安全资讯

等级保护2.0:网络产品和服务安全通用要求之一般安全要求

说实在的,在此前我个人是不太注意哪些产品是需要满足一般安全要求,哪些产品是需要满足增强安全要求,正好结合《信息安全技术 网络产品和服务安全通用要求》这个标准,我们探讨一下这个问题。

在我国境内销售或提供的所有网络产品和服务必须满足一般安全要求,其中网络关键设备和网络安全专用产品还必须满足增强安全要求。网络关键设备和网络安全专用产品范围,具体参照国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合印发的《关于发布<网络关键设备和网络安全专用产品目录>的公告》。网络关键设备和网络安全专用产品试看网络关键设备和网络安全专用产品目录(第一批)》详细如下


设备或产品类别

范围

网络关键设备

1.路由器

整系统吞吐量(双向)≥12Tbps

整系统路由表容量≥55万条

2.交换机

整系统吞吐量(双向)≥30Tbps

整系统包转发率≥10Gpps

3. 服务器(机架式)

CPU数量≥8

CPU内核数≥14

内存容量≥256GB

4. 可编程逻辑控制器(PLC设备)

控制器指令执行时间≤0.08微秒

网络安全

专用产品

5. 数据备份一体机

备份容量≥20T

备份速度≥60MB/s

备份时间间隔≤1小时

6. 防火墙(硬件)

整机吞吐量≥80Gbps

最大并发连接数≥300

每秒新建连接数≥25

7. WEB应用防火墙(WAF

整机应用吞吐量≥6Gbps

最大HTTP并发连接数≥200

8. 入侵检测系统(IDS

满检速率≥15Gbps

最大并发连接数≥500

9.入侵防御系统(IPS

满检速率≥20Gbps

最大并发连接数≥500

10.安全隔离与信息交换产品(网闸)

吞吐量≥1Gbps

系统延时≤5ms

11.反垃圾邮件产品

连接处理速率(连接/秒)>100

平均延迟时间<100ms

12.网络综合审计系统

抓包速度≥5Gbps

记录事件能力≥5万条/

13. 网络脆弱性扫描产品

最大并行扫描IP数量≥60

14. 安全数据库系统

TPC-E tpsE(每秒可交易数量)≥4500

15. 网站恢复产品(硬件)

恢复时间≤2ms

站点的最长路径≥10


一般安全要求

1、 恶意程序防范
网络产品和服务提供者必须满足以下要求:
a)   禁止在网络产品和服务的研发、生产、交付、运维等过程中植入恶意程序;
b)   禁止在网络产品和服务中设置隐蔽接口或未明示功能模块,如隐蔽的管理接口或调试接口;
c)   禁止加载能够禁用或绕过安全机制的组件,不存在硬编码方式的默认口令和隐藏账号;
d)   必须建立和实施网络产品和服务的完整性保护措施,减少产品和服务的关键组件、过程和数据被篡改、伪造的风险;
e)   保护用户对软件安装、使用、升级、卸载的知情权和选择权,安装和升级软件时必须明示告知用户并获得用户同意,允许用户卸载产品核心功能之外的软件,禁止通过技术手段强制或诱导用户安装和升级用户不知情的软件;
f)   通过用户协议、产品使用说明书、门户网站等途径,承诺提供的网络产品和服务不包含恶意程序、隐蔽接口或未明示功能模块等。
2、 缺陷漏洞管理
网络产品和服务提供者必须满足以下要求:

a)   网络产品和服务的设计、开发环节识别安全风险,制定安全策略,采取适当的安全措施保障关键组件的设计和开发安全,网络产品和服务在交付前必须进行了安全性测试,控制安全风险;

b)   建立和执行针对网络产品和服务安全缺陷、漏洞的应急响应机制和流程;

c)   在发现网络产品和服务存在安全缺陷、漏洞时,立即采取修复或替代方案等补救措施,按照国家网络安全监测预警和信息通报制度等规定,及时告知用户安全风险,并向有关主管部门报告。

3、 安全运行维护
网络产品和服务提供者必须满足以下要求:
a)   在国家法律、行政法规、部门规章等规范性文件规定或与用户约定的期限内,为网络产品和服务提供持续的安全维护;
b)   在国家法律、行政法规、部门规章等规范性文件规定或与用户约定的期限内,不因业务变更、产权变更等原因单方面中断或终止安全维护。
4、 用户信息保护
具有收集用户信息功能的网络产品和服务,网络产品和服务提供者必须满足以下要求:
a)   明确告知收集用户信息的目的、用途、范围和类型,在用户明示同意后,方可收集用户信息;
b)   只收集实现产品和服务功能所需的最少用户信息,收集的用户信息仅用于用户同意的目的和用途;
c)   应当对其收集的用户信息严格保密,并建立了规范的用户信息保护制度;
d)   采取安全措施(如加密存储、安全审计)保护个人信息等重要用户信息的安全,防止泄露、篡改、损毁、丢失;
e)   未经用户明示同意,不得向他人提供个人信息,经处理无法识别特定个人且不能复原的除外;
f)   向个人信息主体提供查询、更正个人信息的功能,当发现提供者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,个人有权要求提供者删除其个人信息;

g)   制定个人信息泄露应急预案,当发生个人信息泄露事件时,采取有效措施降低用户的损失。

文章开始,我们提到了在我国境内销售或提供的所有网络产品和服务必须满足一般安全要求,其中网络关键设备和网络安全专用产品还必须满足增强安全要求。也就是在我国所有网络产品和服务皆需要满足一般安全要求,同时,我也经常强调一点,那就是在网络安全等级保护测评中如何理解每条测评的要求,不能根据脑海中的一些浅薄知识望文生义,尽量能够以标准释标准。在实际操作中,无论是建设整改方案时期还是等级测评时期,充分理解标准要求,既可以满足合规性,也可以避免客户过度投入。

网络安全等级保护是一个网络安全领域合规的一个基本条件,而网络安全等级保护是体系化的工作,需要安全监管部门、行业主管单位(部门)、安全服务商、网络运营者、测评机构多方参与,而又需要各司其职。充分理解等级保护工作的重要性的同时,也需要各方都对等级保护有个充分的认知,同时各方又能提供足够专业符合等级保护工作的服务及售后服务。

我将努力为在等级保护工作中需要帮忙的朋友们,提供力所能及的帮助。与各行各业各单位在网络安全等级保护以及关键信息安全保护的工作中,共同进步。期待与你们一起加油!

服务热线

400-1021-996

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号