以身份為中心幫助企事業(yè)單位滿足等保、關(guān)基條例、個人信息保護法、網(wǎng)絡(luò)安全法、行業(yè)安全要求等相關(guān)要求、保障企業(yè)安全合規(guī)。
“ 保障國家數(shù)據(jù)安全,加強個人信息保護。“
《“十四五”規(guī)劃和2035年遠景目標建議》
應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
應具有登錄失敗處理功能,應配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動 退出等相關(guān)措施;
應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別,且 其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。
應對登錄的用戶分配賬戶和權(quán)限;
應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;
訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表級
應對重要主體和客體設(shè)置安全標記,并控制主體對有安全標記信息資源的訪問。
第六十四條 網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定
第六十五條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第三十五條規(guī)定
第六十六條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者違反本法第三十七條規(guī)定
第五十一條 個人信息處理者應當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風險等,采取措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失
幫助企業(yè)滿足等保合規(guī)中關(guān)于身份鑒別、訪問控制以及安全審計方面的要求,以平臺化的能力賦能業(yè)務(wù)系統(tǒng)安全性、降低重復投入。
為公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的重要基礎(chǔ)設(shè)施及信息系統(tǒng)等提供安全保障手段。
在以公安部牽頭組織的護網(wǎng)行動中,為企事業(yè)單位提供一體化零信任安全防護能力,全面保障應用安全、身份安全、數(shù)據(jù)安全、接口安全。
在重大活動期間,將同時面臨網(wǎng)絡(luò)攻擊與社保挑戰(zhàn)、在保護信息系統(tǒng)安全的同時、通過身份鑒別、數(shù)據(jù)分級分類與權(quán)限控制、最大程度保障關(guān)鍵數(shù)據(jù)的安全可控。
即以可信認證為基礎(chǔ),構(gòu)建一個可信的業(yè)務(wù)系統(tǒng)執(zhí)行環(huán)境,即用戶、平臺、程序都是可信的,確保用戶無法被冒充、病毒無法執(zhí)行、入侵行為無法成功??尚诺沫h(huán)境保證業(yè)務(wù)系統(tǒng)永遠都按照設(shè)計預期的方式執(zhí)行,不會出現(xiàn)非預期的流程,從而保障了業(yè)務(wù)系統(tǒng)安全可信。
即以訪問控制技術(shù)為核心,實現(xiàn)主體對客體的受控訪問,保證所有的訪問行為均在可控范圍之內(nèi)進行,在防范內(nèi)部攻擊的同時有效防止了從外部發(fā)起的攻擊行為。對用戶訪問權(quán)限的控制可以確保系統(tǒng)中的用戶不會出現(xiàn)越權(quán)操作,永遠都按系統(tǒng)設(shè)計的策略進行資源訪問,保證了系統(tǒng)的信息安全可控。
即通過構(gòu)建集中管控、最小權(quán)限管理與三權(quán)分立的管理平臺,為管理員創(chuàng)建一個工作平臺,使其可以進行技術(shù)平臺支撐下的安全策略管理,從而保證信息系統(tǒng)安全可管。
以一體化零信任平臺幫助企事業(yè)單位滿足等保、關(guān)基條例、個人信息保護法、網(wǎng)絡(luò)安全法、行業(yè)安全要求等相關(guān)要求、保障企業(yè)安全合規(guī)。
以平臺化運營方案助力企事業(yè)在護網(wǎng)/重保等重要期間以零信任架構(gòu)為基礎(chǔ),保護關(guān)鍵基礎(chǔ)資源以及關(guān)鍵應用系統(tǒng)的訪問安全、數(shù)據(jù)安全。