你还不知道吗?哈尔滨等保测评服务器测评项,第3个真的很重要

2024-05-14 16:28

本文主要是介绍你还不知道吗?哈尔滨等保测评服务器测评项,第3个真的很重要,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

等级保护级别

我国实行网络安全等级保护制度,等级保护对象分为五个级别,由一到五级别逐渐升高,每一个级别的要求存在差异,级别越高,要求越严格。

一级:自主保护级,二级:指导保护级,三级:监督保护级,四级:强制保护级,五级:专控保护级

最常见的是等保二级和等保三级。在我国,“三级等保”是对非银行机构的最高等级保护认证,一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云(服务商)平台和其他重要系统。

这一认证由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。

安全通用要求

安全通用要求细分为技术要求和管理要求。

技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”。

管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

安全计算环境

针对边界内部提出的安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。

服务器属于安全计算环境范畴内,因此需要从以下安全控制点进行相关配置:

身份鉴别

1、 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,应实现身份鉴别信息防窃取和防重用。静态口令应在8位以上,由字母、数字、符号等混合组成并每半年更换口令,不允许新设定的口令与前次旧口令相同。应用系统用户口令应在满足口令复杂度要求的基础上定期更换。

2、应具有登录失败处理功能,应配置并启用结束会话、限制登录间隔、限制非法登录次数和当登录连接超时自动退出等相关措施。

3、当进行远程管理时,应对管理终端进行身份标识和鉴别,采用密码技术防止鉴别信息在网络传输过程中被窃听。

4、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

访问控制

1、 应对登录的用户分配账户和权限。

2、应重命名或删除默认账户,修改默认账户或预设账户的默认口令。

3、应用系统应对首次登录的用户提示修改默认账户或预设账户的默认口令。

4、应及时删除或停用多余的、过期的账户,避免共享账户的存在。

5、应授予管理用户所需的最小权限,实现管理用户的权限分离。

6、应严格限制默认账户或预设账户的权限,如默认账户和预设账户的权限应为空权限或某单一功能专用权限等。

7、应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。

8、访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。

9、应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

安全审计

1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

2、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

3、 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,审计记录保存时间应不少于6个月。

4、 应对审计进程进行保护,防止未经授权的中断。

5、对于从互联网客户端登录的应用系统,应在用户登录时提供用户上一次非常用设备成功登录的日期、时间、方法、位置等信息。

6、审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的一致性与正确性。

入侵防范

1、应遵循最小安装的原则,仅安装需要的组件和应用程序。

2、应关闭不需要的系统服务、默认共享和高危端口。

3、 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

4、应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。

5、应能通过使用漏洞扫描工具、人工漏洞排查分析等漏洞检查手段,及时发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

6、应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

7、所有安全计算环境设备应全部专用化,不得进行与业务不相关的操作。

8、应能够有效屏蔽系统技术错误信息,不得将系统产生的错误信息直接或间接反馈到前台界面。

恶意代码防范

1、应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,将其有效阻断并定期统一进行升级和更新防恶意代码库。

2、应建立病毒监控中心,对网络内计算机感染病毒的情况进行监控。

可信验证

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

数据完整性

1、应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

2、应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性

1、应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

2、应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于系统鉴别数据、重要业务数据和个人金融信息中的客户鉴别信息以及与账号结合使用可鉴别用户身份的鉴别辅助信息等个人敏感信息,对于其他直接反应特定自然人某些情况的信息,宜使用密码技术保护其存储过程中的保密性。

数据备份与恢复

1、应提供重要数据的本地数据备份与恢复功能,采取实时备份与异步备份或增量备份与完全备份的方式,增量数据备份每天一次,完全数据备份可根据系统的业务连续性保障相关指标(如RPO,RTO)以及系统数据的重要程度、行业监管要求,制定备份策略。备份介质场外存放,数据保存期限依照国家相关规定。

2、应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。

3、应提供重要数据处理系统的热冗余,保证系统的高可用性。

4、对于同城应用级灾难备份中心,应与生产中心直线距离至少达到30km,可以接管所有核心业务的运行;对于异地应用级灾难备份中心,应与生产中心直线距离至少达到100km。

5、为满足灾难恢复策略的要求,应对关键技术应用的可行性进行验证测试,并记录和保存验证测试的结果。

6、数据备份应至少保存两个副本,且至少一份副本异地存放,完全数据备份至少保证以一个星期为周期的数据冗余。

7、异地灾难备份中心应配备恢复所需的运行环境,并处于就绪状态或运行状态,“就绪状态”指备份中心的所需资源(相关软硬件以及数据等资源)已完全满足但设备CPU还没有运行,“运行状态”指备份中心除所需资源完全满足要求外,CPU也在运行状态。

