达梦数据库 等保测评指导书1.身份鉴别 安全闲碎

达梦数据库 等保测评指导书1.身份鉴别

测评项:a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;测评方法:1)访问【DM管理工具界面】,询问管理员使用哪种鉴别方式登录数据库并验证登录过程;2)通过【数据库查询窗口】执行“SELECT USERNAME FROM  DBA_USERS;”命令可以看到用户列表,查看是否存在登录名相同的账户;<经不严谨的测试发现,无法创建同名账户>3)登录数据库并验证登录过程,验证是否存在空口令账户;<经不严谨的测试发现,空口令无法登录>4)通过【数据库查询窗口】执行“SELECT USERNAME,PASSWORD_VERSIONS,EXPIRY_DATE FROM DBA_USERS;”命令可以看到口令策略与口令有效期;<用户口令最长为48字节,系统支持的口令策略有:·         0 无策略·         1 禁止与用户名相同·         2 口令长度不小于9·         4 至少包含一个大写字母(A-Z)·         8 至少包含一个数字(0-9)·         16 至少包含一个标点符号(英文输入法状态下,除“和空格外的所有符号)>或在【用户】列中,依次右键点击所有用户,点击【修改】,点击【资源限制】,可以看到口令策略与口令有效期。测评项:b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;测评方法:1)在【用户】列中,依次右键点击所有用户,点击【修改】,点击【资源限制】,可以看到登录失败处理功能是否开启,查看登录失败次数及口令锁定期;测评项:c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;测评方法:1)通过【数据库查询窗口】执行“SELECT * FROM V$PARAMETER  WHERE NAME='ENABLE_ENCRYPT' OR NAME='COMM_ENCRYPT_NAME';”命令查看是否使用SSL加密通信。 <ENABLE_ENCRYPT为1则采用SSL加密,COMM_ENCRYPT_NAME为空则不进行加密;数据库服务器所在目录下的server_ssl子目录中存放CA的证书、服务器的证书和服务器的密钥,同时在客户端所在目录下的client_ssl子目录中存放CA的证书、客户端的证书和客户端的密钥,这样服务器和客户端的通信即是建立在加密的SSL连接之上的。>测评项:d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。测评方法:1)询问并查看数据库管理员在登录数据库的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、数字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。 本文始发于微信公众号(网络安全等级保护交流):达梦数据库 等保测评指导书1.身份鉴别
阅读全文
2021版等级测评报告模板修订总结 云安全

2021版等级测评报告模板修订总结

原创丨毛华庆出品丨北京一等一技术咨询有限公司独家授权,未经许可不得转载总体注意事项PART/011.要注意红色字体,例如:如果云服务客户业务应用系统同时部署在不同模式的云计算平台上时,可使用多个等级测评结论扩展表(云计算安全)来展示。例如:大系统如果部署在多个云平台,多个云平台要看成多个测评对象,分别给出等级测评结论扩展表(云计算安全);2.算法变化超级大,主要是原来的算法得分比较集中(75-85区间比较集中),新的算法会使得分数差异变大;3.填写表格要注意前后的一致性;4.执行时间为:2021年6月18日。总体修订情况说明总共三大块:1、技术修订:公式、一些评定合格的方式有变化2、格式修订:表格等格式上规范报告内容3、说明修订:主要是模板中红色字体部分技术修订1.调整综合得分计算公式:从原来的10个安全层面计算变成了从技术和管理两方面计算,从原来根据符合标准情况累加计算变成了扣分计算,额外添加关注系数,这块后面估计还要额外写。2.根据将数据作为独立测评对象,单独列出数据安全测评结果,突出各类数据安全防护情况。3.保留控制点符合情况统计表,删除控制点得分计算。综合得分计算修订缺陷扣分规则就是不符合或者部分符合要扣分,按特定倍数来扣:1、先计算单个测评项的基准分S2、一般测评指标:部分符合,扣0.5×S分;不符合,扣S分3、重要测评指标:部分符合,扣1倍S分;不符合,扣2×S分4、关键测评指标:部分符合,扣1.5×S分;不符合,扣3×S分5、设置关注系数:关注系数统一发布,明确技术、管理的占比。关注系数的原理是看政策对技术还是管理的侧重,另外也考虑到在控制点或者说标准要求上,技术和管理的要求在数量上是不匹配的,乘以这个系数或者说权重,相当于对计算出来的得分进行归一化。测评指标的类别:一般、重要、关键有额外的权重表,分别对应0.4、0.7、1。综合得分公式:记总体分数为M,则V t表示技术Technology类总体得分;V m 表示管理Management类总体得分。V t 的计算公式为:V m 的计算公式为:上面两个公式可以简化写为一个式子这里看上去很复杂,先来化简一下,这里y yy是关注系数,是官方统一发布的常数,目前是0.5,带入上面,变成:看上去技术和管理的计算都非常相似,这里面ω k 代表当前测评指标的类型,上面说了,有三种:一般、重要、关键,这里ω k 经过函数f ff后,变成:ω k是原来的权重表中的0.4/0.7/1,这三个值分别对应一般/重要/关键。S是单个测评项的基准分,还不知道这里n nn代表什么,猜测是测评的项数有关:xk是测评结果,分别不符合、部分符合、符合,取值对应0,0.5,1,即:看到这里估计还有很多小伙伴不明白,我们举个例子,如果有一个测评项a,它属于关键测评指标,则f(ωk)=3,如果它测评结果是不符合,那么x k = 0 ,则1 − x k = 1 该测评项的基准分是S 的话:从这个例子可以看到,如果是关键测评指标不符合,扣分非常严重。假设一个系统大多数关键测评指标不符合,那么就会导致19版的分数换算到21版的分数就会变低。官方做了实验:这里面相差最大的就是所有指标均为部分符合的情况,由于是部分符合,按照2019版本的计算公式,是按照2021公式计算:总体来说:1.关键指标非常重要,如果关键指标不符合太多项新版会不及格。2.新版计算貌似更加简单,但是应该还涉及多个测评对象的问题,应该和原来的计算方式相同,等实操后再补充。3.估计这个世界上不会有哪个系统能拿满分,意味着肯定会有扣分,也就是说V t或者V m都不可能等于0,更不用说有小于0的情况,所以,我认为系统最后的综合得分公式可以写为:将数据作为独立测评对象在2021新版报告里面,单独加上了数据这块内容,分别加在了正文3.4.6节和附录A.9 中,这块需要填写什么?附录A.9模板的填写说明为:以列表形式描述具有相近业务属性和安全需求的数据集合。数据资源一般包括鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等。安全防护需求一般从保密性、完整性等方面进行分析。是不是看不懂🤔?要正确填写先要搞清楚数据在整个系统有很多种,测评涉及的维度也很多,我简单整理一个表就很清楚了:格式修订10类1.等级测评结论扩展表:明确其适用场景,给出表格填写说明,给出平台服务能力描述方式。说明:加了等级测评结论扩展表(大数据安全)、等级测评结论扩展表(云计算安全)两个扩展表的说明,里面以四级系统为例给出了平台服务能力描述。就是把等保标准里面的大数据和云计算的指标替换过来了。这里要注意,如果一个大的系统部署在两个云平台(或者部署在同一个平台的两种服务模式),那么要填写两张等级测评结论扩展表(大数据安全)。2.主要安全问题及整改建议:给出了本节内容编写示例,规范全国测评机构报告编写风格。说明:这里要根据等保标准里面的要求大类(安全物理环境、 安全通信网络、 安全区域边界、 安全计算环境、 安全管理中心、 安全管理制度、 安全管理机构、 安全管理人员、 安全建设管理、 安全运维管理…如果有扩展要求继续加)分别填写。填写格式为:(序号)问题1描述整改建议描述(序号)问题2问题3描述整改建议描述上面的问题要和报告5章列出的所有安全问题对应,可以多个问题合并给出建议3.不适用安全要求指标:明确不适用指标填写要求,给出了不适用安全要求指标表格。2.2.4不适用安全要求指标填写时注意,只能填写那些所有测评对象都不适用的指标。对于仅某个对象不适用的指标不填写在本节表格,填写到该对象的测评结果(附录C)中即可。4.等级测评结论:给出了“优、良、中、差”四个等级测评结论编写示例,规范全国测评机构报告编写风格。说明:给出了四个样例:本次等级测评的综合得分为95,且不存在中、高等级安全风险,等级测评结论为优。本次等级测评的综合得分为90,但存在中等级安全风险,等级测评结论为良。本次等级测评的综合得分为75,且不存在高等级安全风险,等级测评结论为中。本次等级测评的综合得分为85,但存在高等级安全风险,等级测评结论为差。5.附录H和附录I。明确其适用场景,给出内容编写要求。说明:附录H是云计算平台测评及整改情况,附录I是大数据平台测评及整改情况这两个找系统托管的厂家要。6.测评对象选择结果,调整分类方式,明确填表要求。说明:多加了2.3.2.6其他设备,加了2.3.2.9数据类别其他设备指:移动互联的移动终端、物联网的感知终端、工业控制系统的控制设备等。数据类别上面有讲,不啰嗦。系统管理软件/平台指:系数据库、中间件、网管软件/平台、安管软件/平台、云计算管理软件/平台等。7.验证测试:给出了漏扫和渗透的编写要求,给出了相关表格进行规范。说明:漏扫和渗透给出了具体表格,要把漏扫和渗透的结果填到表格里面,漏洞多的时候可以只填高危漏洞。8.整体测评结果汇总:给出了整体测评编写要求,给出了相关表格进行规范。说明:给出了具体表格和示例,表格问题编号要和3.13.2安全问题汇总表的编号要对应。9.附录B上次测评问题整改情况:给出了本节内容编写要求,给出了相关表格进行规范。说明:要核查上一次测评报告中的《主要安全问题及整改建议》,核查整改情况。1).如果是部分整改判断为未整改;2).不是全部问题,是主要问题。10.附录D单项测评结果记录,给出了单项测评结果记录表格。说明:略说明修订略其他说明封面的被测单位和基本信息表的被测单位可能不一致,前一个是签合同给钱的主,后一个是被测的主。报告中的编号带括号的必须是中文括号。参考文献:等级测评报告模板(2021版)模板培训ppt,可在网上百度关注我们联系我们 本文始发于微信公众号(等级保护测评):2021版等级测评报告模板修订总结
阅读全文
云等保合规建设必读 云安全

