精华内容
下载资源
问答
  • 云安全等保三级
    千次阅读
    2019-09-25 20:16:11

    背景

    由于政策的要求,我们的应用系统需要过信息系统安全等级保护第三级(简称三级等保)。在编写本文时,我们的三级等保已经通过,所以本文是对三级等保测评的一次总结。分享给大家,希望能够帮助有需要的人。

    我们的应用系统是基于阿里云部署的,阿里云作为云平台,本身通过了三级等保测评。所以与阿里云相关(物理安全、中间件安全)的测评都不需要重复进行,只需要提供阿里云的三级等保测评报告就可以。因此我们的三级等保测评可以转化为:阿里云三级等保报告+应用系统测评+安全管理规范三部分内容。本文着重对应用系统的测评要求进行描述。

    一、应用系统测评要求

    1、登录校验

    使用账号+静态密码+4位验证码进行登录验证。

    2、密码复杂度

    八位以上,大小写+特殊字符+数字,加盐,采用两次md5加密。

    3、密码更换

    要求用户密码每3个月更换一次,更新的口令5次内不能重复。

    4、登录失败策略

    当日连续登录失败 5 次则锁定账户,第二天再登录。登录成功则清空失败次数。

    5、退出

    提供退出功能,由用户主动操作退出系统。

    6、超时退出

    提供超时退出功能,在指定的时间后,系统自动退出。

    7、并发会话限制

    对单个帐户的多重并发会话进行限制,禁止同一用户同时登录系统。

    8、访问控制

    对系统中的每个请求资源进行权限控制,只有用户该权限的用户才可以访问资源,禁止越权操作。

    9、权限分离

    信息系统根据业务需求划分不同角色(管理员、审计员、业务员),应根据最小原则进行授权,对特权用户进行权限分离,实现各用户间形成相互制约关系,如录入与审核分离,操作与监督分离等。

    10、数据有效性校验

    在数据输入界面提供数据有效性检验功能。

    11、审计功能

    对系统的重要安全事件(包括用户登陆、用户注册、重要业务数据操作等行为)进行记录,形成审计日志。审计日志包括事件发生的日期和时间、触发事件的主体、事件的类型、事件成功或失败、事件请求的来源、事件的结果等,并提供导出功能。
    审计日志由审计员进行操作,其他人员无法操作。禁止提供修改、删除审计日志的功能,禁止提供终端审计进程的功能。

    12、HTTPS通信

    采用HTTPS加密通信方式对数据通信完整性进行保护。

    13、并发数控制

    对应用系统的并发数进行限制,超出限制后应进行报警通知。

    14、系统相关文档

    需求说明文档、概要设计文档、详细设计文档、用户手册等。

    15、安全防护

    通过购买阿里云安全组件或者自主安装的方式实现安全防护。包括ECS服务器、负载均衡器、云数据库RDS、云堡垒机、WEB应用防火墙、云盾证书、clamav(防病毒)等。

    二、安全管理规范

    包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。

    三、参考资料

    GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求.pdf

    文章内容仅代表个人观点,如有不正之处,欢迎批评指正,谢谢大家。

    更多相关内容
  • 等级保护制度概述 等保三级基本要求解读 Azure租户等保三级设计方案
  • 附件为过三级等保所需要的网络设备,共享出来大家一起交流,其中分高中低三类,建议选择第一类过三级等保
  • 数据中心面临的安全挑战 等要求与华为等建设方案 数据中心三级等保方案
  • 电子政务外网数据中心解决方案技术建议书
  • 云安全等保防护解决方案.pdf
  • 以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。

    目录

    什么是等保?

    等保2.0的概念

    等保1.0的概念

    核心变化

    等保测评流程

    阶段流程

    二级、三级等保应该购买哪些产品

    产品目录

    总结


    什么是等保?

    网络安全等级保护,以下简称“等保”。

    等保2.0的概念

    以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。

    等保1.0的概念

    以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为指导标准,以2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》为指导的网络安全等级保护办法,业内简称等保,即目前的等保 1.0。

    核心变化

    等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。

    等保测评流程

    阶段流程

    等保包括五个阶段:1、定级、2、备案、3、建设整改、4、等级测评、5、监督检查。定级对象(即需要过等保的对象)建设整改后,需要选择符合国家要求的测评机构,按《网络安全等级保护基本要求》等技术标准进行等级测评,之后向监管单位提交测评报告。

    二级、三级等保应该购买哪些产品

    产品目录

    总结

    其中部分产品可以根据地域不同选购,三级等保最低甚至只要几万就能购买,如果有不明白的地方欢迎评论或私信探讨

    展开全文
  • 那你知道等保三级要求多少分?几分能过? 等保三级要求多少分?几分能过? 根据规定,等保三级70分以上才算及格,90分以上算优秀。一般认真落实相应网络安全标准的公司企业,很多都是高分通过的,其具体判别依据如下...

    网络安全等级保护制度是国家的基本国策、基本制度和基本方法,各大企业都应该遵循,应该积极办理等保测评,采购过等保设备。那你知道等保三级要求多少分?几分能过?

    等保三级要求多少分?几分能过?

    根据规定,等保三级70分以上才算及格,90分以上算优秀。一般认真落实相应网络安全标准的公司企业,很多都是高分通过的,其具体判别依据如下:

    1、优:被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且系统综合得分90分以上,包含90分;

    2、良:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上,包含80分;

    3、中:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上,包含70分;

    4、差:被测对象中存在安全问题,而且会导致达测对象面临高等级安全风险,或被测对象综合得分低于70分。

    等保三级测评多久要做一次?

    根据规定,第三级信息系统应当每年至少进行一次等级测评。如需了解更多,请拨打40088-25683!

    重点推荐:过等保三级就用行云管家堡垒机!

