精华内容
下载资源
问答
  • 首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在×××的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定...
       首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在×××的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施。公安机关作为计算机信息网络安全保护工作的主管部门,代表国家依法履行对计算机信息网络安全等级保护工作的监督管理和服务保障职能,依据管理规定和技术标准的具体等级,对单位、企业、个人计算机信息网络的安全保护状况进行监督和检查,并为落实等级保护制度提供指导和服务保障。国家保密、密码管理、技术监督、信息产业等部门也要根据各自职能,在等级保护中各自发挥重要作用。  
       其次,等级保护坚持“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的原则。计算机信息网络的建设和使用单位要依照等级保护管理规定,根据单位在国民经济和社会发展中的地位作用、信息网络依赖程度和重要程度、信息内容或数据的重要程度、系统遭到***破坏后造成的危害程度等因素,科学、准确地设定其安全保护等级,开展安全等级保护设施和制度建设,落实安全管理措施和相关责任。重要领域和重点要害信息网络的上级主管部门对所属信息网络的安全负起领导和管理责任,提高自主管理、自我保护能力。  
       等级保护实行“国家主导、重点单位强制、一般单位自愿;高保护级别强制、低保护级别自愿”的监管原则。计算机信息网络安全涉及国家安全、国家利益和社会稳定,信息网络安全等级保护是国家安全战略的重要组成部分。国家根据信息网络的重要程度和保护价值实行分等级逐步加重的保护措施。涉及国家安全和利益的重要信息网络,按照管理规定设定相应的安全保护制度,并由国家主管部门予以核准;其他信息网络自行设定安全等级,报国家主管部门备案。重要信息网络按照国家有关法规和技术标准建设安全保护设施和进行安全保护管理,国家主管部门依法对其进行监督和检查;一般使用单位自愿按照国家制度的标准,在国家主管部门的制度或帮助下,实施自我保护和共同保护。  
       信息系统安全状况等级的检测评估是等级保护的重点。信息系统的安全等级基本要求是信息系统安全状况等级的主要指标,由国家授权的测评机构通过访谈、检查、测试等手段来进行评定。测评机构在取得国家主管部门的资质和授权后,从事信息系统安全等级保护的测评工作,其结果报送国家主管部门。国家主管部门根据测评报告和其他安全检查的结果对信息系统的安全保护进行监督管理,并对等级测评机构进行监管。  
       等级保护制度为信息网络安全产品的普及使用提供了广阔的市场和发展空间。通过等级保护,引导国内外信息技术和信息安全产品研发企业根据国家有关法规和技术标准,积极研发和推广使用适合不同安全保护等级的产品。由于国家强制采用符合安全等级的产品,特别是重要领域要求采用我国自主开发的安全产品,必将带动和促进自主信息网络安全产品的开发、研制、生产和使用,使我国自主的信息安全产业化,尽快缩短与发达国家的差距,既能推动我国民族信息产业的进一步发展,也为保障我国的信息网络安全打下更坚实的基础。
       而在《网络安全法》则将信息安全等级保护提升至网络安全等级保护。其中第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
    (二)采取防范计算机病毒和网络***、网络侵入等危害网络安全行为的技术措施;
    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
    (四)采取数据分类、重要数据备份和加密等措施;
    (五)法律、行政法规规定的其他义务。
    第三十一条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由×××制定。

    转载于:https://blog.51cto.com/lovevickie/2319522

    展开全文
  • web安全主要包括哪些方面的安全

    千次阅读 2020-10-20 10:14:10
    web安全主要包括哪些方面的安全:web安全主要分为保护服务器及其数据的安全、保护服务器和用户之间传递的信息的安全、保护web应用客户端及其环境安全这三个方面。 web安全介绍 Web应用安全问题本质上源于软件质量...

    在这里插入图片描述

    web安全主要包括哪些方面的安全:web安全主要分为保护服务器及其数据的安全、保护服务器和用户之间传递的信息的安全、保护web应用客户端及其环境安全这三个方面。

    web安全介绍

    Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。

    Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为Web开发比较简单,缺乏经验的开发者也可以胜任。

    Web应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。

    然而,多数网站的实际情况是:大量早期开发的Web应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。

    这种现状,专业的Web安全防护工具是一种合理的选择。WEB应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为Web应用提供实时的防护。

    Web应用漏洞的防御实现
    对于常见的Web应用漏洞,可以从如下几个方面入手进行防御:

    1)对 Web应用开发者而言

    大部分Web应用常见漏洞,都是在Web应用开发中,开发者没有对用户输入的参数进行检测或者检测不严格造成的。所以,Web应用开发者应该树立很强的安全意识,开发中编写安全代码;对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制,只接受一定长度范围内、采用适当格式及编码的字符,阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码,可以消除绝大部分的Web应用安全问题。