云等保合规建设必读

又是一年高考季,大家在祝福考生的同时,也热衷于吃瓜看戏,讨论考题考点。众所周知,高考战场上既有用于拉开差距的拉分题,也有普惠众生的送分题。高考一年一次,而各位信息主管和安全负责人,则在无时不刻地面对着等保大考。这场永不落幕的大考中,你能分清哪些是送分题,哪些,是送命题吗?2021年全国统一(云)等级保护测评测评通知面向对象:云服务方、云租户准考证号:2021000000测评内容:等保2.0测评时间:全年在“十四五规划”的开局年之际,等保大考不仅影响着我国数字产业相关信息技术领域的发展程度,还直接关系到企业自身的网络安全。在国家层面上,也通过《网络安全法》作为法律依据,明确了企业不做等保的行为就是违法。但是由于不同地区不同企业对等级保护制度的认知程度不同,应对的积极性也不同。于是,企业因网站防护薄弱,相关信息系统网站遭到篡改并发布有害信息等社会新闻屡见不鲜。因为企业网络安全防护不到位所带来的信息泄露、勒索或者系统停用也会给社会和相关用户造成不良影响。此外,企业自身的品牌形象不仅受到损害,还需承担相应执法机关做出的金额罚款。 图片来自网络哪怕同类社会新闻层出不穷,很多企业在享受上云带来的各种便利的同时,依旧没能意识到实施等级保护在自身企业形象、社会及法律层面的重要性,而且还对云等保存在理解误区:送分题?散财题?1、误区一:我的系统已经上云了,系统就不用去定级了2、误区二:我是云租户,云平台的等级跟我没关系3、误区三:上云,全部安全就由云服务商负责对于想顺利通过(云)等保大考,完善自身云上系统安全监测及防护能力的企业而言,这几个问题处理得好,就是“关键考点”,处理不好,就是“散财题”。仔细分析这几个问题的话,会发现,其实这几个问题涉及到(云)等保是什么、(云)等保怎么做。云等保是什么云等保不是新鲜事物,而是在安全通用基本要求的基础上新增了云等保拓展要求。云等保对比传统等保而言,定级、备案、建设整改、测评、监督检查等环节都必不可少,云等保总体分为两个部分,技术要求及管理要求。除了物理和环境安全,还有云平台的基础框架安全建设,就是网络和通信安全中的一部分,都是不需要云租户自己建设的,而其它技术要求则需要通过云上安全服务产品进行满足。在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。同时云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。在明确完被测系统是云计算平台还是业务应用系统后,上面几个问题就有了清楚的答案:标准答案!1、我的系统已经上云了,系统就不用去定级了?不行,要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。2、我是云租户,云平台的等级跟我没关系不对,云平台的等级要不低于云上租户的业务应用系统的最高级。且明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。3、上云,全部安全就由云服务商负责不对,云计算环境的安全性由云服务商和租户共同保障。云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任则由双方共同承担,越靠近底层的云计算服务(即IaaS),云服务商的管理和安全责任越大;反之,云租户的管理和安全责任越大。云等保怎么做安全狗云磐·基于云等保2.0安全合规的第三方中立安全托管服务方案基于目前企业上云以及业务互联网化后所面临的的云上安全隐患以及云等保2.0 合规问题,安全狗提出第三方中立云等保2.0安全合规解决方案,全面适配各类公有云、私有云及跨云场景等保合规需求,一方面提升云上安全检测防护能力,另一方面围绕云等保合规要求所涉及的网络和通信安全、设备和计算安全、应用和数据安全各层面条款,提供相应的安全防护服务支撑。一个中心:云安全管理平台(安全管理中心)提供两种管理视角,云计算平台安全管理视角和云上业务应用系统安全管理视角,分别从不同的维度对整个云计算环境做安全管控。提供日志监控、告警中心、策略管理、安全防护、数据分析、状态监控等功能,满足安全管理中心标准中对安全集中管控的要求。提供等级保护套餐服务,用户可以一键获取满足等级保护二级和等级保护三级所需的安全能力,帮助用户轻松过等保。三重防护:纵深防御安全体系、安全资源池(通信网络安全、区域边界安全、计算环境安全)以SECaaS(Security as a Service)安全即服务为核心,通过对各类安全资源的管理、调度、编排,将安全产品的能力抽象汇聚到弹性的安全资源池,将安全能力资源池化、服务化、运营化,使安全能力全面适配各类云平台云环境,对云环境所面临的各类安全风险进行持续的管理和评估,为安全运维运营能力薄弱的用户提供一站式的云安全产品与服务。全方位构建事前预防、事中响应、事后审计的闭环安全保障体系,各安全组件防护相互联动,策略自动调优,帮助用户落实云等保2.0的安全防护价值。安全狗等保方案为何能助力过(云)等保测评?安全责任边界清晰:安全管理平台提供不同的视角,分配不同的权限,全面实现对云计算环境的安全管理,云服务商与云服务客户权限隔离,明晰各自的安全责任边界。一站式云安全托管服务解决方案:安全资源池安全能力完备,可满足用户不同维度的安全需求,构成检测、监测、响应、审计的全过程、立体化全防护体系。提供等级保护套餐服务:根据等级保护标准的不同要求,为用户提供等级保护二级套餐和等级保护三级套餐,帮助用户轻松过等保。安全可视化:通过统一的可视化的管理平台,帮助用户快速掌握安全动态数据,提升安全管理效率。当云等保解决方案能方方面面地符合企业管理层的过保要求后,考验灵魂的问题来了!预算!预算!预算!这不,临近6duo1 shou 8jie,安全狗也借着自身云磐升级之际,准备搞事点击本文末“阅读原文”或访问 https://fortcloud.safedog.cn/passport/2021618/act 参与618活动扫描上面二维码,在线等勾搭 本文始发于微信公众号(等级保护测评):云等保合规建设必读
阅读全文
商用密码应用安全性评估测评系列材料【补充 】 未分类

