安全计算环境技术测评要求项

        1.身份鉴别-在应用系统及各类型设备中确认操作者身份的过程(身份鉴别和数据保密)

        1-2/2-3/3-4/4-4

        a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换

        b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

        c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听(如身份鉴别信息加密传输)

        d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现

        测评实施重点:

        1)用户身份鉴别信息应具有唯一性、具备必要的复杂度且需要定期更新

        2)要开启设备登录失败处理功能,连续多次失败后应结束会话或锁定账号,在账户登录且长时间未操作时自动退出

        3)采用加密的方式传输账户鉴别信息

        4)采用两种或以上身份鉴别技术,包括口令、密码技术、生物技术等,其中至少有密码技术

        2.访问控制-账户和权限设置

        1-3/2-4/3-7/4-7+

        a)应对登录的用户分配账户和权限

        b)应重命名或删除默认账户,修改默认账户的默认口令

        c)应及时删除或停用多余的、过期的账户,避免共享账户的存在

        d)应授予管理用户所需的最小权限,实现管理用户的权限分离

        e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

        f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级

        g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问

        g+)应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问

        测评实施重点:

        1)检查被测系统中账户及其权限的设置情况

        2)检查系统默认账号、默认口令

        3)核查每个账户的用途,检查是否有多余的、过期的账户,是否为不同的用户创建不同的账户来登录系统

        4)管理用户的角色划分,最小权限、权限之间是否相互制约

        5)核查是否有负责配置访问控制策略的管理用户,核查授权主体是否依据安全策略配置主体对客体的访问规则

        6)控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。

        7)对重要信息资源设置安全标记

        3.安全审计-对系统的运行情况及系统用户行为进行记录

        1-0/2-3/3-4/4-4+

        a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

        b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

        c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

        d)应对审计进程进行保护,防止未经授权的中断

        d+)应对审计进程进行保护,防止未经授权的中断。审计记录增加主体标识和客体标识

        测评实施重点:(同上)

        4.入侵防范-主机入侵防范,减少主机对外暴露的漏洞

        1-2/2-5/3-6/4-6

        a)应遵循最小安装的原则,仅安装需要的组件和应用程序

        b)应关闭不需要的系统服务、默认共享和高危端口

        c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

        d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

        e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

        f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

        测评实施重点:

        1)检查遵循最小安装原则

        2)检查限制终端登录的措施(例如接入方式、地址范围)

        3)具备输入数据有效性检查

        4)定期漏扫

        5)安装并合理配置入侵检测软件或装置(如具有入侵检测功能的系统自带防火墙或者第三方防火墙软件),是否部署了第三方入侵检测系统(如网络层的IDS)

        5.恶意代码防范-主机型恶意代码防范措施

        1-1/2-1/3-1+/4-1++

        a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库

        a+)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断

        a++)应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断

        测评实施重点:(同上)

        6.可信验证-基于可信根,引导平台从基础硬件出发,到顶层应用程序可信启动

        1-1/2-1+/3-1++/4-1+++

        a)可基于可信根对计算设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警

        a+)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

        a++)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

        a+++)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联

        测评实施重点:(同上)

        7.数据完整性-各类数据传输和存储完整性保护

        1-1/2-1/3-2/4-3

        a)应采用校验技术保证重要数据在传输过程中的完整性

        a+)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

        b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

        b+)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

        c)在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖(不可否认性

        测评实施重点:

        1)检测重要数据在传输过程中采用什么技术保证数据完整性,若被篡改或破坏是否能检测到并及时恢复

        2)检测重要数据在存储过程中采用什么技术保证数据完整性,若被篡改或破坏是否能检测到并及时恢复

        3)采用密码技术保证数据在发送和接收过程中不会被篡改

        8.数据保密性-保护各类重要数据在传输和存储过程中不被泄露

        1-0/2-0/3-2/4-2

        a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息

        b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

        测评实施重点:

        1)通过系统设计文档,检查重要数据是否采用了密码技术进行机密性保护

        2)通过嗅探等方式抓取传输过程中的数据包,分析重要数据在传输过程中是否进行了加密等处理措施

        3)检查数据库表或存储文件等在存储过程中是否采取了保障保密性的措施

        9.数据备份恢复-对数据进行备份是防止数据遭到破坏后无法使用的最好方法(数据备份、系统备份)

        1-1/2-2/3-3/4-4

        a)应提供重要数据的本地数据备份与恢复功能

        b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地

        b+)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地

        c)应提供重要数据处理系统的热冗余,保证系统的高可用性

        d)应建立异地灾难备份中心,提供业务应用的实时切换

        测评实施重点:

        1)按照备份策略进行备份,备份策略要设置合理、配置正确。

        2)备份结果应与备份策略一致。核查近期恢复测试记录,了解是否进行正常的数据恢复。

        3)实现异地实时备份功能

        4)边界交换机、边界防火墙、核心路由器、应用服务器、数据库服务器等应采用热冗余方式部署

        5)建立异地灾难备份中心,提供业务应用的实时切换功能

        10.剩余信息保护-保证存储在内存或缓冲区中的信息不被非授权访问

        (剩余信息是指当前用户在登出后仍然留存在系统内存、磁盘中的身份标识、鉴别信息或其他形式的登录凭证,以及敏感数据)

        1-0/2-1/3-2/4-2

        a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

        b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除

        测评实施重点:

        1)核查终端和服务器等设备的操作系统、数据库系统、中间件等系统软件及业务应用系统的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除

        2)核查终端和服务器等设备的操作系统、数据库系统、中间件等系统软件及业务应用系统的敏感信息所在的存储空间被释放或重新分配前是否得到完全清除

        11.个人信息保护-个人信息的采集和使用

        1-0/2-2/3-2/4-2

        a)应仅采集和保存业务必需的用户个人信息

        b)应禁止未授权访问和非法使用用户个人信息

        测评实施重点:

        1)采集的用户信息是否是业务应用所必需的

        2)是否有个人信息保护方面的管理制度和流程

        3)采用什么技术措施限制对用户信息的访问和使用

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/65535.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

归并排序的详解!

本文旨在讲解归并排序的实现(递归及非递归)搬好小板凳,干货来了! 前序: 在介绍归并排序之前,需要给大家介绍的是什么是归并,归并操作,也叫归并算法,指的是将两个顺序序列…

lv3 嵌入式开发-3 linux shell命令(文件搜索、文件处理、压缩)

目录 1 查看文件相关命令 1.1 常用命令 1.2 硬链接和软链接 2 文件搜索相关命令 2.1 查找文件命令 2.2 查找文件内容命令 2.3 其他相关命令 3 文件处理相关命令 3.1 cut 3.2 sed 过滤 3.3 awk 匹配 4 解压缩相关命令 4.1 解压缩文件的意义 4.2 解压缩相关命令 1 …

【个人笔记js的原型理解】

在 JavaScript 中,最常见的新建一个对象的方式就是使用花括号的方式。然后使用’ . 的方式往里面添加属性和方法。可见以下代码: let animal {}; animal.name Leo; animal.energe 10;animal.eat function (amount) {console.log(${this.name} is ea…

大学物理 之 安培环路定理

文章目录 前言什么是安培环路定理安培环路定理有什么作用 深入了解深入学习 前言 什么是安培环路定理 安培环路定理的物理意义在于描述了电流和磁场之间的相互作用,以及如何在一个封闭的回路中分析这种相互作用。 简单的来说 , 用环路定理来解决在磁场中B对任意封…

[管理与领导-65]:IT基层管理者 - 辅助技能 - 4- 职业发展规划 - 乌卡时代(VUCA )

前言: 大多数IT人,很勤奋,但都没有职业规划,被工作驱动着前行,然而,作为管理者,你就不能没有职业规划思维,因为你代表一个团队,你的思维决定了一个团队的思维。本文探讨…

redis实战-实现优惠券秒杀解决超卖问题

全局唯一ID 唯一ID的必要性 每个店铺都可以发布优惠券: 当用户抢购时,就会生成订单并保存到tb_voucher_order这张表中,而订单表如果使用数据库自增ID就存在一些问题: id的规律性太明显,容易被用户根据id的间隔来猜测…

c++ 学习之 构造函数的使用

上代码 class person { public:person(){cout << " person 的无参默认构造函数 " << endl;}person(int age){cout << " person 的有参默认构造函数 " << endl;m_age age;}person(const person& other){cout << "…

如何实现的手机实景自动直播,都有哪些功能呢?

