麒麟开源堡垒主机在等保上的合规性分析
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
我国的信息安全等级保护共分为五级,级别越高,要求越严格。
我国的信息安全等级保护主要标准包括,《信息系统等级保护安全设计技术要求(GBT 25070—2010)》和《信息系统安全等级保护基本要求(GBT 22239-2008)》。
根据上述二个标准,可以发现堡垒机一般在信息安全等级保护中,主要可以在身份鉴别、访问控制、安全审计、完整性加密性检查等方面进行匹配,下面从标准中摘抄内容说明如下:
1、 用户身份鉴别(等级保护三要求合规性)
需要采用两种或两种以上组合方式进行身份验证。堡垒机拥有本地认证、AD域认证、Radius认证、数字证书认证,提供外部接口可供指纹识别认证、UKEY(移动数据证书)认证,满足三级系统的设计要求。
说明:身份鉴别从等级保护三开始,必须要进行双因素,通过双因素去鉴别到个体,而如果将双因素(比如动态口令)部署到所有的生产服务器,成本非常高而且很容易出生产事故,堡垒机的上线可以合理的例规本条,麒麟开源堡垒机上内置了CA、动态口令、指纹识别、USBKEY证书等强认证,在不动生产系统的情况下即合规身份鉴别。
2、 自主访问控制
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。
说明:堡垒机通过给每个用户建立一个堡垒机帐号(主帐号),并且将设备帐号(从帐号)分配给主帐号完成授权,同时授权时可以绑定来源IP限制、可运行命令限制、可登录时间限制等多种规则,可以完全合规访问控制要求。
3、 标记和强制访问控制
在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。
说明:麒麟开源堡垒机有管理员、分组管理员、审计员等角色,管理员可以对设备、用户、权限进行配置并且标记,同时所有的配置过程都会被记录,记录可以由审计员进行审计,因此,管理员必须按要求写严格的访问控制规则,达到本条合规。
4、 系统安全审计
应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口。
说明:麒麟开源堡垒机telnet/ftp/ssh/sftp/scp/rdp/vnc/x11/db操作/http/https/各种CS程序进行审计;其中,字符协议除了录相可以识别命令,图形协议除了录相可以识别键盘记录等。
麒麟开源堡垒机作本身的录相为自有加密格式,并且存贮在专门的空间中,可以有效避免数据遭到破坏或非授权的访问删除、增加、篡改;而且又分为管理员、审计员、密码管理员以进行三权分立相互辖制,管理员的任何操作都受审计员的审计。
麒麟开源堡垒机支持以SYSLOG、短信、邮件方式对用户定制的特殊事件进行报警。
因此,通过上述审计及三权分立、告警功能,麒麟开源堡垒机本条例合规。
5、 用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护堡垒主机在信息安全等级保护制度中的探究与应用。
麒麟开源堡垒机使用HTTPS、RDP、SSH等加密协议进行通信链路的传输,本地录相文件都通过自有的算法进行加密存贮,不通通过通用软件进行播放,重要文件都有MD5值的记录,因此,麒麟开源堡垒机本条例合规。
麒麟开源堡垒机从网络安全、主机安全、应用安全到数据安全中的身份鉴别、访问控制、安全审计、数据安全各方面均合规,成为等级保护方案中必采的设备。
麒麟开源堡垒主机在等保上的合规性分析相关推荐
- 刘敏:优麒麟开源操作系统运营实践 | DEV. Together 2021 中国开发者生态峰会
内容来源:2021 年 6 月 5 日,由 SegmentFault 思否主办的 2021 中国开发者生态峰会圆满落幕.会上,优麒麟开源社区运营负责人刘敏发表了主题为<优麒麟开源操作系统运营实践 ...
- apache的开源工具common-fileupload实现文件上传和下载
在Web应用系统开发中,文件上传和下载功能是非常常用的功能,今天来讲一下JavaWeb中的文件上传和下载功能的实现. 对于文件上传,浏览器在上传的过程中是将文件以流的形式提交到服务器端的,如果直接使用 ...
