精华内容
下载资源
问答
  • 防泄密安全产品自身的安全问题

    千次阅读 2009-09-30 22:15:00
    防泄密安全产品自身的安全问题The security issues of the data loss protection system 内容摘要:防泄密产品蓬勃发展的同时,人们普遍忽视了一个很重要的问题,那就是防泄密产品自身的安全性。防泄密产品的特点...

     

    防泄密安全产品自身的安全性问题

    The security issues of the data loss protection system

     

     

    内容摘要:防泄密产品蓬勃发展的同时,人们普遍忽视了一个很重要的问题,那就是防泄密产品自身的安全性。防泄密产品的特点,决定了这类产品自身安全的重要性。本文将探讨防泄密产品的安全性所包含的各个方面,以及必须采取的保护措施,如策略的强制执行,基于角色访问控制,强制访问控制,日志数据加密,密码管理和防止功能失效等。

     

    关键词: 防泄密 信息安全

     

    Abstract: while the data loss protection systems are developing rapidly, a very important issue, the security of the system itself, is almost neglected although the security is extremely important because of the system’s particularity. This paper will discuss all aspects of the security and the solutions to these issues, including the policy compliance, role-based access control, mandatory access control (MAC), log data encryption, key management and system failure prevention and etc.

     

    Key words: Data loss protection system, information security

     

    1 问题的提出

    近年来,防泄密类产品如雨后春笋般不断涌现。据不完全统计,从事防泄密产品和技术研究的厂家有几百家之多。这些产品从不同的角度出发,控制了信息的存储环境、泄密途径、存储介质,以及电子文件的运动轨迹[2]。但这些产品本身的安全性问题却很少被人关注,如:

    系统功能失效。窃密者使产品功能失效,拆除该安全软件,绕过安全产品的监控,从而实施窃密;也有可能由于系统自身故障,导致系统功能不能正常发挥,致使窃密者有机可乘。

    系统日志保护。系统日志内含有大量的秘密信息,例如谁在什么时间对什么样的数据进行了什么样的操作,窃密者完全有可能从中分析出机密信息;更有甚者,有些日志是对被操作的敏感文件的备份和用户屏幕的截图,这些日志包含了敏感信息,不需分析就可直接获得秘密。

    报警数据保护。一般情况下,报警数据也是需要保护的,例如报警数据作为证据要防止篡改,保持数据的一致性和合法性。

    数据传输安全。如果数据不加密就在网络中传输,若被别有用心的人截取,也将直接导致泄密。

    密钥安全管理。这是信息安全最核心的问题,也许是目前最大的问题。即使对用户身份进行了鉴别、对数据和系统自身实施了安全防范措施,但是,如果密钥保管不好,窃密者就可以拿者密钥去解密,获得敏感信息。

    前不久,网上盛传的某网络内容过滤软件的安全事件给我们敲响了警钟,也为防泄密安全软件的自身安全提供了反面教材。上述事件的原因大致有两个方面,一是密码的管理不善。它通过MD5方法对密码加密之后,储存在一个dll文件中,该文件并没有受到任何保护,用普通的文字处理器就可以修改其中的内容,这样一来,只要将密码的MD5值修改成一个已知的字符串(例如112233)的MD5值,就可以将系统的密码变回到112233。不仅如此,人们还可以将那个dll文件替换掉,如果新的dll文件中包含了已知的密码,那么人们就可以轻松充当系统的管理员了。二是系统功能失效。它的四个进程没有得到充分保护。虽然以两个为一组交叉保护,当其中一个进程被强行中止,另一个进程将会重新启动运行它,但是,这可以被许多并不复杂的工具轻而易举地摧毁掉。功能失效还体现在对操作系统和其它应用软件的支持和兼容上,如对Windows版本支持不全面,对浏览器的支持不全面等等都能致使系统功能失效。

    总而言之,安全产品的自身安全问题已成为安全软件产品的一个重要问题,当然防泄密安全产品也不例外。下面根据防泄密安全产品的特点,探讨防泄密安全产品的自身安全防范措施。

     

    2 防泄密类安全产品的特点

             防泄密类安全产品防内不防外。它不同于防火墙、入侵检测、防病毒等安全产品。防火墙、入侵检测、防病毒产品防止的是外部的恶意攻击,那些外部的人没有单位内部网络的合法身份,他们的攻击往往没有什么针对性。而防泄密类产品防止的是内部的人员有意或无意的泄密,这些内部人员拥有对单位内部网络、计算机资源的访问权限,他们窃取机密材料都是有针对性的。外部的攻击易受到关注,而内部的窃密较不易受到重视,也较难管理和防范。正所谓家贼难防、堡垒最容易从内部攻破[4]

             防泄密类安全产品保护的对象都是敏感信息。如果信息不足够敏感,防泄密类产品就没有发挥作用的余地。这些敏感信息只有拥有合法权限的人才能有资格看到,很多时候,即使是系统管理员甚至是系统安全员也无权看到某些敏感信息。这是保密管理的规定。所以,有权威专家称:“在防泄密类安全产品中,不允许存在特权用户”,就是这个道理。

             防泄密类安全产品具有独特的软件构架。防泄密类产品大致有两种实现方式,一是基于主机的防泄密产品,二是基于网络的防泄密产品。两种产品可以同时使用,互相配合取长补短,共同发挥作用。所谓基于主机就是在每个用户的计算机上安装一个小的代理程序,另设置一个服务器,服务器负责管理、下发策略(给每个用户计算机)、存储代理程序发回的各种日志[4]。基于网络的防止泄密类产品,通常在网络的出口处部署一个网关设备,象一个“看门狗”,监视敏感数据的流动,发现敏感数据即阻止其流出。基于网络的产品最大难度在于对敏感数据的识别,而基于主机的防泄密产品难点在于和客户端各种软件的兼容,因每台计算机都要安装代理程序,故其部署的工作量也很大。