商用密码应用安全性评估测评系列材料【补充 】

《商用密码应用安全性评估管理办法》《商用密码应用安全性测评机构管理办法》《信息系统密码应用基本要求》《信息系统密码应用测评要求》https://www.oscca.gov.cn/sca/xwdt/2020-12/08/1060792/files/d2f1665e78bb4c658ca06bfaaa16eae1.pdf《商用密码应用安全性评估测评作业指导书(试行)》《信息系统密码应用测评过程指南》https://www.oscca.gov.cn/sca/xwdt/2020-12/08/1060792/files/f84f69611d764ab8be17ea1be3332b5b.pdf《信息系统密码应用高风险判定指引》https://www.oscca.gov.cn/sca/xwdt/2020-12/08/1060792/files/c45eb79325bd44e2a768c90527261d30.pdf《商用密码应用安全性评估量化评估规则》https://www.oscca.gov.cn/sca/xwdt/2020-12/08/1060792/files/b3efec60b86b47788c2eee258fd904eb.pdf《商用密码应用安全性评估报告模板(2020版)》https://www.oscca.gov.cn/sca/xwdt/2020-12/08/1060792/files/7ff1dcf8091c4f1d88b9353874ab4911.docx《商用密码应用安全性评估对象基本情况调研表》文件下载地址:https://www.oscca.gov.cn/sca/xwdt/2020-12/08/content_1060792.shtml《信息系统密码应用测评要求》等5项 密码应用与安全性评估指导性文件发布发布日期:2020-12-08来源:国家密码管理局【字体:大 中 小】打印     依据《中华人民共和国密码法》等法律法规,中国密码学会密评联委会组织编制了《信息系统密码应用测评要求》等5项指导性文件,现已公开发布,可供相关单位开展商用密码应用与安全性评估工作参考。有关问题建议,可发送邮件至[email protected]。附件:1.信息系统密码应用测评要求   2.信息系统密码应用测评过程指南   3.信息系统密码应用高风险判定指引   4.商用密码应用安全性评估量化评估规则   5.商用密码应用安全性评估报告模板(2020版)《商用密码应用方案》http://www.tjgmj.gov.cn/aRCtrl/toCryAppScheme.do《政务信息系统密码应用与安全性评估工作指南》https://www.oscca.gov.cn/sca/xwdt/2020-09/16/1060781/files/e96db2ce62e24aa4866bad73ee4f21ce.pdfhttps://www.oscca.gov.cn/sca/xwdt/2020-09/16/content_1060781.shtml《政务信息系统密码应用与安全性评估工作指南》公开发布 发布日期:2020-09-16来源:国家密码管理局【字体:大 中 小】打印     根据《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)密码应用与安全性评估要求,依据《中华人民共和国密码法》及商用密码管理规定,中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(2020版)已于日前发布,用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。附件:《政务信息系统密码应用与安全性评估工作指南》(2020版)政务网站系统国产密码应用方案1. 概述根据有关资料,截止2018年6月1日,我国正在运行的政府网站有22206家。截止2019年3月18日,天津市在线运行政府网站共113个。根据CNCERT/CC 2018年年报,2018年,CNCERT/CC自主监测发现约5.3万个针对我国境内网站的仿冒页面,页面数量较2017年增长了7.2%。其中,仿冒政务类网站数量明显上升,占比高达25.2%。2018年,被篡改的政府网站216个(2017年为618个)。由此可见,政务类网站的安全性不容忽视。政务类网站建设可参照GB/T 31506-2015 《信息安全技术政府门户网站系统安全技术指南》,其安全基础设施包括可信路径、公钥基础设施等。政府门户网站系统逻辑结构示意图2. 政务网站密码安全需求对存储的网页进行完整性保护,避免非法篡改对访问系统的管理员身份进行鉴别,以确保管理员身份的真实性,避免非法管理员进入系统;对系统重要日志进行完整性保护,避免非法人员篡改日志记录。3. 政务网站密码应用方案3.1 总体架构3.2 部署示例3.3 密码应用技术方案物理和环境安全依托于现有的机房环境和办公环境的安全措施,利用电子门禁系统对人员身份进行确认,防止非法人员进入;利用视频监控系统对人员行为进行记录。选用符合GM/T 0036标准的电子门禁系统,并对人员进出记录等数据进行完整生保护。在视频监控系统中部署视频采集加密系统,对视频监控音像记录等数据进行保护。网络和通信安全网络与通信的安全防护实施要点是保证信意内容的完整性。安全接入网关(SSL VPN产品)对网络通信进行保护,实现对网站自身身份的认证,防止网站系统的内容在传输过程中网站内容被篡改。设备和计算安全部署终端安全防护系统,结合管理员USBKey+数字证书方式,对登录计算机终端操作系统的用户身份进行鉴别,对用户登录的日志信息进行完整生保护,并对终端操作系统进行防护。应用与数据安全管理员身份鉴别、可信内容发布用户访问密钥管理方案采用某电子政务电子认证服务机构提供的电子认证服务。密钥均由商用密码产品负责全生命周期管理。网站管理员在安全接入网关投入使用前,按照密码操作规程在用户环境中对设备进行初始化,完成密钥生成。在密码产品运维管理过程中,按照密码操作规程对密钥进行备份(恢复)、归档、销毁等管理操作。密码管理人员应按照密码操作规程对密钥存储介质进行安全管理。安全管理方案密码安全管理制度和操作规范执行记录应急处置方案4. 密码设备和系统的选择应选择具有国家密码管理局颁发的商用密码产品型号证书的USBKey、SSL VPN安全网关、安全浏览器等。5. 密码算法配置与使用使用的密码产品需配置使用国产密码算法SM2/SM3/SM4。政务云系统国产密码应用方案1. 概述政务云用于承载各级政务部门公共服务、社会管理业务信息和数据,并满足跨部门业务协同、数据交换与共享的需要,提供IaaS、 PaaS和SaaS云计算服务。政务云建设涉及云建设单位、密码建设单位、政务云运营单位、政务云使用单位、云服务提供商、政务云监管以及云上的角色(党政机关用户及其业务使用者等)。政务云平台以建设和提供方的需求与服务能力,分为以提供基础设施即服务(IaaS)的政务云平台、提供平台即服务(PaaS)的政务云平台以及提供软件即服务(SaaS)的政务云平台。本方案以选择提供PaaS能力的政务云平台建设和提供方为示例政务云平台建设框架2. 密码安全需求设备和计算安全不同虚拟机之间、虚拟机与宿主机之间应进行安全隔离。虚拟机的镜像和快照应进行安全保护,保证数据的完整性。数据与应用安全数据资源及所在的网络、系统平台等需要具备详细的访问控制和审计措施来防止数据泄露。对文件系统、存储和数据库等采用加密措施,保证数据的机密性。网络、系统平台自身需要具备足够的控制和监视手段来防止信息被篡改。管理安全基础设施、密码设施的管理和使用,采用基于密码技术的多因素身份鉴别机制。采用安全的网络通信协议,保证数据的保密性和完整性。