等級保護(hù)2.0之云租戶必讀
網(wǎng)絡(luò)安全法第二十一條規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度,等保2.0將云平臺(tái)和云上信息系統(tǒng)納入了等級保護(hù)的范圍。云上重要信息系統(tǒng)都應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度要求履行網(wǎng)絡(luò)安全法的法律義務(wù),開展等級測評工作。云上信息系統(tǒng)過等保要注意什么,你知道嗎?為幫助云上信息系統(tǒng)順利通過等保測評,我們就云租戶要關(guān)注的內(nèi)容和事項(xiàng)進(jìn)行了全面梳理,希望給云租戶在選擇云平臺(tái)和開展云上信息系統(tǒng)等保工作時(shí)提供指導(dǎo)。
1
云計(jì)算的服務(wù)模式
云計(jì)算的服務(wù)模型主要有三種:IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service),美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST為它們做的定義如下:
SaaS模式:為用戶提供在云架構(gòu)上運(yùn)行的應(yīng)用的服務(wù)。用戶可以從多種多樣的瘦客戶端[1]經(jīng)由瘦客戶端接口對應(yīng)用進(jìn)行訪問。用戶不需要管理或控制底層的云架構(gòu)(包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ),以及個(gè)別的應(yīng)用能力),只需要關(guān)心與需求有關(guān)的需客戶特別設(shè)定的應(yīng)用配置;
PaaS模式:為用戶提供將應(yīng)用部署在云架構(gòu)上的服務(wù),而創(chuàng)建這些應(yīng)用的編程語言和工具必須得到服務(wù)提供商的支持。這些應(yīng)用可以是用戶自己創(chuàng)建的,也可能是從別處獲取的。用戶不需要管理或控制底層的云架構(gòu)(包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)),但是他們需要對部署的應(yīng)用進(jìn)行控制,還有可能要針對應(yīng)用進(jìn)行環(huán)境配置;
IaaS模式:為用戶提供處理、存儲(chǔ)、網(wǎng)絡(luò)以及其它基礎(chǔ)計(jì)算資源的服務(wù),用戶可以在其上部署和運(yùn)行包括操作系統(tǒng)和應(yīng)用在內(nèi)的任何軟件。用戶不需要管理或控制底層的云架構(gòu),但是他們需要控制操作系統(tǒng)、存儲(chǔ)資源以及被部署的應(yīng)用,還有可能要對某些網(wǎng)絡(luò)部件(例如主機(jī)防火墻)進(jìn)行有限的控制。
由于在不同的服務(wù)模式中,云服務(wù)商和云服務(wù)客戶對計(jì)算資源擁有不同的控制范圍,控制范圍則決定了安全責(zé)任的邊界。而目前云上信息系統(tǒng)大多采用IAAS模式,我們就IAAS模式下的云租戶要關(guān)注的內(nèi)容和事項(xiàng)進(jìn)行介紹。
2
云上信息系統(tǒng)等保2.0的定級和備案
定級:在云計(jì)算環(huán)境中,將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級對象定級,云租戶側(cè)的等級保護(hù)對象作為單獨(dú)的定級對象定級。
備案:云租戶負(fù)責(zé)對云平臺(tái)上承載的租戶信息系統(tǒng)進(jìn)行定級備案,備案地為工商注冊或?qū)嶋H經(jīng)營所在地。
3
云上信息系統(tǒng)等保云租戶要關(guān)注的層面和組件
下表為IAAS模式下云服務(wù)商與租戶的責(zé)任劃分,標(biāo)紅部分為云租戶要關(guān)注的層面和組件:
層面 |
安全要求 |
安全組件 |
責(zé)任主體 |
物理和環(huán)境安全 |
物理位置的選擇 |
數(shù)據(jù)中心及物理設(shè)施 |
云服務(wù)商 |
網(wǎng)絡(luò)和通信安全 |
網(wǎng)絡(luò)結(jié)構(gòu)、訪問控制、入侵防范、安全審計(jì) |
物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái) |
云服務(wù)商 |
云服務(wù)客戶虛擬網(wǎng)絡(luò)安全域 |
云服務(wù)客戶 |
||
設(shè)備和計(jì)算安全 |