    行云管家堡垒机是业界领先的、全面满足等保2.0要求的信息安全运维审计系统,经过严格测试,已经获得了计算机信息系统安全产品身份鉴别(网络)类销售许可证。其具备了集中管控、多重防护等多种特性,支持多云、混合云IT架构,全方位保障了企业信息安全,是过等保之必备利器。
    在这里插入图片描述

    展开全文
  • 保二级与等保三级的区别分析-行管家 区别一、定级标准不同 保二级定级标准:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全...

    相信大家都知道,等级保护对象分为五级。但很多人不知道,等保二级与等保三级的区别是什么?今天我们就来为大家分析讲解一下等保二级与等保三级的四大区别。
    在这里插入图片描述

    等保二级与等保三级的区别分析-行云管家

    区别一、定级标准不同

    等保二级定级标准:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

    等保三级定级标准:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

    区别二、测评周期不同

    等保三级要求每年至少进行一次等级测评;而等保二级不强制要求测评,但要求定期找测评机构测评或进行系统自测。

    区别三、监管力度不同

    等保二级为一般系统,属于指导保护级;但等保三级为重要系统/关键信息基础设施,属于监督保护级,强制要求每年进行一次等保测评。

    区别四、防护能力不同

    第二级安全保护能力需达到:能够防护系统免受外来小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难及其他的相应程度的威胁做造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在遭受攻击损害后,具备在一段时间内恢复部分功能。

    第三级安全保护能力需达到:在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭受攻击损害后,能较快恢复绝大部分功能。

    展开全文
  • 保二级和等保三级的区别

    千次阅读 2022-05-07 15:57:58
    由于这类因素,保二级和等保三级在等级保护搭建的环节中耗费的人力成本、测评成本和安全设备购置花费,也有很大的差异,等保三级的花费会更高一些。另外,保二级和等保三级的测评周期,是有所不同的。 保二级...
  • 阿里官方提供给用户的等级保护测评报告,供用户进行等保测评使用。用户进行等保之后需要由测评机构附上该平台合格的测评报告内容。
  • 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,根据系统保护等级和各地政策的不同,等级保护实施的流程也略有区别,但都包括:系统定级、系统备案、整改建设、等级测评和监督检查五...
  • 等保三级顾名思义就是安全等级保护三级;是指对国‏家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护;对信息系统中使用的信息安全产品实行按等级管理;对...
  • 目前市面上企业过保,一般是过保二级和等保三级。但很多企业不知道自己需要过哪个级别的保,不知道保二级和等保三级有什么区别,今天我们小编就给大家来详细讲解一下保二级和等保三级的区别。 保二级和...
  • 公共基础服务平台-等2.0大礼包.zip 阿里云三级等保资料,包含阿里产品销售证书,三级等保资料等
  • Alibaba Cloud Linux是阿里推出的Linux发行版,Alibaba Cloud Linux 2等保2.0三级版镜像是根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》进行等保加固的镜像,Linux百科网来详细说下Alibaba Cloud ...
  • 2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护...
  • 等保2.0三级安全要求

    万次阅读 多人点赞 2020-06-07 12:22:55
    第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害,以及其他相当危害程度...以下加粗字段为等保三级与二级的区别,需重点关注。
  • 以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称等保2.0。 等保1.0的概念 以1994年国务院...
  • 数据中心安全集成方案-ZW云安全等级保护三级方案设计 数据中心与云安全解决方案 天融信云数据中心安全解决方案 专业认可_全行业_深信服云数据中心安全解决方案 华为ZW数据中心解决方案建议书 云数据中心安全解决方案...
  • 各地的合作测评机构、安全咨询合作厂商,为您提供一站式等保测评,完备的攻击防护、数据审计、加密、安全管理,助您快速省心地通过等保合规,完整的供应链提供一站式P2P各类等保合规解决方案。 6月1日《网络安全...
  • 等保二级基础上,叠加必要的安全产品及高可用架构,满足三级要求。 解决问题 服务器安全、网络安全、应用安全 数据安全安全审计、安全管理 客户案例 【客户介绍】 “点我达”致力于末端即时物流服务,以众包...
  • 当前,大部分企业选择把业务部署在多个平台上,这样做,虽然可享受多样的产品服务,分散和减少业务系统风险,但也会带来一个安全挑战:如何高效部署安全产品、如何高效满足等保合规要求。
  • GBT22239-2019等保2.0三级要求

    万次阅读 2019-07-16 17:47:00
    1第三级安全要求 1.1安全通用要求 1.1.1安全物理环境 1.1.1.1物理位置选择 本项要求包括: a) 机房场地应选择在具有防震、防风和防雨能力的建筑内; b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强...
  • 三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运营的信息系统,各部委官网。 二、防护能力区别 第二级安全保护能力需达到: 能够...
  • 一、等级保护内容框架 技术要求:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复 管理要求:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理 ...等保安全要求/区别 ...
  • 等保2.0四级安全要求

    万次阅读 2020-06-07 15:14:16
    第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾害,以及其他相当危害程度的...以下加粗字段为等保四级与三级的区别,需重点关注。
  • 作者:孙浩庭 ...来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 一级现在基本没人会去提及,所以我这里主要说下等级保护二级和三级的...等保三级解决方案;差异分析) 例: 入..
  • 等保2.0三级云计算扩展要求

    千次阅读 2019-10-22 15:22:30
    应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力; 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略; 应提供开放接口或开放性...
  • 三级-云计算安全扩展要求 一.安全物理环境 基础设施位置 应保证云计算基础设施位千中国境内。 二.安全通信网络 网络架构 本项要求包括: a) 应保证云计算平台不承载高千其安全保护等级的业务应用系统; ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 67,007
精华内容 26,802
关键字:

云安全等保三级