堡垒主机在信息安全等级保护制度中的探究与应用
随着信息安全等级保护制度的开展和普及,越来越多的政府部门和企事业单位开始参与并落实制度的执行。×××法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。
有人提出了疑问,具体是哪些标准、哪些条款成为推动堡垒主机落地的驱动力?那接下来将针对标准的解读以及等级保护要求来给大家拨开疑云,看清方向。我们来看等级保护制度的主要标准,在这里列举2个:
1、《信息系统等级保护安全设计技术要求(GBT 25070—2010)》
2、《信息系统安全等级保护基本要求(GBT 22239-2008)》
首先看《信息系统等级保护安全设计技术要求(GBT 25070—2010)》,我们以三级系统为标准来探讨。三级系统安全计算环境应从以下方面进行安全设计:
1、 用户身份鉴别
需要采用两种或两种以上组合方式进行身份验证。堡垒机拥有本地认证、AD域认证、Radius认证、数字证书认证,提供外部接口可供指纹识别认证、UKEY(移动数据证书)认证,满足三级系统的设计要求。
2、 自主访问控制
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。
堡垒机通过主从账号一一对应的授权方式,赋予用户完成操作的最小权限。其中命令访问控制策略,能对高危命令进行告警或阻断;图形控制策略能对RDP文件传输进行控制,达到允许或阻断的能力。访问控制粒度达到文件或命令级别,满足三级系统的设计要求。
3、 标记和强制访问控制
在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。
堡垒机通过旁路部署,逻辑网关的形式接入用户网络,不改变用户现有的网络构架;为用户提供C/S、B/S两种登录方式,不改变用户现有的运维习惯。登录统一安全管理与综合审计系统平台,由超级管理员进行标记分配来控制操作管理。满足三级系统的设计要求。
4、 系统安全审计
应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口。
堡垒机能够对字符、图形、数据库操作、WEB应用、应用发布、KVM等各类操作进行审计;字符类审计能不仅可以命令识别,而且还可以对 FTP/SFTP的文件传输进行审计并记录;图形类审计能够实现实时的文字识别功能,完成标题栏的识别,传统的审计视频流可被搜索、精准定位;数据库操作 能够实现协议解析,完整无死角进行操作审计;WEB应用、应用发布以及KVM的安全审计,让整个信息系统的任何操作都逃避不了堡垒机的“法眼”,并能根据 客户需求输出各类可查询的审计记录;堡垒机作为独立的第三方审计系统,可以有效避免数据遭到破坏或非授权的访问删除、增加、篡改;对于审计记录只有超级管 理员和审计员可以查看,并实现三权分立的原则;系统为安全管理中心提供接口,输出日志等相关信息。满足三级系统的设计要求。
5、 用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护堡垒主机在信息安全等级保护制度中的探究与应用。
堡垒机通过HTTPS加密协议进行通信链路的传输,采用加密技术对数据的存储进行保密性保护;各模块相互传数据及配置和控制信息都采用加密传输方 式,提高了信息的保密性。传输的数据不被泄漏或篡改,在传输错误或异常中断的情况下能重发数据。数据保护机制采用HASH值对数据进行验证,保证数据不会 篡改,保持数据的完整性。满足三级系统的设计要求。
综上所述,堡垒机从设计到功能完全符合等级保护安全设计三级要求,对于目前定级的二、三级系统完全适用,成为通过信息安全等级保护设计和测评不可或缺的重要安全审计系统。
作为等级保护制度的基本标准,也是测评机构或相关监管部门重要的审计依据——《信息系统安全等级保护基本要求(GBT 22239-2008)》的地位不可小觑。它从物理安全、网络安全、主机安全、应用安全、数据安全以及管理安全六个方面对信息系统的安全性分等级进行规 定。
堡垒机从网络安全、主机安全、应用安全到数据安全中的身份鉴别、访问控制、安全审计、数据安全均满足标准要求。成为各单位部门想通过信息安全等级测评后成功的关键设备。
转载于:https://blog.51cto.com/qingsto/1120613
堡垒主机在信息安全等级保护制度中的探究与应用相关推荐
- 国家信息安全等级保护制度第三级要求
为什么80%的码农都做不了架构师?>>> 国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1 技术要求 1.1.1 物理安 ...
