作为沙特 2030 年愿景的一部分，沙特阿拉伯王国制定并颁布了基本网络安全控制措施 (ECC)。这些措施旨在帮助政府和政府附属组织增强其网络安全态势。

基本网络安全控制

考虑到沙特阿拉伯王国所有组织和部门的网络安全需求，创建了基本网络安全控制措施。组织必须遵守最低网络安全要求。

这些控制旨在确保组织的信息和技术资产的机密性、完整性和可用性。控制围绕人员、技术、流程和战略这四大支柱展开。

基本网络安全控制分为五个主要领域：

• 治理

• 防御

• 弹力

• 第三方和云计算，以及

• ICS 网络安全。

控制措施的一些重要亮点和挑战如下：

• 网络安全控制代表了“沙特阿拉伯王国的所有组织和部门”必须遵守的最低标准。

• 并非所有控制都适用于所有组织。该框架的适用性取决于组织开展的业务活动的性质。例如，使用云托管解决方案的组织将受子域 4.2、云计算和托管网络安全的约束。因此，如果组织受 ECC 控制的规定约束，则建议组织进行评估。

沙特阿拉伯 ECC 指南

ECC的发展是提高沙特阿拉伯王国网络安全态势的关键一步。受控制措施约束的组织可以利用顶级行业解决方案，并使用现有框架（例如 NIST 网络安全框架）作为指导方针。

Thales（泰雷兹）是网络安全解决方案和服务的全球领导者，可以帮助沙特阿拉伯的组织遵守基本网络安全控制措施。

网络安全治理领域

Thales提供各种数据保护专业服务，旨在帮助您有效利用投资并确保成功部署。这些服务包括：

• 最佳实践和意识研讨会，用于了解最新的安全趋势和实践、管理治理风险和合规性以及实施数据保护

• 确定利益相关者并分配角色和职责的策略和设计

• Thales产品的现场产品培训、安装和定制等实施和运营。

• 评估可帮助您的组织在审查现有环境和业务需求的同时为即将到来的安全审计做准备。

最佳实践安全解决方案

确保敏感数据的完整性和机密性免受丢失、损坏、未经授权的破坏和非法访问的最佳实践是强大的访问管理和身份验证与透明加密、集成加密密钥管理和安全智能相结合。Thales提供以下解决方案，帮助组织遵守沙特阿拉伯的基本网络安全控制措施。

数据发现和分类

保护敏感数据的第一步是找到组织中任何位置的数据，将其归类为敏感数据并对其进行键入（例如 PII、财务、IP、HHI、客户机密等），以便您可以应用最合适的数据保护技术。定期监控和评估数据也很重要，以确保不会忽视新数据，并且您的组织不会不合规。

Thales CipherTrust 数据发现和分类可有效识别本地和云端的结构化和非结构化敏感数据。该解决方案支持无代理和基于代理的部署模型，提供内置模板，可快速识别受监管数据、突出安全风险并帮助您发现合规性差距。简化的工作流程可暴露安全盲点并缩短补救时间。详细的报告支持合规计划并促进高管沟通。

保护静态敏感数据

特权访问用户和敏感用户数据分离

借助CipherTrust 数据安全平台，管理员可以在特权管理员和数据所有者之间创建严格的职责分离。CipherTrust Transparent Encryption加密文件，同时保留其元数据。通过这种方式，IT 管理员——包括管理程序、云、存储和服务器管理员——可以执行他们的系统管理任务，而无需获得对驻留在他们管理的系统上的敏感数据的特权访问。

行政职责分离

可以强制执行严格的职责分离策略，以确保一名管理员无法完全控制数据安全活动、加密密钥或管理。此外，CipherTrust Manager支持管理访问的双因素身份验证。

精细的特权访问控制

CipherTrust数据安全平台可以实施非常细化的最低特权用户访问管理策略，从而保护数据免遭特权用户滥用和 APT 攻击。可以按用户、进程、文件类型、一天中的时间和其他参数来应用细粒度的特权用户访问管理策略。执行选项不仅可以控制访问明文数据的权限，还可以控制用户可以使用哪些文件系统命令。

强大的访问管理和身份验证

Thales访问管理和身份验证解决方案提供了组织遵守数据安全法规所需的安全机制和报告功能。当用户登录到存储敏感数据的应用程序时，我们的解决方案通过实施适当的访问控制来保护敏感数据。通过支持范围广泛的身份验证方法和策略驱动的基于角色的访问，我们的解决方案可帮助企业降低因凭据泄露或被盗或内部凭据滥用而导致数据泄露的风险。

对智能单点登录和逐步身份验证的支持使组织能够优化最终用户的便利性，确保他们只需要在需要时进行身份验证。广泛的报告使企业能够生成所有访问和身份验证事件的详细审计跟踪，确保他们能够证明符合广泛的法规。

保护动态敏感数据

Thales高速加密器(HSE) 提供独立于网络的动态数据加密（第 2、3 和 4 层），确保数据在从站点到站点或从本地到云端再返回时的安全。我们的 HSE 解决方案使客户能够更好地保护数据、视频、语音和元数据免受窃听、监视以及公开和隐蔽的拦截——所有这些都以可承受的成本实现，并且不会影响性能。

为更好的服务中国客户走出国门，揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通，获取更多满足合规要求的信息安全产品与解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 沙特阿拉伯2030年愿景的实现，需要做什么？

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Thales提前完成收购Imperva交易

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代