随笔分类 - 等级保护
摘要:安全设备-防火墙 控制点 3. 安全审计 安全审计是指对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可以确保用户对其行为负责,证实安全政策得以实施,并可以作为调查工具使用。通过检查审计记录结果,可以判断等级保护对象中进行了哪些与安全相关的活动及哪个用户要对这些
阅读全文
摘要:安全设备-防火墙 控制点 2. 访问控制 在系统中实施访问控制的目的是保证系统资源受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读: 为了确保防火墙的安全,需要为登录的用户分配账户并合理配置账户权限。 检查方法 以天融
阅读全文
摘要:安全设备-防火墙 防火墙是用来进行网络访问控制的主要手段。在《测评要求》中,有关身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范及可信验证的相关要求应当具体落实到防火墙的检查项中。本节将分为身份鉴别、访问控制、安全审计、入侵防范、可信验证五个方面描述检查过程中对防火墙的关注点。 控制点 1. 身
阅读全文
摘要:路由器 控制点 5. 可信验证 传统的通信设备采用缓存或其他形式来保存其固件,这种方式容易遭受恶意攻击。黑客可以未经授权访问固件或篡改固件,也可以在组件的闪存中植入恶意代码(这些代码能够轻易躲过标准的系统检测过程,从而对系统造成永久性的破坏)。通信设备如果是基于硬件的可信根的,可在加电后基于可信根实
阅读全文
摘要:路由器 控制点 4. 入侵防范 网络访问控制在网络安全中起大门警卫的作用,对进出网络的数据进行规则匹配,是网络安全的第一道闸门。然而,网络访问控制有一定的局限性,它只能对进出网络的数据进行分析,对网络内部发生的事件则无能为力。如果设备自身存在多余的组件和应用程序、默认共享、高危端口、安全漏洞等,就会
阅读全文
摘要:路由器 控制点 3. 安全审计 安全审计是指对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可以确保用户对其行为负责,证实安全政策得以实施,并可以作为调查工具使用。通过检查审计记录结果,可以判断等级保护对象中进行了哪些与安全相关的活动及哪个用户要对这些活动负责。
阅读全文
摘要:安全计算环境-网络设备 安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。以下以三级等级保护对象为例,描述安全管理中心各个控制要求项的检查方法、检查对象和期望结果等。 边界内部称为“安全计算环境”,通常通过
阅读全文
摘要:安全计算环境-路由器 控制点 2. 访问控制 在路由器中实施访问控制的目的是保证系统资源受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:为了确保路由器的安全,需要为登录的用户分配账户并合理配置账户权限。 例如,相关管
阅读全文
摘要:云计算安全扩展要求 四、安全区域边界 尽管云计算环境具有无边界性、分布式的特性,但每一个云数据中心的服务器仍然是局部规模化集中部署的。通过对每个云数据中心分别进行安全防护,可以实现云基础设施边界安全。通过在云计算服务的关键节点和服务入口处实施重点防护,可以实现从局部到整体的严密联防。 安全区域边界针
阅读全文
摘要:云计算安全扩展要求 五、安全计算环境 安全计算环境针对云平台提出了安全控制扩展要求,主要对象为云平台内部的所有对象,包括网络设备、安全设备、服务器设备(物理机、虚拟机)、虚拟机镜像、虚拟机监视器、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、镜像和快照保
阅读全文
摘要:云计算安全扩展要求 三、安全通信网络 安全通信网络针对云计算环境网络架构提出了安全控制扩展要求。主要对象为云计算网络环境的网络架构、虚拟资源以及通信数据等;涉及的安全控制点包括网络架构。 控制点 1. 网络架构 云计算是以计算、存储和网络为基础的,网络作为云计算的重要基石之一,网络架构的安全性是云计
阅读全文
摘要:云计算安全扩展要求 二、安全物理环境 安全物理环境针对云计算平台/系统部署的物理机房及基础设施位置提出了安全控制扩展要求,主要对象为物理机房、办公场地和云平台建设方案等,涉及的安全控制点为基础设施位置。 控制点 1. 基础设施位置 云计算机房、网络设备、安全设备、服务器以及存储介质等基础设施的位置选
阅读全文
摘要:云计算安全扩展要求 一、概述 1.云计算技术 云计算是一种颠覆性的技术,不仅可以增强协作、提高敏捷性、可扩展性及可用性,还可以通过优化资源分配、提高计算效率来降低成本。云计算模式构想了一个全新的IT世界,其组件不仅可以迅速调配、置备、部署和回收,还可以迅速地扩充或缩减,以提供按需的、类似于效用计算的
阅读全文
摘要:安全管理中心 控制点 3.安全管理 安全管理通过安全管理员实施完成,安全管理可以每个安全设备单独管理也可以通过统一安全管理平台集中管理,安全管理主要关注是否对安全管理员进行身份鉴别、是否只允许安全管理员通过特定的命令或操作界面进行安全审计操作、是否对安全管理操作进行审计。 a)* 安全要求:应对安全
阅读全文
摘要:安全管理中心 控制点 4.集中管控 集中管控是指在网络中建立一个独立的管理区域,由该区域对安全设备或安全组件进行统一管控的过程。为了提高安全运维管理的有效性,通过集中管控的方式,实现设备的统一监控、日志的统一分析。安全策略的统一管理和安全事件的统一分析等。实现集中管控可以通过一个平台实现,也可通过多
阅读全文
摘要:安全区域边界 控制点 6.可信验证 可参看(安全通信网络-3.可信验证),这里的设备对象是实现边界防护作用的设备,可能包括网闸、防火墙、交换机、路由器等。 安全要求:可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验
阅读全文
摘要:安全管理中心 按照“一个中心,三重防御”的纵深防御思想,“安全管理中心”将是纵深防御体系的“大脑”,即通过“安全管理中心”实现技术层面的系统管理、审计管理和安全管理,同时高级别等级保护对象通过“安全管理中心”实现集中管控。注意这里的“安全管理中心”并非一个机构,也并非一个产品,它是一个技术管控枢纽,
阅读全文
摘要:安全管理中心 控制点 2.审计管理 审计管理通过审计管理员实施完成,审计管理可以每个设备单独管理也可以通过统一日志审计平台集中管理,审计管理主要关注是否对审计管理员进行身份鉴别、是否只允许审计管理员通过特定的命令或操作界面进行审计管理操作、是否对审计管理操作进行审计。审计管理的主要目的是为了确保审计
阅读全文
摘要:安全区域边界 控制点 5.安全审计 安全审计是指针对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可确保用户对其行为负责,证实安全政策得以实施,并可用作调查工具。通过检查审计记录结果可以判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。另外安全审计可协助安
阅读全文
摘要:安全区域边界 控制点 4.恶意代码和垃圾邮件防范 恶意代码是指怀有恶意目的可执行程序,计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。恶意代码的传播方式在迅速地演化,目前恶意代码主要都是通过网页、邮件等网络载体进行传播,恶意代码防范的形势越来越严峻。另外,随着邮件的广泛使用,垃圾邮件
阅读全文