一、PA05 数据传输加密
1、PA描述
根据组织内部和外部的数据传输要求,采用适当的加密保护措施,保证传输通道、传输节点和传输数据的安全,防止传输过程中的数据泄露。
2、等级描述
2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立成熟稳定的数据传输安全和密钥管理机制,仅根据个别业务需求、合规要求,对传输通道、传输节点或数据采用了临时的加密保护措施。
2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由业务团队相关人员负责对传输提到进行加密处理。
②制度流程:应根据合规要求和业务性能的需求,核心业务明确业务中需要加密传输的数据范围和加密算法。
③技术工具:
a)应有对传输通道两端进行主体身份鉴别和认证的技术方案和工具。
b)应有对传输数据加密的技术方案和工具,包括针对关键的数据传输通道的加密方案(如采用TLS/SSL方式),及对传输数据内容进行加密。
2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立了管理数据加密、密钥管理的人员,负责整体的加密原则和技术工作,由各业务的技术团队负责具体场景下的数据传输加密。
②制度流程:
a)应明确数据传输安全管理规范,明确数据传输安全要求(如传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等),确定需要对数据传输加密的场景;
b)应明确对数据传输安全策略的变更进行审核的技术方案;
③技术工具:
a)应有对传输数据的完整性进行检测,并具备数据容错或回复的技术手段;
b)应部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具。
④人员能力:
a)应了解常用的安全通道方案、身份鉴别和认证技术、主管部门推荐的数据加密算法,基于具体的业务选择合适的数据传输安全管理方式;
b)负责该项工作的人员应熟悉数据加密的算法,并能够基于业务选择合适的加密技术。
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:应在数据分类分级定义的基础上,明确提出对不同类型、级别的数据的加密传输要求,包含对数据加密算法的要求和密钥的管理要求。
②技术工具:
a)每个传输链路上的节点都应部署了独立密钥对和数字证书,以保证各节点有效的身份鉴别;
b)应综合量化敏感数据加密和数据传输通道加密的实现效果和成本,定期审核并调整数据加密的实现方案;
c)组织应提供统一的数据加密模块供开发传输功能的人员调用,根据不同数据类型和级别进行数据加密处理,保证组织内部数据加密功能的统一性。
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①技术工具:
a)应跟进传输通道加密保护的技术发展,评估新技术对安全方案的影响,适当引入新技术以应对最新的安全风险;
b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。
二、PA06 网络可用性管理
1、PA描述
通过网络基础设施及网络层数据防泄漏设备的备份建设,实现网络的高可用性,从而保证数据传输过程的稳定性。
2、等级描述
2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立网络可用性管理,仅根据临时需求或基于个人经验对网络冗余建设进行规划。
2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应有负责网络的可用性管理的人员。
②制度流程:应在网络安全管理的制度中明确关键网络链路、网络安全设备的可用性管理要求,关键业务的网络架构应考虑网络的可用性建设需求。
2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立负责网络可用性管理的人员或团队。
②制度流程:应制定组织的网络可用性管理指标,包括可用性的概率数值、故障时间/频率/统计业务范元等;基于可用性管理指标,建立网络服务配置方案和宕机替代方案等。
③技术工具:
a)应对关键的网络传输链路、网络设备节点实行冗余建设;
b)应部署相关设备对网络可用性及数据泄露风险进行防范,如负载均衡、防入侵攻击、数据防泄漏检测与防护等设备。
④人员能力:负责该项工作的人员应具有网络安全管理能力,了解网络安全中对可用性的安全需求,能够根据不同业务对网络性能需求制定有效的可用性安全防护方案。
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①技术工具:应通过相关指标定量分析网络可用性及数据防泄漏服务现状,并有针对性地解决问题,提升网络可用性。
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①技术工具:
a)应实现网络安全设备地健康状态检查及自动化切换;
b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。
数据来源:GB/T 37988-2019
4920
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