    1. 对Web网站管理员而言

    作为负责网站日常维护管理工作Web管理员,应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁,确保攻击者无法通过软件漏洞对网站进行攻击。

    除了软件本身的漏洞外,Web服务器、数据库等不正确的配置也可能导致Web应用安全问题。Web网站管理员应该对网站各种软件配置进行仔细检测,降低安全问题的出现可能。

    此外,Web管理员还应该定期审计Web服务器日志,检测是否存在异常访问,及早发现潜在的安全问题。

    3)使用网络防攻击设备

    前两种为事前预防方式,是比较理想化的情况。然而在现实中,Web应用系统的漏洞还是不可避免的存在:部分Web网站已经存在大量的安全漏洞,而Web开发者和网站管理员并没有意识到或发现这些安全漏洞。由于Web应用是采用HTTP协议,普通的防火墙设备无法对Web类攻击进行防御,因此可以使用入侵防御设备来实现安全防护。

    结束语

    互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全的Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。任何一个简单的漏洞、疏忽都会造成整个网站受到攻击,造成巨大损失。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。

    展开全文
  • 运维工程师工作内容整理

    千次阅读 多人点赞 2019-11-06 15:29:19
    @# 运维工程师工作内容整理 总结两句话: 1、保障业务长期稳定运行(如网站服务器、游戏服务器等)。 2、保障数据安全可靠(如用户名密码、游戏数据、博客文章、交易数据等)。 由这两句话推演运维工程师要学些什么...

    总结两句话:
    1、保障业务长期稳定运行(如网站服务器、游戏服务器等)。
    2、保障数据安全可靠(如用户名密码、游戏数据、博客文章、交易数据等)。

    由这两句话推演运维工程师要学些什么?

    稳定

    出一点点差错,用户就要投诉了。

    1、业务跑在什么上面?
    网站服务器一般是apache,nginx,tomcat等。但是真正跑通流程还需要Mysql数据库来存储用户密码及其它。很多程序都要php的解析,所以LNMP、LAMP(即nginx、apache、mysql、php)环境部署是必须掌握的技能。

    2、业务出了问题怎么及时知道?
    这就需要监控软件来邮件或短信来通知你,常用的有zabbix,nagios等。报警发邮件,也得一个邮件程序呀,sendmail或postfix。

    3、在家里收到报警,但服务器是内网IP,怎么也得解决问题吧?
    在公司搭建openvpn或pptp或openswan,在家里通过VPN拨入内网,24小时解决问题…唉,半夜爬起来解决问题也没工资。

    安全

    出一点点差错,领导要找你喝茶了。

    1、有时需要手动改数据库内容?
    所以要会基本的Mysql数据库增删查改命令。

    2、万一数据库服务器硬件坏了怎么办?
    需要有个备库以备不时之需,所以需要Mysql主从复制。

    3、数据库要还原怎么办?
    所以需要在crond中定期全备Mysql数据,以便还原使用。如果要还原到指定时间点,还要学会Mysql增量备份与恢复。

    4、如果是用户上传的图片或文件服务器坏了怎么办?
    定时备份可能还不够,需要使用rsync加inotify来实时备份。以便任一时刻主服务器坏掉,也能保障所有图片有备份可以用来恢复。

    5、小心黑客,要增加服务器安全性?
    ssh轻易不能让外人访问,那么就设置只允许公司的IP或跳板机IP访问,这些都通过iptables来控制。

    6、说一下你们公司怎么发版的(代码怎么发布的)?
    笔者回答:我说什么来着,这个问题又问到了。发布:jenkins配置好代码路径(SVN或GIT),然后拉代码,打tag。需要编译就编译,编译之后推送到发布服务器(jenkins里面可以调脚本),然后从分发服务器往下分发到业务服务器上。

    7、如果你们公司的网站访问很慢,你会如何排查?
    其实这种问题都没有具体答案,只是看你回答的内容与面试官契合度有多高,能不能说到他想要的点上,主要是看你排查问题的思路:
    1)**要url或页面:**问清楚反应的人哪个服务应用或者页面调取哪个接口慢,叫他把页面或相关的URL发给你,
    2)chrome浏览器分析最直观的分析就是用浏览器按F12 (network->waterfall),看下是哪一块的内容过慢(DNS解析、网络加载、大图片、还是某个文件内容等),如果有,就对症下药去解决(图片慢就优化图片、网络慢就查看内网情况等)。
    3)观察后端服务的日志,其实大多数的问题看相关日志是最有效分析,最好用tail -f 跟踪一下日志,当然你也要点击测试来访问接口日志才会打出来。
    4)排除sql,找到sql去mysql执行一下,看看时间是否很久,如果很久,就要优化SQL问题了,expain一下SQL看看索引情况啥的,针对性优化。数据量太大的能分表就分表,能分库就分库。如果SQL没啥问题,那可能就是写的逻辑代码的问题了,一行行审代码,找到耗时的地方改造,优化逻辑。