剩余信息保护

1、应保证操作系统、数据库系统和应用系统用户鉴别信息所在的存储空间被释放或重新分配前得到完全清除,无论这些信息是存放在硬盘上还是内存中。

2、应保证操作系统、数据库系统和应用系统用户存有敏感数据的存储空间被释放或重新分配前得到完全清除,无论这些信息是存放在硬盘上还是内存中。

总结

相信对服务器如何配置有了初步方向,我们还需要结合经验对服务器的其他参数进行初始化配置优化,如内核、时间同步、DNS等,这样才能真正配置一合规标准化的服务器。

#网络安全等级保护#

这篇关于你还不知道吗?哈尔滨等保测评服务器测评项,第3个真的很重要的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/989244

相关文章

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

Linux服务器Java启动脚本

Linux服务器Java启动脚本 1、初版2、优化版本3、常用脚本仓库 本文章介绍了如何在Linux服务器上执行Java并启动jar包, 通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动, 那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。 1、初版 第一个版本是常用的做法,直接使用nohup后台启动jar包, 并将日志输出到当前文件夹n

速盾:直播 cdn 服务器带宽?

在当今数字化时代,直播已经成为了一种非常流行的娱乐和商业活动形式。为了确保直播的流畅性和高质量,直播平台通常会使用 CDN(Content Delivery Network,内容分发网络)服务器来分发直播流。而 CDN 服务器的带宽则是影响直播质量的一个重要因素。下面我们就来探讨一下速盾视角下的直播 CDN 服务器带宽问题。 一、直播对带宽的需求 高清视频流 直播通常需要传输高清视频

为什么现在很多人愿意选择做债务重组?债重组真的就这么好吗?

债务重组,起初作为面向优质企业客户的定制化大额融资策略,以其高效周期著称,一个月便显成效。然而,随着时代的车轮滚滚向前,它已悄然转变为负债累累、深陷网贷泥潭者的救赎之道。在此路径下,个人可先借助专业机构暂代月供,经一段时间养护征信之后,转向银行获取低成本贷款,用以替换高昂网贷,实现利息减负与成本优化的双重目标。 尽管债务重组的代价不菲,远超传统贷款成本,但其吸引力依旧强劲,背后逻辑深刻。其一

一种改进的red5集群方案的应用、基于Red5服务器集群负载均衡调度算法研究

转自: 一种改进的red5集群方案的应用: http://wenku.baidu.com/link?url=jYQ1wNwHVBqJ-5XCYq0PRligp6Y5q6BYXyISUsF56My8DP8dc9CZ4pZvpPz1abxJn8fojMrL0IyfmMHStpvkotqC1RWlRMGnzVL1X4IPOa_  基于Red5服务器集群负载均衡调度算法研究 http://ww

RTMP流媒体服务器 crtmpserver

http://www.oschina.net/p/crtmpserver crtmpserver又称rtmpd是Evostream Media Server(www.evostream.com)的社区版本采用GPLV3授权 其主要作用为一个高性能的RTMP流媒体服务器,可以实现直播与点播功能多终端支持功能,在特定情况下是FMS的良好替代品。 支持RTMP的一堆协议(RT

云原生之高性能web服务器学习(持续更新中)

高性能web服务器 1 Web服务器的基础介绍1.1 Web服务介绍1.1.1 Apache介绍1.1.2 Nginx-高性能的 Web 服务端 2 Nginx架构与安装2.1 Nginx概述2.1.1 Nginx 功能介绍2.1.2 基础特性2.1.3 Web 服务相关的功能 2.2 Nginx 架构和进程2.2.1 架构2.2.2 Ngnix进程结构 2.3 Nginx 模块介绍2.4

阿里云服务器ces

允许公网通过 HTTP、HTTPS 等服务访问实例 https://help.aliyun.com/document_detail/25475.html?spm=5176.2020520101.0.0.3ca96b0b3KGTPq#allowHttp

常见的服务器

常见的Web服务器 1、Tomcat:Tomcat和Java结合得最好,是Oracle官方推荐的JSP服务器。Tomcat是开源的Web服务器,经过长时间的发展,性能、稳定性等方面都非常优秀。 2、Jetty:另一个优秀的Web服务器。Jetty有个更大的优点是,Jetty可作为一个嵌入式服务器,即:如果在应用中加入Jetty的JAR文件,应用可在代码中对外提供Web服务。 3、Resin:

Exchange 服务器地址列表的配置方法与注意事项

Exchange Server 是微软推出的一款企业级邮件服务器软件,广泛应用于企业内部邮件系统的搭建与管理。配置 Exchange 服务器地址列表是其中一个关键环节。本文将详细介绍 Exchange 服务器地址列表的配置方法与注意事项,帮助系统管理员顺利完成这一任务。 内容目录 1. 引言 2. 准备工作 3. 配置地址列表 3.1 创建地址列表 3.2 使用 Exchange