2022年數(shù)據(jù)安全治理解決方案

1、安全加固 合作共贏數(shù)據(jù)安全治理解決方案目錄content核心技術(shù)理念01解決方案與場(chǎng)景介紹02政策匹配（等保2.0與密評(píng)）03核心技術(shù)理念01目前針對(duì)核心應(yīng)用常規(guī)的保護(hù)方案城墻建的很高很厚，但是服務(wù)器基本還是祼奔！2022/7/234核心理念-計(jì)算執(zhí)行環(huán)境內(nèi)的加密隔離磁盤上的加密數(shù)據(jù)國(guó)產(chǎn)操作系統(tǒng)應(yīng)用程序操作系統(tǒng)加密增強(qiáng)中央崗哨平臺(tái)部件，互動(dòng)關(guān)聯(lián)。OS加密增強(qiáng)系統(tǒng)按需從計(jì)算執(zhí)行環(huán)境中加密劃分出安全隔離的活動(dòng)空間來(lái)進(jìn)行數(shù)據(jù)活動(dòng);實(shí)現(xiàn)數(shù)據(jù)自保-無(wú)論網(wǎng)絡(luò)和系統(tǒng)狀況如何，數(shù)據(jù)都能對(duì)已知和未知的攻擊免疫；防泄密，防勒索軟件，惡意內(nèi)部人員和根攻擊，防內(nèi)核、應(yīng)用程序漏洞；保障數(shù)據(jù)安全。程序軟件庫(kù)配置/腳本文件

2、運(yùn)行參數(shù)/環(huán)境變量進(jìn)程內(nèi)存加密保護(hù)的數(shù)據(jù)中央崗哨運(yùn)用密碼學(xué)技術(shù)形成完整的安全鏈2022/7/23502解決方案與場(chǎng)景零信任解決方案7網(wǎng)絡(luò)安全工作室數(shù)安終端版網(wǎng)絡(luò)安全工作室數(shù)安服務(wù)器版2022/7/23護(hù)網(wǎng)解決方案8網(wǎng)絡(luò)安全工作室(針對(duì)供應(yīng)商駐場(chǎng)安服人員)數(shù)安終端版（針對(duì)重要系統(tǒng)的管理員）數(shù)安服務(wù)器版數(shù)安服務(wù)器版數(shù)安服務(wù)器版2022/7/23黑客實(shí)施勒索9數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)文件黑客數(shù)據(jù)數(shù)據(jù)庫(kù)程序運(yùn)行參數(shù)數(shù)據(jù)庫(kù)服務(wù)器黑客網(wǎng)頁(yè)服務(wù)器配置文件口令系統(tǒng)工具數(shù)據(jù)數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)文件黑客刪除、勒索數(shù)據(jù)庫(kù)程序防勒索解決方案-數(shù)據(jù) 源服務(wù)器（數(shù)據(jù)庫(kù)、hadoop）保護(hù)應(yīng)用服務(wù)器數(shù)據(jù) 源服務(wù)器文件系統(tǒng)加密數(shù)據(jù)應(yīng)

3、用服務(wù)進(jìn)程其他進(jìn)程明文其他進(jìn)程文件系統(tǒng)加密數(shù)據(jù)數(shù)據(jù) 源服務(wù)進(jìn)程明文配置、緩存、密碼等源數(shù)據(jù)、配置、緩存、等數(shù)據(jù) 源服務(wù)器提供的認(rèn)證加密信道SE加密隔離空間中央崗哨平臺(tái)信息收集事件觸發(fā)配置操作事件響應(yīng)CSP管理員信息展示批處理操作102022/7/23防勒索解決方案-存儲(chǔ)服務(wù)（云存儲(chǔ)、NAS、SAN）數(shù)據(jù)保護(hù)應(yīng)用服務(wù)器存儲(chǔ)服務(wù)器文件系統(tǒng)加載點(diǎn)應(yīng)用服務(wù)進(jìn)程其他進(jìn)程明文加密數(shù)據(jù)SE加密隔離空間中央崗哨平臺(tái)CSP管理員密文應(yīng)用服務(wù)器文件系統(tǒng)其他進(jìn)程加載點(diǎn)應(yīng)用服務(wù)進(jìn)程明文密文信息收集事件觸發(fā)配置操作事件響應(yīng)信息展示批處理操作11數(shù)安服務(wù)器版SE適用行業(yè)12政府部、委、辦、局等事業(yè)單位大數(shù)據(jù)局 醫(yī)療醫(yī)院衛(wèi)

