等保三级安全要求简要攻略-安全计算环境

今天我们来攻略一下等保2.0国家标准中 《信息安全技术网络安全等级保护基本要求》 所对三级系统所提出的要求项以及针对这些要求项如何去应对或者说是如何去做防护。废话不多说直接上正题
在等保三级中分为十个大项分别是:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设和管理、安全运维管理,这十大项里面有N个小项来做限制,因为小项比较多,这篇文章主要是针对安全计算环境来说的,后面也会慢慢把所有的检查项都写给大家攻略的
下面所写的攻略以及测评结果仅供参考,要以实际情况为准。

安全计算环境

安全计算环境这一块主要针对主机设备、存储设备、应用系统、数据库等一些对象来做管理或者防护的一些要求,在这一块相对来说所有的业务系统都涉及的,也是丢失分数比较多的一部分,具体来看下每一项都是怎么做的要求吧

身份鉴别
要求项攻略测评结果
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。这一项主要说的是我们业务系统的登录方式是怎样的,登录的用户名或者ID是否唯一,登录时所使用的密码是否有一定复杂度这些。这一块大部分的业务系统也都是满足的。这一项测评公司会写:应用系统采用B/S架构,采用账号密码的登录方式进行身份鉴别,用户可以从组织架构列表中查询,身份标识具有唯一性,密码长度是8,满足复杂度要求。
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。这一项主要说的是身份鉴别出现失败时应用系统时做的一些操作,比如说登录失败后是否有登录失败记录、登录失败几次后自动锁定等等一些操作,这一项主机操作系统、应用系统、网络设备等等都有类似的一些功能,这一项基本设置一下就可以这一项测评公司会写:应用系统已启用登录失败处理功能,已启用密码输入错误自动锁定功能,已启用长时间未登录自动锁定。
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。这一项主要说的是业务系统从互联网中所采用的鉴权传输方式是怎样的,是采用GET传输还是POST传输,传输过程中是否进行了加密,这里一般测评公司都会看网站或者系统是否使用了SSL证书,有证书基本上就能过这一项测评公司会写:该网站采用HTTPS协议进行远程管理,用户鉴别以加密的方式进行传输。
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现这一项主要是说的登录业务系统需要有两种及两种以上的身份鉴别方式,常见的鉴别方式有:账号密码登录、人脸识别、指纹识别、CA证书、短信验证码等,只要有两种组合方式就可以,现在可能更多的是短信验证码,这一项大部分业务系统都不满足这一项测评公司会写:该网站/业务系统采用用户名+口令+短信验证码的方式进行登录管理。
访问控制
要求项攻略测评结果
应对登录的用户分配账户和权限这一项主要说的是对要登录业务系统的用户单独分配一个账号和与整个用户所相对应的权限,不能出现多个用户使用一个账号的问题,这一项基本都可以满足的。这一项测评公司会写:通过查询业务系统的通讯录以及组织架构,为每个用户分配了不同的账号和权限。
应重命名或删除默认账户,修改默认账户的默认口令这一项主要说的是业务系统或者操作系统会有一些默认的用户账号,比如管理员账号:root,sys等一些默认高级权限账号,按照要求这些账号应该被禁用或者删除的,这一项就是检查业务系统当中是否存在可以登录的默认账号这一项测评公司会写:业务系统中不存在默认出厂的账号,所有用户不存在与默认口令相同的账号。
应及时删除或停用多余的、过期的账户,避免共享账户的存在这一项主要说的是当有员工离职时是否有及时删除相对应的账号,是否存在测试账号未删除的情况,是否有多个用户共享使用一个账号的情况等,这一项基本都可以满足这一项测评公司会写:已通过组织架构和业务系统账号对应,未发现有多余未删除用户账号以及不存在有共享账户。
应授予管理用户所需的最小权限,实现管理用户的权限分离这一项主要管控的是业务系统中用户的权限是否设置的最小权限,简单来说就是每个人只能打开自己的页面做自己的事情不能干预别人的,这一项基本上也都可以满足这一项测评公司会写:业务系统每个账户都是选用最小权限账户。
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级这一项主要是针对业务系统中账号的权限做到最小粒度的限制,比如只能操作某个数据库的某个表的权限,这一项基本上也没有查的那么严格大部分都可以满足这一项测评公司会写:用户账号的访问控制已达到最小粒度的限制,业务系统普通账号仅浏览部分页面的内容。
