2019年5月16日,网络安全等级保护制度2.0国家标准宣贯会在北京成功举行,公安部网络安全保卫局王瑛玮书记表示,等级保护制度2.0国家标准的发布,标志着国家网络安全等级保护工作步入新时代,对保障和促进国家信息化发展,提升国家网络安全保护能力,维护国家保护空间安全具有重要的意义。
没有网络安全,信息社会将会成为黑暗中的废墟,国家等级保护制度2.0标准要求全面使用安全可信的产品和服务来保障关键基础设施安全,要用科学的网络安全观来理解法律安全可信。
邮件服务器系统作为企事业单位内外部沟通的重要平台,是等保体系中信息系统部分的重要软件,国产TurboMail邮件系统厂商拓波软件积极响应国策,剖析等保2.0国标对网络和信息安全、应用和数据安全的要求,结合企业对邮件系统的功能需求,做好数据安全与应用防护模块的软件设计,协助用户单位做好企业邮件服务器系统部分的规划、建设与执行,降低企业邮件服务器系统被入侵的风险,确保企事业单位邮件服务器系统的安全应用。
TurboMail邮件系统深入剖析等保2.0国标对网络和信息安全、应用和数据安全的的新要求,如下图:
一, 网络和通信安全等保2.0要求:
1).强化了对设备和通信链路的硬件冗余要求。
2).强化了网络访问策略的控制要求,包括默认拒绝策略、控制规则最小化策略和源目的检查要求。
3).降低了带宽控制的要求,不再要求必须进行QOS控制。
4).降低了安全访问路径、网络会话控制、地址欺骗防范、拨号访问权限限制等比较“古老”的控制要求。
5).强化了安全审计的统一时钟源要求。
6).强化了对网络行为审计的要求。
7).强化了网络边界的安全控制,特别是无线网络与有线网络的边界控制。
8).强化了对网络攻击特别是“未知攻击”的检测分析要求。
9).强化了对恶意代码和垃圾邮件的防范要求,强调在“关键网络节点”。
10).降低了对审计分析的要求,不再要求必须生成审计报表。
11).特别增加了安全集中管控的要求,建设集中安全管理系统成为必要。
二, 应用和数据安全等保2.0要求:
1).特别增加了个人信息保护的要求。
2).强化了对软件容错的要求,保障故障发生时的可用性。
3).强化了对账号和口令的安全要求,包括更改初始口令、账号口令重命名、对多余/过期/共享账号的控制。
4).强化了安全审计的统一时钟源要求。
5).降低了对资源控制的要求,包括会话连接数限制、资源监测、资源分配控制。
6).降低了对审计分析的要求,不再要求必须生成审计报表。
TurboMail邮件系统为用户提供的安全等保审查支持与服务工作的内容有:
1, 协助用户整理邮件系统备案定级文档中有关邮件系统的相关信息。
2, 在自查整改工作中,TurboMail邮件系统专业技术工程师提供自查技术辅助,并制定整改方案。
3, 解除等保检测过程中报告的邮件系统部分的不合规项,保障成功通过等保审查。
4, 对等保备案通过后的督查中可能出现的不符项提供解除服务。
TurboMail邮件系统技术支持部目前正在协助73个用户单位进行等保定级申请工作,其中38个用户单位已经顺利获得了等保三级证书,成绩斐然。
