网络安全等级保护基本要求解读- 安全计算环境-应用系统和数据安全

概述

越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业 务系统的窗口,应用系统面临更多的安全威胁;并且由于各种原因使得其 存在较多的安全漏洞。

在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。目前,应用层漏洞 也是层出不穷,已经远远超过网络、操作系统和浏览器的漏洞数量,且这 个比例还有上升的趋势。

针对应用系统的攻击手段越来越多

常见攻击手段,如口令破解、信息窃听、绕过访问控制、后门攻击等针对WEB应用的攻击,如跨站脚本攻击、 SQL注入、缓冲区溢出、拒绝 服务攻击等

测评方法通过访谈,了解安全措施的实施情况

和其他成熟产品不同,应用系统只有在充分了解其部署情况和业务流程后, 才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁, 有针对性的进行测评

测评方法

通过检查,查看其是否进行了正确的配置

有的安全功能(如口令长度限制、错误登录尝试次数等) 需要在应用系统上进行 配置,则查看其是否进行了正确的配置,与安全策略是否一致。

无需进行配置的,则应查看其部署情况是否与访谈一致。

如果条件允许, 需进行测试

可通过测试验证安全功能是否正确,配置是否生效。

代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试如果条件允许,则可进行代码白盒测试。

安全计算环境-应用系统

                      

身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性, 身份 鉴别信息具有复杂度要求并定期更换。

对用户进行身份鉴别是防止非法入侵最基本的一种保护措施, 本条款要 求应用系统必须对登录系统的用户进行身份的合法性进行核实, 并为每一个 登录用户提供身份标识,且身份标识具有唯一性, 以便系统对用户操作行为 进行审计;同时,为了增加非授权用户使用暴力猜测等手段破解用户鉴别信 息的难度,应保证用户的鉴别信息具有一定的复杂性,从而使身份鉴别信息 不易被冒用和破解,如用户登录口令的长度至少为8位、需要强制由字母、

数字和符号混合组成,且提供口令更换周期等限制(90天或者三个月) 

为了防止非授权用户对应用系统用户的身份鉴别信息进行暴力猜测, 本项条款要求应用系统应提供登录失败处理功能, 如限制非法登录次数   等,登录失败次数应能根据用户实际情况进行调整;并且要求应用系统   配置并启用登录连接超时及自动退出功能。

 b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录 次数和当登录连接超时自动退出等相关措施。

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程 中被窃昕。

为了防止非授权用户获取鉴别信息,应核查是否采用加密等安全方 式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术  对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

本条款要求应用系统采取两种或两种以上组合的鉴别技术来实现身份  鉴别。在这里,两种或两种以上组合鉴别技术是指同时使用不同种类的鉴 别技术对应用系统的用户进行身份鉴别,且其中一种鉴别技术至少应使用 密码技术来实现,这样在很大程度上增加了非授权用户对身份鉴别信息进 行攻击的难度,更有效的防止非法入侵。对应用系统测评时,双因素登录 重点针对于系统内的管理用户。

访问控制

a)应对登录的用户分配账户和权限。

应用系统的访问控制功能是为了保证应用系统被合法地使用,用 户只能根据管理员分配的权限来访问应用系统相应的功能,不得越   权访问。本项条款要求必须对登录系统的用户进行账号和权限的分配。

b)应重命名或删除默认账户,修改默认账户的默认口令。

应用系统正式上线后,需要对默认账户进行重命名或删除,并对默 认账户的默认口令进行修改,默认用户一般指应用系统的公共账户、测 试账户或权限不受限制的超级管理账户等。

c)应及时删除或停用多余的、过期的账户, 避免共享账户的存在。

应用系统的管理员要及时将应用系统中多余的、过期的账户删除或停 用;同时要避免多人共用同一账户的情况出现。

d)应授予管理用户所需的最小权限,实现管理用户的权限分离。

本项条款要求应用系统授予管理账户为完成承担任务所需的最小权限, 如管理用户仅需具备相关的管理操作,则无需为其分配业务操作的权限; 同时,管理用户应实现权限分离,如管理员具备系统管理、用户创建与    删除、角色创建与删除等功能权限; 安全员具备安全参数配置、用户权    限分配等功能权限;审计员具备日志查看等功能权限。