制度和人员安全云平台需具有相关的制度保证操作的规范性,避免因非法操作或误操作导致的密钥删除、密钥泄露等重大安全问题产生。3. 密码应用简要方案物理和环境安全依托于现有的机房环境的安全措施,利用电子门禁系统对人员身份进行确认,防止非法人员进入;利用视频监控系统对人员行为进行记录。选用符合GM/T 0036标准的电子门禁系统,并对人员进出记录等数据进行完整性保护。在视频监控系统中部署视频采集加密系统,对视频监控音像记录等数据进行保护。网络和通信安全远程管理采用VPN建立安全通道实现安全远程管理。VPN设备遵循GM/T 0024《SSLVPN技术规范》或GM/T 0022《IPSec VPN技术规范》等标准。设备和计算安全基础防护利用密码技术对登录虚拟化操作系统用户的身份鉴别(采用数字证书+USBKey)和访问控制以及对日志数据的完整性等进行保护。对安全能力要求高的政务云平台,应采用基于商密系列算法设计的政务云平台。密码计算资源池以实体机或利用虚拟化技术的虚拟机,为信息系统提供数据加解密、签名验签、杂凑等密码运算服务,实现信息的机密性、完整性、真实性和不可否认性保护。密码机与云密码机管理需要采用安全浏览器,可基于SM2标准SSL VPN协议,实现身份鉴别及通信的保密性和完整性。设备管理与业务管理分开,采用各级管理员基于角色的管理体系,各自具有不交叉的权限,提供证书加智能密码钥匙/智能IC卡等多因素认证手段。提供可追溯的审计记录,使用密码技术保证审计记录的完整性;保证管理员利用网络对设备进行远程管理时的身份鉴别,防止身份信息泄露。应用和数据安全数据库加密采用数据库加密系统或数据库加密网关解决数据库加密问题,并对数据库操作日志进行保护。加解密密钥由硬件密码卡/密码机产生。若采用数据库加密网关会极大的影响网络性能,涉及安全性要求较高的数据库环境,采用HSM和数据库加密软件共同完成对主密钥的保护;采用SM4算法和随机密钥对数据或字段进行加密。采用密钥管理系统实现对云中多租户、多存储类型加密需求的密码保护和管理能力。数据存储加密操作系统中部署存储加密系统软件或直接部署存储加密网关,实现对存储资源、虚拟存储、文件系统、文件数据等的加解密功能。对不同的文件和目录/文件系统/云磁盘应采用不同的加密密钥进行加密;采用SM4算法和随机密钥对数据或字段进行加密。采用密钥管理系统实现对云中多租户、多存储类型加密需求的密码保护和管理能力。应用安全在代码和应用设计部分采用符合国家相关要求的商密算法以保证其自身的安全性和健壮性。需要采用密码技术对信息系统的访问控制策略(如安全策略、资源访问控制列表等)、重要信息资源(如数据标签)等进行保护,防止被非法篡改。对重要应用程序(如重要业务系统、关键应用系统)的加载和卸载,需要采用密码技术进行控制,防止重要应用程序在加载过程中被非法篡改。密钥管理方案数字证书均通过外部电子认证服务机构统一发放和管理。密码管理人员在密码设备投入使用前,按照密码操作规程在用户环境中对设备进行初始化,完成密钥生成。在密码产品运维管理过程中,按照密码操作规程对密钥进行备份(恢复)、归档、销毁等管理操作。密钥管理系统为云计算平台、云密码功能服务、云密码业务服务、密码系统、应用终端等提供密钥管理相关的支持活动,如加密密钥托管、密钥安全隔离和存储、密钥安全访问、密钥高可用等服务的一种密钥管理基础设施。密码管理人员应按照密码操作规程对密钥存储介质进行安全管理。用户/终端私钥:用户/终端私钥可采用智能密码钥匙等硬件密码产品或软件密码产品进行保护。云服务端私钥:云服务端密钥存放在云密码资源池的硬件密码设备中。密钥加密密钥:密钥加密密钥存放在安全的硬件密码设备中或受密码设备内其他密钥加密密钥加密保护。数据加密密钥:数据加密密钥指用于数据加密存储或数据加密传输的对称密钥。数据加密密钥包括会话密钥和存储加密密钥。安全管理方案密码安全管理制度和操作规范执行记录应急处置方案4. 密码设备和系统的选择应选择具有国家密码管理局颁发的商用密码产品型号证书的服务器密码机、云密码机、密钥管理系统、USBKey、SSL VPN安全网关、数据库加密系统、安全浏览器等。5. 密码算法配置与使用使用的密码产品需配置使用国产密码算法SM2/SM3/SM4。政府机关移动办公安全解决方案1.方案背景       随着 Internet 技术和移动技术的不断发展,越来越多的政府机关已依托互联 网组建了自己的网上办公系统与业务应用系统,多数单位也已应用了移动 APP 使移动办公成为可能。       在此过程中,如何解决基于开放系统互联下的移动办公数据及文件的安全性、 个人身份认证、以及网络数据传输的安全性成为政府机关首要考虑的迫切问题。       2.安全需求分析       根据政府机关对网络信息系统建设的需要,在实现移动办公安全接入的同时, 结合国家政策对相关网络通讯协议和加密算法的要求,其安全接入需求主要如下 所述:       (1)业务系统机密数据安全保密性需求       在移动办公或移动业务操作过程中,因终端的种类较多,有各种移动 PC、 移动平板和移动手机,对于办公系统或业务系统的敏感机密数据的安全保密性要 求较高。要保障这些数据对移动终端是隔离的、安全的,并且不在移动终端设备 上存储敏感机密信息(一旦存储即存在被窃取或主动/被动数据泄露的可能)。       (2)网络通讯协议及加密算法的合规性需求       网络传输通讯协议必须符合国家密码管理局颁布的相关国家技术标准,符合 《SSL VPN 技术规范》的要求。       加密算法必须使用国家密码管理局颁布的加密算法。对数据加密的对称算法 应使用 SM1 或 SM4 算法;用于证书认证的非对称算法应使用 SM2 算法,摘要 算法应使用 SM3 算法。       (3)移动设备、网关设备与用户的管理与安全性需求       对所有移动设备、网关设备和移动用户采用统一、严格的身份认证和集中管 理;需实现实时监控网关设备及用户工作状态,并进行详细日志记录;对移动设 备上的用户操作进行详细记录;整个系统安装方便、快捷,便于维护和管理。       3.方案综述       3.1 移动办公安全解决方案说明       根据政府机关的移动办公及移动业务操作的实际需求,我们采用经国密局鉴 定通过的 VPN 密码机、支持 SM2 证书的 CA 服务器,以及虚拟手机服务器的组 合应用解决方案,解决政府机关在移动办公及移动业务操作过程中的数据及文件 的安全保密、网络传输安全保密、人员身份认证、设备集中管理及访问控制等。具体的网络拓扑图及解决方案如下(本方案旨在表述“移动安全接入”,整体完 备的信息安全解决方案不再此表述):图 3-1    移动办公安全解决方案网络拓扑图       在政府机关内网的互联网出口处部署高端 IPSEC/SSL VPN 综合网关作为安 全接入网关。VPN 密码机内置硬件加密卡,支持 SM1、SM2、SM3、SM4 等国 产密码算法,符合国密局 VPN 技术规范要求。同时,VPN 综合安全网关集成的 防火墙功能可进行网络访问控制及网络安全防护。VPN 综合安全网关对移动用 户提供统一的基于 SM2 证书的身份认证、访问授权及隧道通讯服务。当用户通 过身份认证后,根据其角色确定相应的访问控制列表,并向终端推送授权的虚拟 手机设备连接配置以访问不同的业务系统。       在政府机关内网部署 CA 服务器,为所有移动用户签发 SM2 算法的证书, 使用证书方式对移动用户的远程接入进行身份认证。CA 服务器需符合国密局 《SM2 数字证书规范》。       在政府机关内网部署虚拟手机服务器,提供虚拟手机池为移动用户接入使用。支持虚拟手机设备的统一管理,移动应用的统一管理,移动用户使用虚拟手机的 行为安全策略管理。可根据策略让虚拟手机池中的虚拟手机设备安装不同的应用,...
阅读全文
等保2.0测评:Redis 数据库配置 安全文章

