2022年2月22日
安全计算环境-(六)应用系统-6
摘要: 应用系统 控制点 6.剩余信息保护 a) 安全要求:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 要求解读:应用系统将用户鉴别信息所在存储空间(例如硬盘或内存)的内容完全清除后才能分配给其他用户。例如,某应用系统将用户的鉴别信息放在内存中处理,处理后没有及时将其清除,这样,其他用户就 阅读全文
posted @ 2022-02-22 09:44 武装小灰灰 阅读(1173) 评论(0) 推荐(0) 编辑
安全计算环境-(六)应用系统-3
摘要: 应用系统 控制点 3. 安全审计 对应用系统进行安全审计的目的是保持对应用系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。应用安全审计主要涉及用户登录情况、管理用户的操作行为、关键的业务操作行为、系统功能执行情况、系统资源使用情况等。 a) 安全要求:应启用安全审计功能,审计覆盖 阅读全文
posted @ 2022-02-22 09:43 武装小灰灰 阅读(856) 评论(0) 推荐(0) 编辑
安全计算环境-(六)应用系统-1
摘要: 应用系统 在对应用系统进行测评时,一般先对系统管理员进行访谈,了解应用系统的状况,然后对应用系统和文档等进行检查,查看其内容是否和管理员访谈的结果一致,最后对主要的应用系统进行抽查和测试,验证系统提供的功能,并可配合渗透测试检查系统提供的安全功能是否被旁路。 控制点 1. 身份鉴别 应用系统需对登录 阅读全文
posted @ 2022-02-22 09:41 武装小灰灰 阅读(657) 评论(0) 推荐(0) 编辑
安全计算环境-(六)应用系统-2
摘要: 应用系统 控制点 2. 访问控制 在应用系统中实施访问控制的目的是保证应用系统受控、合法地被使用。用户只能根据自己的权限来访问应用系统,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:为应用系统配置访问控制策略的目的是保证应用系统被合法地使用。用户只能根据管理员分配的权限来 阅读全文
posted @ 2022-02-22 09:41 武装小灰灰 阅读(969) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-5
摘要: MySQL 对MySQL服务器的等级测评主要涉及四个方面的内容,分别是身份鉴别、访问控制、安全审计、入侵防范。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在规定的权限 阅读全文
posted @ 2022-02-22 09:40 武装小灰灰 阅读(363) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-8
摘要: MySQL 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 a) 安全 阅读全文
posted @ 2022-02-22 09:39 武装小灰灰 阅读(289) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-6
摘要: MySQL 控制点 2. 访问控制 在操作系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:应了解数据库用户账户及权限分配情况,对网络管理员、安全管 阅读全文
posted @ 2022-02-22 09:37 武装小灰灰 阅读(363) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-7
摘要: MySQL 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:如果数据库服务器不执行任何查询请求,则建议启用安 阅读全文
posted @ 2022-02-22 09:37 武装小灰灰 阅读(344) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-3
摘要: Oracle 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:应检查数据库系统是否开启了安全审计功能,查看当 阅读全文
posted @ 2022-02-22 09:36 武装小灰灰 阅读(286) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-4
摘要: Oracle 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 a) 安 阅读全文
posted @ 2022-02-22 09:36 武装小灰灰 阅读(148) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-1
摘要: Oracle 对Oracle服务器的等级测评,主要涉及四个方面的内容,分别是:身份鉴别、访问控制、安全审计、入侵防范。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在规 阅读全文
posted @ 2022-02-22 09:35 武装小灰灰 阅读(595) 评论(0) 推荐(0) 编辑
安全计算环境-(五)系统管理软件-2
摘要: Oracle 控制点 2. 访问控制 在操作系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:应检查数据库系统的安全策略,查看业务数据库的管理员是否 阅读全文
posted @ 2022-02-22 09:35 武装小灰灰 阅读(264) 评论(0) 推荐(0) 编辑
安全计算环境-(四)终端设备-4
摘要: 终端设备 控制点 4. 恶意代码防范 恶意代码一般通过两种方式造成破坏,一是通过网络;二是通过主机。网络边界处的恶意代码防范可以说是防范工作的第一道门槛。然而,如果恶意代码通过网络传播,直接后果就是造成网络内的主机(包括终端)感染。所以,网关处的恶意代码防范并不是一劳永逸的。另外,各种移动存储设备接 阅读全文
posted @ 2022-02-22 09:34 武装小灰灰 阅读(332) 评论(0) 推荐(0) 编辑
安全计算环境-(四)终端设备-5
摘要: 终端设备 控制点 5. 可信验证 a) 安全要求:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 要求解读:对终端设备,需要在启动过程中对 阅读全文
posted @ 2022-02-22 09:34 武装小灰灰 阅读(357) 评论(0) 推荐(0) 编辑