             防泄密产品记录大量日志,日志本身是敏感的。这是防泄密类产品的又一特点。这些日志包含了谁在什么时候、在什么地方对什么数据进行了什么操作。如A用户打印了文件B,则B文件的影像和文件本身就可能根据安全策略记录在日志中,又例如某用户C拷贝了文件D,则文件D本身也被记录在日志中,日志内容、特别是被记录的文件是极其敏感的,需要加以适当保护,包括日志数据的存储和传输。

             综上所述,防泄密类产品主要有以下几个特点:

    n  防内为主的强制性。和防外不一样,防外是大家一致的愿望,策略是自愿、自觉执行的。既是防内,就要求策略的强制性。例如文件加密不加密是由安全策略说了算,不取决于文件作者本人或文件操作者的意愿;防泄密产品的安装也是强制性的,且安装了之后不能被用户自己私自卸载。

    n  保护对象的敏感性。这要求分层分级的访问控制,要求系统中不存在特权用户。没有一个人能看见全部敏感数据,即使是系统管理员或是系统安全员、审计员。

    n  日志本身的机密性。这要求对日志本身要加以保护,无论是记录在数据库中的记录,还是存在于文件系统之中的文件;无论是数据在硬盘中的存储还是在传输途中。

             除此之外,防泄密产品的密码保护也是非常重要的。密码包括数据库口令,用户身份的信息等等。一旦密码系统被攻破,其它的防护措施就会功亏一篑。

     

    3 防泄密安全产品的安全性防护策略

    上述已分析了防泄密产品的特点。根据这样的分析,我们认为,防泄密系统在安全策略的强制性、基于角色的访问控制、强制访问控制和日志存储、传输和密码管理上,均须采取措施。

    3.1   策略执行的强制性

    所有防泄密终端上的安全策略均来自于服务器,服务器上的安全策略是由系统安全员设置的,体现的是组织的安全意图,不管大家愿意不愿意,这个意图都要贯彻执行。我们通常所说的“策略下发”或“策略统一管理”实质上就是指策略的强制实施;并且,客户端上的用户无权改变安全策略。例如,在透明加解密系统中,一个文件是否加密保护,不是用户本人(文件的创建者或文件的操作者)说了算,而是由组织的安全策略来决定,系统往往通过指定进程和后缀规定什么样的文件必须被加密,什么样的文件不加密[1];在移动存储介质管理系统中,不经过授权的移动存储介质不允许在内部使用,而经过授权的移动存储介质只能在内部、不能在外部使用,体现的也是防泄密系统安全策略的强制性执行。

    策略统一管理也许相对容易实现,但防止客户端用户改变自己的安全策略是相对困难的,因为恶意用户可以通过以下措施破坏策略的强制性:

    l  拆除客户端软件,使机器和用户逃避防泄密系统的监控;

    l  删除或修改存储于本地的安全策略;

    l  取得服务器的访问权限,以修改自己的安全策略。

    要针对以上各种可能的攻击行为,采取措施保护安全策略免受攻击,才能保证策略的强制性。以上列举的三个问题,分别在后续文字里给予说明,涉及到密码管理、客户端程序保护等重要问题。

     

    3.2   基于角色的访问控制措施

    前面已经提到,防泄密系统保护的是敏感数据,不允许存在这样一种用户,他们可以看见所有的敏感数据,即超级用户。

    这一点和其它系统很不一样,也是防泄密系统的一大特点。在其它系统中(如操作系统)允许存在一个超级用户(Super User),他的权限比任何人都多,他可以监视甚至控制一般用户的行为,必要时还可以看见他人的操作内容。

    为防止权限过分集中导致的泄密可能,在防泄密类系统中须设置相应的角色,实现分权分级管理[4]

    所谓分权,通常在系统中设置系统操作员(Operator)、管理员(Administrator)、安全员(Security Officer)、审计员(Auditor),各司其职以避免权限的过分集中,系统中的每个用户都属于四种角色中的一个。操作员负责系统的日常运行和维护、设置系统参数等;管理员负责用户管理,如增加和删除用户帐户;安全员负责安全策略的制定,如什么样的文件需要加密,系统日志多长时间备份一次等;审计员负责日志的审计、用户行为的分析和泄密责任的追踪。为避免审计员在审计工作中利用接触敏感信息的机会故意泄密,往往还需要在系统中加入约束措施,如只有多个审计员在场才能打开敏感文件。

    所谓分级,通常是指某种角色的用户只能在一定的范围内拥有权限,在这个范围之外,他没有相应的权限。在某组织内部,如研发组和测试组是两个平行的组织,则系统允许将研发组的管理员设置成不能对测试组的用户进行管理,反之亦然。

    分权与分级,有效了消除了权限的过度集中,保障了敏感信息的安全。这对于防泄密系统是至关重要的。

     

    3.3   强制访问控制措施[3]

    为了说明在防泄密系统中应用强制访问控制技术,下面先说明什么是强制访问控制,然后说明它为什么适合于防泄密产品,最后说明强制访问控制技术如何应用到防泄密产品中。

    什么是强制访问控制?和强制访问控制(MAC)相对的是自主访问控制(DAC)。MAC是一种多级安全系统的访问控制技术,它的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。

