1十五研究所、深圳市網(wǎng)安計算機(jī)安全檢測技術(shù)有2 6 8 8 3 41 43 46 46 46 52 53 54 54 55 55 56 56 56 56 57 58 59 59 60 614 5 6等新技術(shù)新應(yīng)用的興起,以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、個人信息保護(hù)和數(shù)據(jù)安全等工作不斷強化,對網(wǎng)絡(luò)安全工作提出了更高的要求。如何讓業(yè)務(wù)能夠78在落實層面也是強化了可信計算安全技術(shù)要求通過可信計算技術(shù)來實現(xiàn)對系統(tǒng)中應(yīng)用和配置文件、參數(shù)進(jìn)行驗證，保障破壞后進(jìn)行報警，并將驗證結(jié)果形成審計記錄送至安全管理中9環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報l“通訊設(shè)備”的定義理解為：機(jī)房內(nèi)的業(yè)務(wù)實現(xiàn)、通信、存儲的關(guān)鍵l“重要配置參數(shù)和通信應(yīng)用程序”的定義理解為：服務(wù)器上的關(guān)鍵配l“安全管理中心相關(guān)”定義理解為：上述可信驗證過程的結(jié)果不僅僅l“并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證”定義理解為：實l“動態(tài)關(guān)聯(lián)感知”定義理解為：針對多維度數(shù)據(jù)、異構(gòu)數(shù)據(jù)進(jìn)行業(yè)務(wù)l管理途徑缺失：目前貨架技術(shù)上的可信啟動技術(shù)均為個人電腦設(shè)計，l告警信息不具備上報能力：類似管理途徑缺失，現(xiàn)有的貨架技術(shù)不具錄能力，沒有實現(xiàn)事件日志記錄，但是即便具備了事件日志記錄，記針對以上可信計算上的挑戰(zhàn)，騰訊從供應(yīng)鏈與自研兩方面共同著手發(fā)力，緩慢，無法快速可控的迭代安全能力，固件安供應(yīng)鏈交付的服務(wù)器未必符合約定的自測規(guī)范，可能的原因有供必須有自主可控的手段一定限度上保障供應(yīng)商的交付?集成安全管理中心，生成各類安全異常告警，推送至安全責(zé)任人，全能力評估建設(shè)，目前已具備可信啟動的硬件防護(hù)能力。未來，安全平臺部密碼法,就是要把密碼應(yīng)用和管理的基本制度及時上升為法律規(guī)范，推動構(gòu)建a)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)b)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)c)應(yīng)在通信前基于密碼技術(shù)對通信的d)應(yīng)基于硬件密碼模塊對重要通信過防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至a)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵a)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別b)應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)應(yīng)遵循密碼相關(guān)的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)虛擬機(jī)鏡像、快照中可能存在的敏感資遷移過程中重要數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時采取必要的恢復(fù)D)應(yīng)支持云服務(wù)客戶部署密鑰管理解決方案，保證云服務(wù)客戶自行實現(xiàn)數(shù)據(jù)庫或文件服務(wù)器等）設(shè)備數(shù)據(jù)非法訪問造成的數(shù)據(jù)實現(xiàn)完整性保護(hù)的方法主要包括：一是：采用消息鑒別碼對稱密碼算法和雜湊算法都可以用于消息鑒別碼生成。