4、健委藥物研發(fā)制藥醫(yī)療器械制造業(yè)高科技制造業(yè)（芯片）汽車制造業(yè)（新能源）金融銀行保險(xiǎn)基金2022/7/23數(shù)安終端版EE適用場(chǎng)景企業(yè)的財(cái)務(wù)/研發(fā)/設(shè)計(jì)部門會(huì)計(jì)師/律師/建筑設(shè)計(jì)事務(wù)所13各行業(yè)或企業(yè)中 “專機(jī)專用”2022/7/23網(wǎng)絡(luò)安全工作室QWS適用場(chǎng)景財(cái)務(wù)/OA設(shè)計(jì)/寫作/翻譯開發(fā)（VDI）/運(yùn)維（外包）CXO/秘書142022/7/2303等保2.0與密評(píng)匹配解決方案數(shù)安產(chǎn)品與密評(píng)、等保評(píng)測(cè)的匹配等保2.0三級(jí)匹配通用要求-安全計(jì)算環(huán)境8.1.4.2訪問(wèn)控制、8.1.4.3安全審計(jì)、8.1.4.4入侵防范、8.1.4.5惡意代碼防范、8.1.4.7數(shù)據(jù)完整性、8.1.4.8數(shù)據(jù)保密性等

5、保2.0匹配項(xiàng)162022/7/238.1.4.2 訪問(wèn)控制通用安全計(jì)算環(huán)境訪問(wèn)控制（1）8.1.4.2.d 授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。說(shuō)明：數(shù)安用基于進(jìn)程的訪問(wèn)控制，有效彌補(bǔ)了傳統(tǒng)的基于角色的訪問(wèn)控制的不足，實(shí)現(xiàn)了對(duì)管理用戶的最小授權(quán)策略，成功將計(jì)算機(jī)維護(hù)和服務(wù)管理等權(quán)限管理有效區(qū)分開來(lái)。提供了數(shù)據(jù)安全性。這一點(diǎn)，傳統(tǒng)的計(jì)算機(jī)管理系統(tǒng)沒(méi)有實(shí)現(xiàn)。8.1.4.2.e由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則。說(shuō)明：數(shù)安中，授權(quán)主體是數(shù)安的管理員，訪問(wèn)主體是進(jìn)程，訪問(wèn)客體是數(shù)據(jù)文件，數(shù)安有效實(shí)現(xiàn)了訪問(wèn)策略的定義和嚴(yán)格執(zhí)行，保證了數(shù)據(jù)的防泄露，防勒索。

6、傳統(tǒng)的計(jì)算機(jī)系統(tǒng)中，DAC以用戶賬號(hào)為訪問(wèn)主體，而一個(gè)用戶下面的所有數(shù)據(jù)一起為一個(gè)客體，通常無(wú)法應(yīng)對(duì)數(shù)據(jù)泄露和破壞。數(shù)安服務(wù)器版、數(shù)安網(wǎng)寶、數(shù)安文寶172022/7/23通用安全計(jì)算環(huán)境訪問(wèn)控制（2）8.1.4.2.f 訪問(wèn)控制的顆粒度達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件或數(shù)據(jù)庫(kù)表級(jí)。說(shuō)明：數(shù)安的訪問(wèn)控制顆粒度達(dá)到主體是進(jìn)程，客體是文件。傳統(tǒng)的DAC原理上可以做到這個(gè)顆粒度，但是不實(shí)用，因?yàn)橐粋€(gè)操作員使用多個(gè)計(jì)算機(jī)用戶賬號(hào)操作太不方便也就不實(shí)際。SE Linux也可以做到這個(gè)顆粒度，但是配置及其復(fù)雜，在現(xiàn)實(shí)中它通常被說(shuō)IT管理員說(shuō)成“鉆研到?jīng)Q定放棄”，實(shí)際上有效應(yīng)用SE Linux的場(chǎng)景也及其