等保2.0测评:Redis 数据库配置

由于本人也不是做运维的,这个Redis数据库是一个缓存数据库,具体怎么用,在项目中怎么部署我不太清楚,这里仅针对于等保的测评要求,对其进行分析如何配置相应的策略。如有不对的地方,欢迎指正哈。前期调研针对于等保前期系统情况方面,这里我们要了解的是数据库的版本。查看数据库版本:运维人员一般都会配置redis命令的环境变量,如果下面命令不行就用 find 找吧,一些基础知识这里就不说了。1)服务器本地查看redis-server -vredis-server --version2)登录到数据库内查询登录数据库:redis-cli -h 127.0.0.1 -p 6379    -h后面跟ip,-p跟端口一般是本地登录,直接 redis-cli 即可登录,当然前提是没有修改过Redis的服务端口。登录到数据库后,我们输入:info一、身份鉴别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换1. 身份鉴别和标识默认情况下redis数据库是无口令直接登录的:直接输入redis-cli 即可登录所以我们要查看redis配置文件,一般为redis.conf,在redis主目录下查看requirepass参数是否不为注释状态:如果不是注释状态,如上图,后面跟着的 *[email protected] 就是密码,是明文存储的。如果设置过口令,则会提示注意:这里没有用户的概念,只能加一个口令验证。2. 身份鉴别信息具有复杂度并定期更改没办法满足这个要求,无口令复杂度、最长使用期限设置功能。这里核查用户当前口令复杂度是否满足要求。扩展:Redis 数据库开启口令验证1)通过配置文件进行配置在 redis.conf 中找到 requirepass foobared参数取消requirepass前面的注释,并将将foobared改成相应密码,然后重启数据库即可再尝试登录,此时可以连接,但无法执行一些相关命令需要使用auth password命令进行登录或者使用 redis-cli -h 127.0.0.1 -p 6379 -a “mypass” 进行登录(不建议使用)因为这样明文密码会留存到 history 里面,不安全。2)通过命令行配置(临时)config set requirepass ***[email protected] get requirepass然后尝试配置文件中配置的老密码登录redis,会发现原来的不可用,被拒绝但是再重启redis后,将会引用配置文件中的口令b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施1. 登录失败处理功能没有这个功能,询问管理人员是否有第三方措施。默认不符合。2. 操作超时自动退出功能查看redis配置文件,一般为redis.conf,在redis主目录下查看timeout的值,默认为0永不退出这里设置的就是,120秒退出后要求重新进行身份鉴别。超过这个时间它就要求重新进行身份鉴别了。c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听默认情况下:抓包出来是明文传输的这个要去询问管理人员是否做了相关措施防止鉴别信息在传输过程中被窃听。默认不符合。d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现这个一般不会去做,我们只要现场核查它是否使用了双因素认证就行了。二、访问控制由于Redis数据库没有用户这个概念,通过单一的口令验证就可以登录,拥有所有权限,所以针对访问控制这个控制点,有些是判不适用,有些是判不符合的,这个我觉得可以根据机构自己的要求来进行判断,毕竟目前没有一个统一的标准。a)应对登录的用户分配账户和权限无用户概念,通过口令验证,拥有所有权限。b)应重命名或删除默认账户,修改默认账户的默认口令无默认账户存在。不适用c)应及时删除或停用多余的、过期的账户,避免共享账户的存在无账户概念。d)应授予管理用户所需的最小权限,实现管理用户的权限分离无法分权,做不到。e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则无授权主体。f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级无用户概念。g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问做不到。三、安全审计a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计查看redis配置文件,一般为redis.conf,在redis主目录下查看loglevel、logfile参数,我安装的该版本默认情况下:redis支持通过loglevel配置项设置日志等级,共分四级,即debug、verbose、notice、warning。redis也支持通过logfile配置项来设置日志文件的生成位置。如果设置为空字符串,则redis会将日志输出到标准输出,日志将会发送给/dev/null。这里我们配置一下,将日志输出到如下文件中。重启后,日志就会写入到这个文件中所以这里我们要确定两个参数:loglevel、logfile。且logfile必须要配置,因为不配置就不会留存对应的日志了。b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息默认符合,日志时间跟随系统时间。比如我刚重启了数据库,就会产生对应日志。c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等存储在操作系统上的日志文件权限,不得超过644,默认不删应该永久保存。定期备份问题,询问管理人员是否有做即可。d)应对审计进程进行保护,防止未经授权的中断默认符合。无法中断日志文件输出,但是可以修改日志记录等级。四、入侵防范以下条款为:不适用a)应遵循最小安装的原则,仅安装需要的组件和应用程序b)应关闭不需要的系统服务、默认共享和高危端口d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警涉及到的:c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制找到redis的配置文件,一般为redis.conf,可以先找NETWORK,下面会有个bind注释情况下为任意IP访问,可设置指定 IP,以空格分割。这里只要看bind后面跟的ip地址即可。e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞这条就结合漏扫、测试等方法进行判断,redis这玩意可是出了名的漏洞多。。像非授权访问漏洞,本地也测试过能成功,这里就不细说了,交给渗透工程师去看吧,然后我们等保的拿他们的报告确认是否存在对应漏洞即可。五、数据完整性针对这个数据库,下面两条默认都是不符合。询问管理人员是否做了相关措施来保证数据的完整性。a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等六、数据保密性这个保密性同理,针对这个数据库,下面两条默认都是不符合。询问管理人员是否做了相关措施来保证数据的保密性。a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等七、数据备份恢复a) 应提供重要数据的本地数据备份与恢复功能这个没啥好说的,直接去问管理人员备份怎么做的,是否有措施保证备份数据有效(有测试记录即可)。b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地询问管理员c)应提供重要数据处理系统的热冗余,保证系统的高可用性这个根据实际情况来看,是否有热冗余的必要性。没有个人认为可判不适用。精彩推荐 本文始发于微信公众号(FreeBuf):等保2.0测评:Redis 数据库配置
阅读全文
等保2.0 | 安全计算环境(三级)测评方法及步骤 云安全

