文档首页/ 配置审计 Config/ 用户指南/ 合规规则包/ 合规规则包示例模板/ 等保三级2.0规范检查的标准合规包
更新时间:2024-10-24 GMT+08:00
分享

等保三级2.0规范检查的标准合规包

本文为您介绍等保三级2.0规范检查的标准合规包的业务背景、应用场景,以及合规包中的默认规则。

业务背景

等保三级2.0规范是指中国政府在信息安全领域制定的一项标准,是中国信息安全等级保护制度的重要组成部分。该规范主要针对政府、金融、电信、能源等关键信息基础设施行业,旨在保障其信息系统的安全性、完整性和可用性,防范和应对各种安全威胁和风险。

关于网络安全等级保护基本要求的更多详细信息,请参见GB/T 22239-2019

免责条款

本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。

默认规则

此表中的建议项编号对应GB/T 22239-2019中参考文档的章节编号,供您查阅参考。

表1

建议项编号

建议项说明

华为云合规规则

指导

8.1.2.1

b)应保证网络各个部分的带宽满足业务高峰期需要。

eip-bandwidth-limit

确保带宽满足业务高峰期需要。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

dcs-redis-in-vpc

确保分布式缓存服务(DCS)所有流量都安全地保留在虚拟私有云(VPC)中。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

8.1.2.1

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。

rds-instances-in-vpc

确保关系型数据库(RDS)所有流量都安全地保留在虚拟私有云(VPC)中。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

dcs-redis-in-vpc

确保分布式缓存服务(DCS)所有流量都安全地保留在虚拟私有云(VPC)中。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

ecs-instance-in-vpc

确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。

8.1.2.1

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

rds-instances-in-vpc

确保关系型数据库(RDS)所有流量都安全地保留在虚拟私有云(VPC)中。

8.1.3.1

b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。

ecs-instance-no-public-ip

由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。

8.1.3.1

b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。

elb-loadbalancers-no-public-ip

确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。

8.1.3.1

b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

ecs-instance-no-public-ip

由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

elb-loadbalancers-no-public-ip

确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。

8.1.3.2

a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。

rds-instance-no-public-ip

确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。

8.1.3.5

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

cts-tracker-exists

确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。

8.1.4.1

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

iam-user-mfa-enabled

确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。

8.1.4.7

a)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

elb-tls-https-listeners-only

确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。

8.1.4.7

b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

volumes-encrypted-check

由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。

8.1.4.9

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

rds-instance-multi-az-support

华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云 RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云 RDS 会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。

相关文档