    什么是多级安全信息系统?将敏感信息与通常资源分开隔离的系统,我们称之为多级安全信息系统。防泄密系统是典型的多级安全信息系统,因为防泄密系统中将敏感信息与非敏感信息分开处理。防泄密要将信息资源按照安全属性分级考虑,安全类别有两种类型:

    l  有层次的安全级别。分为TSSCRSU五级:绝密级别(Top Secret),秘密级别(Secret),机密级别(Confidential),限制级别(Restricted)和无级别级(Unclassified)。

    l  无层次的安全级别。不对主体和客体按照安全类别分类,只是给出客体接受访问时可以使用的规则和管理者。

    从上面的介绍不难看出,防泄密产品是多级安全信息系统,在防泄密系统中引入强制访问控制技术是必然的,是防泄密系统的本身的特点所决定的。

    最典型的强制访问控制模型是BLP[Bell and LaPadula1976],它最初应用于军事系统,其出发点是维护系统的保密性,防止信息泄露。BLP要求,对给定安全级别的主体,仅被允许对同一安全级别和较低安全级别上的客体进行“读”;对给定安全级别上的主体,仅被允许向相同安全级别或较高安全级别上的客体进行“写”。

    BLP具体应用到透明加解密系统中,对受保护的文件(即受透明加密处理的文件),当文件(客体)处于打开和编辑状态时,非加密进程(主体)是不能明文读取该文件的,对其内容进行拷贝或剪切、然后将其粘贴到其它非保护的电子文件中的操作也是被禁止的。另外,当受保护的电子文件被另存为(Save As)其它格式的文件,如MS Word文件另存为TXT文件时,该TXT文件也是被强制加密的,其目的是防止低级别的主体访问受保护的(高级别的)TXT文件。

    BLP具体应用到移动存储介质管理系统中,较高密级的主机不能向较低密级的移动存储介质上写入数据,但较高密级的主机可以读取较低密级介质中的数据;较高密级的电子文件也不能存放在较低密级的移动存储介质中,因为较高密级的主体(文件操作者)不能向较低密级的客体(介质)里写入数据。

     

    3.4   日志报警数据的存储和传输保护

    日志和报警数据是责任追踪的一个重要证据,为了保证其完整性和真实性,必须对系统获取的各种日志和报警数据进行特殊处理,避免证据被伪造和篡改。一般来讲,防泄密系统既要利用数字摘要和数字签名技术进行证据保全,又要对日志数据和文件进行加密存储,以防止数据泄漏,还要在数据传输过程中,采用加密措施(如SSL通信协议)防止数据在传输中途被截获。

    在安全级别较高的防泄密系统中,必须使用国家密码管理部门许可的数据加密算法和密码。

     

    3.5   密码管理措施

    密码管理是所有应用系统都要关注的问题,通常对密码管理的要求体现在加密密钥的保护、身份认证口令保护和数据库口令保护等方面,在这里不再赘述。

    需要指出的是密码的存储。例如,在自动建立数据库连接时,系统会自动获取数据库口令,这时候数据库口令一定要加密存储。类似于上述某网络内容过滤软件对密码的保护是严重的错误。

    在安全级别较强的防泄密系统中,身份信息的保护按照国家有关部门的规定需要采用硬件保护。

     

    3.6   客户端代理程序的保护措施

    保证程序的一致性或完整性,是防泄密类软件保护客户端代理程序的主要措施。除了保证进程的正常运行之外,还需要采用完整性检查,一旦发现客户端程序被破坏,立即采取措施阻断其连入网络,或自动关机。

    另外,紧急策略是防止客户端代理程序被破坏的辅助措施。所谓紧急策略是机器离线状态下的一种策略,一旦机器不能和服务器通信,紧急策略立即生效,即使在客户端代理程序遭到局部损坏的情况下也要生效。

    网络巡逻员是又一个辅助措施。网络巡逻员定时巡视各联网机器的状态,一旦发现客户端没安装代理程序,或代理程序被破坏,系统立即阻止该机器联网,或实行隔离,或及时报警等。

     

    4 结论

    防泄密产品正处在蓬勃发展的时机,虽然目前多数产品在功能上下了很大工夫,逐渐呈现出产品同质化的倾向,但是产品自身的安全性问题缺乏相应的关注,特别是客户,目前尚未将眼光聚焦在安全性方面,或关注得还不够全面。这篇文章的目的是探讨防泄密产品的安全性所包含的各个方面和采取的措施。

    当然,安全性是相对的。究竟什么样的安全防护才是足够的,这要看具体的系统要求,特别是受保护的对象的安全级别。

     

    参考文献

    1、  陈尚义:“透明加解密技术及其应用”,《信息安全与通讯保密》,2007

    2、   陈尚义:“电子文件保密技术的现状和发展趋势”,《信息安全技术与应用》,2008

    3、   郭玮,茅兵,谢立:“强制访问控制MAC的设计和实现”,《计算机应用与软件》,2005.8

    4、   中软,《中软统一终端安全管理系统技术白皮书》,中国软件与技术服务股份有限公司,2006

     

    展开全文
  • 可是事与愿违,越来越多的农产品安全问题挑战着人们敏感的神经,人民的身体健康得不到保障,严重影响了社会的稳定。近些年随着物联网和移动互联网技术的飞速发展,食品溯源系统这种新的技术手段将从食品源头开始保障...

