随笔分类 - 等级保护
摘要:数据 控制点 5. 重要个人信息 个人信息是指以电子或其他方式记录的能够单独或与其他信息结合以识别特定自然人身份或反映特定自然人活动情况的各种信息,包括姓名、身份证件的号码、手机号码、住址、财产状况、行踪轨迹等。个人信息一般在应用系统中核查。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传
阅读全文
摘要:前言 工业控制系统通常对实时性要求较高。工业控制系统安全扩展要求重点对现场设备层和现场控制层的设备提出了补充要求,同时在安全通用要求的基础上对工业控制系统的网络架构、通信传输、访问控制等提出了特殊要求。 以下将以三级等级保护对象为例,说明等级测评实施过程中对工业控制系统安全扩展要求的安全物理环境(室
阅读全文
摘要:数据 控制点 3. 重要审计数据 审计数据一般分布在网络设备、安全设备、服务器、应用系统等测评对象中,应分别从不同的测评对象中汇总测评数据。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传输过程中免受未授权的破坏。 a) 安全要求:应采用校验技术或密码技术保证重要数据在传输过程中的完整性,
阅读全文
摘要:数据 控制点 4. 主要配置数据 配置数据一般分布在网络设备、安全设备、服务器、应用系统等测评对象中,应分别从不同的测评对象中汇总测评数据。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传输过程中免受未授权的破坏。 a) 安全要求:应采用校验技术或密码技术保证重要数据在传输过程中的完整性,
阅读全文
摘要:数据 等级保护对象处理的各种数据在维持系统正常运行方面起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),就会造成不同程度的影响,从而危害系统的正常运行。由于在等级保护对象的各个层面(网络、主机系统、应用等)都会对数据进行传输、存储和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系
阅读全文
摘要:数据 控制点 2. 重要业务数据 业务数据(例如信用卡号码、银行交易明细等)大都具有敏感性,因此,应保证业务数据的完整性和保密性不受破坏。业务数据一般在应用系统中核查。 一、数据完整性 数据完整性主要是指保护各类数据在存储和传输过程中免受未授权的破坏。 a) 安全要求:应采用校验技术或密码技术保证重
阅读全文
摘要:应用系统 控制点 7.个人信息保护 为了加强对个人信息的保护,《基本要求》对个人信息的采集、存储和使用提出了强制保护要求。 a) 安全要求:应仅采集和保存业务必需的用户个人信息。 要求解读:此项的目的是保护个人信息,不采集业务不需要的个人数据。 检查方法 1.询问系统管理员,了解应用系统采集了用户的
阅读全文
摘要:应用系统 控制点 4.入侵防范 在《基本要求》中,基于应用系统的入侵防范主要体现在数据有效性验证和软件自身漏洞发现两个方面。 a) 安全要求:应遵循最小安装的原则,仅安装需要的组件和应用程序。 要求解读:应用系统应遵循最小安装的原则,即“不需要的功能模块不安装”,例如不安装仍在开发或未经安全测试的功
阅读全文
摘要:应用系统 控制点 5.数据备份与恢复 a) 安全要求:应提供重要数据处理系统的热冗余,保证系统的高可用性。 要求解读:应提供灾备中心,为重要数据提供异地实时数据级备份,保证当本地系统发生灾难性后果且不可恢复时可利用异地保存的数据对系统数据进行恢复。 检查方法 核查重要数据处理系统(应用服务器和数据库
阅读全文
摘要:应用系统 控制点 6.剩余信息保护 a) 安全要求:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。 要求解读:应用系统将用户鉴别信息所在存储空间(例如硬盘或内存)的内容完全清除后才能分配给其他用户。例如,某应用系统将用户的鉴别信息放在内存中处理,处理后没有及时将其清除,这样,其他用户就
阅读全文
摘要:应用系统 控制点 3. 安全审计 对应用系统进行安全审计的目的是保持对应用系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。应用安全审计主要涉及用户登录情况、管理用户的操作行为、关键的业务操作行为、系统功能执行情况、系统资源使用情况等。 a) 安全要求:应启用安全审计功能,审计覆盖
阅读全文
摘要:应用系统 在对应用系统进行测评时,一般先对系统管理员进行访谈,了解应用系统的状况,然后对应用系统和文档等进行检查,查看其内容是否和管理员访谈的结果一致,最后对主要的应用系统进行抽查和测试,验证系统提供的功能,并可配合渗透测试检查系统提供的安全功能是否被旁路。 控制点 1. 身份鉴别 应用系统需对登录
阅读全文
摘要:应用系统 控制点 2. 访问控制 在应用系统中实施访问控制的目的是保证应用系统受控、合法地被使用。用户只能根据自己的权限来访问应用系统,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:为应用系统配置访问控制策略的目的是保证应用系统被合法地使用。用户只能根据管理员分配的权限来
阅读全文
摘要:MySQL 对MySQL服务器的等级测评主要涉及四个方面的内容,分别是身份鉴别、访问控制、安全审计、入侵防范。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在规定的权限
阅读全文
摘要:MySQL 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 a) 安全
阅读全文
摘要:MySQL 控制点 2. 访问控制 在操作系统中实施访问控制的目的是为了保证系统资源(操作系统和数据库管理系统)受控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。 a) 安全要求:应对登录的用户分配账户和权限。 要求解读:应了解数据库用户账户及权限分配情况,对网络管理员、安全管
阅读全文
摘要:MySQL 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:如果数据库服务器不执行任何查询请求,则建议启用安
阅读全文
摘要:Oracle 控制点 3. 安全审计 对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行为的跟踪,以便事后进行追踪和分析。 a) 安全要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 要求解读:应检查数据库系统是否开启了安全审计功能,查看当
阅读全文
摘要:Oracle 控制点 4. 入侵防范 由于基于网络的入侵检测只是在被监测的网段内对网络非授权的访问、使用等情况进行防范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数据流中的入侵行为。 a) 安
阅读全文
摘要:Oracle 对Oracle服务器的等级测评,主要涉及四个方面的内容,分别是:身份鉴别、访问控制、安全审计、入侵防范。 控制点 1. 身份鉴别 为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在规
阅读全文
浙公网安备 33010602011771号