等保2.0高風險判定系列 | 保密性和完整性
作者:啟明星辰
2020-08-27
在網絡安全等級保護工作中��,機密性(Confidentiality)���、完整性(Integrity)和可用性(Availability)是網絡安全的三大基石����,簡稱CIA三性���。
1)機密性:指只有授權用戶可以獲取信息���。
2)完整性:指信息在輸入和傳輸的過程中����,不被非法授權修改和破壞�����,保證數據的一致性�。
3)可用性:指保證合法用戶對信息和資源的使用不會被不正當地拒絕��。
機密性
機密性是防止未授權的用戶訪問數據���,簡單來說就是“不能看”����。為了維護機密性���,通常會在數據的處理����、傳輸��、儲存過程中進行一些諸如加密或者權限類的保護措施來進行安全控制�。針對機密性的破壞主要有竊取密碼文件����、社會工程學�、網絡嗅探�����、肩窺等����。
完整性
完整性是防止未授權的修改數據��,也就是:“不能改”�����。為了維護完整性����,通常會在數據的處理��、傳輸��、儲存過程中加入校驗技術來驗證數據是否被修改�,最常用的就是MD5或者SHA1的完整性校驗��。針對完整性的破壞主要有病毒�、應用程序錯誤�����、邏輯炸彈�����,以及被授權用戶的非授權操作���。所以��,為了保護完整性��,要進行嚴格的訪問控制��、嚴格的身份認證以及嚴密的人員培訓���。
可用性
可用性是保證經過授權的客戶能及時準確得不間斷地訪問數據����,也就是“一直用”�。針對破壞可用性的威脅主要有設備故障���、軟件錯誤以及一些不可抗力如洪水�、火災等�。在實際應用中����,造成可用性被破壞的主要原因是人為錯誤����、疏忽或失職造成的如意外刪除文件�����、私自分配資源���、安全策略配置錯誤等����。
在網絡安全等級保護基本要求中�����,在安全通信網絡����、安全計算環境中對完整性��、保密性(同“機密性”)提出了具體要求�,這些要求也是等級保護測評中的高風險測評項����。
安全通信網絡
應采用密碼技術保證通信過程中數據的完整性���。
應采用密碼技術保證通信過程中數據的保密性�。
安全計算環境
應采用密碼技術保證重要數據在傳輸過程中的完整性�,包括但不限于鑒別數據�、重要業務數據��、重要審計數據�、重要配置數據�����、重要視頻數據和重要個人信息等����。
應采用密碼技術保證重要數據在傳輸過程中的保密性���,包括但不限于鑒別數據�、重要業務數據和重要個人信息等�����。
在等級保護2.0基本要求安全計算環境中���,對應用系統數據的完整性和保密性提出了要求��,這對應用系統提出了挑戰��,用戶很多的定級系統是多年前開發并投入使用���,在設計之初并沒有考慮數據安全性要求���,存在數據安全風險�����。但是����,針對新建或者可以改造的信息系統����,建議在應用層通過密碼技術確保傳輸數據的完整性����、保密性�����,并在服務器端對數據解密和有效性進行校驗�,確保傳輸過程中的保密性以及完整性����。對涉及個人身份信息��、個人敏感信息數據���、重要業務數據�����、行業主管部門定義的非明文存儲�、傳輸的數據�,要進行數據的加密傳輸���、加密存儲�����。
啟明星辰通信傳輸安全解決方案
天清漢馬VPN系統產品是啟明星辰集團依靠雄厚的技術優勢�����,依靠多年信息安全產品研發的積累����,嚴格遵照國家有關主管部門的設計規范要求�����,具有完全自主知識產權的SSL/IPSec 二合一VPN安全網關系統�,為用戶提供安全的傳輸鏈路安全服務��。
圖 VPN典型部署示意圖
案例說明
1���、 總部部署IPSEC SSLVPN綜合安全網關���,作為中心節點����;
