摘要:
安全运维管理 安全运维管理对云计算环境安全运维过程提出了安全控制要求,涉及的控制点包括云计算环境管理。 控制点 1. 云计算环境管理 a) 安全要求:云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。 要求解读:云计算平台的运维地点原则上应位于中国境内。若因业务 阅读全文
摘要:
安全建设管理 安全建设管理对云计算环境安全建设过程提出了安全控制扩展要求,涉及的安全控制点包括云服务商选择和供应链管理。 控制点 1. 云服务商选择 a) 安全要求:应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。 要求解读:为确保云服务商提供的服 阅读全文
摘要:
安全管理中心 安全管理中心针对云计算环境提出了安全管理方面的技术控制扩展要求,通过技术手段实现云平合集中管理,涉及的安全控制点包括集中管控。 控制点 1. 集中管控 在企业的网络安全建设过程中,为了建设相对全面的防御体系,势必涉及不同类型、不同厂商的安全设备的部署。为了解决不同厂商的安全设备在配置方 阅读全文
摘要:
安全计算环境 安全计算环境针对云平台提出了安全控制扩展要求,主要对象为云平台内部的所有对象,包括网络设备、安全设备、服务器设备(物理机、虚拟机)、虚拟机镜像、虚拟机监视器、应用系统、数据对象和其他设备等,涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、镜像和快照保护、数据完整性、数据保密 阅读全文
摘要:
安全管理制度 控制点 3. 制定和发布 安全管理制度的制定和发布流程,需进行严格的控制,保证制度的正式性、科学性、适用性和权威性。 a) 安全要求(一般):应指定或授权专门的部门或人员负责安全管理制度的制定。 要求解读:安全管理制度的制定和发布,应由相关部门负责并进行指导,应严格按照制度制定的有关程 阅读全文
摘要:
安全管理制度 控制点 2. 管理制度 企业具体的安全管理制度以安全方针策略为指导,对等级保护对象的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为以管理要求的方式加以规范。 a) 安全要求(重要):应对安全管理活动中的各类管理内容建立安全管理制度。 要求解读:应在安全策略文件的基础上,根 阅读全文
摘要:
安全管理制度 控制点 4. 评审和修订 安全管理制度体系制定并实施后,需要由网络安全领导小组或委员会对其适用性定期进行评审和修订,尤其当发生重大安全事故、出现新的漏洞以及技术基础结构发生变更时,需要对部分制度进行评审修订,以适应外界环境和情况的变化。 安全要求(重要):应定期对安全管理制度的合理性和 阅读全文
摘要:
云计算安全扩展要求 控制点 2. 安全通信网络 安全通信网络针对云计算环境提出了安全控制扩展要求,主要对象为云计算网络环境的网络架构、虚拟资源、通信数据等,涉及的安全控制点包括网络架构。 网络架构 云计算是以计算、存储和网络为基础的。网络是云计算的重要基石,网络架构的安全性是云计算安全的重要一环。网 阅读全文
摘要:
云计算安全扩展要求 控制点 1. 安全物理环境 安全物理环境针对云计算平台/系统部署的物理机房及基础设施的位置提出了安全控制扩展要求,主要对象为物理机房、办公场地和云平台建设方案等,涉及的安全控制点包括基础设施位置。 基础设施位置 云计算机房、网络设备、安全设备、服务器以及存储介质等基础设施的位置选 阅读全文
摘要:
安全区域边界 尽管云计算环境具有无边界、分布式的特性,但每个云数据中心的服务器仍然是局部规模化集中部署的。通过对每个云数据中心分别进行安全防护,可以实现云基础设施边界安全。通过在云计算服务的关键节点和服务入口实施重点防护,可以实现从局部到整体的严密联防。 安全区域边界针对云计算环境物理网络边界和虚拟 阅读全文
摘要:
云计算安全扩展要求 概述 一、云计算技术 云计算是一种颠覆性的技术,不仅可以增强协作、提高敏捷性、可扩展性及可用性,还可以通过优化资源分配、提高计算效率来降低成本。可以说,云计算构造了一个全新的IT世界,其组件不仅可以迅速调配、置备、部署和回收,还可以迅速扩充或缩减,从而提供按需的、类似于效用计算的 阅读全文
摘要:
移动互联安全扩展要求 控制点 5. 安全运维管理 配置管理 为防止非授权无线设备的接入,加强无线设备安全运维管理,需要建立无线设备配置库来识别非授权设备。 a) 安全要求:应建立合法无线接入设备和合法移动终端配置库,用于对非法无线接入设备和非法移动终端的识别。 要求解读:为保证无线接入设备和移动终端 阅读全文
摘要:
移动互联安全扩展要求 控制点 4. 安全建设管理 一、 移动应用软件采购 为降低移动应用软件采购、下载及使用中的安全风险,应对移动应用软件的来源和开发者进行检查。 a) 安全要求:应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。 要求解读:移动终端安装、运行的应用软件应采用证书 阅读全文
摘要:
移动互联安全扩展要求 控制点 3. 安全计算环境 一、移动终端管控 为降低移动终端所面临的安全风险,保证移动终端安全可控,应在移动终端上安装移动终端客户端软件并进行统一的注册与管理。 a) 安全要求:应保证移动终端安装、注册并运行终端管理客户端软件。 要求解读:为保证移动终端的安全性,应按照统一的生 阅读全文
摘要:
移动互联安全扩展要求 移动互联安全扩展要求是在等级保护通用要求基础上对采用移动互联技术的等级保护对象提出的扩展要求,重点对移动终端、移动应用和无线网络提出安全保护要求,防止非授权移动终端或设备接入、无线网络攻击、移动应用软件篡改等,从而降低或减少因引入移动互联技术给等级保护对象带来的安全风险,确保采 阅读全文
摘要:
移动互联安全扩展要求 控制点 2. 安全区域边界 一、边界防护 为了防止无线网络边界与有线网络边界的混乱,要在无线网络与有线网络之间进行明确的网络安全边界划分。 a) 安全要求:应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。 要求解读:应保证无线网络与有线网络之间的网络边界隔离 阅读全文
摘要:
物联网安全扩展要求 控制点 4. 安全运维管理 感知节点管理 物联网的感知点设备和网关点设备数量巨大,部署位置众多,且大量设备为无人值守设备,因此,需要由专门的人员进行定期维护。同时,对感知节点设备、网关节点设备的部署环境应有保密性管理要求,对设备入库、存储、部署、携带、维修、丢失和报废等过程应进行 阅读全文
摘要:
物联网安全扩展要求 控制点 2. 安全区域边界 一、接入控制 接入控制从感知节点在接入网络时开始进行,保证只有授权感知节点可以接入,实现方法通常为使各类感知终端和接入设备在接入网络时具备唯一标识、设置访问控制策略等。 a) 安全要求:应保证只有授权的感知节点可以接入。 要求解读:感知节点数量巨大,无 阅读全文
摘要:
物联网安全扩展要求 控制点 3. 安全计算环境 一、感知节点设备安全 感知节点设备安全保证只有授权的用户可以对感知节点设备上的软件应用进行配置或变更,以及对其连接的网关节点设备(包括读卡器)和其他感知节点设备(包括路由节点)进行身份标识和鉴别。应尽量减少或避免非授权用户对设备上的软件应用进行配置或变 阅读全文
摘要:
安全建设管理 控制点 1. 产品采购和使用 工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用,以保证工业控制系统重要设备的安全性。 a) 安全要求:工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。 要求解读:工业企业在采购重要及关键控制系统或网络安全专用产品时,应了解该产品 阅读全文
摘要:
物联网安全扩展要求 物联网是指将感知节点设备通过互联网等网络连接起来构成的系统。物联网通常可从架构上分为三个逻辑层,即感知层、网络传输层和处理应用层。其中:感知层既包括感知节点设备和网关节点设备,也包括这些感知节点设备和网关节点设备之间的短距离通信(通常为无线)部分;网络传输层包括将这些感知数据远距 阅读全文
摘要:
安全计算环境 控制点 1. 控制设备安全 为降低控制设备非授权访问带来的安全风险,控制设备应实现身份鉴别、访问控制和安全审计,关闭、拆除和控制非必要外设接口,专设专用,在上线前进行安全检测,避免控制设备固件中存在恶意代码,保证控制设备计算环境的安全。在充分进行测试评估后方可进行控制设备的补丁和固件更 阅读全文
摘要:
安全通信网络 控制点 1. 网络架构 根据工业控制系统分层分域的特点,应从网络架构上进行分层分域隔离。应根据隔离强度的不同,采取不同的安全隔离措施,保证工业控制系统通信网络架构的安全。 a) 安全要求:工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段。 要求解读:在工业 阅读全文
摘要:
安全区域边界 控制点 1. 访问控制 为了防止跨越工业控制系统安全域造成的网络安全风险,在工业控制系统和企业其他系统之间应采取访问控制措施,对通用网络服务穿越区域边界的行为进行限制及告警,保证工业控制系统的安全性不受通用网络服务的影响,同时,对安全域之间的策略失效进行告警,避免边界防护机制失效。 a 阅读全文
摘要:
数据 控制点 5. 重要个人信息 个人信息是指以电子或其他方式记录的能够单独或与其他信息结合以识别特定自然人身份或反映特定自然人活动情况的各种信息,包括姓名、身份证件的号码、手机号码、住址、财产状况、行踪轨迹等。个人信息一般在应用系统中核查。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传 阅读全文