等保2.0 | 安全计算环境(三级)测评方法及步骤

文章来源:天億网络安全等保2.0已正式发布,实施时间2019年12月1日,天億参考新版等保基本要求和测评要求整理测评指导书逐渐分享给大家,内容包括:安全通用要求、云计算、移动互联、物联网、工业控制系统!    通用部分包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面。如需要整套等保2.0(二级、三级)EXCEL格式测评指导书可以加入天億网络安全知识星球获得!今天给大家分享的是通用部分【安全计算环境】(三级)测评指导书!8.1.4.1 身份鉴别a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查用户在登陆时是否采用了身份鉴别措施;2、应核查用户列表确认用户身份标识是否具有唯一性;3、应核查用户配置信息或测试验证是否不存在空口令用户;4、应核查用户鉴别信息是否具有复杂度要求并定期更换。 b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否配置并启用了登录失败处理功能;2、应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账号锁定等;3、应核查是否配置并启用了登录连续超时及自动退出功能。 c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。 d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;2、应核查其中一种鉴别技术是否使用密码技术来实现。 8.1.4.2 访问控制a) 应对登录的用户分配账户和权限;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否为用户分配了账户和权限及相关设置情况;2、应核查是否已禁用或限制匿名、默认账户的访问权限。 b) 应重命名或删除默认账户,修改默认账户的默认口令;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否已经重命名默认账户或默认账户已被删除;2、应核查是否已修改默认账户的默认口令。 c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;2、应测试验证多余的、过期的账户是否被删除或停用。 d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否进行角色划分;2、应核查管理用户的权限是否已进行分离;3、应核查管理用户权限是否为其工作任务所需的最小权限。 e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否由授权主体(如管理用户)负责配置访问控制策略;2、应核查授权主体是否依据安全策略配置了主体对客体的访问规则;3、应测试验证用户是否有可越权访问情形。 f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:应核查访问控制策略的控制粒度是否达到主体为用户级别或进程级,客体为文件、数据库表、记录或字段级。 g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否对主体、客体设置了安全标记;2、应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。 8.1.4.3 安全审计a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否开启了安全审计功能;2、应核查安全审计范围是否覆盖到每个用户;3、应核查是否对重要的用户行为和重要安全事件进行审计。 b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查是否采取了保护措施对审计记录进行保护;2、应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。 d) 应对审计进程进行保护,防止未经授权的中断。测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。 8.1.4.4 入侵防范a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等;测评方法:1、应核查是否遵循最小安装原则;2、应核查是否未安装非必要的组件和应用程序。 b) 应关闭不需要的系统服务、默认共享和高危端口;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等;测评方法:1、应核查是否关闭了非必要的系统服务和默认共享;2、应核查是否不存在非必要的高危端口。 c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等;测评方法:应核查配置文件或参数是否对终端接入范围进行限制。 d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;测评对象:业务应用系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块;2、应测试验证是否对人机接口或通信接口输入的内容进行有效性检验。 e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:1、应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞;2、应核查是否在经过充分测试评估后及时修补漏洞。 f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备等;测评方法:1、应访谈并核查是否有入侵检测的措施;2、应核查在发生严重入侵事件时是否提供报警。 8.1.4.5 恶意代码防范应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、移动终端、移动终端管系统、移动终端管理客户端和控制设备等;测评方法:1、应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;2、应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为;3、应核查当识别入侵和病毒行为时是否将其有效阻断。 8.1.4.6 可信验证可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。测评对象:提供可信验证的设备或组价、提供集中审计功能的系统;测评方法:1、应核查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;2、应核查是否在应用程序的关键执行环节进行动态可信验证;3、应测试验证当检测到计算设备的可信性受到破坏后是否进行报警;4、应测试验证结果是否以审计记录的形式送至安全管理中心。 8.1.4.7 数据完整性a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;测评对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等;测评方法:1、应核查系统设计文档,鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术和密码技术保证完整性;2、应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改、是否能否检测到数据在传输过程中的完整性收到破坏并能够及时恢复。 b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。测评对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等;测评方法:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中等。 8.1.4.8 数据保密性a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;测评对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档等;测评方法:1、应核查系统设计文档,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性;2、应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。 b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。测评对象:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据;测评方法:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据等。 8.1.4.9 数据备份恢复a) 应提供重要数据的本地数据备份与恢复功能;测评对象:配置数据和业务数据;测评方法:1、应核查是否安装备份策略进行本地备份;2、应核查备份策略设置是否合理、配置是否正确;3、应核查备份结果是否与备份策略一致;4、应核查近期恢复测试记录是否能够进行正常的数据恢复。 b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;测评对象:配置数据和业务数据;测评方法:应核查是否提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地。 c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。测评对象:重要数据处理系统;测评方法:应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等)是否采用热冗余方式部署。 8.1.4.10 剩余信息保护a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;测评对象:终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。 b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。测评对象:终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等;测评方法:应核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。 8.1.4.11 个人信息保护a) 应仅采集和保存业务必需的用户个人信息;测评对象:业务应用系统和数据库管理系统等;测评方法:1、应核查采集的用户个人信息是否是业务应用必须的;2、应核查是否制定了相关用户个人信息保护的管理制度和流程。 b) 应禁止未授权访问和非法使用用户个人信息。测评对象:业务应用系统和数据库管理系统等;测评方法:1、应核查是否采用技术措施限制对用户个人信息的访问和使用;2、应核查是否制定了有关用户个人信息保护的管理制度和流程。 以下为测评指导书EXCEL格式,加入天億网络安全知识星球可获得:等保2.0测评指导书综合版;内容包含:通用部分、云计算、移动互联网、物联网、工控所有测评指导书!加入星球即可获得整套测评指导书同时加入星球VIP会员群,和大佬一起探讨学习!☆ END ☆联系/合作/投稿邮箱:[email protected]你点的每个赞,我都认真当成了喜欢 本文始发于微信公众号(安全365):等保2.0 | 安全计算环境(三级)测评方法及步骤
阅读全文
最新丨全国网络安全等级保护测评机构推荐目录 云安全

最新丨全国网络安全等级保护测评机构推荐目录

来源丨网络安全等级保护网根据国家网络安全等级保护网最新公布,截至2021年6月24日,我国等保测评机构已达到 207 家。☆ END ☆联系/合作/投稿邮箱:[email protected]你点的每个赞,我都认真当成了喜欢 本文始发于微信公众号(安全365):最新丨全国网络安全等级保护测评机构推荐目录
阅读全文
等保测评升级驱动网安需求大提升 云安全