- 截断骨干用于检测,YOLO-ReT开源:边缘GPU设备上的高性能检测器
作者丨happy 编辑丨极市平台 论文链接:https://arxiv.org/pdf/2110.13713.pdf 代码链接:https://github.com/prakharg24/yolore ...
- 【转】做一名开源社区的扫地僧 (上)
不知道怎么为开源软件做贡献?从汇报 Bug 开始吧,或许还有钱赚呢- 且看 Qian Hong 的经验分享. 今年的软件自由日(SFD),我在广州Linux用户组的线下活动上做了一个分享,主题叫做&l ...
- 28款GitHub最流行的开源机器学习项目,推荐GitHub上10 个开源深度学习框架
20 个顶尖的 Python 机器学习开源项目 机器学习 2015-06-08 22:44:30 发布 您的评价: 0.0 收藏 1收藏 我们在Github上的贡献者和提交者之中检查了用Python语 ...
- 麒麟电脑linux微信版本过低,在优麒麟Ubuntu Kylin 20.04系统上快速安装微信和QQ的方法...
在优麒麟Ubuntu Kylin 20.04系统上安装微信和QQ非常的简单,因为在软件商店中存在这两款应用,所以直接就可以在软件商店中快速安装它们了. 1.新安装的Ubuntu Kylin 20.04 ...
- 再见JCenter,将你的开源库发布到MavenCentral上吧
本文同步发表于我的微信公众号,扫一扫文章底部的二维码或在微信搜索 郭霖 即可关注,每个工作日都有文章更新. 关于JCenter废弃这件事情,相信许多朋友早就已经知道了.我在几个月前也专门写过一篇文章分 ...
- 一种360度无死角开源的BMS电池保护板
一种360度无死角开源的BMS电池保护板 感谢Danny Bokma和Jonathan French的无私贡献. 这款全开源的BMS电池保护板名叫DieBieMS. DieBieMS电池保护板主要特性 ...
- 做一名开源社区的扫地僧 (上)
原载:LinuxTOY 作者:黑日白月 原文网址:http://linuxtoy.org/archives/from-bug-reporter-google-summer-code.html 不知道怎 ...
最新文章
- PingCode 全新子产品Access (目录服务)正式发布!
- Abp mysql guid_.NET生成多数据库有序Guid
- BOOST_PREDEF_TESTED_AT宏相关的测试程序
- Java声明定义抽象类_接口_继承_实现
- (翻译)正确实施DevOps-The Lay of the Land
- 1.ElementUI中table的sortable使用
- Tomcat报错:The required Server component failed to start so Tomcat is unable to start
- MySQL将一张表的某些列数据,复制到另外一张表,并且修改某些内容
- js时间对象相关函数
- 计算机程序设计类论文,计算机编程论文
- 基于SpringBoot和Vue的OA办公管理系统
- PCAN Explorer之plot插件导出数据时间格式转换
- MongoDB之学习【一】:初识Mongo,路远道长,绵绵不绝
- [codeforces 1293A] ConneR and the A.R.C. Markland-N
- Android地图中根据缩放级别显示Marker
- 查收你的2022书单,阅读这54本书就够了
- 数组方法的增删等19种操作:unshift 、shift,push、pop、splice等等...!
- 企业电子招投标系统简介 招投标系统源码 定制化服务 二次开发 java招投标系统 招投标系统功能设计
- 19【numpy中的nan和常用方法】01numpy中的nan和常用统计方法
- PHP网站打开太慢,如何解决!
热门文章
- 中科大c语言期末考试试卷,中科大–中科院试卷清单总汇.doc
- 武林外传—阿沅,这是依赖传递呀!
- 低通滤波器转带通滤波器公式由来_开关电源电磁兼容进级EMI传导输入滤波器的设计理论(EDTEST上海)...
- win10环境下配置Gradle
- Sequence contains more than one matching element
- c++ 模糊搜索 正则表达式_模糊搜索算法(近似字符串匹配算法)
- 爱回收上市进程加速:原云集CFO陈晨加盟,转转等强敌环伺
- net start mysql 提示:发生系统错误 2。 系统找不到指定的文件。
- 2017年原生广告程序化购买将成为新趋势
- 单例设计模式(拉勾教育大数据学习笔记)