安全计算环境指标

最新推荐文章于 2024-03-04 17:58:11 发布
最新推荐文章于 2024-03-04 17:58:11 发布
阅读量946 收藏 8
点赞数
CC 4.0 BY-SA版权
分类专栏: 等保2.0 文章标签: 安全 网络 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/b10d9/article/details/125186323

指标总览

指标详情

关键指标项

身份鉴别

指标内容如图:

指标理解:

a)用户需要有唯一性标识,如不可重复的用户名、用户SID;密码启用一定复杂性要求,如大小写字母+数字+特殊字符四选三,长度10位以上,90天定期更换;

c)启用加密的访问方式,如https、ssh等。

d)启用双因素认证,如密码+动态口令、密码+短信验证、密码+指纹识别等

指标涉及的外部产品:

访问控制

指标内容如图:

指标理解:

a)根据用户岗位或职级建立不同的账号,账号根据工作所需分配必要的最小化权限,启用三权分立。常见的账号角色有:超级管理员账户、系统管理员账户、系统用户账户、审计管理员账户、审计用户账户、运维管理员账户、运维用户账户。

b)禁用应用或系统的默认账号,如应用的admin账号、系统的administrator账号/guest账号,修改默认账号的默认口令为强密码。

d)基于最小权限开放原则分配权限。如权限分配仅管理员账号可用,普通用户不可用。

e)“授权主体”指仅特定账号可配置访问控制策略,如管理员账号,普通账号不可越权配置策

最低0.47元/天 解锁文章

200万优质内容无限畅学
等保测评--计算环境安全测评
江南落花雨
07-20 2498
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。 ...
计算环境安全
暖风吹起云之博客
05-11 1849
操作系统安全 安全机制 标识与鉴别 访问控制 权限管理 信道保护 安全审计 内存保护与文件系统保护 安全部署原则 操作系统安全配置 密码远程暴力破解 安全审计 针对系统的攻击 信息收集 公开信息收集-搜索引擎 信息收集与分析的防范 缓冲区溢出 缓冲区溢出基础-堆栈、指针、寄存器 缓冲区溢出简单示例 程序溢出堆栈情况 缓冲区溢出攻击过程 缓冲区溢出的防范 恶意代码防护 恶意代码传播方式 恶意代码的预防技术 恶意代码检测技术-特征码扫描 恶意代码检测技术-行为检测 恶意代码分析技术 恶意代码的清除
高风险判定-安全计算环境篇.docx
07-30
《高风险判定指引》在“安全计算环境”方面侧重于安全功能的实现,例如:口令策略设置、登录失败处理机制、访问控制措施都是较为基础的安全功能;对三级及以上系统,必须使用双因素身份认证技术的目的是:即使密码被破解的情况下,还有另一种身份鉴别机制提供双重保障,实现“纵深”防御。
安全计算环境技术分析
王明的博客
07-14 1057
安全计算环境技术分析 入侵防范分析 应对网络攻击最好的方式就是站在黑客的角度对自我网络系统进行审视,从而发现漏洞以及弥补漏洞的一种持续行为。检测自己的网络系统是否具有防病毒功能,比如暴力破解、sql注入、dnsmap扫描、traceroute追踪、nmap扫描、arp欺骗、dns欺骗、越权攻击、钓鱼攻击、回话劫持、mac地址表泛洪攻击等攻击,并站在对端角度思考问题(如图 2.8所示),并发现自己的问题。 数据备份恢复分析 灾难、DDoS 或勒索软件攻击是检测自身网络系统的备份好坏的绝对标准,灾备要做的就是
安全计算环境现状问题分析
王明的博客
07-14 813
安全计算环境现状问题分析 入侵防范-医院信息系统 医院网络中存在许多系统,其中较为重要的比如HIS(包含管理信息系统、临床医疗信息系统、医院信息系统高级应用)、pacs、lis、ICU、OA等各个系统的连接对象以及使用对象之间可能存在双向连接,因此极容易成为病毒和非法入侵者的首选对象。 目前大多数医院的信息系统如图 3.3所示,数据流经过边界安全之后,便可以和信息系统进行交互,我认为存在以下几点隐患: 1 信息系统搭载的平台一般都是Windows server 服务器,Windows server 相对于
第五章:计算环境安全
weixin_42454262的博客
03-12 596
等保知识|测评高风险项详解:安全计算环境
热门推荐
jojo705的博客
03-05 1万+
等级保护2.0标准的“安全计算环境涉及网络设备、安全设备、主机设备、数据库、应用系统及数据等方面的安全要求。这些设备、应用系统正是黑客攻击的重点目标,经过分析大量安全事件及攻击手段后不难发现,等级保护2.0标准在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等控制点提出的相关安全功能及要求,正是抵御黑客攻击的重要手段。 因此,《高风险判定指引》在“安全计算环境”方面侧重于安全功能的实现,例...
天津市水环境安全评价及其指标体系研究 (2016年)
05-11
