等保测评--计算环境安全测评
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
安全计算环境
网络设备
路由器
交换机
1.身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
2.访问控制
L3-CES1-05
应对登录的用户分配账户和权限
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离
L3-CES1-09
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
3.安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要用户行为和重要安全事件进行审计
L3-CES1-13
审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断
4.入侵防范
L3-CES1-17
应遵循最小安装的原则,仅安装需要的组件和应用程序
L3-CES1-18
应关闭不需要的系统服务、默认共享和高危窗口
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
L3-CES1-20
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
L3-CES1-21
应能发现可能存在的已知漏洞,并经过充分测试评估后,及时修补漏洞
L3-CES1-22
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
5.恶意代码防范
L3-CES1-23
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
6.可信验证
L3-CES1-24
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
安全设备
防火墙
1.身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
2.访问控制
L3-CES1-05
应对登录的用户分配账户和权限
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离
L3-CES1-09
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
3.安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要用户行为和重要安全事件进行审计
L3-CES1-13
审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断
4.入侵防范
L3-CES1-17
应遵循最小安装的原则,仅安装需要的组件和应用程序
L3-CES1-18
应关闭不需要的系统服务、默认共享和高危窗口
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
L3-CES1-20
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
L3-CES1-21
应能发现可能存在的已知漏洞,并经过充分测试评估后,及时修补漏洞
L3-CES1-22
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
5.恶意代码防范
L3-CES1-23
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
6.可信验证
L3-CES1-24
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
服务器设备
Linux
Windows
1.身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
2.访问控制
L3-CES1-05
应对登录的用户分配账户和权限
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离
L3-CES1-09
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
3.安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要用户行为和重要安全事件进行审计
L3-CES1-13
审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断
4.入侵防范
L3-CES1-17
应遵循最小安装的原则,仅安装需要的组件和应用程序
L3-CES1-18
应关闭不需要的系统服务、默认共享和高危窗口
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
L3-CES1-20
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
L3-CES1-21
应能发现可能存在的已知漏洞,并经过充分测试评估后,及时修补漏洞
L3-CES1-22
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
5.恶意代码防范
L3-CES1-23
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
6.可信验证
L3-CES1-24
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
7.数据备份恢复
L3-CES1-31
应提供重要数据处理系统的热冗余,保证系统的高可用性
Oracle
MySQL
1.身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
2.访问控制
L3-CES1-05
应对登录的用户分配账户和权限
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离
L3-CES1-09
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
3.安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要用户行为和重要安全事件进行审计
L3-CES1-13
审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断
4.入侵防范
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
L3-CES1-21
应能发现可能存在的已知漏洞,并经过充分测试评估后,及时修补漏洞
5.数据备份回复
L3-CES1-29
应提供重要数据的本地数据备份与恢复功能
L3-CES1-30
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
终端设备
1.身份鉴别
L3-CES1-01
应对登录的用户进行身份识别和鉴别,身份标识具有唯一性。身份鉴别信息具有复杂度要求并定期更换
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时时自动退出等相关措施
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
2.访问控制
L3-CES1-05
应对登录的用户分配账户和权限
L3-CES1-06
应重命名或删除默认账户修改默认账户的默认口令
L3-CES1-07
应及时删除或停用多余的、过期的账户避免共享账户的存在
3.入侵防范
L3-CES1-17
应遵循最小安装原则,仅安装需要的组件和应用程序
L3-CES1-18
应关闭不需要的系统服务、默认共享和高位端口
L3-CES1-21
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
4.恶意代码防范
L3-CES1-23
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
5.可信验证
L3-CES1-24
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
应用系统
1.身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性。身份鉴别信息具有复杂度并要求定期更换
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术实现
2.访问控制
L3-CES1-05
应对登录的用户分配账户和权限
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离
L3-CES1-09
应授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对安全标记信息资源的访问
3.安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
L3-CES1-13
审计记录应包括事件日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
L3-CES1-15
应对审计进程进行保护,防止未授权的中断
4.入侵防范
L3-CES1-20
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
L3-CES1-21
应能发现应用软件组件可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
数据安全
1.数据完整性
L3-CES1-25
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
L3-CES1-26
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
2.数据保密性
L3-CES1-27
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据,重要业务数据和重要个人信息等
L3-CES1-28
应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
3.数据备份和恢复
L3-CES1-29
应提供重要数据的本地数据备份与恢复功能
L3-CES1-30
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
4.剩余信息保护
L3-CES1-32
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除
L3-CES1-33
应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
5.个人信息保护
L3-CES1-34
应仅采集和保存业务必需的用户个人信息
L3-CES1-35
应禁止未授权访问和非法使用用户个人信息
等保测评--计算环境安全测评相关推荐
- 等保-安全计算环境-安全审计-windows
1. 测评项目 a) 内容 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 1.1 应核查是否开启了安全审计功能 在运行框中依次输入CompMgmtLauncher.e ...
