说实在的,在此前我个人是不太注意哪些产品是需要满足一般安全要求,哪些产品是需要满足增强安全要求,正好结合《信息安全技术 网络产品和服务安全通用要求》这个标准,我们探讨一下这个问题。
在我国境内销售或提供的所有网络产品和服务必须满足一般安全要求,其中网络关键设备和网络安全专用产品还必须满足增强安全要求。网络关键设备和网络安全专用产品范围,具体参照国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合印发的《关于发布<网络关键设备和网络安全专用产品目录>的公告》。网络关键设备和网络安全专用产品试看《网络关键设备和网络安全专用产品目录(第一批)》详细如下:
设备或产品类别 | 范围 | |
网络关键设备 | 1.路由器 | 整系统吞吐量(双向)≥12Tbps 整系统路由表容量≥55万条 |
2.交换机 | 整系统吞吐量(双向)≥30Tbps 整系统包转发率≥10Gpps | |
3. 服务器(机架式) | CPU数量≥8个 单CPU内核数≥14个 内存容量≥256GB | |
4. 可编程逻辑控制器(PLC设备) | 控制器指令执行时间≤0.08微秒 | |
网络安全 专用产品 | 5. 数据备份一体机 | 备份容量≥20T 备份速度≥60MB/s 备份时间间隔≤1小时 |
6. 防火墙(硬件) | 整机吞吐量≥80Gbps 最大并发连接数≥300万 每秒新建连接数≥25万 | |
7. WEB应用防火墙(WAF) | 整机应用吞吐量≥6Gbps 最大HTTP并发连接数≥200万 | |
8. 入侵检测系统(IDS) | 满检速率≥15Gbps 最大并发连接数≥500万 | |
9.入侵防御系统(IPS) | 满检速率≥20Gbps 最大并发连接数≥500万 | |
10.安全隔离与信息交换产品(网闸) | 吞吐量≥1Gbps 系统延时≤5ms | |
11.反垃圾邮件产品 | 连接处理速率(连接/秒)>100 平均延迟时间<100ms | |
12.网络综合审计系统 | 抓包速度≥5Gbps 记录事件能力≥5万条/秒 | |
13. 网络脆弱性扫描产品 | 最大并行扫描IP数量≥60个 | |
14. 安全数据库系统 | TPC-E tpsE(每秒可交易数量)≥4500个 | |
15. 网站恢复产品(硬件) | 恢复时间≤2ms 站点的最长路径≥10级 |
一般安全要求
a) 在网络产品和服务的设计、开发环节识别安全风险,制定安全策略,采取适当的安全措施保障关键组件的设计和开发安全,网络产品和服务在交付前必须进行了安全性测试,控制安全风险;
b) 建立和执行针对网络产品和服务安全缺陷、漏洞的应急响应机制和流程;
c) 在发现网络产品和服务存在安全缺陷、漏洞时,立即采取修复或替代方案等补救措施,按照国家网络安全监测预警和信息通报制度等规定,及时告知用户安全风险,并向有关主管部门报告。
g) 制定个人信息泄露应急预案,当发生个人信息泄露事件时,采取有效措施降低用户的损失。
文章开始,我们提到了在我国境内销售或提供的所有网络产品和服务必须满足一般安全要求,其中网络关键设备和网络安全专用产品还必须满足增强安全要求。也就是在我国所有网络产品和服务皆需要满足一般安全要求,同时,我也经常强调一点,那就是在网络安全等级保护测评中如何理解每条测评的要求,不能根据脑海中的一些浅薄知识望文生义,尽量能够以标准释标准。在实际操作中,无论是建设整改方案时期还是等级测评时期,充分理解标准要求,既可以满足合规性,也可以避免客户过度投入。
网络安全等级保护是一个网络安全领域合规的一个基本条件,而网络安全等级保护是体系化的工作,需要安全监管部门、行业主管单位(部门)、安全服务商、网络运营者、测评机构多方参与,而又需要各司其职。充分理解等级保护工作的重要性的同时,也需要各方都对等级保护有个充分的认知,同时各方又能提供足够专业符合等级保护工作的服务及售后服务。