7、少見(jiàn)。8.1.4.2.g 對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。說(shuō)明：數(shù)安以密碼學(xué)手段對(duì)訪問(wèn)控制的主客體進(jìn)行標(biāo)識(shí)，嚴(yán)格實(shí)現(xiàn)主體對(duì)有安全標(biāo)識(shí)客體的訪問(wèn)。傳統(tǒng)的DAC系統(tǒng)中無(wú)法通過(guò)安全標(biāo)識(shí)區(qū)分不同的資源。SELinux可以做到，但是其應(yīng)用太過(guò)復(fù)雜。數(shù)安服務(wù)器版、數(shù)安網(wǎng)寶、數(shù)安文寶8.1.4.2 訪問(wèn)控制182022/7/238.1.4.3 安全審計(jì)通用安全計(jì)算環(huán)境安全審計(jì)8.1.4.3.a 啟用安全審計(jì)功能，審計(jì)覆蓋每個(gè)用戶，對(duì)重要用戶行為和重要安全事件進(jìn)行審計(jì)。說(shuō)明：數(shù)安的崗哨平臺(tái)對(duì)所有被保護(hù)計(jì)算設(shè)備上的所有用戶的數(shù)據(jù)操作行為都予以管理并且實(shí)現(xiàn)審計(jì)記錄。8.1.4.

8、3.b 審計(jì)記錄應(yīng)包括日期和時(shí)間、用戶、類型、是否成功等。說(shuō)明：數(shù)安的崗哨平臺(tái)記錄了所有的被保護(hù)數(shù)據(jù)的訪問(wèn)，包括日期、事件、用戶、進(jìn)程、以及是否成功的結(jié)果。數(shù)安崗哨平臺(tái)數(shù)安崗哨平臺(tái)192022/7/238.1.4.4 入侵防范通用安全計(jì)算環(huán)境入侵防范/惡意代碼防范8.1.4.4.f 能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生重大入侵事件時(shí)提供報(bào)警。 說(shuō)明：數(shù)安的崗哨平臺(tái)上收集了所有的敏感數(shù)據(jù)的訪問(wèn)控制信息，通過(guò)這些信息，崗哨平臺(tái)可以檢測(cè)到對(duì)重要計(jì)算節(jié)點(diǎn)的入侵行為。8.1.4.5 采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。 說(shuō)明：數(shù)安引擎通過(guò)定

9、義合法主體、敏感客體和相應(yīng)的操作規(guī)則，并嚴(yán)格實(shí)現(xiàn)所定義的只允許合法主體訪問(wèn)被保護(hù)的敏感客體的規(guī)則，實(shí)現(xiàn)識(shí)別并免疫入侵或傷害行為，并且有效阻斷這些行為。和別的直接檢測(cè)病毒主體特征的惡意代碼防范方案不同，引擎不關(guān)心病毒主體本身的特征，而是專注在入侵傷害的病毒行為上，識(shí)別入侵和病毒行為，并且阻斷它的對(duì)敏感數(shù)據(jù)的傷害。8.1.4.5 惡意代碼防范數(shù)安崗哨平臺(tái)數(shù)安服務(wù)器版、數(shù)安網(wǎng)寶、數(shù)安文寶202022/7/238.1.4.7 數(shù)據(jù)完整性（郵件場(chǎng)景）通用安全計(jì)算環(huán)境數(shù)據(jù)完整性/數(shù)據(jù)保密性8.1.4.7.b 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)中的完整性，包含但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)

10、數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。說(shuō)明：安全郵件客戶端對(duì)所保護(hù)的重要數(shù)據(jù)，加上密碼學(xué)標(biāo)簽，實(shí)現(xiàn)對(duì)這些數(shù)據(jù)的完整性的監(jiān)視、審查和管控。8.1.4.8.b 采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)中的保密性，包含但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、和重要個(gè)人信息等。 說(shuō)明：數(shù)安引擎在文件系統(tǒng)內(nèi)核層對(duì)所保護(hù)的重要數(shù)據(jù)進(jìn)行加解密處理，一次一密，這種加解密對(duì)應(yīng)用系統(tǒng)完全透明，完全不影響應(yīng)用系統(tǒng)邏輯，方便、安全。8.1.4.8 數(shù)據(jù)保密性數(shù)安紅鴿數(shù)安服務(wù)版、數(shù)安文寶212022/7/23密碼與密碼評(píng)測(cè)2019年3月，中華人民共和國(guó)密碼法審議通過(guò)，2020年1月1日起施行。2020年12月8日，國(guó)家密碼管