    农产品的安全问题一直是广大人民息息相关的问题,吃的好吃的放心一直是大家的期许。可是事与愿违,越来越多的农产品安全问题挑战着人们敏感的神经,人民的身体健康得不到保障,严重影响了社会的稳定。近些年随着物联网和移动互联网技术的飞速发展,食品溯源系统这种新的技术手段将从食品源头开始保障食品的安全可查。
    农产品质量安全追溯
    农产品质量安全追溯为企业实现哪些系统功能?
    1.农产品安全生产管理
    以农业生产者的生产档案信息为基础,实现对基础信息、生产过程信息等的实时记、生产操作预警,生产档案查询和上传功能。
    2.农产品流通管理
    以市场准入控制为设计基础实行入市申报,对批发市场经营者进行管理,记录其经营产品的交易情况,实现批发市场的全程安全管理。
    3.农产品质量监督管理
    实现相关法律法规、政策措施的宣传与监督功能;同时完成企业、农产品信息库的组建、管理和查询及分配管理防伪条码等功能。
    4.农产品质量追溯
    综合利用网路技术、短线技术、条码识别技术等,实现网站、短信和电话号码于一体的多终端农产品质量追溯。
    农产品质量安全追溯系统特点有哪些?
    1.可将农业生产过程中的生产信息,包括产地环境、生产流程、病虫害防治、质量检测等信息进行记录。
    2.可将携带农产品信息的RFID标签的信息转换成含有农产品信息的一维或二维条码标签,保证信息链的流通。
    有了食品溯源系统,真正的做到了所有农产品可以来源可溯,去向可查,责任可追。一旦再次出现农产品安全事件,监管部门可以快速通过农产品追溯系统发现是哪些农产品出了问题,而农产品生产企业可以快速做出反应,召回有问题的农产品。由此可见,农产品质量安全追溯系统从源头上解决了食品安全问题。
    广州弥特是国内领先的产品质量追溯系统开发商,专注追溯系统技术十余年的行业经验,为企业提供一站式的产品质量追溯系统解决方案。从技术、服务、资源等,各方面为企业提供生产、销售等各环节的信息追踪,有效解决当前企业及产品存在的安全隐患和实质问题。

    展开全文
  • 各大网络安全厂商及安全产品

    千次阅读 2021-01-11 11:42:55
    问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。 国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发? 国外的安全软件除非个别的,基本在国内都有代理销售。 有没有...

    国内哪些公司在做企业版安全产品开发?

    问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。

    国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发?

    国外的安全软件除非个别的,基本在国内都有代理销售。

    有没有国外的安全软件开发公司在中国有分公司或办事处?规模比较大的国外安全公司很多在国内有办事处。

    这个是一个兄弟整理的安全产品厂商分类,找不到出处了。

    防火墙类(UTM&FW&NGFW)厂商
    WAF(web 应用防火墙)厂商
    数据库审计类厂家
    运维审计厂商
    网站安全厂商
    邮件类安全厂商
    身份鉴别厂家
    防毒墙&杀毒软件厂商
    安全咨询类厂家
    网闸安全厂家
    等级保护评估系统
    数据防泄漏(DLP)
    漏洞扫描(主机&web)
    SOC(安全运维平台)&SIEM(安全事件管理)
    内网安全管理(含准入)
    上网行为管理
    远程接入安全(VPN)
    入侵检测和防御(IDS&IPS)
    抗拒绝服务攻击(DDoS)
    网页防篡改

    其他公司细分(跟游侠打过招呼了,感谢辛苦整理):

    物理安全
    存储介质信息消除/粉碎机:北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾

    网络安全
    防火墙/UTM/安全网关/下一代防火墙:天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光
    入侵检测/防御:启明星辰、绿盟科技、网御星云、360、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全
    无线入侵检测/防御:360、北京锐云通信、山东闻道通信
    VPN:深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信
    上网行为管理:360、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技
    网络安全审计:天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多
    网络流量控制:360、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络
    网络流量分析:科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络
    防病毒网关/防毒墙:网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、360、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技
    APT未知威胁发现:安恒信息、科来公司、360、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安
    抗DDoS产品:绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、兰云科技、上海纽盾、卫达安全、任子行、青松云安全、天融信、360、北大千方、知道创宇、神荼科技
    抗DDoS服务:阿里云、腾讯云、金山云、百度安全/安全宝、360、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、卫达安全、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、知道创宇、蓝盾
    网闸:360、北京安盟、利谱、启明星辰、杭州合众、北京盖特佳、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思
    安全隔离与信息单向导入设备/单向传输机器:深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、山石网科、哈尔滨朗威、利谱、北京远为软件
    网络缓存加速·产品:缓存大师WebCache、锐捷、优络普、Panabit、安信华
    网络缓存加速·服务:知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod
    网络准入控制:北信源、无锡宝界、蓝盾、互普&溢信(IP-Guard)、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件
    负载均衡:深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、南京易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代
    应用交付:智恒科技、深信服、信安世纪、瑞友天翼、360、天融信、东软、任子行、优炫、中科曙光、弘积科技
    加密机/密码机:江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪
    DNS安全:电信云堤、厦门帝恩思、知道创宇
    不良信息识别与监测:金惠科技

    主机安全
    桌面管理/主机审计:北信源、汉邦、联软、蓝盾、互普&溢信(IP-Guard)、启明星辰、网御星云、360、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、沈阳通软、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠
    单机防病毒:瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件
    网络防病毒:瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件
    主机文档加密与权限控制/HDLP:亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信(IP-Guard)、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、江苏敏捷、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代
    源代码加密及嵌入式开发源码加密:深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信(IP-Guard)、中软、虹安
    主机安全加固:浪潮、椒图、安全狗、广州国迈、中软华泰、上海观安、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、安普诺、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息
    终端登录/身份认证:上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威
    移动存储介质管理:北信源、北京天桥、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件
    补丁管理:北信源、360、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山
    打印安全/打印管理/打印审计:北京恒安讯佳、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞

    应用安全
    网页防篡改:安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、WebRay远江、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安
    Web应用防火墙·WAF·硬件:安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、WebRay远江、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、360、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技
    Web应用防火墙·WAF·软件:福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技
    Web应用防火墙·服务&云WAF:安恒信息、阿里云、腾讯云、360、知道创宇、上海有云、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场
    WEB漏洞扫描:安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、WebRay远江、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技
    网站安全监测产品:安恒信息、绿盟科技、知道创宇、360、WebRay远江、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、安普诺、立思辰、浙江乾冠
    网站安全监测服务:安恒信息、绿盟科技、知道创宇、360、百度安全/安全宝、WebRay远江、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠
    邮件安全产品:守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、安普诺、武汉百易时代
    数据库漏洞扫描:安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷
    数据库防火墙:安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷
    数据库加密和脱敏:中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷
    数据库审计:安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷
    半自动&自动化渗透平台:安恒信息、安络科技、四叶草安全
    应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY:天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信 | 各省都有CA,这个就单列了、中科恒伦、上海林果、福建伊时代
    代码防火墙:上海观安
    加密安全设备/NDLP:福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞
    反钓鱼/反欺诈:电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、360、安天、亚信安全、安恒信息、江民科技、华青融天
    语音安全:北京无限互联

