等保三级安全要求简要攻略-安全计算环境

这篇具有很好参考价值的文章主要介绍了等保三级安全要求简要攻略-安全计算环境。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

今天我们来攻略一下等保2.0国家标准中 《信息安全技术网络安全等级保护基本要求》 所对三级系统所提出的要求项以及针对这些要求项如何去应对或者说是如何去做防护。废话不多说直接上正题
在等保三级中分为十个大项分别是:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设和管理、安全运维管理,这十大项里面有N个小项来做限制,因为小项比较多,这篇文章主要是针对安全计算环境来说的,后面也会慢慢把所有的检查项都写给大家攻略的
下面所写的攻略以及测评结果仅供参考,要以实际情况为准。

安全计算环境

安全计算环境这一块主要针对主机设备、存储设备、应用系统、数据库等一些对象来做管理或者防护的一些要求,在这一块相对来说所有的业务系统都涉及的,也是丢失分数比较多的一部分,具体来看下每一项都是怎么做的要求吧

身份鉴别
要求项 攻略 测评结果
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 这一项主要说的是我们业务系统的登录方式是怎样的,登录的用户名或者ID是否唯一,登录时所使用的密码是否有一定复杂度这些。这一块大部分的业务系统也都是满足的。 这一项测评公司会写:应用系统采用B/S架构,采用账号密码的登录方式进行身份鉴别,用户可以从组织架构列表中查询,身份标识具有唯一性,密码长度是8,满足复杂度要求。
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 这一项主要说的是身份鉴别出现失败时应用系统时做的一些操作,比如说登录失败后是否有登录失败记录、登录失败几次后自动锁定等等一些操作,这一项主机操作系统、应用系统、网络设备等等都有类似的一些功能,这一项基本设置一下就可以 这一项测评公司会写:应用系统已启用登录失败处理功能,已启用密码输入错误自动锁定功能,已启用长时间未登录自动锁定。
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 这一项主要说的是业务系统从互联网中所采用的鉴权传输方式是怎样的,是采用GET传输还是POST传输,传输过程中是否进行了加密,这里一般测评公司都会看网站或者系统是否使用了SSL证书,有证书基本上就能过 这一项测评公司会写:该网站采用HTTPS协议进行远程管理,用户鉴别以加密的方式进行传输。
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现 这一项主要是说的登录业务系统需要有两种及两种以上的身份鉴别方式,常见的鉴别方式有:账号密码登录、人脸识别、指纹识别、CA证书、短信验证码等,只要有两种组合方式就可以,现在可能更多的是短信验证码,这一项大部分业务系统都不满足 这一项测评公司会写:该网站/业务系统采用用户名+口令+短信验证码的方式进行登录管理。
访问控制
要求项 攻略 测评结果
应对登录的用户分配账户和权限 这一项主要说的是对要登录业务系统的用户单独分配一个账号和与整个用户所相对应的权限,不能出现多个用户使用一个账号的问题,这一项基本都可以满足的。 这一项测评公司会写:通过查询业务系统的通讯录以及组织架构,为每个用户分配了不同的账号和权限。
应重命名或删除默认账户,修改默认账户的默认口令 这一项主要说的是业务系统或者操作系统会有一些默认的用户账号,比如管理员账号:root,sys等一些默认高级权限账号,按照要求这些账号应该被禁用或者删除的,这一项就是检查业务系统当中是否存在可以登录的默认账号 这一项测评公司会写:业务系统中不存在默认出厂的账号,所有用户不存在与默认口令相同的账号。
应及时删除或停用多余的、过期的账户,避免共享账户的存在 这一项主要说的是当有员工离职时是否有及时删除相对应的账号,是否存在测试账号未删除的情况,是否有多个用户共享使用一个账号的情况等,这一项基本都可以满足 这一项测评公司会写:已通过组织架构和业务系统账号对应,未发现有多余未删除用户账号以及不存在有共享账户。
应授予管理用户所需的最小权限,实现管理用户的权限分离 这一项主要管控的是业务系统中用户的权限是否设置的最小权限,简单来说就是每个人只能打开自己的页面做自己的事情不能干预别人的,这一项基本上也都可以满足 这一项测评公司会写:业务系统每个账户都是选用最小权限账户。
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级 这一项主要是针对业务系统中账号的权限做到最小粒度的限制,比如只能操作某个数据库的某个表的权限,这一项基本上也没有查的那么严格大部分都可以满足 这一项测评公司会写:用户账号的访问控制已达到最小粒度的限制,业务系统普通账号仅浏览部分页面的内容。
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问 这一项主要是针对主体和客体是否设置安全标记,这个我也整不太明白,我看大部分业务系统都不满足这一条,可能这一条弄得比较科幻 这一项测评公司会写:业务系统未对重要主体和客体设置安全标记,未实现通过安全标记控制主体对客体的访问
安全审计
要求项 攻略 测评结果
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 这一项主要说的是能不能对用户所登录的业务系统以及设备进行审计,其实就类似于堡垒机的这样一个审计的手段,一方面是要对用户的操作行为进行记录,另一方面就是对用户所有操作的行为进行审计,避免违规操作 这一项测评公司会写:部署了安全审计系统,并对所有用户的操作行为进行审计以及对安全事件进行记录
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 这一项主要是对审计记录进行了一些规范和要求,审计的相关记录必须要有日期、事件、操作用户、事件类型、是否成功等等 这一项测评公司会写:部署了安全审计系统,日志内容包含事件发生时间、事件的操作、操作用户、是否成功等内容
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等 这一项主要是对审计记录的保存时间、备份等做的一些保护,一般要求审计记录要求保留半年左右才能删除,而且要定期对审计记录进行备份 这一项测评公司会写:部署了安全审计系统,日志设置保留时间为180天,并每天对日志进行增量备份