- 等保培训.01.国家信息安全等级保护制度的主要内容和要求
文章目录 一.信息安全等级保护制度的主要内容 (一)国家为什么要实施信息安全等级保护制度 (二)国家对等级保护制度的要求 (三)等级保护制度的地位和作用 (四)实施等级保护制度的主要目的 (五)公安机 ...
- 计算机网络日志保存时间,在网络安全等级保护制度中,网络运营者应当保留网络日志不少于( )...
网络运营者按照网络安全等级保护制度的要求,采取监测.记录网络运行状态.网络安全事件的技术措施,按照规定留存相关的网络日志不少于(). 网络运营者按照网络安全等级保护制度的要求,采取监测.记录网络运行状 ...
- 网络信息安全等级保护制度
信息网络的全球化使得信息网络的安全问题也全球化起来,任何与互联网相连接的信息系统都必须面对世界范围内的网络攻击.数据窃取.身份假冒等安全问题.发达国家普遍发生的有关利用计算机进行犯罪的案件,绝大部分已 ...
- 河南科技大学计算机信息安全技术考试,关于申报2020年信息安全等级保护项目的通知...
校属各单位: 为贯彻落实信息安全等级保护基本要求,积极推进我校网络安全系统建设,网络信息中心现启动河南科技大学2020年信息安全等级保护申报工作. 对于拟申请参加本年度信息安全等级保护工作的信息系统, ...
- 浅谈信息安全等级保护与ISO27000系列标准的异同
摘要:信息安全等级保护和ISO27000系列标准是目前国内主流的两个信息安全标准体系,在党政机关及企事业单位运用非常广泛.在建立单位内部信息安全体系的时候往往会遇到需要同时满足两个标准体系要求的难题. ...
- 网络安全等级保护制度遵循的基本原则
2004年9月15日,由公安部与其他单位联合下发<关于信息安全等级保护工作的实施意见>(66号文件),明确信息安全等级保护的核心是对信息安全分等级.按标准进行建设.管理和监督.信息安全等级 ...
- 网络安全等级保护制度2.0(简称“等保2.0”)学习笔记
文章目录 一.等保背景 二.为什么要颁布实施等保2.0? 三.等保2.0相比等保1.0有哪些不变? 四.等保2.0相比等保1.0有哪些区别? 五.网络安全等级保护2.0的要求及所需设备的清单 5.1 ...
- 信息安全等级保护和网络安全等级保护有什么区别?
什么是等级保护?在谈等级保护过程中,我们常常被信息安全等级保护和网络安全等级保护这两个术语困扰,以前的信息安全等级保护与现在谈到的网络安全等级保护是不是一回事?那么如何区分呢?在谈论等级保护之前,我们 ...
最新文章
- 阿里云天池平台官方出品!从0到1层层拆解天池大赛赛题 | 文末送书
- python根据时间和类型查找文件并将该文件复制到新的文件夹下
- BZOJ 1070 修车
- -----IT男生涯————初始篇
- html 文件上传与移除,Vue采用input实现文件上传与删除
- Chatbot ⾖瓣电影爬⾍简析
- 根据二叉树的先序、中序遍历结果重建二叉树
- python在工程管理专业的应用_工程大数据在水利工程建设管理的应用
- 输出ipv4,ipv6特定段的所有地址,ipv6地址转换成网络字节序
- c++语言编程软件视频教程下载,C++编程开发全套视频教程下载
- 【边学边记_10】——8 位7段数码管的动态显示
- linux 将当前时间往后调整2分钟_linux调整系统时间 永久 z | 学步园
- icns文件_感染phobos家族勒索病毒文件后缀.phobos如何应对处理?
- 心疼南威尔士警方!成功演绎如何用人脸识别错抓罪犯
- 《脱颖而出——成功网店经营之道》一2.6 连横:返利模式的应用及分销
- 微信小程序 async await解决异步问题
- Marked.js - HTML 中直接解析显示 Markdown
- 面试题:一头牛重800公斤,一座桥承重700公斤,牛应该怎么过桥
- 【TJOI2017】DNA【后缀自动机】
- 校园网电信网双网合一