- 等保三级安全要求简要攻略-安全计算环境
今天我们来攻略一下等保2.0国家标准中 <信息安全技术网络安全等级保护基本要求> 所对三级系统所提出的要求项以及针对这些要求项如何去应对或者说是如何去做防护.废话不多说直接上正题 在等保三 ...
- 等保2.0测评手册之安全计算环境
可以将本文安全计算环境等保2测评手册直接用于工作中,整改工作内容:控制点,安全要求,要求解读,测评方法,预期结果或主要证据 往期等保文章: 等保工作的定级指南文件 等保工作流程和明细 等保定级报告模版 ...
- 等保测评高风险判定——安全计算环境(网络、安全、主机设备)篇
提示:文章如有错误,欢迎指出. 文章目录 前言 **等保测评高风险判定--第四章 安全计算环境(网络.安全.主机设备)** 安全计算环境(网络.安全.主机设备) 二级及以上系统高风险判定 1.1设备存 ...
- 等保测评高风险判定——安全计算环境(应用系统)篇
提示:文章如有错误,欢迎指出. 文章目录 前言 **等保测评高风险判定--第四章 安全计算环境(应用系统)** 安全计算环境(应用系统) 二级及以上系统高风险判定 1.1应用系统口令策略缺失 1.2应 ...
- 等保测评 安全计算环境之应用系统
安全计算环境之应用系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 "1)询问系统管理员,用户在登录时是否采用了身份鉴别措 ...
- 等保测评 安全计算环境之网络设备
安全计算环境之网络设备 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 1)应核查用户在登录时是否采用了身份鉴别措施 2)应核查用户列表 ...
- 网络安全等级测评师培训教材(初级)-2021版-第四章安全计算环境
文章目录 第4章 安全计算环境 4.1网络设备 4.1.1路由器 1.身份鉴别 2.访问控制 3.安全审计 4.入侵防范 5.可信验证 4.1.2交换机 1.身份鉴别 2.访问控制 3.安全宙计 4. ...
- 等保测评--网络安全等级保护测评过程指南
GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南 范围 适用于测评机构.定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 规范等保测评工作过程,规定测评活动及工 ...
最新文章
- 第五次作业:四则运算之升级
- vue - config(index.js)
- 最近工作好忙,自己的软件又得落下很长一段时间了~
- python神经网络训练数据_用Python从头开始实现一个神经网络
- python keyboard模块_python3 安装 pykeyboard 模拟浏览器
- 如何id变动自动保存html软件,Wordpress折腾小记:彻底解决ID不连续的问题-自动保存、自动修订 | 地瓜哥博客网...
- Java Signal实例
- Visual Studio 2017迎来F# 4.1
- python包numpy_NumPy Python科学计算软件包的终极指南
- Python入门学习指南--内附学习框架
- PHPStorm开启Debug
- 苹果充电线android头断了,苹果充电线又坏了?其实一招就能搞定!还不花1分钱......
- 找出你的windows子系统(WSL)的安装位置
- Rhino7安装教程
- 计算机毕业设计-网上购书系统【代码讲解+安装调试+文档指导】
- VueSSR的一些理解和详细配置
- Ubuntu安装指定版本的内核
- 海天蚝油《挑战不可能》听风者解人声密码
- 非负数 正则表达式
- spark写入Oracle 报错 java.lang.ArrayIndexOutOfBoundsException: -32423