没有合适的资源?快使用搜索试试~ 我知道了~
首页高风险判定-安全计算环境篇.docx
资源详情
资源评论
资源推荐
高风险判定计算环境篇
(安全计算环境)
日 期: 2019-7-30
目录
0.引言............................................................................................................................................. 1
1 网络设备、安全设备、主机设备等............................................................................................. 1
1.1 身份鉴别......................................................................................................................................1
1.2 访问控制......................................................................................................................................4
1.3 安全审计......................................................................................................................................5
1.4 入侵防范......................................................................................................................................6
1.5 恶意代码防范.............................................................................................................................. 9
2 应用系统...................................................................................................................................... 9
2.1 身份鉴别......................................................................................................................................9
2.2 访问控制.................................................................................................................................... 13
2.3 安全审计.................................................................................................................................... 15
2.4 入侵防范.................................................................................................................................... 16
2.5 数据完整性................................................................................................................................19
2.6 数据保密性................................................................................................................................20
2.7 数据备份恢复............................................................................................................................ 21
2.8 剩余信息保护............................................................................................................................ 24
2.9 个人信息保护............................................................................................................................ 25
3 附表:........................................................................................................................................ 28
0.引言
等级保护 2.0 标准的“安全计算环境”涉及网络设备、安全设备、主机设备、数据库、
应用系统及数据等方面的安全要求。众所周知,这些设备、应用系统正是黑客攻击的重
点目标。经过分析大量安全事件及攻击手段后不难发现,等级保护 2.0 标准在身份鉴别 、
访问控制、安全审计、入侵防范、恶意代码防范等控制点提出的相关安全功能及要求,
正是抵御黑客攻击的重要手段。
因此,《高风险判定指引》在“安全计算环境”方面侧重于安全功能的实现,例如:
口令策略设置、登录失败处理机制、访问控制措施都是较为基础的安全功能;对三级及
以上系统,必须使用双因素身份认证技术的目的是:即使密码被破解的情况下,还有另
一种身份鉴别机制提供双重保障,实现“纵深”防御。
此外,随着互联网时代的到来,每个人的信息都呈现“半透明”状态。个人隐私泄漏
的背后是违法违规采集和使用个人信息的问题愈演愈烈。《高风险判定指引》中针对个
人信息保护的要求,提出可判高风险的相关场景。
1 网络设备、安全设备、主机设备等
1.1 身份鉴别
1.1.1 设备弱口令
对应要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份
鉴别信息具有复杂度要求并定期更换。
判例内容:网络设备、安全设备、操作系统、数据库等存在空口令或弱口令帐
户,并可通过该弱口令帐户登录,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、存在空口令或弱口令帐户;
2、可使用该弱口令帐户登录。
补偿措施:
1、如采用双因素认证等管控手段,恶意用户使用该空/弱口令帐号无法直接登
录相关设备,可酌情降低风险等级。
1
2、如测评对象重要性较低,不会对整个信息系统安全性产生任何影响,可酌
情降低风险等级。
整改建议:建议删除或重命名默认账户,制定相关管理制度,规范口令的最小
长度、复杂度与生命周期,并根据管理制度要求,合理配置账户口令策略,提
高口令质量。
1.1.2 远程管理防护
对应要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程
中被窃听。
判例内容:通过不可控网络环境远程管理的网络设备、安全设备、操作系统、
数据库等,鉴别信息明文传输,容易被监听,造成数据泄漏,可判定为高风险。
适用范围:所有系统。
满足条件(同时):
1、通过不可控网络环境远程进行管理;
2、管理帐户口令以明文方式传输;
3、使用截获的帐号可远程登录。
补偿措施:
1、如整个远程管理过程中,只能使用加密传输通道进行鉴别信息传输的,可
视为等效措施,判符合。
2、如采用多因素身份认证、访问地址限定、仅允许内部可控网络进行访问的
措施时,窃听到口令而无法直接进行远程登录的,可酌情降低风险等级。
3、如通过其他技术管控手段(如准入控制、桌面管理、行为管理等),降低
数据窃听隐患的,可酌情降低风险等级。
2
4、在有管控措施的情况下,如果默认采用加密进行管理,但同时也开启非加
密管理方式,可根据实际管理情况,酌情判断风险等级。
5、可根据被测对象的作用以及重要程度,可根据实际情况,酌情判断风险等
级。
整改建议:建议尽可能避免通过不可控网络对网络设备、安全设备、操作系统、
数据库等进行远程管理,如确有需要,则建议采取措施或使用加密机制(如
VPN 加密通道、开启 SSH、HTTPS 协议等),防止鉴别信息在网络传输过程
中被窃听。
1.1.3 双因素认证
对应要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技
术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
判例内容:重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户
身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账户
的安全性,无法避免账号的未授权窃取或违规使用,可判定为高风险。
适用范围:3 级及以上系统。
满足条件(同时):
1、3 级及以上系统;
2、重要核心设备、操作系统等通过不可控网络环境远程进行管理;
3、设备未启用两种或两种以上鉴别技术对用户身份进行鉴别;4 级系统多种鉴
别技术中未用到密码技术或生物技术。
补偿措施:
3
剩余30页未读,继续阅读
yeying3
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- 2022年中国足球球迷营销价值报告.pdf
- 房地产培训 -营销总每天在干嘛.pptx
- 黄色简约实用介绍_汇报PPT模板.pptx
- 嵌入式系统原理及应用:第三章 ARM编程简介_3.pdf
- 多媒体应用系统.pptx
- 黄灰配色简约设计精美大气商务汇报PPT模板.pptx
- 用matlab绘制差分方程Z变换-反变换-zplane-residuez-tf2zp-zp2tf-tf2sos-sos2tf-幅相频谱等等.docx
- 网络营销策略-网络营销团队的建立.docx
- 电子商务示范企业申请报告.doc
- 淡雅灰低面风背景完整框架创业商业计划书PPT模板.pptx
- 计算模型与算法技术:10-Iterative Improvement.ppt
- 计算模型与算法技术:9-Greedy Technique.ppt
- 计算模型与算法技术:6-Transform-and-Conquer.ppt
- 云服务安全风险分析研究.pdf
- 软件工程笔记(完整版).doc
- 电子商务网项目实例规划书.doc
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0