身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、鏡像和快照保護(hù) |
物理網(wǎng)絡(luò)及附屬設(shè)備、虛擬網(wǎng)絡(luò)管理平臺(tái)、物理宿主機(jī)及附屬設(shè)備、虛擬機(jī)管理平臺(tái)、鏡像等 |
云服務(wù)商 |
云服務(wù)客戶虛擬網(wǎng)絡(luò)設(shè)備、虛擬安全設(shè)備、虛擬機(jī)等 |
云服務(wù)客戶 |
||
應(yīng)用和數(shù)據(jù)安全 |
安全審計(jì)、資源控制、接口安全、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù) |
云管理平臺(tái)(含運(yùn)維和運(yùn)營)、鏡像、快照等 |
云服務(wù)商 |
云服務(wù)客戶信息系統(tǒng)及相關(guān)軟件組件、云服務(wù)客戶應(yīng)用系統(tǒng)配置、云服務(wù)客戶業(yè)務(wù)相關(guān)數(shù)據(jù)等 |
云服務(wù)客戶 |
||
安全管理機(jī)構(gòu)和人員 |
授權(quán)和審批 |
授權(quán)和審批流程、文檔等 |
云服務(wù)商 |
安全建設(shè)管理 |
安全方案設(shè)計(jì)、測試驗(yàn)收、云服務(wù)商選擇、供應(yīng)鏈管理 |
云計(jì)算平臺(tái)接口、安全措施、供應(yīng)鏈管理流程、安全事件和重要變更信息 |
云服務(wù)商 |
云服務(wù)商選擇及管理流程 |
云服務(wù)客戶 |
||
安全運(yùn)維管理 |
監(jiān)控和審計(jì)管理 |
監(jiān)控和審計(jì)管理的相關(guān)流程、策略和數(shù)據(jù) |
云服務(wù)商、云服務(wù)客戶 |
4
等保云租戶選擇云平臺(tái)時(shí)的注意事項(xiàng)
(一)選擇云平臺(tái)服務(wù)商的基本條件
1、應(yīng)確保云計(jì)算基礎(chǔ)設(shè)施位于中國境內(nèi)。
2、在選擇云平臺(tái)服務(wù)商時(shí)應(yīng)選擇已通過相應(yīng)級別或高于自己應(yīng)用系統(tǒng)級別等級測評的云平臺(tái)服務(wù)商,并要求云平臺(tái)服務(wù)商提供通過相應(yīng)級別等級測評的證明材料(備案表和測評報(bào)告結(jié)論頁)。
3、云平臺(tái)服務(wù)商具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力;并提供開放接口或開放性安全服務(wù),允許甲方接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù);
(二)與云平臺(tái)服務(wù)商簽訂合同、服務(wù)水平協(xié)議和保密協(xié)議
1、與云平臺(tái)服務(wù)商簽訂服務(wù)合同時(shí)應(yīng)注意:
a)合同中應(yīng)明確其云平臺(tái)具有與所承載的業(yè)務(wù)應(yīng)用系統(tǒng)相應(yīng)或高于的安全保護(hù)能力。
b)合同中應(yīng)明確雙方安全責(zé)任。云平臺(tái)能實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離。
c)合同中應(yīng)明確甲方的網(wǎng)絡(luò)與其它云服務(wù)客戶虛擬網(wǎng)絡(luò)之間進(jìn)行隔離,甲方虛擬機(jī)使用獨(dú)占的內(nèi)存空間。
d)合同中明確甲方系統(tǒng)的審計(jì)數(shù)據(jù)隔離存放。
e)合同中明確如甲方需刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí),云計(jì)算平臺(tái)需確保云存儲(chǔ)中所有副本被刪除。
f)合同中應(yīng)明確如甲方需將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺(tái)和本地系統(tǒng),云計(jì)算平臺(tái)方需提供技術(shù)手段,并協(xié)助完成遷移過程。
g)合同中明確云平臺(tái)服務(wù)商要確保存儲(chǔ)服務(wù)中甲方數(shù)據(jù)存在若干個(gè)可用的副本,各副本之間的內(nèi)容保持一致。
h)合同中明確云平臺(tái)服務(wù)商具有根據(jù)甲方業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力;并提供開放接口或開放性安全服務(wù),允許甲方接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù)。
