系統加密數據應

3、用服務進程其他進程明文其他進程文件系統加密數據數據 源服務進程明文配置、緩存、密碼等源數據、配置、緩存、等數據 源服務器提供的認證加密信道SE加密隔離空間中央崗哨平臺信息收集事件觸發配置操作事件響應CSP管理員信息展示批處理操作102022/7/23防勒索解決方案-存儲服務（云存儲、NAS、SAN）數據保護應用服務器存儲服務器文件系統加載點應用服務進程其他進程明文加密數據SE加密隔離空間中央崗哨平臺CSP管理員密文應用服務器文件系統其他進程加載點應用服務進程明文密文信息收集事件觸發配置操作事件響應信息展示批處理操作11數安服務器版SE適用行業12政府部、委、辦、局等事業單位大數據局 醫療醫院衛

4、健委藥物研發制藥醫療器械制造業高科技制造業（芯片）汽車制造業（新能源）金融銀行保險基金2022/7/23數安終端版EE適用場景企業的財務/研發/設計部門會計師/律師/建筑設計事務所13各行業或企業中 “專機專用”2022/7/23網絡安全工作室QWS適用場景財務/OA設計/寫作/翻譯開發（VDI）/運維（外包）CXO/秘書142022/7/2303等保2.0與密評匹配解決方案數安產品與密評、等保評測的匹配等保2.0三級匹配通用要求-安全計算環境8.1.4.2訪問控制、8.1.4.3安全審計、8.1.4.4入侵防范、8.1.4.5惡意代碼防范、8.1.4.7數據完整性、8.1.4.8數據保密性等

5、保2.0匹配項162022/7/238.1.4.2 訪問控制通用安全計算環境訪問控制（1）8.1.4.2.d 授予管理用戶所需的最小權限，實現管理用戶的權限分離。說明：數安用基于進程的訪問控制，有效彌補了傳統的基于角色的訪問控制的不足，實現了對管理用戶的最小授權策略，成功將計算機維護和服務管理等權限管理有效區分開來。提供了數據安全性。這一點，傳統的計算機管理系統沒有實現。8.1.4.2.e由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。說明：數安中，授權主體是數安的管理員，訪問主體是進程，訪問客體是數據文件，數安有效實現了訪問策略的定義和嚴格執行，保證了數據的防泄露，防勒索。

6、傳統的計算機系統中，DAC以用戶賬號為訪問主體，而一個用戶下面的所有數據一起為一個客體，通常無法應對數據泄露和破壞。數安服務器版、數安網寶、數安文寶172022/7/23通用安全計算環境訪問控制（2）8.1.4.2.f 訪問控制的顆粒度達到主體為用戶級或進程級，客體為文件或數據庫表級。說明：數安的訪問控制顆粒度達到主體是進程，客體是文件。傳統的DAC原理上可以做到這個顆粒度，但是不實用，因為一個操作員使用多個計算機用戶賬號操作太不方便也就不實際。SE Linux也可以做到這個顆粒度，但是配置及其復雜，在現實中它通常被說IT管理員說成“鉆研到決定放棄”，實際上有效應用SE Linux的場景也及其

7、少見。8.1.4.2.g 對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。說明：數安以密碼學手段對訪問控制的主客體進行標識，嚴格實現主體對有安全標識客體的訪問。傳統的DAC系統中無法通過安全標識區分不同的資源。SELinux可以做到，但是其應用太過復雜。數安服務器版、數安網寶、數安文寶8.1.4.2 訪問控制182022/7/238.1.4.3 安全審計通用安全計算環境安全審計8.1.4.3.a 啟用安全審計功能，審計覆蓋每個用戶，對重要用戶行為和重要安全事件進行審計。說明：數安的崗哨平臺對所有被保護計算設備上的所有用戶的數據操作行為都予以管理并且實現審計記錄。8.1.4.

8、3.b 審計記錄應包括日期和時間、用戶、類型、是否成功等。說明：數安的崗哨平臺記錄了所有的被保護數據的訪問，包括日期、事件、用戶、進程、以及是否成功的結果。數安崗哨平臺數安崗哨平臺192022/7/238.1.4.4 入侵防范通用安全計算環境入侵防范/惡意代碼防范8.1.4.4.f 能夠檢測到對重要節點進行入侵的行為，并在發生重大入侵事件時提供報警。 說明：數安的崗哨平臺上收集了所有的敏感數據的訪問控制信息，通過這些信息，崗哨平臺可以檢測到對重要計算節點的入侵行為。8.1.4.5 采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。 說明：數安引擎通過定