应对审计进程进行保护,防止未经授权的中断 这一项主要是针对普通用户是否可以关掉审计或者查看审计记录等,这一项最主要的就是怕普通用户自行把审计关掉无法对该用户进行审计 这一项测评公司会写:部署了安全审计系统,并且设置了审计管理员,非管理员用户无法查看审计内容以及关闭审计进程
入侵防范
要求项 攻略 测评结果
应遵循最小安装的原则,仅安装需要的组件和应用程序 这一项主要是针用户的业务主机上面是否有部署非用于此业务系统的应用程序或者组件之类的,基本上都可以满足,有些是有一台主机上面部署了多个应用的那种,就需要注意了 这一项测评公司会写:业务系统所涉及的主机上面仅安装了该业务系统相关的应用程序
应关闭不需要的系统服务、默认共享和高危端口 这一项就很简单了就是把不使用的端口或者高危端口进行封禁就可以了,常见的高危端口有135、137、138等,这些端口禁掉基本问题不大 这一项测评公司会写:业务系统前端配置有防火墙,所涉及主机关闭了所不需要的系统服务,并对135、137、138等高危端口进行了封禁
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制 这一项主要是看对运维管理终端是否有做网络限制,一般有防火墙配置ACL限制或者路由限制就可以了 这一项测评公司会写:业务主机部署在防火墙的DMZ区域,并对访问服务器做了详细的路由限制
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设 定要求 这一项主要是针对业务系统在上传、下载、传输数据进行校验,避免发生XSS、SQL注入等一些风险,这个一般有防火墙都会开启WEB应用防护功能 这一项测评公司会写:客户测部署有防火墙,在防火墙测对上传、下载、传输等数据进行了过滤限制以及对数据进行校验
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞 这一项主要是针对漏洞做的一项条目,是要看看你有没有定期对业务系统所涉及的一些设备或系统及时的进行漏洞修补,这个一般测评公司会拿漏洞扫描扫一遍 这一项测评公司会写:机房内部署有漏洞扫描设备,定期对业务系统进行漏洞扫描,发现系漏洞进行评估修复
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警 这一项主要是看有没有部署入侵检测设备,能不能在出现有入侵时进行及时的报警,并拦截记录入侵行为 这一项测评公司会写:机房内部署有防火墙,并开启了入侵防御功能,可有效对入侵行为进行报警和拦截
恶意代码防范
要求项 攻略 测评结果
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其 有效阻断。 这一项主要是看看有没有防范恶意代码攻击的手段或者设备,来有效阻断恶意代码攻击,一般部署web应用防护设备基本上都有这个防护功能 这一项测评公司会写:机房内部署有web应用防护设备,可有效链接XSS、SQL注入等一些恶意代码攻击的风险
可信验证
要求项 攻略 测评结果
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 这一项是针对可信性做的要求,这个解释起来比较繁琐并且不太容易让人理解,说简单点就是你的通信设备要具有可信性的芯片或者硬件,这个一般测评公司都看可信性报告,来评判是否符合 这一项测评公司会写:通信设备具有可信性报告,并且可以对可信性进行验证
数据完整性
要求项 攻略 测评结果
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重 要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等 这一项是针对是否有相关手段做到在数据传输的过程中校验数据的完整性和安全性,一般网站配置有SSL证书或者采用VPN的形式就可以满足这个要求,远程管理采用RDP或者SSH协议进行远程管理 这一项测评公司会写:业务系统通过HTTPS协议、服务器通过RDP/SSH进行远程管理可以保证重要数据在传输过程中的完整性
数据保密性
要求项 攻略 测评结果
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据 和重要个人信息等; 这一项和数据完整性类似只要采用了HTTPS、SSL或者VPN就可以满足此条目 这一项测评公司会写:业务系统通过HTTPS协议进行访问,保障重要数据在传输过程中的保密性
数据备份恢复
要求项 攻略 测评结果
应提供重要数据的本地数据备份与恢复功能 这一项主要是说的要对重要数据在本地有备份,并且在数据出现丢失或者系统故障时可以对备份进行恢复,这一条基本上都可以满足的,最次了可以拿块硬盘做个定期复制数据到硬盘也算备份 这一项测评公司会写:业务系统采用备份一体机设备对现有业务系统进行备份,并且可在业务系统故障或数据丢失时对数据进行恢复
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地 这一项主要是说的要有异地副本的备份,更类似与两地三中心的这种概念,这个都是没有强制要求必须要在异地有个资源中心,但是需要有一个实时备份到异地的机制,最常用的就是云备份的形式 这一项测评公司会写:业务系统采用云备份的方式对当前数据中心的重要数据进行实时备份
应提供重要数据处理系统的热冗余,保证系统的高可用性 这一项就是说的当业务系统宕机时有另外的一套相同的业务系统进行提供访问,类似于数据库的双活,这也是为了保障重要业务的高可用性 这一项测评公司会写:业务系统采用异地容灾的形式提供高可用服务
剩余信息保护
要求项 攻略 测评结果
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除 这一项主要是说是当用户退出登录时应及时清除虚拟内存中数据,很多测评公司都会看有没有在操作系统中配置关机自动清除虚拟内存中的数据,一般根据配置配一下就可以了 这一项测评公司会写:未对及时清除会话信息
个人信息保护
要求项 攻略 测评结果
应仅采集和保存业务必需的用户个人信息 这一项主要说的是只对用户的必要信息进行保存,非比较信息不进行保存,比如身份证号、手机号等等一些隐私信息,基本上就可以满足的 这一项测评公司会写:仅采集和保存业务必需的用户个人信息
应禁止未授权访问和非法使用用户个人信息 这一项主要是说的要对用户的个人信息进行加密保存,不能通过查询数据库的方式看到用户的隐私信息 这一项测评公司会写:用户个人信息未进行加密存储,数据库管理员可通过数据库直接查看用户个人信息