    大性能

    1、越来越多的用户来访问我们的网站,一台web服务器抗不住了怎么办?
    那就需要多台web服务器来负担,但多台服务器之间怎么进行负载均衡呢,这就需要用到nginx反向代理或(LVS+keepalived或haproxy+heartbeat了–>高可用)。

    2、用户注册发表的文章与评论太多,一台数据库抗不住了怎么办?
    数据库压力分为读和写,如果写抗不住,需要进行分表分库到多个服务器上。如果是读压力不够了,可以使用mysql-proxy读写分离,
    来分担读的压力。更简单方便的方法,把数据库里的内容放到内存上,这就用上memcache或redis了。

    3、N多用户上传下载文件,磁盘抗不住了怎么办?
    把多块磁盘做成raid,或者使用分布式存储文件系统如MFS,GlusterFS来提高磁盘的读写能力。

    4、网站上好多图片,总有用户反应网站加载太慢,怎么办?
    这时可以把网站上的图片通过squid或varnish缓存到网站前端,尽可能的增加访问速度,当然,最好是购买商业的CDN加速。

    5、运营商是个大难题,他们之间的带宽好像很小,联通IP访问我电信网站怎么就这么慢呢?
    这时可以使用bind自建一个DNS服务器,把网站的DNS记录指向自建DNS服务器上,配置好解析规则,以后联通IP解析到联通网站上,
    电信IP解析到电信网站上,体验就会好很多啦。

    自动化

    终极目标:跑死机器,闲死人。
    1、公司新买100台服务器,公司竟然就1个移动光驱,这装系统得到什么时候?
    使用kickstart或cobbler来网络远程自动安装系统吧。
    2、每次装完机要优化很多内容,什么文件描述符、端口、软件安装啊,手动操作不累死去?
    赶紧学会shell,将解放非常多的工作量。
    3、系统装完后登陆要输入密码,这么多台啊?
    使用expect吧,自动读取提示来输入密码,并执行命令。
    4、要批量把新代码发布到线上服务器,怎么办?
    使用saltstack或puppet或ansible吧,绝对爽歪歪。

    素养

    安全
    运维人员的权限很大,所以一定要保证帐号/私钥的安全。
    最好使用加密工具存储。比如truecrypt,1password
    基于本地存储。切勿用网盘,也不建议用lastpass等
    ssh私钥添加密码
    以上任何一点都很重要,否则弄丢了,风险会非常大。

    责任心
    遇到报警,第一时间处理,而不要等着他人去处理,如果无法处理,应该第一时间让同事协助帮忙,而不要禁止报警,让问题掩盖

    细心
    1.你的任何一个操作,都可能造成系统的损坏、业务出问题。所以敲命令时一定要细心、再三确认。你敲的再快,也就节省那么一点时间,出了问题才是大事。
    2.在项目上线前,除了关注功能的测试,还要关注部署、备份、监控、安全以及配置管理,在早期发现的问题越多,越能尽少后期的问题并避免影响用户体验
    3.建立各个团队的核心成员定期沟通机制(团队之间的协作纳入绩效考核过程中去)
    4.如何从开发的角度去做运维工作( 1)运维去了解代码的模块结构,从运维的角度修改代码,让产品上线后更方便运维与适应生产环境的特点。2)运维参与到持续的集成测试中,用自己的自动化知识帮助实现自动的集成测试等。)
    5.工作量如何体现?
    周报

    推进/改善
    如果代码有问题,导致系统开销很大,比如负载,io等。应该第一时间和开发部门确认,要求优化代码。

    进取心/不断学习
    运维的知识范围很广,要不断学习。遇到问题,做好分析记录,事后还可以在部门内分享交流。
    一定要整理分析, 好记性不如烂笔头!!! 没有谁能一步登天, 牛人都是从1+1开始学的, 为什么有的人会成为牛人, 定期整理分析是必不可少的. 没有整理就不能成为自己的知识.