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。

本项条款要求应用系统的访问控制策略应由授权主体(如人员)进行 配置,非授权主体不得更改访问控制策略, 且访问控制策略的覆盖范围 应包括所有主体和客体以及它们之间的操作。

f)访问控制的粒度应达到主体为用户级或进程级, 客体为文件、数据库 表级。

本项条款明确了应用系统的访问控制粒度,主体为用户或进程,客体 为功能权限对应的文件和数据库表以及表中的记录或字段。

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

安全标记表示主体/客体安全级别和安全范畴的一组信息, 通过比较标 记来控制是否允许主体对客体的访问,标记不允许其他用户进行修改,  括资源的拥有者。本项条款要求应用系统应提供设置安全标记的功能,  过安全标记控制用户对标记信息资源的访问。重要主体指系统中的管理账 户,重要客体指系统中鉴别数据、重要业务数据、个人信息以及敏感数据 等。

安全审计

a)应启用安全审计功能,审计覆盖到每个用户, 对重要的用户行为和重要 安全事件进行审计。

本条款要求应用系统必须对应用系统所有用户的重要操作(如用户登录 和重要业务操作等)进行审计,并且对系统异常等事件进行审计。

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及 其他与审计相关的信息。

本条款要求审计记录至少包括事件日期、时间、发起者信息(如用户名、 IP地址等)、类型、描述和结果(是否成功等)等内容。

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆 盖等。

本条款要求应用系统应对审计记录进行保护, 定期做好数据备份。另 外,应用系统应防止非授权删除、修改或覆盖审计记录。

d)应对审计进程进行保护,防止未经授权的中断。

本条款要求应用系统应对审计进程或功能进行保护,如果处理审计 的事务是一个单独的进程,那么应用系统应对审计进程进行保护,不允 许非授权用户对进程进行中断;如果审计是一个独立的功能,则应用系 统应防止非授权用户关闭审计功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/26748.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

RabbitMQ实践——在管理后台测试消息收发功能

在《RabbitMQ实践——在Ubuntu上安装并启用管理后台》中,我们搭建完RabbitMQ服务以及管理后台。本文我们将管理后台,进行一次简单的消息收发实验。 赋予admin账户权限 登录到管理后台,进入到用户admin的管理页面 点击“set permission”&a…

ListView的使用

📖ListView的使用 ✅1. 创建ListView✅2. 创建适配器Adapter✅3. 开始渲染数据 主要3步骤: 创建ListView 创建适配器Adapter,和Adapter对应的视图 开始渲染数据 效果图: ✅1. 创建ListView 例如现有DemoActivity页面&#xf…

Eureka到Nacos迁移实战:解决配置冲突与启动异常

问题:Eureka到Nacos迁移实战:解决配置冲突与启动异常 在进行微服务架构升级,特别是注册中心从Eureka转向Nacos的过程中,我遇到了一个典型的技术挑战。目标是为了减少因配置变更导致的服务重启频率,我决定拥抱Nacos以其…

机器学习实现面部识别的背后技术详解

引言 面部识别技术在身份验证、安全监控和个性化服务等领域具有广泛的应用。随着机器学习技术的进步,尤其是深度学习的发展,面部识别系统的性能得到了显著提升。本文将详细介绍机器学习实现面部识别的技术,并通过代码示例来展示其背后的技术…

云平台DNS故障导致网站访问卡顿异常排查过程,wireshark、strace等工具在实际问题排查过程中的应用方法

一、问题现象 项目上使用华为私有云,前段时间华为升级云平台后,云上用户反馈业务系统出现卡顿,之前几秒可以刷新出来的页面现在需要几十秒。提供了一个比较明显的url和curl调用方法。 10.213.x.xxx:8082/files/login curl -H "Content-…

项目实战--文档搜索引擎

在我们的学习过程中,会阅读很多的文档,例如jdk的API文档,但是在这样的大型文档中,如果没有搜索功能,我们是很难找到我们想查阅的内容的,于是我们可以实现一个搜索引擎来帮助我们阅读文档。 1. 实现思路 1…

依据容器创建本地镜像

1 2 3 4 5 6 7 8 9 10 11 12 13 1 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 在本地创建一个容器后,可以依据这个容器创建本地镜像,并可把这个镜像推送到Docker hub中。 目录 根据镜像启动…

Java——IO流(一)-(4/8):前置知识-字符集、UTF-8、GBK、ASCII、乱码问题、编码和解码等

目录 常见字符集介绍 标准ASCII字符集 GBK(汉字内码扩展规范,国标) Unicode字符集(统一码,万国码) 小结 字符集的编码、解码操作 方法 实例演示 常见字符集介绍 标准ASCII字符集 ASCll(American St…