    数据安全
    数据备份:上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代
    虚拟机备份与恢复:成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件
    数据清除工具:中孚信息、北京天桥、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威

    移动安全/虚拟化安全/云安全
    虚拟化安全防护:安恒信息、启明星辰、广州国迈、北信源、中软、南京易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件
    手机防病毒:腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾
    移动终端管理/EMM/MDM:国信灵通/启迪国信、北信源、360、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安
    CASB/云业务安全接入代理:炼石网络、云安宝、信云科技、绿盟科技、启明星辰
    手机APP安全:梆梆安全、北京智游网安/爱加密、阿里聚安全、360、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、安普诺、安码科技
    基于云的安全服务:青松云安全、青藤云安全、百度云、腾讯云、阿里云、360、华为、安全宝、山石网科、万般上品、东软、卫达安全、白帽汇、海峡信息、四叶草安全、中国电信·安全帮 | 此条目待调整、待完善!
    大数据安全:安恒信息、启明星辰、绿盟科技、360、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创 | 这是一个比较纠结的分类,因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分,但是……这个分类可能近期会做细化

    安全管理
    SIEM/日志管理/日志审计/SOC/安管平台:安恒信息、思福迪、360、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代
    运维审计/4A/堡垒机:安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安
    网管软件/ITIL:广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件
    漏洞扫描与管理:安恒信息、榕基、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、WebRay远江、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、安普诺
    网络和主机配置核查系统:安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件
    主机安全保密检查工具:中孚信息、北信源、北京天桥、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安
    信息安全等级保护测评工具箱:安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注:市面上多家厂家均生产此产品,但公安部仅指定了5家作为“合格的”生产单位!
    网络安全态势感知:安恒信息、知道创宇、360、绿盟科技、WebRay远江盛邦、四叶草安全、任子行、上海观安、兰云科技、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技
    应急处置工具箱:安恒信息

    工控安全产品与厂商大全
    威努特、匡恩网络、谷神星、海天炜业、珠海鸿瑞、力控华康、启明星辰、绿盟科技、中科网威、三零卫士、安恒信息、北京网藤科技、天地和兴、安恒信息……

    工控防火墙:中科网威、威努特、匡恩网络、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能
    工控安全审计:威努特、天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威
    工控漏洞扫描/挖掘:天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇
    工控安管平台:**天地和兴、匡恩网络、中科网威
    工控主机安全防护:天地和兴、网藤科技、安点科技、九略智能
    工控入侵检测/威胁感知/入侵防御:安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威
    工控网闸:安点科技、中科网威
    工控防泄密:匡恩网络
    工控检查工具箱:安恒信息、
    工控蜜罐:匡恩网络、
    工控攻防实验室:匡恩网络、网藤科技、博智软件
    工控态势感知:安恒信息、博智软件、360、知道创宇、浙江乾冠、九略智能
    中国自主可控网络安全产品与厂商

    数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会;
    就自主可控行业的特殊性而言,很多大厂商是作为特供产品进行市场宣传,而小厂商只作为品牌规划,并没有特殊宣传,在数据收集时可能会导致内容不全面;
    对于名单中未涉及的厂商,可以单独联系, 告知欲添加的分类、公司名称(需在上述3个联盟中);
    感谢中关村可信联盟自主可信专委会相关工作人员整理!
    防火墙:中科神威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所
    入侵检测/防御:中科神威、网神、中科曙光、安恒信息 、绿盟科技、汉柏
    漏洞扫描系统:中科神威、安恒信息 、绿盟科技
    安全管理平台:启明星辰、中科神威、360
    网闸/安全隔离与信息单向导入设备:国保金泰、中科神威、北京安盟、赛博兴安
    加密机:江南天安
    终端安全:北信源、江民科技
    Web应用防火墙:上海天泰
    堡垒机:建恒信安、江南寰宇
    负载均衡:般固科技
    防毒墙:江民科技
    备份一体机:壹进制
    网络流量分析:北京卓迅
    网络准入控制:画方科技
    存储:创新科、同有飞骥
    未分类子类

    舆情监控:中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、网藤风险感知、南京快页数码、博智软件、北京中安智达
    威胁情报:微步在线、上海观安、斗象科技/http://FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、360、安恒信息
    国产操作系统:Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux
    国产数据库:达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase
    业务风控安全:锦佰安、指掌易、邦盛、岂安、行邑、同盾、通付盾
    蜜罐:安恒信息、三零卫士、凌晨网络、绿盟科技、默安科技
    安全硬件平台/工控机:新汉、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华,立华,惠尔,智威智能
    数据恢复:苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件
    数据库准入:杭州美创
    数据库堡垒机:杭州美创
    红黑电源滤波插座:保旺达、启航智通
    电磁屏蔽柜:启航智通、信安邦
    数字取证:美亚柏科、盘石软件
    安全计算机:瑞达信息

    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
    装载链接:https://blog.csdn.net/qq_33793599/article/details/85101082

    展开全文
  • 华为产品安全基线

    千次阅读 2019-07-27 18:10:39
    一、敏感信息安全传输 1、采用HTTPS安全协议传输 2、客户端本地保存的敏感信息,需要先加密再保存使用,不可逆支持PBKDF2(迭代10000次)加密保存,可逆支持AES256+IV保存,密钥支持可更新 二、认证鉴权 1、...