    面试中hr最喜欢问什么问题

    团队沟通

    在开发过程中,团队之间的冲突和抱怨是避免不了的,但是产生的影响基本一样:
    1.产品上线的进度延误,整个团队很难正常交付新版本。
    2.产品上线后问题很多,影响用户的访问。
    3.团队的士气很差。

    运维问题:
    1.产品开发一点计划都没有,突然要上线机器,让我们措手不及。
    2.设备使用不规范,带宽被跑满导致网络出问题.
    3. 开发的代码太不靠谱,一上线就引发用户投诉,只能回滚到老版本。

    开发问题:
    1.开发需要了解生产环境是什么样,否则不好开发代码,那么运维是否可以直接接触线上的系统?
    2.如何处理关于项目上线后出问题,运维直接回滚了.
    3.代码在测试环境或我的机器跑的好好的呀,怎么一上线就出问题呢.
    (测试怎么测的,那么多问题发现不了)
    4.运维同事帮忙搭一个跟线上一模一样的测试环境.

    测试问题:
    1.开发人员不写规定写单元测试代码.
    2.为了实现开发的业务功能,想着能用一个自动的集成测试环境.
    3.测试环境跟生产环境不一样,很多问题不好发现.
    4.bug没修复完,产品急着上线.

    解决方案:
    借用devops理念来处理团队协作问题:
    1.推出新功能和解决老问题的周期过长
    2.不同团队相互隔离,配合差.(如开发人员收到问题后,第一反应是“在我的机器上工作得好好的呀”)

    DevOps更象是一种运动,每家公司都需要根椐自身的特点进行借鉴,推动团队之间的协作与合作。需要在三个方面努力:

    • 人员
      一方面对现有人员进行培训,鼓励他们了解别的团队的工作、面临的挑战等,让他们用自己的特长去审视和帮助别的团队,另一方面也想办法招一些全面的技术人才,在不同团队之间搭出一些适用的桥来。

    • 流程
      在研发的前期,让系统运维同事参与起来,一起搭建测试环境,验证想法,或者也可以在一些项目团队中直接配有系统、开发和测试以及产品人员,一起为产品的上线努力。出现问题的时候,一起想方法找到问题的真正根源,避免相互推托,将解决方案落实在以后的研发过程中。从绩效考核流程上也需要考虑协作因素。

    • 工具
      说实在的,大家针对DevOps在工具方面其实讨论得更多,这里面跟敏捷有些类似之处。快速的系统部署和自动化产品代码发布方面的工具显得尤为重要了。

    其他

    1、搭整套测试环境需要5台服务器,但公司穷的只有一台空闲服务器?
    学会xen或kvm或docker吧,虚拟出多台服务器,就能解决资源问题了。特别是docker,强烈推荐,以后某个研发人员让你部署一套新环境,分分钟帮他解决。
    2、研发人员的代码控制,权限控制,总要运维人员管呀?
    svn或git,这个是肯定要有的。

    3.权限相关问题
    问题1:你们公司是如何来管理用户权限的?
    答:我们是通过sudo来管理权限的,不论是运维还是开发,一般都不会给root权限,只有核心级开发或者研发总监或以上级别的我们才可能给相应服务器级别的权限;对核心运维或者运维总监才会给root权限

    问题2:规划服务器的时候,在服务器上都跑几个普通用户?
    答:我们的普通用户是根据项目来的,在不同公司它的项目产品线不一样。我们公司只有十几个产品线,我们为每一个项目建立一个普通用户,因此不论nginx还是tomcat都是跑在普通用户下。

    问题3:那一些公用服务呢?比如memcached或者redis。
    答:这些公共服务也可以跑在普通用户下,总的来说是这样的,我对运维的理解是,运维做运维的事情,开发做开发的事情。运维负责网络系统,只要系统没有故障,只要网络没有故障,只要系统资源还够用,那么我们运维的职责就到位了。而我们公司的理念是项目负责制,也就是说每个项目的责任人是开发,我们运维大概占30%-40%的责任。我们的开发占60%的责任。当进程上线的时候,这个服务是由普通用户跑的。它的每个站点目录都是普通用户的权限,也就是700的权限普通用户,这个是最安全的。无论是项目的启动,停止,以及代码上线,日志收集,日志分析都是通过我们进程跑的普通用户实现的。我们在管理这个项目的时候,我们可以把开发的用户加到这个项目组里面,这样负责相应项目的开发人员就有对应项目的所有权限。

    结尾:
    现在我们在回过头来思考,运维工程师平时干些啥呢?
    1、 随时解决报警故障。
    2、 业务程序更新。
    3、 编写一些脚本,监控或完成其他可自动完成功能。
    4、 运维架构完善,部署一些用起来更方便更可靠或性能更好的开源工具以及制定运维流程规范。
    5、 打杂,如调交换机,装系统,部署新环境等。

    展开全文
  • 信息安全等级测评内容

    千次阅读 2018-03-11 22:00:52
    商用密码应用安全性评估具体内容 1、物理与环境测评内容 (1)物理位置的选择 (2)物理访问控制 (3)防盗窃和防破坏 ...a、应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; ...