以驱动力、压力、状态等5项指标作为准则层,共选取了人口密度、人均生活用水量、废水排放量、水资源总量、城市水达标率等20项指标,对天津市2009―2011年城市水环境安全状况进行了等级评价计算。结果表明,2009年水环境...
环保科技公司技术中心环境安全管理考核指标.doc
12-24
文档标题和描述提到了“环保科技公司技术中心环境安全管理考核指标”,这主要涉及到企业在环境保护和安全生产方面的管理和评估标准。这份文档可能是一份详细的考核体系,用于衡量技术中心在环境保护和安全方面的工作...
计算环境安全_v4.2.pdf
12-21
计算环境安全
网络安全等级保护基本要求解读-安全计算环境-应用+数据-李润之.pdf
01-22
网络安全等级保护基本要求解读-安全计算环境-应用+数据
安全计算环境windows服务器测评作业指导书
11-05
安全计算环境windows服务器测评作业指导书 ZDJY/ZY-GX03-2.0 等保2.0测评机构测评实施的测评项和测评实施内容,只包含上位机安全计算环境三级部分内容。
测评指标-安全计算环境
最新发布
qq_44796030的博客
03-04 1778
a、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息应具有复杂性要求并定期更换。b、应具有登录失败处理功能,并配置启用结束会话、限制非法登录次数和登录连接超时自动退出等相关措施。c、当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。d、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
等保测评高风险判定——第四章 安全计算环境(数据安全
qq_44713337的博客
03-23 3165
提示:文章如有错误,欢迎指出。 文章目录前言**等保测评高风险判定——第四章 安全计算环境(数据安全)**安全计算环境(数据安全)二级及以上系统高风险判定1.1 数据备份措施缺失1.2 鉴别信息释放措施失效1.3 违规采集和存储个人信息1.4 违规访问和使用个人信息1.5 云服务客户数据和用户个人信息违规出境三级及以上系统高风险判定2.1重要数据传输完整性保护措施缺失2.2重要数据明文传输2.3重要数据存储保密性保护措施缺失2.4异地备份措施缺失2.5 数据处理系统冗余措施缺失2.6 敏感数据释放措施失效
等保下的安全计算环境建设对策
王明的博客
07-14 644
安全计算环境建设对策 信息系统入侵防范对策 在网络安全界中一直有一句话“没有绝对的安全”,所以信息系统的攻击防护做不到绝对,但是所有的安全公司都在尝试创造安全的最高峰。安全的对象是数据,防护的对象是人,防止非法人员对有效数据的窃取,所以还是需要以人为本,增强安全管控。信息系统的安全防护应该是一个完整、有规范的系统规划,如图 4.3所示,把整个网络系统进行分区管理,边界防护区采用安全设备进行防护,边界服务器区域将服务器进行统一管控,隔离交换区进行内外网数据的交互以及监控,医疗信息系统区域进行资源的整合。 首先
《CISP》(九)计算环境安全
qq_43681877的博客
01-20 3300
本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定 目录一、操作系统安全1、标识与鉴别(1)Windows的身份标识与鉴别(2)Linux身份标识与鉴别2、访问控制3、权限管理4、信道保护5、安全审计 一、操作系统安全 1、标识与鉴别 (1)Windows的身份标识与鉴别 使用 SID安全标识符 在系统内部进行标记 Windows本地登录验证身份鉴别通过安全通道,将用户鉴别信息与预先存储的信息进行对比 Windows本地用户信息加密存储在注册表中,只有system账户才有权限进行访问 .
等级保护2.0要求_等级保护2.0 安全计算环境要求
weixin_39631953的博客
12-14 3489
作者:金玲“随着《网络安全法》的不断推进,网络安全等级保护制度的不断完善,网络安全已经渗透到了各行各业。等级保护2.0是一部完整的以技术保障为基础、以管理运营为抓手、以监测预警为中心、以协同响应为目标的网络安全防御体系框架性指导标准与规划建设指南。等级保护2.0的技术保障体系虽然延续了等级保护1.0中的以资产(网络与信息系统)防护为目标的安全保障思路,但是在控制层面上进行了重新的划分,尤...
网络安全现状如何?
Spontaneous_0的博客
08-01 263
网络安全行业是有门槛的,但很多从业人员都是在入门水平。面对网络安全的职业发展,很多人都是没想明白就糊里糊涂入了行。按部就班的做了许多年,当身上的担子越发沉重时才开始着急未来的发展,此时却已经错过了最好的时间。现在很难找到单纯的网络安全工程师职位,就是要么只懂安全设备,要么只懂攻击或者防护,即使你是纯web渗透工程师,但就中国行情而言,大厂就那么几个,高薪岗位凤毛麟角,现在虽然缺人,但是对技术能力的要求也都很高。现状是高级网安大牛很少,底层安服仔很多,苦逼的新手很多。新手成长和坚持下来的很少。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值