等保测评升级驱动网安需求大提升

内容来源丨计算机文艺复兴产业调研系列— 作者:李沐华 —1、等级保护制度的发展历程早在1994年国务院147号令就首次提出了等级保护制度,2007年是等保1.0,2017年颁布了网络安全法。2019年实行了等保2.0的新标准。从这个过程来看,我们可以做一个判断,不做等保就有违国家法律。这个过程中涉及几个角色。第一个是运营使用单位,决定了等保的市场有多大,几乎所有的能够对外提供服务的网站、系统国家都规定要过等保,大家可以设想一下日常使用的APP和网站有多少。第二个角色是GongAn机关,做监督检查的角色,除此之外,建设过程中还有两个角色,大型安全厂商是建设方,提供安全设备和能力,还有测评机构,承接定级咨询服务,以及做测评,这四个角色构成了等级保护的整体流程。等级保护制度分为两个部分:等保有一个技术体系要求,还有一个管理体系要求。技术体系要求有五个组成部分,子项就是一些具体技术点了。管理体系又包括相关的管理制度,安全管理机构,明确安全管理人员,安全建设未来怎么管理,包括出现问题以后怎么运维。回归到等保的目的,本身就是强制要求所有的运营单位必须做这个事情。发展到现在大家还会提HW,这个过程中有行业HW,也有国家级HW。为什么有了等保制度还要做HW呢。等级保护制度更加倾向于及格线,所有单位都要过这个东西,但是它只是网络安全的下限。导致很多小的机构,刚开始不重视网安,也必须要做这个事情。2、等级保护测评的变化内容回到第二个议题,等保测评的变化内容。GongAn部在今年6月17号组织了所有等保测评机构做线上培训,没有任何发文。等保类似于最基本的考试,等保测评模板改变意味着考试难度在变,它是默默给考场和考官提高难度。修订的有几个方面,第一个是技术方面发生了变化,第二个无关紧要是测评文件格式变了,第三个是引入了一个非常有前景的东西,就是数据资产也要列入等级保护的测评对象。技术范围修订是测评得分的逻辑完全发生了改变,公式很复杂。这个东西代表了,之前是加分制,现在是减分制。以前达到六十分,七十分就够了,现在是扣分。有人说只不过是算法变了,但是这次扣分有个很大的变化,是扣分力度变大了,它定义了一般、重要和关键测评指标,如果是关键测评指标不满足,一次性扣三倍,重要指标一次性扣两倍,所以如果不符合是两倍三倍的扣,之前是你最多不得这一倍的分。GongAn部自己也做了一个测算,同样场景下,测出来的结果是啥呢,之前平均拿到八九十分的情况,新标准下只能拿到六七十分,平均差二十分。这个就有了差别了。它在会议当中还讲了为什么要做这次调整,这次调整非常大。因为之前的测评有三个缺陷。第一个缺陷是,按照之前的测评要求来,综合得分偏高,都在八十分以上,到底谁是优良中差拉不开,它要拉开差距,提高对网安底线的要求。第二个缺陷是,之前大家可能更加重视技术层面,管理层面倾向于有文档,但是不执行,这次明确说了,技术和管理各占50%,这种情况下,安全管理体系的要求会提升。这也要求大家落实网络安全工作的时候,不仅仅是设备,要用起来,把发散的问题解决掉。第三个缺陷是无关紧要了——19年的公式计算量比较大,这次计算量小一点。数据资产也要列入测评对象。包括重要数据,大数据等等,要针对不同类型的数据进行汇总和测评,需要对相应的数据做相应的保护,保证数据完整和保密性。我认为这一条跟前面的数据安全法比较相关。这次标志着数据安全迎来很大的风口,具体多长时间,我觉得一两年左右数据安全市场会有很大的发展。3、这次变化有哪些影响?第一点,测评要求提升了,各个单位对安全投资的力度会加大。如果说之前得分的设备不能过等保了,现在肯定要买一些设备,预算要增加,这个影响是产业层面的增长。其次是数据安全层面验证未来会成为很大的热点。但是这次没有明确说出怎么来保证,但是我自己推测,数据最根本承载的介质就是数据库,现在没有把数据库作为独立的测评对象来测评,未来是不是一个数据库或者一个数据库集来测评,是否要加数据库审计,数据库防火墙,数据库加密等等产品。另外关键的一句话,国家建立数据安全分类分级保护制度。这个跟当年网络安全法提到的一句话,国家实行网络安全等级保护制度类似。未来是否会出现数据安全的等级保护制度,这个出来可能也有很大的市场。总结一下,就是安全市场盘子在变大,第二个是数据安全会成为很大的风口。Q:什么时候能够看到需求的提升?A:今年绝对能够看到需求变化,因为6月18号必须执行新标准,建设过程中的测评项目要按照新的标准来。中腰部这块市场会飞速变大,很多测评机构过去让大家过等保会推荐堡垒机,日志审计,VPN,数据库审计等基础产品,这次变化以后按照等保的新标准判断,达不到的点会扣关键分,比如APP检测,高级威胁检测,我觉得未来要过等保,态势感知也得再来一套。如果数据资产也成为单独的测评对象的话,数据库的产品也会成为等级保护的增量。按照我的经验,过等保三级可能会花50万,加一个态势感知,业内卖都得三十万左右,保守估计也是这个幅度。Q:建设过程中等保测评要按新的来,已经建完的,建设过程中,没有建设的比例是多少?A:等级保护制度条例明确规定了,三级系统每年至少做一次复测,二级系统两年至少做一次,四级系统半年要做一次。复测过程中都要按照新标准进行。头部的企业也在不断的增加业务系统,也会有这个需求。Q:这次等保推进的节奏是先从政府,还是互联网大厂?A:没有顺序,国内全部的测评机构都要实行新的方案。Q:特殊项和关键项扣分比较多,他们这些企业肯定非常关注对吧,这些关键项对应到网络安全产品上,有哪些是关键项和特殊项?A:我自己理解现在最大改变的还是态势感知类的产品,其次是其他的技术点用传统的堡垒机、日志审计,确实能够满足,倾向于拔高。未来可能会有一些更加牛逼的代码,垃圾邮件或者网关的产品,我觉得短期主要是态势感知。因为明确说了管理制度要提升,你不仅仅要有这个制度,还要有管理流程,安全服务的能力要提升。而且需要高效的工具来闭环,按照HW的要求,现在处理这些问题还是以态势感知为核心,发现,分析,处置。Q:态势感知是不是针对被监管单位,监管单位本身的态势感知是否要提升?A:等保当中不会涉及到监管单位的态势感知,但是确实像人行这种单位要对下级单位进行监测,它会在总部落地SOC加上态势感知。Q:安全产品上,除了数据库以外,还有哪些产品?A:数据库审计,数据库加密,数据库脱敏,数据库防火墙是最基本的四个产品,大家可以搜一下,上市公司涉及的有深信服,奇安信,安恒,绿盟等。一些头部银行和金融机构请了IBM做,花了很多钱,用人工方法打标签,匹配到相应的人员和权限,但是使用效果不是特别好。就引入了一个问题,谁的产品能够更加高效的帮助大家做分类分级的工作了,未来的数据流转,交易可能都需要这样的产品。Q:我也聊过一些IT采购的下游客户,他们反映这两年很多安全政策出来,他们反映会随着新的政策在新领域投入多一点,在老的领域少投一点,是否就是态势感知和数据安全产品会比较好,老的防火墙会受损?A:我觉得不会,您可以再跟一些头部客户聊聊,我接触的头部客户都是高投入的。比如头部的券商,银行等等。Q:您刚刚提到了今年就会有比较大的提升,客户每年都有固定的安全预算,现在等保逻辑发生了变化,额外的钱从哪里来呢?A:以我的经验,真正对预算卡得严的都是相对来说封闭和保守的行业,比如说头部金融机构,高校,政府,他们都是预算制的,申报的预算固定了,就得从其他地方找。但是预算每年都会向高了报,会有一部分的富余,大部分的行业未必实行预算制呀,相对来说比较灵活一些。Q:受益的行业排序来看,大致受益的先后顺序怎么看?A:全面开花,很难排序。关注我们联系我们 本文始发于微信公众号(等级保护测评):等保测评升级驱动网安需求大提升
阅读全文
等级保护2.0常见问题集 云安全

