安全计算环境技术测评要求项

这篇具有很好参考价值的文章主要介绍了安全计算环境技术测评要求项。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

        1.身份鉴别-在应用系统及各类型设备中确认操作者身份的过程(身份鉴别和数据保密)

        1-2/2-3/3-4/4-4

        a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

        b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

        c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听(如身份鉴别信息加密传输)

        d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现

        测评实施重点:

        1)用户身份鉴别信息应具有唯一性、具备必要的复杂度且需要定期更新

        2)要开启设备登录失败处理功能,连续多次失败后应结束会话或锁定账号,在账户登录且长时间未操作时自动退出

        3)采用加密的方式传输账户鉴别信息

        4)采用两种或以上身份鉴别技术,包括口令、密码技术、生物技术等,其中至少有密码技术

        2.访问控制-账户和权限设置

        1-3/2-4/3-7/4-7+

        a)应对登录的用户分配账户和权限

        b)应重命名或删除默认账户,修改默认账户的默认口令

        c)应及时删除或停用多余的、过期的账户,避免共享账户的存在

        d)应授予管理用户所需的最小权限,实现管理用户的权限分离

        e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

        f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

        g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

        g+)应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问

        测评实施重点:

        1)检查被测系统中账户及其权限的设置情况

        2)检查系统默认账号、默认口令

        3)核查每个账户的用途,检查是否有多余的、过期的账户,是否为不同的用户创建不同的账户来登录系统

        4)管理用户的角色划分,最小权限、权限之间是否相互制约

        5)核查是否有负责配置访问控制策略的管理用户,核查授权主体是否依据安全策略配置主体对客体的访问规则

        6)控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。

        7)对重要信息资源设置安全标记

        3.安全审计-对系统的运行情况及系统用户行为进行记录

        1-0/2-3/3-4/4-4+

        a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

        b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

        c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

        d)应对审计进程进行保护,防止未经授权的中断

        d+)应对审计进程进行保护,防止未经授权的中断。审计记录增加主体标识和客体标识

        测评实施重点:(同上)

        4.入侵防范-主机入侵防范,减少主机对外暴露的漏洞

        1-2/2-5/3-6/4-6

        a)应遵循最小安装的原则,仅安装需要的组件和应用程序

        b)应关闭不需要的系统服务、默认共享和高危端口

        c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

        d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

        e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

        f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

        测评实施重点:

        1)检查遵循最小安装原则

        2)检查限制终端登录的措施(例如接入方式、地址范围)

        3)具备输入数据有效性检查

        4)定期漏扫

        5)安装并合理配置入侵检测软件或装置(如具有入侵检测功能的系统自带防火墙或者第三方防火墙软件),是否部署了第三方入侵检测系统(如网络层的IDS)

        5.恶意代码防范-主机型恶意代码防范措施

        1-1/2-1/3-1+/4-1++

        a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库

        a+)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断

        a++)应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断

        测评实施重点:(同上)

        6.可信验证-基于可信根,引导平台从基础硬件出发,到顶层应用程序可信启动

        1-1/2-1+/3-1++/4-1+++

        a)可基于可信根对计算设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警

        a+)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

        a++)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

        a+++)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联

        测评实施重点:(同上)

        7.数据完整性-各类数据传输和存储完整性保护

        1-1/2-1/3-2/4-3

        a)应采用校验技术保证重要数据在传输过程中的完整性

        a+)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

        b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

        b+)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

        c)在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖(不可否认性

        测评实施重点:

        1)检测重要数据在传输过程中采用什么技术保证数据完整性,若被篡改或破坏是否能检测到并及时恢复

        2)检测重要数据在存储过程中采用什么技术保证数据完整性,若被篡改或破坏是否能检测到并及时恢复

        3)采用密码技术保证数据在发送和接收过程中不会被篡改

        8.数据保密性-保护各类重要数据在传输和存储过程中不被泄露

        1-0/2-0/3-2/4-2

        a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息

        b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

        测评实施重点:

        1)通过系统设计文档,检查重要数据是否采用了密码技术进行机密性保护

        2)通过嗅探等方式抓取传输过程中的数据包,分析重要数据在传输过程中是否进行了加密等处理措施

        3)检查数据库表或存储文件等在存储过程中是否采取了保障保密性的措施

        9.数据备份恢复-对数据进行备份是防止数据遭到破坏后无法使用的最好方法(数据备份、系统备份)

        1-1/2-2/3-3/4-4

        a)应提供重要数据的本地数据备份与恢复功能

        b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地

        b+)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地

        c)应提供重要数据处理系统的热冗余,保证系统的高可用性

        d)应建立异地灾难备份中心,提供业务应用的实时切换

        测评实施重点:

        1)按照备份策略进行备份,备份策略要设置合理、配置正确。

        2)备份结果应与备份策略一致。核查近期恢复测试记录,了解是否进行正常的数据恢复。

        3)实现异地实时备份功能

        4)边界交换机、边界防火墙、核心路由器、应用服务器、数据库服务器等应采用热冗余方式部署

        5)建立异地灾难备份中心,提供业务应用的实时切换功能

        10.剩余信息保护-保证存储在内存或缓冲区中的信息不被非授权访问

        (剩余信息是指当前用户在登出后仍然留存在系统内存、磁盘中的身份标识、鉴别信息或其他形式的登录凭证,以及敏感数据)

        1-0/2-1/3-2/4-2

        a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

        b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除

        测评实施重点:

        1)核查终端和服务器等设备的操作系统、数据库系统、中间件等系统软件及业务应用系统的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除

        2)核查终端和服务器等设备的操作系统、数据库系统、中间件等系统软件及业务应用系统的敏感信息所在的存储空间被释放或重新分配前是否得到完全清除

        11.个人信息保护-个人信息的采集和使用

        1-0/2-2/3-2/4-2

        a)应仅采集和保存业务必需的用户个人信息

        b)应禁止未授权访问和非法使用用户个人信息

        测评实施重点:

        1)采集的用户信息是否是业务应用所必需的

        2)是否有个人信息保护方面的管理制度和流程

        3)采用什么技术措施限制对用户信息的访问和使用文章来源地址https://www.toymoban.com/news/detail-698377.html

到了这里,关于安全计算环境技术测评要求项的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023年等保2.0测评技术要求

    2023年等保2.0测评技术要求 一、技术要求: 1.供应商应把握和理解国家对该类项目的具体要求,对等级保护2.0相关政策标准本身有较深的认识。 2.供应商组建的测评组须至少配备4 名测评师,测评组长应为高级测评师。测评组至少包括 1名高级测评师和 1名中级测评师。 3.供应

    2024年02月15日
    浏览(43)
  • 2023年等保测评2.0技术要求

    2023年等保2.0测评技术要求 一、技术要求: 1.供应商应把握和理解国家对该类项目的具体要求,对等级保护2.0相关政策标准本身有较深的认识。 2.供应商组建的测评组须至少配备4 名测评师,测评组长应为高级测评师。测评组至少包括 1名高级测评师和 1名中级测评师。 3.供应

    2024年02月14日
    浏览(36)
  • 黑龙江等保测评安全计算环境之应用系统测评项,保护网络安全。

    安全计算环境之应用系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 “1)询问系统管理员,用户在登录时是否采用了身份鉴别措施 2)在未登录状态下直接访问任一操作页面或操作功能 3)核查用户身份标识

    2024年04月11日
    浏览(46)
  • 安全物理环境技术测评要求项

            1.物理选择-保证等级保护对象物理安全的前提和基础         1-0/2-2/3-2/4-2(级别-要求项数量)         a)具备防震、防风、防雨能力         b)避免顶层或地下室,否则应加强防水、防潮措施         测评实施重点:         1)机房场地所在建筑应具有防震、

    2024年02月11日
    浏览(37)
  • 等保测评2.0_三级——【安全计算环境】Linux操作系统测评_命令

    目录 安全计算环境 七个控制点(单元)(Linux操作系统测评_命令) 1.身份鉴别 2 访问控制 3安全审计 4入侵防范 5 恶意代码防范 6可信验证 9 数据备份恢复 三级共 23个控制点, 二级共 15个控制点,10个高风险项  连接测评设备 连接工具: Xshell 连接过程如图:  4个命令  1. s

    2024年02月14日
    浏览(41)
  • 等保测评--安全物理环境--测评方法

    一、 测评对象 记录类文档和机房 二、测评实施 1)检查机房所在建筑物是否具有建筑物抗震设防审批文档; 2)检查机房门窗是否不存在因风导致的尘土严重; 3)检查机房是否不存在雨水渗漏现象; 4)检查机房屋顶、墙体、门窗和地面等是否不存在破损开裂。 三、单元判定

    2024年02月12日
    浏览(41)
  • 【网络安全】等保测评&安全物理环境

    等级保护对象是由计算机或其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 在通常情况下,等级保护对象的相关设备均集中存放在机房中,通过其他物理辅助设施来保障安全。 安全物理环境针对物理机房提出了安全

    2024年02月13日
    浏览(42)
  • 等保三级安全要求简要攻略-安全物理环境

    之前有两篇文章写了为什么要做等保测评、等保测评的含义以及等保测评这份工作的一些职责和一些常见的FAQ,没有看过的朋友可以先去看下我的另外两篇文章:一起聊聊等保测评 和 一起聊聊等保测评工作内容以及FAQ 。 今天我们来攻略一下等保2.0国家标准中《 信息安全技

    2024年02月01日
    浏览(43)
  • 等保测评2.0——机房的安全物理环境

    1. 物理位置选择 二级要求: a) 机房场地应选择在具有防震、防风和防雨第能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 三级要求: a) 机房场地应选择在具有防震、防风和防雨第能力的建筑内; b) 机房场地应避免设在建筑物的

    2024年04月10日
    浏览(45)
  • 等保2.0通用测评要求

    本项要求包括: a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。 本项要求包括: a)应将设备或主

    2024年03月23日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包