等保三级2.0规范检查的标准合规包
本文为您介绍等保三级2.0规范检查的标准合规包的业务背景、应用场景,以及合规包中的默认规则。
业务背景
等保三级2.0规范是指中国政府在信息安全领域制定的一项标准,是中国信息安全等级保护制度的重要组成部分。该规范主要针对政府、金融、电信、能源等关键信息基础设施行业,旨在保障其信息系统的安全性、完整性和可用性,防范和应对各种安全威胁和风险。
关于网络安全等级保护基本要求的更多详细信息,请参见GB/T 22239-2019。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应GB/T 22239-2019中参考文档的章节编号,供您查阅参考。
|
建议项编号 |
建议项说明 |
华为云合规规则 |
指导 |
|---|---|---|---|
|
8.1.2.1 |
b)应保证网络各个部分的带宽满足业务高峰期需要。 |
eip-bandwidth-limit |
确保带宽满足业务高峰期需要。 |
|
8.1.2.1 |
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 |
dcs-redis-in-vpc |
确保分布式缓存服务(DCS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
|
8.1.2.1 |
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 |
ecs-instance-in-vpc |
确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
|
8.1.2.1 |
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 |
rds-instances-in-vpc |
确保关系型数据库(RDS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
|
8.1.2.1 |
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 |
dcs-redis-in-vpc |
确保分布式缓存服务(DCS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
|
8.1.2.1 |
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 |
ecs-instance-in-vpc |
确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
|
8.1.2.1 |
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 |
rds-instances-in-vpc |
确保关系型数据库(RDS)所有流量都安全地保留在虚拟私有云(VPC)中。 |
|
8.1.3.1 |
b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 |
ecs-instance-no-public-ip |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
|
8.1.3.1 |
b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 |
elb-loadbalancers-no-public-ip |
确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。 |
|
8.1.3.1 |
b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 |
rds-instance-no-public-ip |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 |
|
8.1.3.2 |
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 |
ecs-instance-no-public-ip |
由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 |
|
8.1.3.2 |
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 |
elb-loadbalancers-no-public-ip |
确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。 |
|
8.1.3.2 |
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 |
rds-instance-no-public-ip |
确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 |
|
8.1.3.5 |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 |
cts-tracker-exists |
确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。 |
|
8.1.4.1 |
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
iam-user-mfa-enabled |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 |
|
8.1.4.7 |
a)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
elb-tls-https-listeners-only |
确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 |
|
8.1.4.7 |
b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
volumes-encrypted-check |
由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 |
|
8.1.4.9 |
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。 |
rds-instance-multi-az-support |
华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云 RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云 RDS 会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。 |