安全计算环境-(四)终端设备-2
摘要: 终端设备 控制点 2. 访问控制 在操作系统中实施访问控制的目的是保证系统资源(操作系统)受控、合法地被使用。用户只能根据自己的权限来访问终端资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:访问控制是安全防范和保护的主要策略,操作系统访问控制的主要任务是保证操作系统中 阅读全文
posted @ 2022-02-22 09:33 武装小灰灰 阅读(345) 评论(0) 推荐(0) 编辑
安全计算环境-(四)终端设备-3
摘要: 终端设备 控制点 3. 入侵防范 基于终端的入侵检测,重点在于终端安装的组件、端口等高危风险点。 a) 安全要求:应遵循最小安装的原则,仅安装需要的组件和应用程序。 要求解读:在安装Windows操作系统时,会默认安装许多非必要的组件和应用程序,为了避免多余的组件和应用程序带来的安全风险,通常应遵循 阅读全文
posted @ 2022-02-22 09:33 武装小灰灰 阅读(291) 评论(0) 推荐(0) 编辑
安全计算环境-(四)终端设备-1
摘要: 终端设备 终端安全测评主要涉及五个方面的内容,分别是:身份鉴别、访问控制、入侵防范、恶意代码防范、可信验证。以下以Windows终端为例进行说明。 控制点 1. 身份鉴别 为确保连接终端的安全,必须对终端的每个用户或与之相连的设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入终 阅读全文
posted @ 2022-02-22 09:29 武装小灰灰 阅读(561) 评论(0) 推荐(0) 编辑
2022年1月7日
安全计算环境-(三)Windows服务器-6
摘要: Windows服务器 控制点 6. 可信验证 a) 安全要求:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 要求解读:对服务器设备,需要 阅读全文
posted @ 2022-01-07 11:04 武装小灰灰 阅读(897) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Windows服务器-4
摘要: Windows服务器 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 阅读全文
posted @ 2022-01-07 11:03 武装小灰灰 阅读(1148) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Windows服务器-5
摘要: Windows服务器 控制点 5. 恶意代码防范 恶意代码一般通过两种方式造成破坏,一是通过网络,二是通过主机。网络边界处的恶意代码防范可以说是防范工作的第一道门槛。然而,如果恶意代码通过网络传播,直接后果就是造成网络内的主机感染。所以,网关处的恶意代码防范并不是一劳永逸的。另外,各种移动存储设备接 阅读全文
posted @ 2022-01-07 11:03 武装小灰灰 阅读(268) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Windows服务器-3
摘要: Windows服务器 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:安全审计通过关注系统和网络日志文件、目 阅读全文
posted @ 2022-01-07 10:57 武装小灰灰 阅读(896) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Windows服务器-2
摘要: Windows服务器 控制点 2. 访问控制 在操作系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:访问控制是安全防范和保护的主要策略,操作系统访 阅读全文
posted @ 2022-01-07 10:19 武装小灰灰 阅读(1119) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Windows服务器-1
摘要: Windows服务器 Windows是目前世界上用户最多、兼容性最强的操作系统之一。Windows操作系统的等级测评主要涉及到六个方面的内容,分别是:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务 阅读全文
posted @ 2022-01-07 10:00 武装小灰灰 阅读(728) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Linux服务器-6
摘要: Linux服务器 控制点 6. 可信验证 a) 安全要求:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 要求解读:对服务器设备,需要在启 阅读全文
posted @ 2022-01-07 09:59 武装小灰灰 阅读(481) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Linux服务器-4
摘要: Linux服务器 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 a) 阅读全文
posted @ 2022-01-07 09:58 武装小灰灰 阅读(739) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Linux服务器-5
摘要: Linux服务器 控制点 5. 恶意代码防范 恶意代码一般通过两种方式造成破坏,一是通过网络,二是通过主机。网络边界处的恶意代码防范可以说是防范工作的第一道门槛。然而,如果恶意代码通过网络传播,直接后果就是造成网络内的主机感染。所以,网关处的恶意代码防范并不是一劳永逸的。另外,各种移动存储设备接入主 阅读全文
posted @ 2022-01-07 09:58 武装小灰灰 阅读(261) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Linux服务器-3
摘要: Linux服务器 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:Redhat Enterprise Lin 阅读全文
posted @ 2022-01-07 09:45 武装小灰灰 阅读(1236) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Linux服务器-1