    在这里插入图片描述

    一、敏感信息安全传输

    1、采用HTTPS安全协议传输
    2、客户端本地保存的敏感信息,需要先加密再保存使用,不可逆支持PBKDF2(迭代10000次)加密保存,可逆支持AES256+IV保存,密钥支持可更新
    

    二、认证鉴权

    1、License中心与分析节点分布式部署,需要做用户名+口令安全认证,支持使用HTTPS安全协议。
    
    
    2、客户端登录支持防暴力破解,支持验证码,多次连续尝试登陆失败后锁定账号或IP
    
    3、用户口令符合安全复杂度要求
    
    4、机机接口支持口令修改
    

    三、协议与接口防攻击

    1、系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。
    

    四、产品开发、发布和安装安全

      1、禁止存在任何“未公开接口”  
    
    
       1) 禁止存在可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能。 
    
                          a) 禁止隐秘访问方式:包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口;不记录日志的非查询操作等。                            
    
                           b) 禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令,不经认证直接访问系统的接口等。
    
       2) 未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等向运营商或监管机构公开或受限公开。
    

    五、Web系统安全

    1、口令不允许明文存储在系统中,应该加密保护。在不需要还原口令的场景,必须使用不可逆算法加密。对银行账号等敏感数据的访问要有认证、授权和加密机制。
    
    
    2、禁止使用私有加密算法。
    
    3、用于敏感数据传输加密的密钥,不能硬编码在代码中。
    
    4、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    

    六、系统管理和维护安全

    1、系统自身操作维护类口令满足 “口令安全要求”。
    

    七、WEB安全

    1、产品对于每一个需要授权访问的请求都需核实用户的会话标识是否合法、用户是否被授权执行此操作。
    
            说明:
            1)请求是否需要鉴权,由产品根据具体业务需要以及安全风险确定。
    
            2)对于图标、CSS文件、静态页面或JavaScript等,如果公开后没有安全风险,不强制认证鉴权。
    
    2、对用户的最终认证处理过程必须在服务器端进行。
    
    3、使用Appscan工具扫描,扫描结果应进行分析处理,与XSS、SQL注入和命令注入漏洞相关的告警(告警描述中有相应描述),如果确认是问题的,都必须在版本发布前得到解决。
    
    4、若输出到客户端或者解释器的数据来自不可信的数据源,则须对该数据进行相应的编码或转义。
    
    说明:产品根据实际输出的目标位置,使用ESAPI或Web安全框架中提供的相应的编码接口对不可信数据进行编码。如自己实现,至少确保对&、<、>、"、'、(、)七种特殊字符进行编码。
    
    5、使用公司指定的Web漏洞扫描工具AppScan对产品Web应用和Web服务器进行扫描测试,(测试应使用当时最新的漏洞库、配置所有漏洞相关插件)。 
    扫描结果应进行分析处理,确认漏洞的实际风险级别,其中高风险级别的必须在版本发布前得到解决(如修改、补丁安装、有效规避并在资料中提示风险),中低风险级别的若当前版本确实无法解决的,必须给出分析结论并明确后续解决版本。
    
    6、Web应用程序使用业界主流的web容器(Apache、Tomcat、jboss、weblogic、nginx、jetty、resin、websphere、IIS)的会话标识生成机制生成会话标识。
    
    7、用户登陆认证通过后必须更换会话标识,以防止会话固定(session fixation)漏洞。
    
    8、产品的Web应用如果提供上传文件到Web内容目录的功能,必须在服务端对上传的文件类型进行限制(基于白名单机制对文件扩展名进行限制),仅允许上传业务允许的文件类型。
    
    说明:Web内容目录是指通过Web可以直接浏览、访问的目录。
    

    八、漏洞扫描

    1.产品自研代码使用Coverity代码静态检查工具进行扫描,并对扫描的告警进行分析,确认告警的实际风险等级,对于实际风险为“高”的漏洞(CVSS 7分及以上),必须进行解决或规避。
    
    
    2. 通过华为应用商店发布的应用软件需在所运行的平台上经过公司要求的安全软件进行扫描,不允许存在病毒、木马、恶意程序。
    
    在公司VMP自动化病毒扫描部署以前,各平台按照以下要求实施:
    
        1)Windows平台公司要求使用MacAfee和Norton 进行扫描。
    
        2)Linux平台如不涉及安装应用软件,暂不要求。
    
    3、对于通过华为应用商店发布的移动应用(Mobile app),禁止存在病毒、木马,以及发送恶意广告、吸费、恶意消耗流量的行为。
    

    九、合法监听接口

    1、合法监听接口应遵循通用的国际标准。如果少数国家对此标准有特殊要求时,应严格限制该产品只能在该国销售或应用。如果我司被要求不能提供合法监听接口时,必须从产品和解决方案中删除此接口,确保现网设备无法通过任何形式启用
    
    
    2、系统中和合法监听相关的接口禁止存在合法监听网关正常接口之外的任何其它调用方式,包括命令、脚本、调试接口等。确保产品和解决方案的合法监听接口的安全性,防止被盗用、误用或滥用,防止被监听对象以及任何未经授权的第三方感知,防止相关信息或内容被泄露。
    
    3、在正常业务流程和标准协议之外,禁止提供可在最终用户不知情同意的情况下,采集最终用户原始通信内容(语音类、短信/彩信类、传真类、数据业务类)的功能,即使该功能是为了保障网络运营和服务。
    