二是：采用數(shù)實現(xiàn)完整性。雖然基于對稱密碼或雜湊算法的完整性保護(hù)機(jī)制能夠確者接收消息之前的消息完整性，但是不能防止接收者對消息的偽造，鑰密碼技術(shù)的數(shù)字簽名不僅可以防止敵手對消息進(jìn)行篡改，還能防止對消息進(jìn)行偽造，實現(xiàn)消息發(fā)送行為的不可否認(rèn)性。實現(xiàn)時，可將重相對薄弱。2018年有關(guān)機(jī)構(gòu)對一萬余個等保三級及以結(jié)果顯示，超過75%的系統(tǒng)沒有使用密碼；二是應(yīng)用不規(guī)范，騰訊安全云數(shù)據(jù)安全中臺是基于云技術(shù)的覆蓋數(shù)據(jù)全生命周期安全的極云訪問安全代理（CASB）為核心，將密碼運算、密碼技術(shù)及密碼產(chǎn)品以服務(wù)4)對于新建專有云，比如政務(wù)云、金融云用戶，考慮密碼合規(guī)性架構(gòu)，審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)人力、時間投入戶也會由于操作系統(tǒng)鏡像配置不規(guī)范或本身存在的漏洞而導(dǎo)致大規(guī)模安全風(fēng)為系統(tǒng)性解決云環(huán)境下操作系統(tǒng)等保合規(guī)問題，我們結(jié)合云環(huán)境下特點，（1）操作系統(tǒng)等保合規(guī)的標(biāo)準(zhǔn)和實現(xiàn)細(xì)節(jié)與國家專業(yè)測評機(jī)構(gòu)指導(dǎo)和溝（2）在滿足默認(rèn)合規(guī)的基礎(chǔ)上，我們結(jié)合云的特點，推出了原生合規(guī)鏡（3）在我們持續(xù)測試過程中，我們發(fā)現(xiàn)符合等保要求的配置只是企業(yè)脆（1）等保合規(guī)配置不應(yīng)設(shè)置過于嚴(yán)格，建議在盡量不影響業(yè)務(wù)運行環(huán)境（3）配置是衡量系統(tǒng)是否滿足等保合規(guī)的必備條件之一，企業(yè)需同時考（4）操作系統(tǒng)等保合規(guī)建設(shè)中，如果業(yè)務(wù)對系統(tǒng)預(yù)置的組件或模塊（如WIFI、藍(lán)牙）沒有使用場景或需求，可以默認(rèn)禁用或卸載該部（5）企業(yè)若自研主機(jī)安全入侵檢測系統(tǒng)，可針對性的采集的等保合規(guī)配置項參數(shù)，以便于了解等保基線配置符合率，為內(nèi)部合規(guī)運營提供數(shù)據(jù)參考。以一個常用的安全計算場景舉例——實時計算騰訊每一臺服務(wù)器每分鐘服務(wù)器每分鐘百萬連接也是家常便飯，要對如此大作為公司級智能網(wǎng)絡(luò)流量PaaS，平臺運維著全亞洲l深入內(nèi)核：把依賴內(nèi)核才可實現(xiàn)的功能直接設(shè)計在內(nèi)核態(tài)中，定制及軟件研發(fā)優(yōu)化帶來的強勁算力，天幕網(wǎng)絡(luò)智能PaaS支持TB級跨在此背景下，我們發(fā)布了騰訊云安全運營中心這款產(chǎn)品。騰訊云安全運營中上圖為騰訊云安全運營中心的體系圖-IPMDR，從識識別與預(yù)防屬于事前安全預(yù)防階段，在此階段我們對騰訊云上業(yè)資產(chǎn)識別和動態(tài)盤點。除了傳統(tǒng)領(lǐng)域的資產(chǎn)識別與發(fā)現(xiàn)外，我們也上的特有產(chǎn)品，將對象存儲，負(fù)載均衡，云數(shù)據(jù)庫等新型資產(chǎn)進(jìn)行騰訊云上業(yè)務(wù)所使用的資產(chǎn)進(jìn)行全面完整的梳理和展示。預(yù)防階段的配置風(fēng)險、漏洞檢測與運營、互聯(lián)網(wǎng)攻擊面測繪、合規(guī)風(fēng)險自動方面進(jìn)行風(fēng)險檢查和配置加固，提高安全水位，在攻擊事件來臨前事中的監(jiān)測與檢測會收集散落在云上安全產(chǎn)品的數(shù)據(jù)與的統(tǒng)一收集與存儲，了解到云上資產(chǎn)正在遭受的威脅與風(fēng)險。