9、義合法主體、敏感客體和相應的操作規則，并嚴格實現所定義的只允許合法主體訪問被保護的敏感客體的規則，實現識別并免疫入侵或傷害行為，并且有效阻斷這些行為。和別的直接檢測病毒主體特征的惡意代碼防范方案不同，引擎不關心病毒主體本身的特征，而是專注在入侵傷害的病毒行為上，識別入侵和病毒行為，并且阻斷它的對敏感數據的傷害。8.1.4.5 惡意代碼防范數安崗哨平臺數安服務器版、數安網寶、數安文寶202022/7/238.1.4.7 數據完整性（郵件場景）通用安全計算環境數據完整性/數據保密性8.1.4.7.b 應采用校驗技術或密碼技術保證重要數據在存儲中的完整性，包含但不限于鑒別數據、重要業務數據、重要審計

10、數據、重要配置數據、重要視頻數據和重要個人信息等。說明：安全郵件客戶端對所保護的重要數據，加上密碼學標簽，實現對這些數據的完整性的監視、審查和管控。8.1.4.8.b 采用密碼技術保證重要數據在存儲中的保密性，包含但不限于鑒別數據、重要業務數據、和重要個人信息等。 說明：數安引擎在文件系統內核層對所保護的重要數據進行加解密處理，一次一密，這種加解密對應用系統完全透明，完全不影響應用系統邏輯，方便、安全。8.1.4.8 數據保密性數安紅鴿數安服務版、數安文寶212022/7/23密碼與密碼評測2019年3月，中華人民共和國密碼法審議通過，2020年1月1日起施行。2020年12月8日，國家密碼管

11、理局發布信息系統密碼應用評測要求。商用密碼應用安全性評估（簡稱“密評”）是指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性和有效性進行評估，包括規劃階段的方案評審和建設、運行階段的安全評估?？蓱糜谕ㄐ?、金融、稅控、社保、能源等重要領域。222022/7/23密評相關政策法規231、中華人民共和國密碼法國家密碼管理部門負責管理全國的密碼工作?？h級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。密碼管理部門和有關部門建立日常監管和隨機抽查相結合的事中事后監管制度。未按照要求使用密碼，或者未按照要求開展密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒

12、不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。2、國家政務信息化項目建設管理辦法各部門應當嚴格遵守有關法律法規規定，構建全方位、多層次、一致性的防護體系，按要求采用密碼技術，并定期開展密碼應用安全性評估，確保政務信息系統運行安全和政務信息資源共享交換的數據安全。對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。3、商用密碼管理條例強化密碼應用要求，突出對關鍵信息基礎設施及網絡安全等級保護第三級以上信息系統的密碼應用監管，并實施商用密碼應用安全

13、性評估和安全審查制度。4、網絡安全等級保護評測要求明確將密碼測評結果列為等保測評通過的必要條件。5、信息安全等級保護商用密碼管理辦法實施意見第三級以上信息系統的商用密碼應用系統建設方案應當通過密碼管理部門組織的評審后方可實施。第三級以上信息系統的商用密碼應用系統，應當通過國家密碼管理部門指定測評機構的密碼測評后方可投入運行。2022/7/23密測匹配度分析密碼應用評測要求設備和計算安全6.3.3 系統資源訪問控制信息完整性6.3.6 重要可執行程序完整性、重要可執行程序來源真實性應用和數據安全6.4.2 訪問控制信息完整性6.4.3 重要信息資源安全標記完整性6.4.5 重要數據存儲機密性6.

14、4.7 重要數據存儲完整性密測匹配項通用評測要求密碼算法和密碼技術合規性242022/7/23密碼算法和密碼技術合規性信息系統中使用的密碼算法應符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。說明：數安服務器版產品符合中華人民共和國密碼行業標準GM/T 0028-2014 密碼模塊安全技術要求。數安服務器版產品符合中華人民共和國密碼行業標準GM/T 0039-2015 密碼模塊安全檢測要求。通用評測要求252022/7/23設備和計算安全6.3.3 系統資源訪問控制信息完整性采用密碼技術保證系統資源訪問控制信息的完整性。6.3.6 重要可執行程序完整性、重要可執行程序來源真實性采用密碼技術對重要可執行程序進行完整性保護，并對其來源進行真實性驗證。說明：由數安服務器版應用于保護重要的系統資源文件以及重要的應用程序，不接受未授權訪問，并且進行完整性和真實性檢驗。密碼應用評測要求（1）262022/7/23應用和數據安全6.4.2 訪問控制信息完整性采用密碼技術保證信息系統應用的訪問控制信息的完整性。6.4.3 重要信息資源安全標記完整性采用密碼技術保證信息系統應用的重要信息資源安全標記的完整性。說明：數安服務器版應用于保護重