摘要:
前言 工业控制系统通常对实时性要求较高。工业控制系统安全扩展要求重点对现场设备层和现场控制层的设备提出了补充要求,同时在安全通用要求的基础上对工业控制系统的网络架构、通信传输、访问控制等提出了特殊要求。 以下将以三级等级保护对象为例,说明等级测评实施过程中对工业控制系统安全扩展要求的安全物理环境(室 阅读全文
摘要:
数据 控制点 3. 重要审计数据 审计数据一般分布在网络设备、安全设备、服务器、应用系统等测评对象中,应分别从不同的测评对象中汇总测评数据。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传输过程中免受未授权的破坏。 a) 安全要求:应采用校验技术或密码技术保证重要数据在传输过程中的完整性, 阅读全文
摘要:
数据 控制点 4. 主要配置数据 配置数据一般分布在网络设备、安全设备、服务器、应用系统等测评对象中,应分别从不同的测评对象中汇总测评数据。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传输过程中免受未授权的破坏。 a) 安全要求:应采用校验技术或密码技术保证重要数据在传输过程中的完整性, 阅读全文
摘要:
数据 等级保护对象处理的各种数据在维持系统正常运行方面起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),就会造成不同程度的影响,从而危害系统的正常运行。由于在等级保护对象的各个层面(网络、主机系统、应用等)都会对数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系 阅读全文
摘要:
数据 控制点 2. 重要业务数据 业务数据(例如信用卡号码、银行交易明细等)大都具有敏感性,因此,应保证业务数据的完整性和保密性不受破坏。业务数据一般在应用系统中核查。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传输过程中免受未授权的破坏。 a) 安全要求:应采用校验技术或密码技术保证重 阅读全文
摘要:
LAB-07:创建Ingress LAB 需求 在 ing-internal 命名空间下创建一个 ingress,名字为 pong,代理的 service hi,端口为 5678,配置路径 /hi。验证:访问 curl -kL <INTERNAL_IP>/hi 会返回 hi LAB 预配 # 1、创 阅读全文
摘要:
LAB-05:网络策略 LAB 需求 在命名空间 fubar 中创建网络策略 allow-port-from-namespace,只允许命名空间 my-app 中的 pod 连上 fubar 中 pod 的 80 端口。注意: 这里有 2 个 ns ,一个为 fubar (目标 pod 的 ns), 阅读全文
摘要:
LAB-06:创建SVC LAB 需求 重新配置一个已经存在的 deployment front-end,在名字为 nginx 的容器里面添加一个端口配置,名字为 http,暴露端口号为 80。然后创建一个 service,名字为 front-end-svc,暴露该 deployment 的 htt 阅读全文
摘要:
LAB-04:备份还原ETCD LAB 需求 针对 etcd 实例 https://127.0.0.1:2379 创建一个快照,保存到 /srv/data/etcd-snapshot.db。在创建快照的过程中,如果卡住了,就键入 ctrl+c 终止,然后重试。然后恢复一个已经存在的快照: /var/ 阅读全文
摘要:
LAB-02:指定节点不可用 LAB 需求 将名为 k8s-node-1 的 node 设置为不可用,并且重新调度该 node 上所有的 pods。 LAB 预配 # 编写一个2副本的 deployments,至少一个 pod 调度到 k8s-node-1上。user1@k8s-master:~/c 阅读全文
摘要:
LAB-03:升级K8S版本 LAB 需求 # 最新的版本是1.22.1,升级到1.22.2现有的 Kubernetes 集群正在运行的版本是 1.22.1,仅将主节点上的所有 kubernetes 控制面板和组件升级到版本 1.22.2 另外,在主节点上升级 kubelet 和 kubectl。 阅读全文
摘要:
LAB-01:权限控制RBAC LAB 需求 创建一个名为 deployment-clusterrole 的 clusterrole,并且对该 clusterrole 只绑定对 Deployment,Daemonset,Statefulset 的创建权限。在指定 namespace 为 app-te 阅读全文