i)合同中明確云平臺(tái)服務(wù)商具有根據(jù)甲方業(yè)務(wù)需求自主設(shè)置安全策略集的能力,包括定義訪問路徑、選擇安全組件、配置安全策略。
j)合同中明確云平臺(tái)服務(wù)商應(yīng)保證甲方業(yè)務(wù)流量與云計(jì)算平臺(tái)管理流量分離。
k)合同中明確甲乙雙方要根據(jù)各自的職責(zé)劃分,收集各自控制部分的審計(jì)數(shù)據(jù)并實(shí)現(xiàn)各自的集中審計(jì);實(shí)現(xiàn)各自控制部分,包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測。
l)合同中明確只有在甲方授權(quán)下,云平臺(tái)服務(wù)商或第三方才具有甲方數(shù)據(jù)的管理權(quán)限。
2、與云平臺(tái)服務(wù)商簽訂服務(wù)水平協(xié)議時(shí)應(yīng)注意:
a)服務(wù)水平協(xié)議應(yīng)規(guī)定云服務(wù)的各項(xiàng)服務(wù)內(nèi)容和具體指標(biāo)、服務(wù)期限、雙方簽字或蓋章等。
b)服務(wù)水平協(xié)議中應(yīng)規(guī)定云服務(wù)商的權(quán)限與責(zé)任,包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則、違約責(zé)任等;
c)服務(wù)水平協(xié)議中應(yīng)規(guī)定服務(wù)合約到期時(shí),完整地返還云服務(wù)客戶信息,并承諾相關(guān)信息在云計(jì)算平臺(tái)上清除;
3、與云平臺(tái)服務(wù)商簽訂保密協(xié)議時(shí)應(yīng)注意:
a) 保密協(xié)議中應(yīng)要求其不得泄露云服務(wù)客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的相關(guān)重要信息;
b) 應(yīng)要求云平臺(tái)服務(wù)商對可能接觸到自己應(yīng)用系統(tǒng)數(shù)據(jù)的員工進(jìn)行背景調(diào)查,并簽署保密協(xié)議。
5
等保2.0云租戶等級測評和測評打分
云上系統(tǒng)由于已經(jīng)由云平臺(tái)服務(wù)商提供基本物理環(huán)境和網(wǎng)絡(luò)環(huán)境,根據(jù)IAAS模式下云服務(wù)商與租戶的責(zé)任劃分,故云上信息系統(tǒng)的測評層面主要包括網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全建設(shè)管理、安全運(yùn)維管理五個(gè)層面。測評對象包括網(wǎng)絡(luò)安全措施、主機(jī)(操作系統(tǒng)、數(shù)據(jù)庫)、應(yīng)用(應(yīng)用軟件、中間件)、數(shù)據(jù)、管理等。測評方法主要為訪談、檢查、測試,測評重點(diǎn)為遠(yuǎn)程工具測試和滲透測試。
云上系統(tǒng)的報(bào)告打分與傳統(tǒng)打分方法不一樣,在對云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)測評時(shí)打分不需要與云計(jì)算平臺(tái)結(jié)果共同計(jì)算,但要將云平臺(tái)測評得分放在最終得分一欄,如云上信息系統(tǒng)的得分為80分,云計(jì)算平臺(tái)的得分為90分,則云租戶云上信息系統(tǒng)的等級測評報(bào)告得分為(80,90)。
6
等保2.0云上信息系統(tǒng)應(yīng)達(dá)到的重點(diǎn)要求
云上系統(tǒng)等級測評重點(diǎn)要求如下:
(一)網(wǎng)絡(luò)和通信安全方面
1、邊界防護(hù):購買云平臺(tái)的虛擬防火墻進(jìn)行邊界防護(hù)。
2、訪問控制:購買云平臺(tái)的虛擬防火墻,與云平臺(tái)上其它系統(tǒng)進(jìn)行了隔離,如系統(tǒng)中有多臺(tái)虛擬機(jī)要進(jìn)行通信,設(shè)置不同虛擬機(jī)之間的訪問控制策略。
3、入侵防范:購買云平臺(tái)的防入侵模塊或其它防入侵措施,如可用性要求高購買抗DDOS模塊。
4、安全審計(jì):開啟安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件日志,設(shè)置日志服務(wù)器對設(shè)備日志進(jìn)行統(tǒng)一收集(或購買云平臺(tái)的日志收集存儲(chǔ)和審計(jì)服務(wù)),至少保存半年。