摘要: Linux服务器 Linux服务器的等级测评主要涉及六个方面的内容,分别是身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入进 阅读全文
posted @ 2022-01-07 09:27 武装小灰灰 阅读(956) 评论(0) 推荐(0) 编辑
安全计算环境-(三)Linux服务器-2
摘要: Linux服务器 控制点 2. 访问控制 在系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:对于Linux操作系统中的一些重要文件,应检查系统主要 阅读全文
posted @ 2022-01-07 09:27 武装小灰灰 阅读(963) 评论(0) 推荐(0) 编辑
安全计算环境-(二)防火墙-4
摘要: 安全设备-防火墙 控制点 4. 入侵防范 网络访问控制在网络安全中起大门警卫的作用,负责对进出网络的数据进行规则匹配,是网络安全的第一道闸门。然而,网络访问控制有一定的局限性,它只能对进出网络的数据进行分析,对网络内部发生的事件则无能为力。如果设备自身存在多余的组件和应用程序、默认共享、高危端口、安 阅读全文
posted @ 2022-01-07 09:26 武装小灰灰 阅读(637) 评论(0) 推荐(0) 编辑
安全计算环境-(二)防火墙-5
摘要: 安全设备-防火墙 控制点 5. 可信验证 传统的通信设备采用缓存或其他形式来保存其固件,这种方式容易遭受恶意攻击。黑客可以未经授权访问固件或篡改固件,也可以在组件的闪存中植入恶意代码(这些代码能够轻易躲过标准的系统检测过程,从而对系统造成永久性的破坏)。通信设备如果是基于硬件的可信根的,可在加电后基 阅读全文
posted @ 2022-01-07 09:26 武装小灰灰 阅读(272) 评论(0) 推荐(0) 编辑
安全计算环境-(二)防火墙-3
摘要: 安全设备-防火墙 控制点 3. 安全审计 安全审计是指对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可以确保用户对其行为负责,证实安全政策得以实施,并可以作为调查工具使用。通过检查审计记录结果,可以判断等级保护对象中进行了哪些与安全相关的活动及哪个用户要对这些 阅读全文
posted @ 2022-01-07 09:25 武装小灰灰 阅读(480) 评论(0) 推荐(0) 编辑
安全计算环境-(二)防火墙-2
摘要: 安全设备-防火墙 控制点 2. 访问控制 在系统中实施访问控制的目的是保证系统资源受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读: 为了确保防火墙的安全,需要为登录的用户分配账户并合理配置账户权限。 检查方法 以天融 阅读全文
posted @ 2022-01-07 09:23 武装小灰灰 阅读(729) 评论(0) 推荐(0) 编辑
2022年1月6日
安全计算环境-(二)防火墙-1
摘要: 安全设备-防火墙 防火墙是用来进行网络访问控制的主要手段。在《测评要求》中,有关身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范及可信验证的相关要求应当具体落实到防火墙的检查项中。本节将分为身份鉴别、访问控制、安全审计、入侵防范、可信验证五个方面描述检查过程中对防火墙的关注点。 控制点 1. 身 阅读全文
posted @ 2022-01-06 17:33 武装小灰灰 阅读(856) 评论(0) 推荐(0) 编辑
安全计算环境-(一)路由器-5
摘要: 路由器 控制点 5. 可信验证 传统的通信设备采用缓存或其他形式来保存其固件,这种方式容易遭受恶意攻击。黑客可以未经授权访问固件或篡改固件,也可以在组件的闪存中植入恶意代码(这些代码能够轻易躲过标准的系统检测过程,从而对系统造成永久性的破坏)。通信设备如果是基于硬件的可信根的,可在加电后基于可信根实 阅读全文
posted @ 2022-01-06 17:26 武装小灰灰 阅读(376) 评论(0) 推荐(0) 编辑
安全计算环境-(一)路由器-4
摘要: 路由器 控制点 4. 入侵防范 网络访问控制在网络安全中起大门警卫的作用,对进出网络的数据进行规则匹配,是网络安全的第一道闸门。然而,网络访问控制有一定的局限性,它只能对进出网络的数据进行分析,对网络内部发生的事件则无能为力。如果设备自身存在多余的组件和应用程序、默认共享、高危端口、安全漏洞等,就会 阅读全文
posted @ 2022-01-06 17:25 武装小灰灰 阅读(429) 评论(0) 推荐(0) 编辑
安全计算环境-(一)路由器-3
摘要: 路由器 控制点 3. 安全审计 安全审计是指对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。安全审计功能可以确保用户对其行为负责,证实安全政策得以实施,并可以作为调查工具使用。通过检查审计记录结果,可以判断等级保护对象中进行了哪些与安全相关的活动及哪个用户要对这些活动负责。 阅读全文
posted @ 2022-01-06 17:24 武装小灰灰 阅读(782) 评论(0) 推荐(0) 编辑
安全计算环境-(一)路由器-1
摘要: 安全计算环境-网络设备 安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。以下以三级等级保护对象为例,描述安全管理中心各个控制要求项的检查方法、检查对象和期望结果等。 边界内部称为“安全计算环境”,通常通过 阅读全文
posted @ 2022-01-06 17:23 武装小灰灰 阅读(1478) 评论(0) 推荐(1) 编辑
安全计算环境-(一)路由器-2
摘要: 安全计算环境-路由器 控制点 2. 访问控制 在路由器中实施访问控制的目的是保证系统资源受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:为了确保路由器的安全,需要为登录的用户分配账户并合理配置账户权限。 例如,相关管 阅读全文
posted @ 2022-01-06 17:19 武装小灰灰 阅读(510) 评论(0) 推荐(0) 编辑
云计算安全扩展要求-(四)安全区域边界
摘要: 云计算安全扩展要求 四、安全区域边界 尽管云计算环境具有无边界性、分布式的特性,但每一个云数据中心的服务器仍然是局部规模化集中部署的。通过对每个云数据中心分别进行安全防护,可以实现云基础设施边界安全。通过在云计算服务的关键节点和服务入口处实施重点防护,可以实现从局部到整体的严密联防。 安全区域边界针 阅读全文
posted @ 2022-01-06 17:12 武装小灰灰 阅读(1648) 评论(0) 推荐(0) 编辑