    商用密码应用安全性评估具体内容

    1、物理与环境测评内容

    (1)物理位置的选择
    (2)物理访问控制
    (3)防盗窃和防破坏
    (4)防雷击
    (5)防火
    (6)防水防潮
    (7)防静电
    (8)温湿度控制
    (9)电力供应
    (10)电磁防护

    2、网络与通信测评内容

    2.1 网络全局

    (1)结构安全
    a、应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
    b、应保证网络各个部分的带宽满足业务高峰期需要;
    c、应在业务终端与业务服务之间进行路由控制建立安全的访问路径;
    d、应绘制与当前运行情况相符的网络拓扑结构图。
    e、应该根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
    f、应避免将重要网段部署在网络边界处且连接外部信息系统,重要网段和其他网段采取可靠的技术隔离手段;
    g、应按照业务服务的重要次序来指定带宽分配优先级,保证在网络发生拥堵时优先保护重要主机。
    (2)边界完整性检查
    a、应能够对非授权设备私自联到内部网络的行为进行检查,准确定位,并对其进行有效阻断;
    b、应该能够对内部网络用户私自联到外部网络的行为进行检查,准确定位,并对其进行有效阻断。
    (3)入侵防范
    a、应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
    b、当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的和攻击事件,在发生严重入侵事件时应提供报警。
    (4)恶意代码防范
    a、应在网络边界处对恶意代码进行检测和清除;
    b、应该维护恶意代码库的升级和和检测系统的更新。

    2.2 路由器

    (1)访问控制
    a、应在网络边界部署访问控制设备,启用访问控制功能;
    b、应能够根据状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
    c、应该对进口网络的信息内容进过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行命令级的控制;
    d、应在会话处于非活跃一定时间或会话结束后终止网络连接;
    e、应限制网络最大流量数及网络连接数;
    f、重要网段应采取技术手段防止地址欺骗;
    g、应按照用户和系统之间的允许访问规则,决定允许或拒绝对受控系统进行资源访问,控制粒度为单个用户;
    h、应限制具有拨号访问权限的用户数量。
    (2)安全审计
    a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
    b、审计记录应包括:时间的日期起和实践、用户、事件类型、时间是否成功及其他与审计相关的信息;
    c、应该能够哦根据记录数据进行分析,并生成审计报表;
    d、应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
    (3)网络设备防护
    a、应对登录网络设备的用户进行身份鉴别;
    b、应对网络设备的管理员登录地址进行限制;
    c、网络设备用户的标识应唯一;
    d、主要网络设备应该对同一用户进行两种或两种以上的身份鉴别;
    e、身份鉴别信息应该具有不易被冒用的特点,口令应有复杂度要求并且定期更换;
    f、应该具有登陆失败处理功能,可采取会话结束、限制非法登录次数和当网络连接超时自动退出等措施。
    g、当对网络设备进行远程登录管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
    h、应实现设备特权用户的权限分离;

    2.3 交换机

    (1)访问控制
    a、应在网络边界部署访问控制设备,启用访问控制功能;
    b、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
    c、应该对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制;
    d、应在会话处于非活跃一定时间或会话结束后终止网络连接;
    e、应限制网络最大流量数及网络连接数;
    f、重要网段应采取技术手段防止地址欺骗;
    g、应按照用户和系统之间的允许访问规则,决定允许或拒绝对受控系统进行资源访问,控制粒度为单个用户;
    h、应限制具有拨号访问权限的用户数量。
    (2)安全审计
    a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
    b、审计记录应包括:时间的日期起和实践、用户、事件类型、时间是否成功及其他与审计相关的信息;
    c、应该能够哦根据记录数据进行分析,并生成审计报表;
    d、应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
    (3)网络设备防护
    a、应对登录网络设备的用户进行身份鉴别;
    b、应对网络设备的管理员登录地址进行限制;
    c、网络设备用户的标识应唯一;
    d、主要网络设备应该对同一用户进行两种或两种以上的身份鉴别;
    e、身份鉴别信息应该具有不易被冒用的特点,口令应有复杂度要求并且定期更换;
    f、应该具有登陆失败处理功能,可采取会话结束、限制非法登录次数和当网络连接超时自动退出等措施。
    g、当对网络设备进行远程登录管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
    h、应实现设备特权用户的权限分离;

