等级保护之身份安全 派拉软件 有关身份安全的关键词 73%2.57亿 1240亿 50亿 3.47亿 据Imperva调查发 现：有73%的企业 员工表示，他们可 以很轻松访问到内 部敏感数据 每次数据泄露事件 涉事企业平均损失 资金3.47亿美元包 括法律费用、罚款、 补救费用和其他费 用 Gartner的报告显示， 全球网络安全支出 2019年将超1240 亿美元 Facebook造成用户 平均影响2.57亿人 身份泄露，罚款50亿 美元。欧洲GDPR动 则罚款上亿美金。 网络安全等级保护2.0 等保2.0-身份安全 涉及身份安全的主要章节 8.1.4安全计算环境 8.1.4.1身份鉴别 8.1.4.2访问控制 8.1.4.3安全审计 8.1.4.6可信验证 8.1.4.7数据完整性 8.1.4.8数据保密性 8.1.4.11个人信息保护 等级保护要点解读 身份鉴别（以等保3级为例） 访问控制 1.应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具 有复杂度要求并定期更换； 1.应对登录的用户分配账户和权限； 2.应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登 录连接超时自动 退出等相关措施； 2.应重命名或删除默认账户，修改默认账户的默认口令； 3.应及时删除或停用多余的、过期的账户，避免共享账户的存在； 4.应授予管理用户所需的最小权限，实现管理用户的权限分离； 3.当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听 4.应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进 行身份鉴别，且 其中一种鉴别技术至少应使用密码技术来实现。 5. 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的 访问 可信验证 6.访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据 库表级 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等 进行可信验证， 并在应用程序的关键执行环节进行动态可信验证，在检测到其可信 性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。 7.应对重要主体和客体设置安全标记，并控制主体对有安全标记信息 资源的访问。 等级保护要点解读 安全审计 数据保密性 1. 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行 审计； 1. 应采用密码技术保证重要数据在传输过程中的保密性，包括但 2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计 相关的信息； 不限于鉴别数据、重要业务数据 和重要个人信息等； 3. 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 4. 应对审计进程进行保护，防止未经授权的中断。 2. 应采用密码技术保证重要数据在存储过程中的保密性，包括但 不限于鉴别数据、重要业务数据 和重要个人信息等。 数据完整性 个人信息保护 1. 应仅采集和保存业务必需的用户个人信息； 2. 应禁止未授权访问和非法使用用户个人信息。 1. 应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息 等； 2. 应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴 别数据、重 要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信 息等。