11、理局發(fā)布信息系統(tǒng)密碼應(yīng)用評(píng)測(cè)要求。商用密碼應(yīng)用安全性評(píng)估（簡(jiǎn)稱“密評(píng)”）是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估，包括規(guī)劃階段的方案評(píng)審和建設(shè)、運(yùn)行階段的安全評(píng)估。可應(yīng)用于通信、金融、稅控、社保、能源等重要領(lǐng)域。222022/7/23密評(píng)相關(guān)政策法規(guī)231、中華人民共和國(guó)密碼法國(guó)家密碼管理部門負(fù)責(zé)管理全國(guó)的密碼工作?？h級(jí)以上地方各級(jí)密碼管理部門負(fù)責(zé)管理本行政區(qū)域的密碼工作。密碼管理部門和有關(guān)部門建立日常監(jiān)管和隨機(jī)抽查相結(jié)合的事中事后監(jiān)管制度。未按照要求使用密碼，或者未按照要求開展密碼應(yīng)用安全性評(píng)估的，由密碼管理部門責(zé)令改正，給予警告；拒

12、不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。2、國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法各部門應(yīng)當(dāng)嚴(yán)格遵守有關(guān)法律法規(guī)規(guī)定，構(gòu)建全方位、多層次、一致性的防護(hù)體系，按要求采用密碼技術(shù)，并定期開展密碼應(yīng)用安全性評(píng)估，確保政務(wù)信息系統(tǒng)運(yùn)行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。對(duì)于不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求，或者存在重大安全隱患的政務(wù)信息系統(tǒng)，不安排運(yùn)行維護(hù)經(jīng)費(fèi)，項(xiàng)目建設(shè)單位不得新建、改建、擴(kuò)建政務(wù)信息系統(tǒng)。3、商用密碼管理?xiàng)l例強(qiáng)化密碼應(yīng)用要求，突出對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施及網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上信息系統(tǒng)的密碼應(yīng)用監(jiān)管，并實(shí)施商用密碼應(yīng)用安全

13、性評(píng)估和安全審查制度。4、網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)測(cè)要求明確將密碼測(cè)評(píng)結(jié)果列為等保測(cè)評(píng)通過(guò)的必要條件。5、信息安全等級(jí)保護(hù)商用密碼管理辦法實(shí)施意見(jiàn)第三級(jí)以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)建設(shè)方案應(yīng)當(dāng)通過(guò)密碼管理部門組織的評(píng)審后方可實(shí)施。第三級(jí)以上信息系統(tǒng)的商用密碼應(yīng)用系統(tǒng)，應(yīng)當(dāng)通過(guò)國(guó)家密碼管理部門指定測(cè)評(píng)機(jī)構(gòu)的密碼測(cè)評(píng)后方可投入運(yùn)行。2022/7/23密測(cè)匹配度分析密碼應(yīng)用評(píng)測(cè)要求設(shè)備和計(jì)算安全6.3.3 系統(tǒng)資源訪問(wèn)控制信息完整性6.3.6 重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性應(yīng)用和數(shù)據(jù)安全6.4.2 訪問(wèn)控制信息完整性6.4.3 重要信息資源安全標(biāo)記完整性6.4.5 重要數(shù)據(jù)存儲(chǔ)機(jī)密性6.

14、4.7 重要數(shù)據(jù)存儲(chǔ)完整性密測(cè)匹配項(xiàng)通用評(píng)測(cè)要求密碼算法和密碼技術(shù)合規(guī)性242022/7/23密碼算法和密碼技術(shù)合規(guī)性信息系統(tǒng)中使用的密碼算法應(yīng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。說(shuō)明：數(shù)安服務(wù)器版產(chǎn)品符合中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)GM/T 0028-2014 密碼模塊安全技術(shù)要求。數(shù)安服務(wù)器版產(chǎn)品符合中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)GM/T 0039-2015 密碼模塊安全檢測(cè)要求。通用評(píng)測(cè)要求252022/7/23設(shè)備和計(jì)算安全6.3.3 系統(tǒng)資源訪問(wèn)控制信息完整性采用密碼技術(shù)保證系統(tǒng)資源訪問(wèn)控制信息的完整性。6.3.6 重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)，并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證。說(shuō)明：由數(shù)安服務(wù)器版應(yīng)用于保護(hù)重要的系統(tǒng)資源文件以及重要的應(yīng)用程序，不接受未授權(quán)訪問(wèn)，并且進(jìn)行完整性和真實(shí)性檢驗(yàn)。密碼應(yīng)用評(píng)測(cè)要求（1）262022/7/23應(yīng)用和數(shù)據(jù)安全6.4.2 訪問(wèn)控制信息完整性采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的訪問(wèn)控制信息的完整性。6.4.3 重要信息資源安全標(biāo)記完整性采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息資源安全標(biāo)記的完整性。說(shuō)明：數(shù)安服務(wù)器版應(yīng)用于保護(hù)重