    2.4 防火墙

    (1)访问控制
    a、应在网络边界部署访问控制设备,启用访问控制功能;
    b、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
    c、应该对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制;
    d、应在会话处于非活跃一定时间或会话结束后终止网络连接;
    e、应限制网络最大流量数及网络连接数;
    f、重要网段应采取技术手段防止地址欺骗;
    g、应按照用户和系统之间的允许访问规则,决定允许或拒绝对受控系统进行资源访问,控制粒度为单个用户;
    h、应限制具有拨号访问权限的用户数量。
    (2)安全审计
    a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
    b、审计记录应包括:时间的日期起和实践、用户、事件类型、时间是否成功及其他与审计相关的信息;
    c、应该能够哦根据记录数据进行分析,并生成审计报表;
    d、应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
    (3)网络设备防护
    a、应对登录网络设备的用户进行身份鉴别;
    b、应对网络设备的管理员登录地址进行限制;
    c、网络设备用户的标识应唯一;
    d、主要网络设备应该对同一用户进行两种或两种以上的身份鉴别;
    e、身份鉴别信息应该具有不易被冒用的特点,口令应有复杂度要求并且定期更换;
    f、应该具有登陆失败处理功能,可采取会话结束、限制非法登录次数和当网络连接超时自动退出等措施。
    g、当对网络设备进行远程登录管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
    h、应实现设备特权用户的权限分离;

    2.5 入侵检测/防御系统

    (1)访问控制
    a、应在网络边界部署访问控制设备,启用访问控制功能;
    b、应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
    c、应该对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制;
    d、应在会话处于非活跃一定时间或会话结束后终止网络连接;
    e、应限制网络最大流量数及网络连接数;
    f、重要网段应采取技术手段防止地址欺骗;
    g、应按照用户和系统之间的允许访问规则,决定允许或拒绝对受控系统进行资源访问,控制粒度为单个用户;
    h、应限制具有拨号访问权限的用户数量。
    (2)安全审计
    a、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
    b、审计记录应包括:时间的日期起和实践、用户、事件类型、时间是否成功及其他与审计相关的信息;
    c、应该能够哦根据记录数据进行分析,并生成审计报表;
    d、应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
    (3)网络设备防护
    a、应对登录网络设备的用户进行身份鉴别;
    b、应对网络设备的管理员登录地址进行限制;
    c、网络设备用户的标识应唯一;
    d、主要网络设备应该对同一用户进行两种或两种以上的身份鉴别;
    e、身份鉴别信息应该具有不易被冒用的特点,口令应有复杂度要求并且定期更换;
    f、应该具有登陆失败处理功能,可采取会话结束、限制非法登录次数和当网络连接超时自动退出等措施。
    g、当对网络设备进行远程登录管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
    h、应实现设备特权用户的权限分离;

    3、设备与计算测评内容

    3.1 操作系统评测

    (1)身份鉴别
    a、应该对登录操作系统或数据库系统的用户进行身份标识和鉴别;
    b、操作系统和数据库管理用户身份鉴别信息应该具有不易被冒用的特点,口令应有复杂度要求并定期更换;
    c、应具有登录失败自动处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
    d、当对服务器进行远程登录时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
    e、应该为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
    f、应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
    (2)访问控制
    a、应启用访问控制功能,依据安全策略控制用户对资源的访问;
    b、应该根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
    c、应实现操作系统和数据库系统特权用户的权限分离;
    d、应严格限制默认账户的额访问权限,重命名系统默认账户,修改这些账户的默认口令;
    e、应及时删除多余的、过期的账户,避免共享账户的存在;
    f、应对重要信息资源设置敏感标记;
    g、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
    (3)安全审计
    a、审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
    b、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
    c、审计记录应包括时事件的日期、时间、类型、主体标识、个体标识和结果等;
    d、应能够根据记录数据进行分析,并生成审计报表;
    e、应保护审计进程,避免受到未预期的中断;
    f、应保护审计记录,避免受到未预期的删除、修改或覆盖等;
    (4)剩余信息保护
    a、应保证操作系统和数据库系统用户的鉴别信息所在的储存空间被释放或再分配给其他用户前被完全清除,无论信息是存放在硬盘上还是在内存中;
    b、应保证系统内的文件、目录和数据库记录等资源所造的存储空间被释放或重新分配给其他用户前得到完全清除。
    (5)入侵防范
    a、应能后检测到对重要服务器进行入侵的行为,能够记录入侵的源IP,攻击的类型、目的、时间,并在发生严重入侵事件时提供报警;
    b、应该能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
    c、操作系统应遵循最小安装的额原则仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
    (6)恶意代码防范
    a、应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
    b、主机防恶意代码产品应该具有与网络防恶意代码产品不同的恶意代码库;
    c、应支持防恶意代码的统一管理。
    (7)资源控制
    a、应通过设定终端接入方式、网络地址范围等条件限制终端登录;
    b、应根据安全策略设置登录终端的操作超时锁定;
    c、应该对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
    d、应限制单个用户对系统资源的最大或最小使用限度。