2�����、 大型分支機構可以部署分支節點的VPN安全網關��,與中心節點進行IPSEC組網�����,通過公用網絡實現三層互聯��,分支機構用戶將會得到和總部內網一樣的訪問體驗���;
3���、 使用筆記本異地辦公的用戶可以使用SSLVPN功能登錄總部VPN�����,使用單點登錄功能直接訪問企業內網業務系統
4�����、 使用手機等移動終端的用戶可以到應用市場下載VPN客戶端軟件����,從而使用手機進行移動辦公���。同時還可以使用應用發布系統實現用手機訪問Windows系統下的辦公軟件��。
功能特點
自主可控:產品嚴格遵照GM/T 0022-2014 《IPSec VPN技術規范》和 GM/T 0024-2014 《SSLVPN技術規范》進行設計��。產品支持國家商用密碼算法SM1-SM4����,產品具備國家商用密碼產品型號證書�����。
集中管理:集中管理系統可以對大規模部署的VPN項目進行統一的策略下發���、狀態監控�����、批量升級���、審計告警和報表審計等��。
行為審計:VPN可以訪用戶登錄����、退出信息����,以及訪問的站點等情況進行詳細記錄�,并可匯總到集中管理系統�,進行追溯�����。
終端安全檢查:VPN在終端接入前可以對終端的操作系統補丁�����、系統進程�����、注冊表等進行檢查��,并可以退出時指定清除cookie和表單歷史記錄等�。
多種接入方式:啟明星辰VPN可以同時實現Windows���、MAC����、Linux��、Android����、iOS等操作系統的接入��,并可以通過應用虛擬化方式實現跨平臺的快速接入��,保證用戶隨時隨地��,隨心隨行快速接入企業內網處理業務�����。
多因素認證:產品支持靜態口令�����、UKEY證書�����、動態令牌�、短信�、RADIUS��、LDAP�、AD等多種認證方式�,并可進行多種認證方式的組合�,同時可以實現對指定賬號和硬件設備的特征綁定����,從而實現安全接入�。
IPSEC VPN:可以提供端到站和站到站的的網絡層加密�,實現與內網訪問一樣的用戶體驗����。同時通過啟明星辰的動態多點VPN技術可以實現IPSEC的大規模高效組網�����。
SSL VPN:提供端到站的應用層鏈路加密���,無需安裝任何客戶端插件��,同時具備URL級別的訪問控制�����,做到權限最小化�,實現對指定web應用的快速安全防護���。
技術優勢
性能優異��,功能全面:啟明星辰天清漢馬VPN產品單機性能優異��,同時還可以進行集群動態擴展���,適應超大規模并發的環境�����;功能方面集IPSEC����、SSL��、VPDN����、VPN于一身�,兼具防火墻�����、抗攻擊等眾多功能���,是邊界接入的首選產品��。
動態組網:采用動態多點VPN協議進行動態組網�����,中心設備無需更改任何信息���,僅需對新增設備進行配置����,即可對原有的大型網絡輕松擴容���。
統一用戶管理:啟明星辰VPN產品IPSec VPN /SSL VPN/VPDN 用戶統一���,統一賬戶可以在三種VPN之間任意切換�����,無需另外購買授權���。
單點登錄:啟明星辰VPN可以通過多種方式對BS���、CS應用進行從賬號代填��,同時可以實現密碼學習功能�����,實現從賬號的自動錄入�。
多系統:啟明星辰VPN產品支持三操作系統互為備份�����,穩定性更強�,升級無憂��。
簡單易用適應性強:啟明星辰VPN產品支持Windows��、Linux�、iOS���、OS X�����、Android等操作系統�����,支持IE���、Firefox�、Chrome等瀏覽器�,針對BS應用無需安裝客戶端����,針對CS應用的IPSec和SSL客戶端二合一��,且全自動安裝100%免配置�。
京公網安備11010802024551號