除主脅、網(wǎng)絡(luò)安全威脅及應(yīng)用安全威脅等，安全運營中心也會針對云上事后響應(yīng)處置提供了溯源調(diào)查和自動化編排的功能，通產(chǎn)品檢測的威脅數(shù)據(jù)，并通過統(tǒng)一的響應(yīng)中心實現(xiàn)威脅統(tǒng)一響應(yīng)威脅管理難度，提升響應(yīng)處置效率。安全運營中心的核心是平臺和人員、流程和技術(shù)有機(jī)結(jié)合，所以我們也會有專家服務(wù)，對安全運最后通過安全儀表盤、安全大屏及安全報表中心實現(xiàn)云上安全安全運營中心架構(gòu)，由下到上分別為數(shù)據(jù)層、分析層、時也會打通各類云產(chǎn)品數(shù)據(jù)，如CVM、負(fù)載均衡、云數(shù)據(jù)庫等資產(chǎn)數(shù)帶來了新的挑戰(zhàn)。2017年《網(wǎng)絡(luò)安全法》的出臺對性控制點對個人信息在存儲和傳輸過程中的保密性和完整性也進(jìn)行1）收集的個人信息類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)，直2）自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必須的最3）間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必須的最2）使用個人信息時，不得超出與收集個人信息時所聲稱的目的具有直接1）將可用于恢復(fù)識別個人的信息與去標(biāo)識化后的信息分開存儲。存儲個人敏感信息時，應(yīng)采用密碼技術(shù)保證數(shù)據(jù)存儲的保密性2）存儲個人生物識別信息時，應(yīng)采用技術(shù)措施確保信息安全后再進(jìn)行存人信息應(yīng)采用SM4、AES等加密算法進(jìn)行加并明確其處理個人信息的權(quán)限，設(shè)立針對個人信息重要操作的內(nèi)部審批流程、第四條本方針的適用人員包括所有與xxx單位信息系統(tǒng)各方面相關(guān)第六條本方針主要依據(jù)國際標(biāo)準(zhǔn)ISO17799,并遵照我國信息安全有1)根據(jù)本方針制定信息系統(tǒng)的信息安全管理制度、管理標(biāo)準(zhǔn)規(guī)范和5)參與信息系統(tǒng)新工程建設(shè)和新業(yè)務(wù)開展的方案論證，并提出相應(yīng)6)在信息系統(tǒng)工程驗收時，對信息安全方面的驗收測試方案進(jìn)行審第十七條信息資產(chǎn)鑒別和分類是整個xxx單位信息安全管理工作的基第二十條安全運行管理是整個信息安全管理工作的日常體現(xiàn)和執(zhí)行環(huán)第二十五條建立第三方安全管理的制度和規(guī)范，嚴(yán)格控制第三方對第二十六條應(yīng)該實施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)合，《安全運維服務(wù)流程》《安全運維服務(wù)規(guī)范》《安全運維方案》《安全運維計劃》《安全運維巡檢記錄》《安全運維監(jiān)控記錄》《安全巡檢周報》《漏洞掃描報告》《安全評估報告》《安全審計報告》《安全事件統(tǒng)計報告》《年中總結(jié)報告》《項目總結(jié)報告》《驗收報告》目過程中，可能沒有驗收單，而且這種情況很普遍，在內(nèi)審/外審和上級監(jiān)管檢制度無論是內(nèi)部編寫還是外包給別人，肯定有一個負(fù)責(zé)的部門或人，那制度寫好了，發(fā)布要正式，在OA以通知形式全公司通告，制度修訂后要有評審過程，不管高管關(guān)心不關(guān)心，讓他簽字，作為流程本控制項重點關(guān)注的是企業(yè)安全管理的組織結(jié)構(gòu)設(shè)計合理性以及安全管期已過，但授權(quán)賬號還存在的情況，這是需要特別注意本控制項所關(guān)注的是企業(yè)在人員管理層面的安全性考慮以及所采取的保這里引用一下國外體系對于人員管理的一些要簽訂保密協(xié)議：NDA（NonDisclosureAgreement保密協(xié)議）和NCA企業(yè)的核心機(jī)密或敏感信息，都存在可能泄露信息的風(