百度智能云为企业客户提供具备等保2.0要求的丰富的安全产品矩阵、咨询服务和云基础设施,帮助企业快速满足等保2.0的各项要求。
一、等保合规政策解读
什么是等保2.0
等保2.0是国家颁布的网络安全等级保护办法,以《中华人民共和国网络安全法》为法律依据,以《GB/T22239-2019信息安全技术网络安全等级保护基本要求》为指导标准。
安全通信网络
1、网络架构
划分不同的网络区域,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,建设高可用、冗余的网络。
2、通信传输
应采用校验技术、密码技术保证通信过程中数据的完整性和保密性。
3、可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全区域边界
1、边界防护
应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信,对非授权的内部/外部联接进行检查和限制。
2、安全审计
应在网络边界、重要网络节点对每个用户及重要用户和重要安全事件进行安全审计,并记录和保护审计信息;应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
安全计算环境
1、身份鉴别
对登录的用户进行身份标识和鉴别,同时对身份标识和鉴别有相关安全策略要求,包括身份唯一性、密码策略、账号安全策略、双因素鉴别等。
2、可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全管理中心
1、系统管理
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作(系统资源和运行的配置、控制和管理),并对这些操作进行审计。
2、安全管理
应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。
3、集中管控
对安全设备、安全组件进行集中管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测,对各个设备上的审计数据进行集中审计和分析。
安全管理体系
1、安全管理制度
应建立由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。
2、安全管理机构
应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
3、安全管理人员
应制定人员方面的安全管理策略,确保人员录用、人员离岗、人员培训及外包人员的安全管理。
二、等保合规推荐套餐
三、等保评测流程
企业客户 | 百度智能云 | |
系统定级 | 确定系统或者子系统的安全保护等级,填写定级备案表、编写定级报告 | 协助企业确认定级对象,提供咨询服务,辅导企业准备定级报告 |
系统备案 | 持定级报告和备案表到当地公安网监进行备案 | 辅导企业准备备案材料和提交备案申请,进行备案指引 |
建设整改 | 参照定级要求和标准,建设符合等级要求的安全技术和管理体系 | 依据相应等级要求,提供符合等保2.0合规需求的安全产品,协助运营、使用单位完成建设整改工作 |
等级评测 | 准备和接受测评机构测评 | 在测评阶段,提供百度智能云平台的合规资质证明进行评测协助 |