摘要: 应用系统 控制点 7.个人信息保护 为了加强对个人信息的保护,《基本要求》对个人信息的采集、存储和使用提出了强制保护要求。 a) 安全要求:应仅采集和保存业务必需的用户个人信息。 要求解读:此项的目的是保护个人信息,不采集业务不需要的个人数据。 检查方法 1.询问系统管理员,了解应用系统采集了用户的 阅读全文
posted @ 2022-02-22 09:46 武装小灰灰 阅读(414) 评论(0) 推荐(0) 编辑
摘要: 应用系统 控制点 4.入侵防范 在《基本要求》中,基于应用系统的入侵防范主要体现在数据有效性验证和软件自身漏洞发现两个方面。 a) 安全要求:应遵循最小安装的原则,仅安装需要的组件和应用程序。 要求解读:应用系统应遵循最小安装的原则,即“不需要的功能模块不安装”,例如不安装仍在开发或未经安全测试的功 阅读全文
posted @ 2022-02-22 09:44 武装小灰灰 阅读(579) 评论(0) 推荐(0) 编辑
摘要: 应用系统 控制点 5.数据备份与恢复 a) 安全要求:应提供重要数据处理系统的热冗余,保证系统的高可用性。 要求解读:应提供灾备中心,为重要数据提供异地实时数据级备份,保证当本地系统发生灾难性后果且不可恢复时可利用异地保存的数据对系统数据进行恢复。 检查方法 核查重要数据处理系统(应用服务器和数据库 阅读全文
posted @ 2022-02-22 09:44 武装小灰灰 阅读(445) 评论(0) 推荐(0) 编辑
摘要: 应用系统 控制点 6.剩余信息保护 a) 安全要求:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 要求解读:应用系统将用户鉴别信息所在存储空间(例如硬盘或内存)的内容完全清除后才能分配给其他用户。例如,某应用系统将用户的鉴别信息放在内存中处理,处理后没有及时将其清除,这样,其他用户就 阅读全文
posted @ 2022-02-22 09:44 武装小灰灰 阅读(1173) 评论(0) 推荐(0) 编辑
摘要: 应用系统 控制点 3. 安全审计 对应用系统进行安全审计的目的是保持对应用系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。应用安全审计主要涉及用户登录情况、管理用户的操作行为、关键的业务操作行为、系统功能执行情况、系统资源使用情况等。 a) 安全要求:应启用安全审计功能,审计覆盖 阅读全文
posted @ 2022-02-22 09:43 武装小灰灰 阅读(856) 评论(0) 推荐(0) 编辑
摘要: 应用系统 在对应用系统进行测评时,一般先对系统管理员进行访谈,了解应用系统的状况,然后对应用系统和文档等进行检查,查看其内容是否和管理员访谈的结果一致,最后对主要的应用系统进行抽查和测试,验证系统提供的功能,并可配合渗透测试检查系统提供的安全功能是否被旁路。 控制点 1. 身份鉴别 应用系统需对登录 阅读全文
posted @ 2022-02-22 09:41 武装小灰灰 阅读(657) 评论(0) 推荐(0) 编辑
摘要: 应用系统 控制点 2. 访问控制 在应用系统中实施访问控制的目的是保证应用系统受控、合法地被使用。用户只能根据自己的权限来访问应用系统,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:为应用系统配置访问控制策略的目的是保证应用系统被合法地使用。用户只能根据管理员分配的权限来 阅读全文
posted @ 2022-02-22 09:41 武装小灰灰 阅读(969) 评论(0) 推荐(0) 编辑
摘要: MySQL 对MySQL服务器的等级测评主要涉及四个方面的内容,分别是身份鉴别、访问控制、安全审计、入侵防范。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在规定的权限 阅读全文
posted @ 2022-02-22 09:40 武装小灰灰 阅读(363) 评论(0) 推荐(0) 编辑
摘要: MySQL 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 a) 安全 阅读全文
posted @ 2022-02-22 09:39 武装小灰灰 阅读(289) 评论(0) 推荐(0) 编辑
摘要: MySQL 控制点 2. 访问控制 在操作系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:应了解数据库用户账户及权限分配情况,对网络管理员、安全管 阅读全文