fēng)險，所以“一視同仁”五個級別，各級別的定義，三個客體，影響程度，定級）；議法核查與服務(wù)供應(yīng)商簽訂的服務(wù)合同或安全責(zé)任書是否明確了后期的技核查是否定期審核評價服務(wù)供應(yīng)商所提供的服務(wù)及服務(wù)內(nèi)容變更情況，心代碼、敏感數(shù)據(jù)、Web站點、內(nèi)外網(wǎng)應(yīng)用管理，包括磁盤、U盤、存儲卡、光盤、磁帶、云存儲（如GitHub，雖然標(biāo)準(zhǔn)的操作記錄和審批記錄，系統(tǒng)后臺的賬戶相關(guān)日志記錄（包括登入/登出，日常ef)是關(guān)于日志記錄和管理的要求，在前邊各控制點中反復(fù)提到過，本要求j）這點同安全區(qū)域邊界—邊界防護(hù)中的要求類似，技術(shù)部分要求能夠檢測相關(guān)培訓(xùn)（包括架構(gòu)組成、流程、資源保障等不是安全意識培訓(xùn)，是應(yīng)急培外包運維合同或附件技術(shù)規(guī)范書/工作說明書中能夠明確服務(wù)范圍和內(nèi)容，IPv6活躍用戶和網(wǎng)絡(luò)流量規(guī)模，工信部印發(fā)）；（包括：阿里云、騰訊云、網(wǎng)宿科技、藍(lán)汛、金山云、百度云、華為l廣電、運營商新上線系統(tǒng)及業(yè)務(wù)（包括移動端和固定終端）從設(shè)計到包括：各?。▍^(qū)、市）通信管理局、部屬各單位、部屬各高校、基礎(chǔ)l年底前完成政務(wù)、綜治、金融、醫(yī)療等領(lǐng)域公共管理、民生公益等服云、騰訊云、百度云、京東云、華為云、世紀(jì)互聯(lián)、鵬博士、秦淮科云數(shù)據(jù)庫、API網(wǎng)關(guān)、Web應(yīng)用防火墻、DDoS高防、文件存儲為貫徹落實黨中央、國務(wù)院印發(fā)的《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部每當(dāng)一臺雙堆棧主機(jī)要連接到另一臺主機(jī)時一些安全設(shè)備在執(zhí)行過濾策略時不能處理整個IPv6報頭鏈一些網(wǎng)絡(luò)或安全設(shè)備通?？赡茉谟布咸幚砹髁浚谲浖刑幚頂y整性檢查。在某些情況下，攻擊者可能通過向受害節(jié)點發(fā)送單個或持更寬松的放行流量(使用列入黑名單的信息包過濾方法),而更接近網(wǎng)絡(luò)的邊緣節(jié)點(例如企業(yè)邊界路由器)通常應(yīng)該更保守,只允許他們預(yù)期想獲得的流量(即系列防御方法，比如累積黑/白名單，創(chuàng)建情報庫以及部署防御策略等，來提例如，一個只能從網(wǎng)絡(luò)內(nèi)部訪問的文件服務(wù)器可能只想使用ULAs——也就是說，即使與上游提供程序的連接丟失，且全局地址超，仍然可以使用無論使用或不使用全局地址空間，是否需要除了可能的物聯(lián)網(wǎng)設(shè)備通信模式,當(dāng)從外部網(wǎng)絡(luò)向物聯(lián)網(wǎng)網(wǎng)絡(luò)通信是可行的,這種通信應(yīng)該直接訪問物聯(lián)網(wǎng)設(shè)備，還是應(yīng)該通過作為物聯(lián)網(wǎng)和外部網(wǎng)絡(luò)優(yōu)化用戶體驗和提升網(wǎng)絡(luò)智能化奠定了良好的基礎(chǔ)，與通用要求點安全通用要求案臺√√√√√√通用要求點√√√不同的模式下，只設(shè)計客戶應(yīng)用應(yīng)承擔(dān)的安全要求的方案設(shè)計，其余直接采信云平臺的測評結(jié)論。如計對資源安全隔離、物理通用要求點√√用√如果使用的網(wǎng)絡(luò)安全產(chǎn)品均為云平臺提供，則可以直接使用云平臺的等保測評結(jié)論；否則客戶應(yīng)需要√如果使用的網(wǎng)絡(luò)安全產(chǎn)品通用要求點均為云平臺提供，則可以直接使用云平臺的等保測評結(jié)論；否則客戶應(yīng)需要√如果使用的網(wǎng)絡(luò)安全產(chǎn)品均為云平臺提供，則可以直接使用云平臺的等保測評結(jié)論；否則客戶應(yīng)需要√√√√通用要求