    特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。
    

    十、隐私保护

    1、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    
    
    2、对于移动终端,通过网络对个人数据进行采集/共享/同步的功能须得到最终用户的明确同意,同时给予最终用户随时撤回同意的机会。
    
    3、禁止将个人数据转移出EEA,产品出于定位问题目的从客户网络导出的包含个人数据的数据时应对个人数据进行过滤或匿名化处理
    
    4、在正常业务流程和标准协议之外,禁止出于故障定位目的进行用户精确位置信息定位。在运营商提供增值服务时,如需处理用户精确位置数据,应获得运营商的授权,并在方案设计时,给予最终用户随时撤回同意的机会。
    
    特定国家法律不禁止的情况下,可以对销售往该国的产品定制开发。
    
    5、涉及个人数据的采集/处理的功能须提供安全保护机制(如认证、权限控制、日志记录等),并通过产品资料向客户公开。
    

    十一、未公开接口

    1、禁止存在任何“未公开接口”:
    
    
        1)禁止存在可绕过系统安全机制(认证、权限控制、日志记录)对系统或数据进行访问的功能。
    
            • 禁止隐秘访问方式:包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式;隐藏的协议/端口/服务;隐藏的生产命令/端口、调测命令/端口
    
            • 禁止不可管理的认证/访问方式:包括用户不可管理的帐号,人机接口以及可远程访问的机机接口的硬编码口令。
    
        2)未文档化的命令/参数、端口等接入方式(包括但不限于产品的生产、调测、维护用途),需通过产品资料等对客户公开或受限公开。
    

    十二、访问通道控制

    1、系统支持无法从用户面直接登录连接管理接口(不支持独立的管理IP地址的产品除外)。
    
    
    2、系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。
    
    3、所有能对系统进行管理的人机接口以及跨信任网络的机机接口必须有接入认证机制,标准协议没有认证机制的除外。
    
    4、设备外部可见的能对系统进行管理的物理接口必须有接入认证机制。
    

    十三、软件完整性保护

    1、在软件包(含补丁包)发布前,需要经过至少二款防病毒软件扫描,保证防病毒软件不产生告警,特殊情况下对告警作出解释说明。扫描记录(防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等)存档并随软件包(含补丁包)发布给客户。
    
    
    2、产品对外发布的软件(包含软件包/补丁包)必须提供完整性校验机制,在安装、升级过程中对软件进行完整性验证。
    

    十四、敏感数据与加密保护

    1、认证凭据不允许明文存储在系统中,应该加密保护。
    
    2、禁止使用私有加密算法。
    
    3、用于敏感数据传输加密的密钥,不能硬编码在代码中。
    

    十五、日志审计

    1、管理面所有对系统产生影响的用户活动、操作指令必须记录日志,日志内容要能支撑事后的审计,记录包括用户ID、时间、事件类型、被访问资源的名称、访问发起端地址或标识、访问结果等;日志要有访问控制,只有管理员才能有删除权限。
    
    
    1)用户活动包括:
    
           (1)登录和注销;
    
           (2)增加、删除用户和用户属性(帐号、口令等)的变更;
    
           (3)用户的锁定和解锁,禁用和恢复;
    
           (4)角色权限变更;
    
           (5)系统相关安全配置(如安全日志内容配置)的变更;
    
           (6)重要资源的变更,如某个重要文件的删除、修改等。
    

    2)操作指令包括:

           (1)对系统配置参数的修改;
    
           (2)对系统进行启动、关闭、重启、暂停、恢复、倒换;
    
           (3)对业务的加载、卸载;
    
           (4)软件的升级操作,包括远程升级和本地升级;
    
           (5)对重要业务数据(特别是与财务相关的数据,包括:卡号、余额、话单、费率、费用、订单、出货、帐单等)的创建、删除、修改;
    
           6)所有帐户的命令行非查询操作命令。
    
    上述活动和指令,如果第三方OS/DB不支持记录日志或者启用记录存在严重性能影响,不强制缺省启用。
    

    十六、权限最小化

    1、检查提供的进程是否支持非root账号运行
    

    十七、口令要求

    1、设置口令时,默认检测口令复杂度:
    
    
    系统默认检测口令复杂度,口令至少满足如下要求:
    
        1)口令长度至少6个字符;
    
        2)口令必须包含如下至少两种字符的组合:
    
              -至少一个小写字母;
    
              -至少一个大写字母;
    
              -至少一个数字;
    
              -至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/?  和空格
    

    在这里插入图片描述

    展开全文
  • App安全之网络传输安全问题

    千次阅读 2016-09-29 15:22:26
    App安全之网络传输安全问题 字数4865 阅读132 评论1 喜欢1 App安全之网络传输安全问题 移动端App安全如果按CS结构来划分的话,主要涉及客户端本身数据安全,Client到Server网络传输的安全,客户端本身...
  • SOC安全运营中心产品

    千次阅读 2020-01-04 16:59:48
    SOC( Security Operations Center) 安全运营中心,单独依赖于某些安全产品,在效果上总感觉有一个孤岛效应,从安全工程的角度来说,将安全工程化、系统化、流程化是一个更好的趋势,把安全过程中的有关各方如各层次...
  • 国内主要安全产品及厂商

    万次阅读 多人点赞 2018-02-16 18:48:33
    商业转载请联系作者获得授权,非商业...问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发?国外的安全软件除非个别的...
  • 上一讲,我们一起拆解学习了 CIA 三元组,也就是机密性、完整性和可用性。...面试官点点头,接着说道:“你觉得该怎么去解决安全问题呢?” 毫无疑问,不同的应用、不同的模块会受到不同的安全威胁,当然,我们面.
  • openssl升级解决系统安全漏洞问题