以上就是关于等保测评安全计算环境的测评攻略,大家有没有发现越往后检查项越是类似的,基本上都是从架构-访问控制-入侵检测-审计-可信验证,这几方面来说的,往后除了机房管理条例之外,剩下的都大差不差的了文章来源地址https://www.toymoban.com/news/detail-691501.html

到了这里,关于等保三级安全要求简要攻略-安全计算环境的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全等保测评_等保二级和三级的区别

    安全等保测评_等保二级和三级的区别 等保测评即网络信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。    一、等保

    2023年04月11日
    浏览(34)
  • 等保测评--安全计算环境--测评方法

    一、测评对象 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统

    2024年02月12日
    浏览(47)
  • 等保2.0测评手册之安全计算环境

    可以将本文安全计算环境等保2测评手册直接用于工作中,整改工作内容:控制点,安全要求,要求解读,测评方法,预期结果或主要证据 往期等保文章: 等保工作的定级指南文件  等保工作流程和明细   等保定级报告模版 等保各项费用支出明细  网络安全等级保护安全设计

    2024年02月08日
    浏览(46)
  • 黑龙江等保测评安全计算环境之应用系统测评项,保护网络安全。

    安全计算环境之应用系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 “1)询问系统管理员,用户在登录时是否采用了身份鉴别措施 2)在未登录状态下直接访问任一操作页面或操作功能 3)核查用户身份标识

    2024年04月11日
    浏览(46)
  • 安全计算环境技术测评要求项

            1.身份鉴别-在应用系统及各类型设备中确认操作者身份的过程(身份鉴别和数据保密)         1-2/2-3/3-4/4-4         a)应对登录的用户进行身份标识和鉴别,身份标识 具有唯一性,身份鉴别信息具有复杂度要求并定期更换         b)应具有 登录失败处理功能 ,

    2024年02月09日
    浏览(35)
  • 等保三级安全加固,服务器三权分立设置,mysql密码策略登录策略

    1、安全计算环境 1)数据库、服务器未配置口令复杂度策略。 建议强制配置口令的复杂度策略(复杂度包含字母大小写,数字,特殊字符,密码长度八位以上),防止口令被轻易破解。 2)数据库、服务器未配置口令有效期策略。 建议配置数据库口令有效期策略,最短更改时间

    2024年02月08日
    浏览(70)
  • 构筑安全堡垒:详解OpenSSL与OpenSSH在等保三级升级中的关键作用

    OpenSSl是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是不能只将它作为一个库来使用,它是一个多用途。跨平台的密码工具。 OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库,SSL协议库以及应用程序。 OpenSSL的目录结构自然

    2024年04月10日
    浏览(38)
  • 【网络安全】等保测评&安全物理环境

    等级保护对象是由计算机或其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 在通常情况下,等级保护对象的相关设备均集中存放在机房中,通过其他物理辅助设施来保障安全。 安全物理环境针对物理机房提出了安全

    2024年02月13日
    浏览(42)
  • 三级等保整改记录笔记

    1.密码复杂度配置 修改文件位置:/etc/pam.d/system-auth-ac 文件 旧内容 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= 新内容 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root 参数解释:

    2024年02月13日
    浏览(41)
  • linux-等保三级脚本(2)

    该脚本主要是针对 CentOS Linux 7 合规基线加固的一些配置操作,包括创建用户、安全审计配置、入侵防范配置、访问控制配置、身份鉴别策略配置等。如果您需要在脚本中添加公司网址,您可以在适当的位置添加相应的内容。不过请注意,在实际生产环境中,建议谨慎进行脚本

    2024年01月20日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包