    3.2 数据库系统评测

    身份鉴别
    访问控制
    安全审计
    资源控制

    4、应用与数据测评内容

    (1)身份鉴别
    a、应提供专用的登录控制模块对登录用户进行身份标识;
    b、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
    c、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
    d、应提供登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出等措施;
    e、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查,以及登录失败处理功能,并根据安全策略配置相关参数。
    (2)访问控制
    a、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
    b、访问控制的覆盖范围应该包括与资源访问相关的主体、客体及他们之间的操作;
    c、应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;
    d、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
    e、应具有对重要信息资源设置敏感标记的功能;
    f、应依据安全策略严格控制用户对有敏感标记的信息资源的操作。
    (3)安全审计
    a、应该提供覆盖到每个用户的安全审计功能,对应用系统重要的安全事件进行审计;
    b、应保证无法单独中断审计过程,无法删除、修改或覆盖审计记录;
    c、审计记录的内容至少应包括时间的日期、时间、发起者信息、类型、描述和结果等;
    d、应提供对审计记录进行统计、查询、分析及生成审计报表的功能;
    (4)剩余信息保护
    a、应保证用户鉴别信息所在的储存空间被释放或再分配给其他用户前被完全清除,无论信息是存放在硬盘上还是在内存中;
    b、应保证系统内的文件、目录和数据库记录等资源所造的存储空间被释放或重新分配给其他用户前得到完全清除。
    (5)通信完整性
    a、应采用密码技术保证通信过程中数据完整性。
    (6)通信保密性
    a、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
    b、应对通信过程中的整个报文或会话过程进行加密。
    (7)抗抵赖
    a、应具有在请求的情况下为数据原发者或接受者提供数据原发证据的功能;
    b、应具有在请求的情况下为数据原发者或接受者提供数据接收证据的功能。
    (8)软件容错
    a、应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
    b、应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
    (9)资源控制
    a、当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
    b、应能够对系统的最大并发会话连接数进行限制;
    c、应能够对单个用户的多重并发会话进行极限值;
    d、应能够在一段时间内可能的并发会话连接数进行限制;
    e、应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额;
    f、应能够对系统服务水平降低到预定规定的最小值进行检测和报警;
    g、应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源。
    (10)数据完整性
    a、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性收到破坏,并在检测到完整性错误时采取必要的恢复措施;
    b、应能够检测到系统管理数据、兼鉴别信息和重要业务在存储过程中完整性收到破坏,并在检测到完整性收到破坏时采取必要的恢复措施。
    (11)数据保密性
    a、应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;
    b、应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
    (12)备份与恢复
    a、应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;
    b、应提供异地数据备份与恢复功能,利用通信网络将关键数据定时批量传送至备用场地;
    c、应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;
    d、应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。

    5、密钥管理测评内容

    对密钥的产生、分发、存储、更换、使用和废止等各个环节进行规定。
    检查方法:访谈安全管理员,询问是否使用涉及加密技术的设备,密码算法和密钥的使用是否遵照国家密码管理规定。检查是否具有密码使用管理制度。

    展开全文
  • 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间通常会与多个程序的...
  • Windows Server 2016-Windows安全日志ID汇总

    千次阅读 2019-03-04 21:39:10
    Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105...
  • 安全开发工作总结v1.0

    千次阅读 2012-06-23 13:13:39
    经过了凤凰网以及完美世界开发工作的锻炼,对于安全开发工作有了一些很好的认识,下面总结一下过去的经验和教训  对于安全开发一定要有一套成熟度模型,例如公司刚开始做的时候定义的级别可以低一些,可做的事情要...
  • windows系统安全日志取证工具

    千次阅读 2019-04-11 21:54:00
    Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。 0x02 查看日志 传统的查看Windows安全日志方法是...
  • 据数联寻英发布《大数据人才报告》显示,目前全国的大数据人才仅46万,未来3-5年内大数据人才的缺口将高达150万,越来越多人加入到大数据培训,都希望在大数据培训机构中学习最前沿的知识,找一份不错的工作。...
  • 系统安全日志开发心得

    千次阅读 2014-12-29 23:15:04
    1. 引言 1.1学习背景 随着计算机技术和网络技术的发展,计算机系统和其他网络设备的复杂性越来越高,由此由入侵行为或者非法的操作等...通过对网络日志的分析,我们可以了解到网站的访问情况和用户的使用习惯等,最重要的
  • 游戏测试主要内容

    千次阅读 2019-07-29 17:59:04
    游戏测试主要内容 (1)功能测试:主要测试方法为黑盒测试。主要用来检验功能是否符合需求设计。主要用来考虑功能正确性,而不考虑游戏底层结构及代码错误。通常从界面着手测试,尽量模拟用户可能出现的操作。 (2)...
  • 详解Windows Server 2008安全日志