posted @ 2022-02-22 09:37 武装小灰灰 阅读(363) 评论(0) 推荐(0) 编辑
摘要: MySQL 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:如果数据库服务器不执行任何查询请求,则建议启用安 阅读全文
posted @ 2022-02-22 09:37 武装小灰灰 阅读(344) 评论(0) 推荐(0) 编辑
摘要: Oracle 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:应检查数据库系统是否开启了安全审计功能,查看当 阅读全文
posted @ 2022-02-22 09:36 武装小灰灰 阅读(286) 评论(0) 推荐(0) 编辑
摘要: Oracle 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 a) 安 阅读全文
posted @ 2022-02-22 09:36 武装小灰灰 阅读(148) 评论(0) 推荐(0) 编辑
摘要: Oracle 对Oracle服务器的等级测评,主要涉及四个方面的内容,分别是:身份鉴别、访问控制、安全审计、入侵防范。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在规 阅读全文
posted @ 2022-02-22 09:35 武装小灰灰 阅读(595) 评论(0) 推荐(0) 编辑
摘要: Oracle 控制点 2. 访问控制 在操作系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:应检查数据库系统的安全策略,查看业务数据库的管理员是否 阅读全文
posted @ 2022-02-22 09:35 武装小灰灰 阅读(264) 评论(0) 推荐(0) 编辑
摘要: 终端设备 控制点 4. 恶意代码防范 恶意代码一般通过两种方式造成破坏,一是通过网络;二是通过主机。网络边界处的恶意代码防范可以说是防范工作的第一道门槛。然而,如果恶意代码通过网络传播,直接后果就是造成网络内的主机(包括终端)感染。所以,网关处的恶意代码防范并不是一劳永逸的。另外,各种移动存储设备接 阅读全文
posted @ 2022-02-22 09:34 武装小灰灰 阅读(332) 评论(0) 推荐(0) 编辑
摘要: 终端设备 控制点 5. 可信验证 a) 安全要求:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 要求解读:对终端设备,需要在启动过程中对 阅读全文
posted @ 2022-02-22 09:34 武装小灰灰 阅读(357) 评论(0) 推荐(0) 编辑
摘要: 终端设备 控制点 2. 访问控制 在操作系统中实施访问控制的目的是保证系统资源(操作系统)受控、合法地被使用。用户只能根据自己的权限来访问终端资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:访问控制是安全防范和保护的主要策略,操作系统访问控制的主要任务是保证操作系统中 阅读全文
posted @ 2022-02-22 09:33 武装小灰灰 阅读(345) 评论(0) 推荐(0) 编辑
摘要: 终端设备 控制点 3. 入侵防范 基于终端的入侵检测,重点在于终端安装的组件、端口等高危风险点。 a) 安全要求:应遵循最小安装的原则,仅安装需要的组件和应用程序。 要求解读:在安装Windows操作系统时,会默认安装许多非必要的组件和应用程序,为了避免多余的组件和应用程序带来的安全风险,通常应遵循 阅读全文
posted @ 2022-02-22 09:33 武装小灰灰 阅读(291) 评论(0) 推荐(0) 编辑
摘要: 终端设备 终端安全测评主要涉及五个方面的内容,分别是:身份鉴别、访问控制、入侵防范、恶意代码防范、可信验证。以下以Windows终端为例进行说明。 控制点 1. 身份鉴别 为确保连接终端的安全,必须对终端的每个用户或与之相连的设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入终 阅读全文
posted @ 2022-02-22 09:29 武装小灰灰 阅读(561) 评论(0) 推荐(0) 编辑