5、集中監(jiān)控:對虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測。
(二)設(shè)備和計(jì)算安全方面(針對安全措施、操作系統(tǒng)、數(shù)據(jù)庫、中間件等)
1、身份鑒別
1)設(shè)置用戶名口令:對操作系統(tǒng)設(shè)置用戶名和密碼。
2)啟用密碼復(fù)雜度策略:登錄口令應(yīng)由數(shù)字、字母、特殊字符三種中的兩種或兩種以上構(gòu)成,長度不得小于8位,至少每季度更換一次。
3)雙因子鑒別:采用兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用動(dòng)態(tài)口令、密碼技術(shù)或生物技術(shù)來實(shí)現(xiàn)。
4)遠(yuǎn)程管理加密:windows更改遠(yuǎn)程桌面端口,開啟SSL加密遠(yuǎn)程登錄。linux關(guān)閉telnet服務(wù),使用SSH登錄。
5)登錄失敗處理:應(yīng)帳戶鎖定策略,建設(shè)設(shè)定登錄失敗次數(shù)5次將鎖定30分鐘;
2、訪問控制
1)權(quán)限分離:應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;
2)配置訪問控制策略:應(yīng)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則;訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級,客體為文件、數(shù)據(jù)庫表級;
3)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限:重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;
4)及時(shí)刪除多余的、過期的帳戶:避免共享帳戶的存在。
3、安全審計(jì)
1)啟用審計(jì)功能:開啟審計(jì)策略,審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。
2)審計(jì)記錄備份:對審計(jì)記錄進(jìn)行保護(hù),定期備份,審計(jì)記錄的留存時(shí)間至少保存半年,避免受到未預(yù)期的刪除、修改或覆蓋等。
4、入侵防范
1)最小安裝:操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。
2)及時(shí)修補(bǔ)漏洞:能發(fā)現(xiàn)可能存在的漏洞,并在經(jīng)過充分測試評估后,及時(shí)修補(bǔ)漏洞。
3)入侵檢測:安裝入侵檢測/防御軟件,能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。
4)終端登錄地址限制: 通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。
5、惡意代碼防范
安裝防病毒軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫;或采取其它免受惡意代碼攻擊的技術(shù)措施或可信驗(yàn)證機(jī)制。
除以上要求外,中間件還需重點(diǎn)考慮以下要求:
1)網(wǎng)站目錄除SYSTEM用戶和administrators組有完全控制權(quán)限外,其余用戶和組都只應(yīng)設(shè)置為讀取和執(zhí)行權(quán)限。
2)網(wǎng)站上傳目錄和數(shù)據(jù)庫目錄一般需要分配“寫入”權(quán)限,但一定不要分配執(zhí)行權(quán)限(原則:目錄有寫入權(quán)限,一定不要分配執(zhí)行權(quán)限;目錄有執(zhí)行權(quán)限,一定不要分配寫入權(quán)限)
3)沒有地址訪問限制需求或有地址訪問限制需求,對訪問web的IP地址進(jìn)行了限制(重點(diǎn):網(wǎng)站配置文件web.config、網(wǎng)站后臺(tái)目錄、數(shù)據(jù)庫文件存放、審計(jì)日志文件目錄)
(二)應(yīng)用和數(shù)據(jù)安全方面(針對應(yīng)用程序和數(shù)據(jù))
1、應(yīng)用軟件
需保證應(yīng)用軟件具備以下安全功能且注重代碼安全開發(fā),進(jìn)行安全測試確保不存在代碼安全漏洞。
應(yīng)具備的安全功能如下:
登錄模塊 |
雙因子鑒別功能 |