等级保护2.0常见问题集

最近几天,整理了一下客户和同事们关于等级保护的几个问题,同时也参考引用了网络上有关等级保护的常见问题解答,汇总分享如下,希望能对大家有帮助。先看一下问题清单吧。问题清单:什么是等级保护?什么是等级保护2.0?“等保”与“分保”有什么区别?“等保”与“关保”有什么区别?什么是等级保护测评?等级保护是否是强制性的,可以不做吗?做等级保护要多少钱?等级保护测评一般多长时间能测完?等级保护测评多久做一次?是否系统定级越低越好?定级备案了是否就被监管了?等级保护工作就是做个测评吗?等级保护测评做一次要多少钱?等保测评后就要花很多钱做整改吗?过等保要花多少钱?能包过吗?做了等级测评之后,是否会给发合格证书?如何快速理解等保2.0测评结果?多长时间能拿到备案证明?两个公司的业务系统整合是否可以算一个?如何判定属于移动安全扩展要求?如何选择等级保护备案所在地?如何选择测评机构开展测评?如何确定业务系统属于等保几级?买/用哪些安全产品能过等保?现在还没做等保还来得及吗?有什么影响?业务上云后安全是云平台负责的吧?做完等级保护测评后整改周期是多久?等级保护有哪些规范标准?等级保护步骤或流程是什么样的?有哪些情况系统定级无需专家评审?业务系统在内/专网,还需要做等保吗?等级保护测评结论不符合是否就白做了?拿什么证明开展过等级保护工作?系统在云上,还要做等保吗?业务在云上,到哪里进行定级备案?Q1. 什么是等级保护?答:等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。Q2. 什么是等级保护2.0?答:“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。Q3. “等保”与“分保”有什么区别?答:指等级保护与分级保护,主要不同在监管部门、适用对象、分类等级等方面。监管部门不一样,等级保护由公安部门监管,分级保护由国家保密局监管。适用对象不一样,等级保护适用非涉密系统,分级保护适用于涉及国家密秘系统。等级分类不同,等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护);分级保护分3个级别:秘密级、机密级、绝密级。Q4.等保”与“关保”有什么区别?答:指等级保护与关键信息基础设施保护,“关保”是在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全,包括关键信息基础设施的范围、保护的主要内容等。目前《信息安全技术 关键信息基础设施网络安全保护基本要求》正在报批中,相关试点工作已启动。Q5.什么是等级保护测评?答:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。Q6.等级保护是否是强制性的,可以不做吗?答:《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必须按网络安全法开展等级保护工作。Q7.做等级保护要多少钱?答:开展等级保护工作会包含:针对业务系统开展测评的费用,以及按等级保护要求开发、购买或部署安全防护产品成本,开展安全日常运维等人力成本。总体投入的费用与网络运营者对等级保护测评结果分数的预期,以及业务系统安全防护能力建设与整改的情况而定,相应的费用投入会差距很大。为避免盲目投入这个误区,建议咨询专业安全服务咨询机构制订最高性价比的解决方案来满足合规要求又达到业务系统安全保障要求。Q8.等级保护测评一般多长时间能测完?答:一个二级或三级的系统整体持续周期1-2个月。现场测评周期一般1周左右,具体时间还要根据信息系统数量及信息系统的规模,以及测评方与被测评方的配合情况等有所增减。小规模安全整改(管理制度、策略配置技术整改)2-3周,出具报告时间1周Q9.等级保护测评多久做一次?答:根据《网络安全等级保护条例》(征求意见稿)第二十三条规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评)。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。Q10.是否系统定级越低越好?答:不是。可根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。Q11.定级备案了是否就被监管了?答:没有定级备案并不代表不需被监管,应尽快履行网络运营者的安全责任进行备案。定级备案后监管部门会在重要时候开展安全检查或发布一些针对性的安全预警,有利于网络运营者开展网络安全工作降低风险。Q12.等级保护工作就是做个测评吗?答:等级保护工作包括定级、备案、测评、建设整改、监督审查,测评只是其中一项。测评不是等保工作的结束,重要的是通过测评查漏补缺,不断改进提升安全防护能力,降低安全风险。Q13.等级保护测评做一次要多少钱?答:等级保护工作属于属地化管理,测评收费非全国统一价,测评费用每个省都有一个参考报价标准。因业务系统规模大小及是否涉及扩展功能测试不同总体测评费用也有所差异。如某省的参考报价为:二级系统测评费5万,三级系统测评费9万。Q14.等保测评后就要花很多钱做整改吗?答:不一定。整改工作可根据网络运营者对测评结果分数的期望和现有安全防护措施的实际效果是否能保障业务抵抗风险的需求按需开展。整改内容也有很多不同方向,除安全设备或服务外,安全管理制度、安全策略调整的整改成本并不高,同样也能快速提升安全保障能力。Q15.过等保要花多少钱?能包过吗?答:等级保护采用备案与测评机制而非认证机制,不存在包过的说法,盲目采纳服务商包过的产品与服务套餐往往不是最高性价比的方案。网络运营者可结合自身实际安全需求与等保测评预期得分,咨询专业的第三方安全咨询服务机构来开展等建设工作与测评机构的选择。Q16.做了等级测评之后,是否会给发合格证书?答:测评后无合格证书。等级保护采用备案与测评机制而非认证机制,公安机关只对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全等级保护备案证明,发现不符合有关标准的,通知备案单位予以纠正,发现定级不准的,通知备案单位重新审核确定。Q17.如何快速理解等保2.0测评结果?答:等级保护2.0测评结果包括得分与结论评价;得分为百分制,及格线为70分;结论评价分为优、良、中、差四个等级。得分90分(含)以上为优,80分(含)以上为良,70分(含)以上为中,70分以下为差。Q18.多长时间能拿到备案证明?答:全国各省网警管理有所差异,一般提交备案流程后,如资料完备(三级系统要求含测评报告),顺利通过审核后15个工作日即可拿到备案证明。Q19.两个公司业务系统整合是否可以算一个?答:如果两个业务系统整合后功能高度融合,后台统一,可以认为是一个系统,只是业务功能增加,按业务系统更变申请复测即可。Q20.如何判定属于移动安全扩展要求?答:当业务系统要满足具有专用APP、通过特定网络连接、具备专用移动终端时参照移动互联扩展要求。Q21.如何选择等级保护备案所在地?答:建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警(公共信息网络安全监察局)备案并找本地测评机构测评。或可选择IT运维团队所在地进行备案与测评。Q22.如何选择测评机构开展测评?答:选择有测评资质的测评公司,优先考虑本地测评公司。可参照中国网络安全等级保护网(http://www.djbh.net)的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标,同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。Q23.如何确定业务系统属于等保几级?答:可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。当确定系统级别后,可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。Q24.买/用哪些安全产品能过等保?答:可根据实际情况,如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。建议咨询专业的安全咨询服务机构定制解决方案。Q25.现在还没做等保还来得及吗?答:来得及。种一棵树,最好的时间是十年前,其次是现在。可先根据定级备案要求和流程,先向公安递交定级备案文件,测评与整改预算提上日程,在经费未落实前,可以先进行系统定级、差距分析、整改计划制订等工作。Q26.业务上云后安全是云平台负责的吧?答:根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。Q27.做完等级保护测评后整改周期是多久?答:无明确规定。可优先把高危风险及最急需整改的内容先整改,不强制要求一次或一年内全部整改到位,安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容,而不是因为做了等保测评才需要去做的。Q28.等级保护有哪些规范标准?答:等级保护涉及面广,相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个:1)GB/T 31167-2014 信息安全技术 云计算服务安全指南2)GB/T 31168-2014 信息安全技术 云计算服务安全能力要求3)GB/T 36326-2018 信息技术 云计算云服务运营通用要求4)GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南5)GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求6)GB/T 28448-2019信息安全技术 网络安全等级保护测评要求7)GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求8)GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南9)GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求10)GM/T 0054-2018 信息系统密码应用基本要求11)GB/T 35273-2020 信息安全技术 个人信息安全规范Q29.等级保护步骤或流程是什么样的?答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。Q30.有哪些情况系统定级无需专家评审?答:信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可无需在进行等级专家评审。主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。Q31.业务系统在内/专网,还需要做等保吗?答:需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但内网不代表安全。Q32.测评结论不符合,是否就白做了?答:不是。等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求。但是这并不代表等级保护工作白做了,即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。Q33.拿什么证明开展过等级保护工作?答:备案证明或测评报告,即加盖测评机构公章或测评专用章的测评报告以及有主管部门公章的系统备案证明或系统定级备案资料。Q34.系统在云上,还要做等保吗?答:要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。Q35.业务在云上,到哪里进行定级备案?答:可在业务系统运维团队或其公司主体经营注册地向公安网警进行备案,与业务系统在云上的资源物理节点的地点无关。内容来源于安全村,原文地址:https://www.sec-un.org/%E7%AD%89%E7%BA%A7%E4%BF%9D%E6%8A%A42-0%E5%B8%B8%E8%A7%81%E9%97%AE%E9%A2%98%E9%9B%86/ 本文始发于微信公众号(网络安全等级保护交流):等级保护2.0常见问题集
阅读全文
4 安全计算环境 4.4终端设备-Windows 安全闲碎

4 安全计算环境 4.4终端设备-Windows

终端安全测评主要涉及4个方面的内容,分别是:身份鉴别、访问控制、入侵防范、恶意代码防范。本节以Windows检查列表为例,说明Windows系统的安全配置检查方法。安全控制点测评项数量身份鉴别3访问控制3入侵防范3恶意代码防范1 本文始发于微信公众号(网络安全等保测评):4 安全计算环境 4.4终端设备-Windows
阅读全文
最新全国网络安全等级保护测评机构推荐目录 云安全

最新全国网络安全等级保护测评机构推荐目录

点击上方“蓝字”,发现更多精彩内容。2021年3月9日,国家网络安全等级保护网(http://www.djbh.net/)公布了新一批网络安全等级保护测评机构。excel下载地址:https://wlaqdjbh.lanzous.com/iUSSsmtan8h 本文始发于微信公众号(网络安全等级保护交流):最新全国网络安全等级保护测评机构推荐目录
阅读全文
4 安全计算环境 4.5应用系统 云安全

4 安全计算环境 4.5应用系统

在对应用系统进行测评时,一般首先对系统管理员进行访谈,了解应用系统的状况,然后对应用系统和文档等进行检查,查看系统是否和管理员访谈的结果一致,最后对主要的应用系统进行抽查测试,验证系统提供的功能,并可配合渗透测试,查看系统提供的安全动能是否能被旁路。安全控制点测评项数量身份鉴别3访问控制7安全审计4入侵防范2 本文始发于微信公众号(网络安全等保测评):4 安全计算环境 4.5应用系统
阅读全文