    千次阅读 2014-04-29 22:52:22
    建立安全日志记录为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。...
  • 主要内容:给大家讲解公司运维工程师工作日记系列课程,其中包括网站服务器的托管流程、数据的备份还原、服务器性能的监控、基本的安全设置等等。内附课程讲义、服务器维护的shell脚本、相关安装包等等,极具实用...
  • XXX分局信息安全突发事件应急处置工作预案 为了有效预防、及时控制和妥善处理我局网络和信息突发事件,提高我局快速反应和应急处理能力,建立健全应急机制,确保我局信息系统安全,根据国家有关法律法规和我局有关...
  • 网络信息安全第四讲 防火墙工作原理及应用 一 防火墙概念与分类 1.防火墙简介 防火墙允许授权的数据通过,而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统,允许人们在内部网和开放...
  • 运维工作内容

    万次阅读 多人点赞 2018-04-28 16:00:42
    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。 什么是运维和运维工程师:一、初入运维领域的头衔:运维实习生系统管理员网络管理...
  • 国内主要安全产品及厂商

    万次阅读 多人点赞 2018-02-16 18:48:33
    国内哪些公司在做企业版安全产品开发?问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发?国外的安全软件除非个别的....
  • 在上期中,我们探讨了中小企业信息安全的现状,并集中阐述了中小企业在安全意识、投入能力、技术储备等方面所面临的问题。读罢该文,可能给大家一种在中小企业中实施信息安全步履维艰之感,但事实是否如此呢?可以说...
  • 第一部分:道路运输企业主要负责人安全考核模拟学习试题 该模拟题库适用于全国道路运输企业主要负责人模拟考试通用部分,了解更多工种完整题库信息,百度搜索【安考星】或关注“安考星”微信公众号,支持电脑及手机...
  • 项目工作日志(3)

    千次阅读 2007-09-17 21:18:00
    今天是正式展开需求调研的第一天,在此之前两天整理了调研提纲,梳理清楚每个业务系统应了解的主要内容,包括业务流程、业务表单、统计报表、审批权限、辅助功能等功能需求和系统性能要求、安全性要求等质量需求。...
  • 本文定位于一个公司的信息安全工作OKR设计,提供了一个设计尝试与示例参考。帮助大家理解怎么使用OKR来帮助设计信息安全工作的目标和管理相关的任务。 一、愿景 为公司的产品服务和技术系统的持续运行运营提供所需...
  • 2019年度优秀安全内容合集

    千次阅读 2020-01-06 13:28:23
    2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
  • 10月28日工作日志

    千次阅读 2004-10-29 09:23:00
    主要任务:全方面分析金电网安公司!与willie,sah,layne一起探讨相关问题。金电网安的分析报告:一. 分析金电网安的基本情况:公司概况 上海金电网安科技有限公司是上海浦东软件园控股的专业从事信息安全的子公司...
  • 国内主要安全产品及厂商汇总

    万次阅读 2018-12-19 16:52:06
    国内哪些公司在做企业版安全产品开发? 问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。 国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发? 国外的安全软...
  • 从中我发现一个非常重要的问题——安全,这是一个被严重忽略的问题。我认为在网络这个充满敌意的大环境下,应用和服务的安全性,是一个不得不重视的问题。去年年底的CSDN账号泄露以及口令明文的事件,至少给了企业两...
  • 大数据开发工作内容有哪些?

    千次阅读 2018-08-22 14:43:33
    据数联寻英发布《大数据人才...大数据开发工程师主要负责的工作有以下内容:1. 负责公司大数据平台的开发和维护,负责大数据平台持续集成相关工具平台的架构设计与产品开发等工作;2. 主要从事网络日志的大数据分析...
  • 通过参考NIST SP800系列标准关于信息安全风险评估的阐述,以下列举了美国政府在实施风险评估和风险控制时的一般流程,具有普遍性,但并不意味着这是固定不变的方法。 步骤1:描述体系特征在对信息系统的风险进行...
  • Android安全——客户端安全要点

    千次阅读 2018-05-24 10:55:35
    一、前言: 近期facebook的隐私泄露事件...本文浅谈Android客户端的安全问题,涉及组件、WebView、存储、传输、日志、混淆、应用加固等安全漏洞及防护策略,运用更加合理的配置与防护措施来提高应用的安全级别。...
  • Docker安全

    千次阅读 2017-03-08 20:04:42
    Docker的安全主要体现在如下几个方面: Docker容器的安全性这是指容器是否会危害到宿主机或其他容器; 镜像的安全性用户如何确保下载下来的镜像是可信的、未被篡改过的; Docker daemon的安全性如何...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 158,959
精华内容 63,583
关键字:

安全工作日志主要内容