手机实景自动直播最近真的太火了&#xff0c;全程只需要一部手机&#xff0c;就能完成24小时直播带货&#xff0c;不需要真人出镜&#xff0c;不需要场地&#xff0c;不需要搭建直播间&#xff0c;只需要一部手机就可以了。真人语音讲解&#xff0c;真人智能回复&#xff0c;实…

MySQL用户管理及用户权限

目录 数据库用户管理 新建用户 查看用户 重命名用户rename 删除用户drop 修改用户密码 找回root密码 数据库用户授权 授予权限 查看用户权限 撤销用户权限 数据库用户管理 新建用户 CREATE USER 用户名来源地址 [IDENTIFIED BY [PASSWORD] 密码];用户名&#xff1a…

C#-单例模式

文章目录 单例模式的概述为什么会有单例模式如何创建单例模式1、首先要保证&#xff0c;该对象 有且仅有一个2、其次&#xff0c;需要让外部能够获取到这个对象 示例通过 属性 获取单例 单例模式的概述 总结来说&#xff1a; 单例 就是只有 一个实例对象。 模式 说的是设计模式…

《Go 语言第一课》课程学习笔记(十二)

函数 Go 函数与函数声明 在 Go 语言中&#xff0c;函数是唯一一种基于特定输入&#xff0c;实现特定任务并可返回任务执行结果的代码块&#xff08;Go 语言中的方法本质上也是函数&#xff09;。在 Go 中&#xff0c;我们定义一个函数的最常用方式就是使用函数声明。 第一部…

Mybatis学习|注解开发、lombok

1.使用注解开发 无需再编写相应的Mapper.xml文件&#xff0c;直接将sql用注解的形式写在Mapper接口的对应方法上即可。 然后因为没有xml文件,所以要在mybatis-config.xml核心配置文件中注册这个Mapper接口&#xff0c;而不用去注册之前的Mapper.xml&#xff0c;这里其实如果用…

QT listWidget 中实现元素的自由拖拽

QListWIdget中拖拽元素移动 setMovement(QListView::Movement::Free);setDragEnabled(true); setDragDropMode(DragDropMode::DragDrop); setDefaultDropAction(Qt::DropAction::MoveAction);

nginx-反向代理缓存

反向代理缓存相当于自动化动静分离。 将上游服务器的资源缓存到nginx本地&#xff0c;当下次再有相同的资源请求时&#xff0c;直接讲nginx缓存的资源返回给客户端。 本地缓存资源有一个过期时间&#xff0c;当超过过期时间&#xff0c;则重新向上游服务器重新请求获取资源。…

SIEM(安全信息和事件管理)解决方案

什么是SIEM 安全信息和事件管理&#xff08;SIEM&#xff09;是一种可帮助组织在安全威胁危害到业务运营之前检测、分析和响应安全威胁的解决方案&#xff0c;将安全信息管理 (SIM) 和安全事件管理 (SEM) 结合到一个安全管理系统中。SIEM 技术从广泛来源收集事件日志数据&…

Matlab——二维绘图(最为详细,附上相关实例)

为了帮助各位同学备战数学建模和学习Matlab的使用&#xff0c;今天我们来聊一聊 Matlab 中的绘图技巧吧&#xff01;对于 Matlab 这样的科学计算软件来说&#xff0c;绘图是非常重要的一项功能。在数据处理和分析时&#xff0c;良好的绘图技巧能够更直观地呈现数据&#xff0c;…

【DP】CF Edu 21 E

Problem - E - Codeforces 题意&#xff1a; 思路&#xff1a; 就是一个 N为1e5&#xff0c;M为3e5的背包问题&#xff0c;不过特殊条件是 w < 3 我们去从最简单的情况开始考虑 当只有w 1的物品和w 2的物品时&#xff0c;考虑贪心地把物品按价值排序&#xff0c;然后选…

Docker部署项目

相关系列文章&#xff1a; 1、DockerHarbor私有仓库快速搭建 2、DockerJenkinsHarbor 3、Docker安装Mysql、Redis、nginx、nacos等环境 1、jenkins构建前端并上传服务器 在这篇文章中(DockerJenkinsHarbor)未完成前端的远程部署&#xff0c;这里对前端vue工程进行编译打包并上…

虚拟内存相关笔记

虚拟内存是计算机系统内存管理的一个功能&#xff0c;它允许程序认为它们有比实际物理内存更多的可用内存。它使用硬盘来模拟额外的RAM。当物理内存不足时&#xff0c;操作系统将利用磁盘空间作为虚拟内存来存储数据。这种机制提高了资源的利用率并允许更大、更复杂的应用程序的…

BLDC无感方波控制

BLDC无感控制 反电动势过零检测反电动势检测方法比较器模式采样过零信号闭环的建立 BLDC 方波启动技术转子预定位电机的外同步加速电机运行状态的转换 程序部分 反电动势过零检测 它的主要核心就是通过检测定子绕组的反电动势过零点来判断转子当前的位置。 三相六状态 120通电…