    千次阅读 2018-06-19 16:23:04
    扫描的产品系统的安全漏洞发现有很多openssl漏洞问题,根据详细描述和推荐解决办法,发现centos6.5自带的openssl版本过低,有很多漏洞,需要进行升级。原openssl版本为:[root@localhost ~]# openssl versionOpenSSL...
  •  2)安全协议:研究安全协议... 3)Ad Hoc移动网络,传感器网络:研究网络的体系结构,路由协议的设计与仿真,网络安全问题,以及实际应用产品开发。  4)IPv6安全问题:研究IPv6协议中存在的安全问题;研究I
  • 物联网是指通过各种信息传感设备,实时采集任何需要监控、连接、互动的物体或过程等各种需要的信息,与互联网结合形成的一个巨大网络,其目的是实现...物联网安全已上升至国家安全,本专题通过对物联网“云、管、端...
  • SaaS模式下,企业用户...本文整理了10个必问的SaaS安全问题,包括基础安全,应用安全,安全合规、数据安全、安全责任划分等方面,可以快速了解SaaS厂商的安全能力。 1、SaaS软件的部署方式? A、是否支持私有化...
  • hadoop安全问题

    千次阅读 2014-05-28 16:55:16
    意味着不仅要安全有效地控制离开自有网络的数据,还必须做好网络内部的数据访问控制。依据数据的敏感程度,我们可能要确保数据分析师能看到的数据是可以让他们分析的数据,并且必须明白发布这些数据及其分析结果可能...
  • 网络安全产品综述

    千次阅读 2004-08-21 11:05:00
    网络安全产品综述2003-12-10■Tanker■天极硬件频道目前,国内网络安全产品主要是以硬件为主,其中包括防火墙、入侵检测系统、防病毒网关、VPN、物理隔离卡等产品,其中以防火墙、入侵检测系统、VPN应用得最为广泛。...
  • android应用APP常见安全问题

    千次阅读 2016-09-22 23:18:55
    0x00前言 我们都知道在当下互联网时代,手机移动端的普及已经是...成应用内信息泄露、远程代码执行、本地拒绝服务等多种安全问题,严重的可能影响应用正常运行,更为严重的是导致手机系统的权限沦陷,手机被控制...
  • 云计算安全问题概述

    千次阅读 2013-01-13 23:42:08
    云计算安全问题  根据IDC在2009年年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同 IDC于2008年进行的云计算服务调查结论完全一致。2009年11月...
  • APP安全防护常见问题分析

    千次阅读 2017-10-10 14:22:33
    常见的 App 安全问题 据2017年上半年移动安全报告显示,近五年安卓端病毒数量呈直线上升趋势。到2016年,这一数字已大幅上升至1743万,预计2017全年病毒量将接近2000万。亚洲仍然是病毒重灾区,而中国2017年上半年...
  • 国内主要安全产品及厂商汇总

    万次阅读 2018-12-19 16:52:06
    来源:知乎 著作权归作者所有。...问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。 国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发? 国外的安全软...
  • 网络与信息安全产品(一)

    千次阅读 2018-03-28 17:07:30
    信息安全产品分类标准 美国的分类标准编号是什么?分为哪几类? 按照中国公安部标准分类分为哪几类? 按照中国军用标准分类分为哪几类? 安全网关类是部署什么地方?主要是工作在那几层? 评估工具类主要是解决什么...
  • Telnet中的安全问题

    万次阅读 2013-12-13 23:47:13
    1、Telnet面临的主要安全问题 使用者认证 数据传送保密 防范针对telnet的攻击 Telnet本身没有很好的保护机制,所以要借助其他外部的保护。 Telnet本身的缺陷是: 没有口令保护,远程用户的登陆传送的帐号和密码都是...
  • 软件工程的安全问题

    千次阅读 2012-04-30 03:59:25
    1、軟件安全概論 ...产生安全问题的原因:制作时期的不一致(in-consistency),没有针对故障(Violation, incidents, and disaster)的对应机制,或没有经过详尽的测试。 怎样是一个好的软件安全机制:
  • SpartanBrowser产品安全特性简介

    千次阅读 2015-04-03 23:47:24
    IE的一些不好评价,尤其是安全性上的评价,已经直接在影响业界对微软技术能力的评价,很多软件公司甚至不愿意开发与IE兼容的软件。事实上,由于IE浏览器在网页响应速度、抵挡黑客或病毒攻击、对最新技术的兼容度、...
  •  安全方向的产品经理,工作范围包括对内负责平安集团下各子公司的APP应用安全和业务安全运营,对外投产,进行项目盈利; 2、面试及工作地点 上海崂山路 平安科技 3、面试流程及各时间节点 平安的面试流...
  • RFID安全问题及解决方法

    千次阅读 2015-04-28 21:34:06
    我们必需认真分析RFID在应用中遇到的各种安全问题,进行科学的分类,针对RFID系统的安全需求,深入研究分析现有的各种安全机制和解决方案,准确评价各个方案的优缺点及存在的问题,找到rfid技术研究方向和兴趣。...
  • 物联网安全公司及产品介绍

    千次阅读 2017-09-07 11:12:28
    本文是物联网安全系列文章的最后一篇,通过上期介绍物联网安全技术研究的思路之后,笔者为大家选取了五家公司,在介绍公司产品的同时,也会对其所关注的行业的需求进行一些介绍。在最后,文章对物联网安全可以切入的...
  • 阿里云的云安全防护产品有哪些?都有什么作用? 阿里云的云安全防护产品有以下产品,不同的云安全防护产品有不同的安全防护作用,分别详细介绍如下 (注:点击产品名称,可进入产品页购买或了解详情): DDoS...
  • 10大Web应用程序安全问题分析

    千次阅读 2013-08-13 16:48:08
    随着互联网网络的发展,Web安全性越来越重要,Web产品本身具备自身的特点及弱点,不可避免的存在一定的风险,在风险控制环节安全问题尤为重要,以下是10大Web应用程序安全问题:  据国外研究机构统计其中跨站脚本漏洞...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 466,765
精华内容 186,706
关键字:

产品安全问题