Java如何根据对象属性值从对象列表中获取满足条件的对象

实现方式 在java 中,根据对象属性值从对象列表中获取满足条件的对象,可以使用以下2种方法: 使用循环遍历: 手动遍历列表。 使用流(Streams)API: 利用 Java 8 引入的 Streams 来简化代码。 示…

Sklearn中逻辑回归建模

分类模型的评估 回归模型的评估方法,主要有均方误差MSE,R方得分等指标,在分类模型中,我们主要应用的是准确率这个评估指标,除此之外,常用的二分类模型的模型评估指标还有召回率(Recall&#xff…

Golang | Leetcode Golang题解之第150题逆波兰表达式求值

题目: 题解: func evalRPN(tokens []string) int {stack : make([]int, (len(tokens)1)/2)index : -1for _, token : range tokens {val, err : strconv.Atoi(token)if err nil {indexstack[index] val} else {index--switch token {case ""…

Maven 核心插件 maven-resources-plugin 使用详解

Maven 核心插件 maven-resources-plugin 负责处理项目中的资源文件。它的主要功能是将资源从源目录(如 src/main/resources)复制到目标目录(如 target/classes),并在此过程中进行必要的过滤和替换操作,如替…

PCL 低阶多项式求解

文章目录 一、简介二、实现代码三、实现效果参考资料一、简介 这里使用C++实现对二阶和三阶多项式的求解过程(求解多项式的根),其推导过程网上有很多,这里就不多叙述了。 二、实现代码 RootsPolynomial.h #pragma once#include <algorithm> #include <cstdint>…

LeetCode题解:2303. 计算应缴税款总额,JavaScript,详细注释

原题链接&#xff1a; https://leetcode.cn/problems/calculate-amount-paid-in-taxes/ 解题思路&#xff1a; 该题的目标是把收入分层几个区间&#xff0c;每个区间内部的金额单独计算纳税额以[[3,50],[7,10],[12,25]]为例&#xff0c;该题要计算的分别是&#xff1a; [0, 3…

MATLAB神经网络---regressionLayer回归输出层

回归输出层regressionLayer 回归层计算回归任务的半均方误差损失。 Matlab中的regressionLayer函数是一个深度学习工具箱中的函数,用于定义回归问题的损失函数层。它可用于神经网络模型的最后一层&#xff0c;将预测值与目标值进行比较,并计算出损失值。 语法 layer regre…

WPF学习(3)--不同类通过接口实现同种方法

一、接口概述 1.接口的概念 在C#中&#xff0c;接口&#xff08;interface&#xff09;是一种引用类型&#xff0c;它定义了一组方法、属性、事件或索引器&#xff0c;但不提供实现。接口只定义成员的签名&#xff0c;而具体的实现由实现接口的类或结构体提供。接口使用关键字…

MySQL备份与恢复:确保数据的安全与可靠性

引言: 数据的安全性和可靠性的重要性 在现代企业和组织中,数据已经成为了最重要的资产之一。数据的安全性和可靠性对于企业的运营至关重要。首先,数据的安全性保证了敏感信息不会落入错误的手中,防止了潜在的经济损失和法律风险。其次,数据的可靠性则确保了企业能够准确…

AI学习指南机器学习篇-支持向量机超参数调优

AI学习指南机器学习篇-支持向量机超参数调优 在机器学习领域中&#xff0c;支持向量机&#xff08;Support Vector Machines&#xff0c;SVM&#xff09;是一种非常常用的监督学习模型。它通过寻找一个最优的超平面来进行分类和回归任务。然而&#xff0c;在实际应用中&#x…

数据赋能(118)——体系:数据收集——技术方法、主要工具

技术方法 数据收集的技术方法多种多样&#xff0c;以下是一些主要的技术手段&#xff1a; 网络爬虫&#xff1a;这是一种自动化程序&#xff0c;能够遍历互联网上的网页并提取所需信息。网络爬虫可以有效地收集大规模的结构化和非结构化数据&#xff0c;为后续的数据分析和挖…

【Go】使用Go语言实现AES CBC No Padding加密和解密

冷雨悄悄停吧 天真的心因为你 那管多风雨天仍和你一起 告诉你我其实多么的想你 其实我我真的爱着你 &#x1f3b5; 蒋明周《真的爱着你》 引言 高级加密标准&#xff08;AES&#xff09;是一种广泛使用的加密算法。它可以工作在多种模式下&#xff0c;最…