采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)的登錄控制模塊,且其中一種鑒別技術(shù)至少應(yīng)使用動(dòng)態(tài)口令、密碼技術(shù)或生物技術(shù)來實(shí)現(xiàn)。 |
復(fù)雜度檢查功能 |
設(shè)置密碼時(shí)自動(dòng)檢測是不是具備一定復(fù)雜度 |
|
登錄失敗處理功能 |
結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施 |
|
強(qiáng)制修改口令功能 |
強(qiáng)制用戶首次登錄時(shí)修改初始口令 |
|
找回密碼功能 |
用戶身份鑒別信息丟失或失效時(shí),應(yīng)采用技術(shù)措施確保鑒別信息重置過程的安全; |
|
權(quán)限控制模塊 |
權(quán)限劃分 |
控制用戶對文件、數(shù)據(jù)庫表等客體的訪問權(quán)限 |
默認(rèn)帳戶的訪問權(quán)限 |
嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限 |
|
權(quán)限分離 |
管理員、業(yè)務(wù)操作系統(tǒng)、審計(jì)權(quán)權(quán)限相互制約 |
|
日志模塊 |
日志記錄 |
對應(yīng)用系統(tǒng)每個(gè)用戶的重要安全事件(包括登錄、退出、增刪改查)進(jìn)行日志記錄,記錄信息包括日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等 |
日志權(quán)限 |
無法單獨(dú)中斷審計(jì)進(jìn)程,任何用戶無法刪除、修改或覆蓋審計(jì)記錄 |
|
日志分析 |
具備對日志記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能 |
|
日志備份 |
具有日志備份功能。 |
|
軟件容錯(cuò) |
數(shù)據(jù)有效性檢驗(yàn)功能 |
所有查詢、輸入接口都要進(jìn)行數(shù)據(jù)的格式長度等有效性檢驗(yàn) |
故障恢復(fù)功能 |
在故障發(fā)生時(shí),應(yīng)能夠繼續(xù)提供一部分功能,確保能夠?qū)嵤┍匾拇胧?;自?dòng)保存易失性數(shù)據(jù)和所有狀態(tài),保證系統(tǒng)能夠進(jìn)行恢復(fù)。 |
|
資源控制 |
最大并發(fā)會(huì)話連接數(shù)限制 |
對最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制 |
單個(gè)賬戶的多重并發(fā)會(huì)話限制 |
對單個(gè)賬戶的多重并發(fā)會(huì)話進(jìn)行限制。 |
|
剩余信息保護(hù) |
鑒別信息清除 |
應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中; |
文件、目錄和數(shù)據(jù)庫記錄清除 |
應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。 |
|
數(shù)據(jù)完整性 |
數(shù)據(jù)傳輸完整性校驗(yàn) |
采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等; |
數(shù)據(jù)存儲(chǔ)完整性檢驗(yàn) |
采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。 |
|
數(shù)據(jù)保密性 |
存儲(chǔ)加密 |
采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。 |
傳輸加密 |
應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等; |
|
數(shù)據(jù)備份 |
數(shù)據(jù)備份恢復(fù)功能 |
提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能; |
個(gè)人信息保護(hù) |
個(gè)人信息采取授權(quán) |
僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息;禁止未授權(quán)訪問和非法使用用戶個(gè)人信息。 |
2、數(shù)據(jù)備份
應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份;重要數(shù)據(jù)實(shí)時(shí)備份。
(注:以上為以三級為例的重點(diǎn)要求,滿足以上要求并不能代表能滿足等級保護(hù)三級要求的所有條款。)