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问这一项主要是针对主体和客体是否设置安全标记,这个我也整不太明白,我看大部分业务系统都不满足这一条,可能这一条弄得比较科幻这一项测评公司会写:业务系统未对重要主体和客体设置安全标记,未实现通过安全标记控制主体对客体的访问
安全审计
要求项攻略测评结果
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计这一项主要说的是能不能对用户所登录的业务系统以及设备进行审计,其实就类似于堡垒机的这样一个审计的手段,一方面是要对用户的操作行为进行记录,另一方面就是对用户所有操作的行为进行审计,避免违规操作这一项测评公司会写:部署了安全审计系统,并对所有用户的操作行为进行审计以及对安全事件进行记录
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息这一项主要是对审计记录进行了一些规范和要求,审计的相关记录必须要有日期、事件、操作用户、事件类型、是否成功等等这一项测评公司会写:部署了安全审计系统,日志内容包含事件发生时间、事件的操作、操作用户、是否成功等内容
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等这一项主要是对审计记录的保存时间、备份等做的一些保护,一般要求审计记录要求保留半年左右才能删除,而且要定期对审计记录进行备份这一项测评公司会写:部署了安全审计系统,日志设置保留时间为180天,并每天对日志进行增量备份
应对审计进程进行保护,防止未经授权的中断这一项主要是针对普通用户是否可以关掉审计或者查看审计记录等,这一项最主要的就是怕普通用户自行把审计关掉无法对该用户进行审计这一项测评公司会写:部署了安全审计系统,并且设置了审计管理员,非管理员用户无法查看审计内容以及关闭审计进程
入侵防范
要求项攻略测评结果
应遵循最小安装的原则,仅安装需要的组件和应用程序这一项主要是针用户的业务主机上面是否有部署非用于此业务系统的应用程序或者组件之类的,基本上都可以满足,有些是有一台主机上面部署了多个应用的那种,就需要注意了这一项测评公司会写:业务系统所涉及的主机上面仅安装了该业务系统相关的应用程序
应关闭不需要的系统服务、默认共享和高危端口这一项就很简单了就是把不使用的端口或者高危端口进行封禁就可以了,常见的高危端口有135、137、138等,这些端口禁掉基本问题不大这一项测评公司会写:业务系统前端配置有防火墙,所涉及主机关闭了所不需要的系统服务,并对135、137、138等高危端口进行了封禁
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制这一项主要是看对运维管理终端是否有做网络限制,一般有防火墙配置ACL限制或者路由限制就可以了这一项测评公司会写:业务主机部署在防火墙的DMZ区域,并对访问服务器做了详细的路由限制
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设 定要求这一项主要是针对业务系统在上传、下载、传输数据进行校验,避免发生XSS、SQL注入等一些风险,这个一般有防火墙都会开启WEB应用防护功能这一项测评公司会写:客户测部署有防火墙,在防火墙测对上传、下载、传输等数据进行了过滤限制以及对数据进行校验
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞这一项主要是针对漏洞做的一项条目,是要看看你有没有定期对业务系统所涉及的一些设备或系统及时的进行漏洞修补,这个一般测评公司会拿漏洞扫描扫一遍这一项测评公司会写:机房内部署有漏洞扫描设备,定期对业务系统进行漏洞扫描,发现系漏洞进行评估修复
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警这一项主要是看有没有部署入侵检测设备,能不能在出现有入侵时进行及时的报警,并拦截记录入侵行为这一项测评公司会写:机房内部署有防火墙,并开启了入侵防御功能,可有效对入侵行为进行报警和拦截
恶意代码防范
要求项攻略测评结果
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其 有效阻断。这一项主要是看看有没有防范恶意代码攻击的手段或者设备,来有效阻断恶意代码攻击,一般部署web应用防护设备基本上都有这个防护功能这一项测评公司会写:机房内部署有web应用防护设备,可有效链接XSS、SQL注入等一些恶意代码攻击的风险
可信验证
要求项攻略测评结果
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。这一项是针对可信性做的要求,这个解释起来比较繁琐并且不太容易让人理解,说简单点就是你的通信设备要具有可信性的芯片或者硬件,这个一般测评公司都看可信性报告,来评判是否符合这一项测评公司会写:通信设备具有可信性报告,并且可以对可信性进行验证
数据完整性
要求项攻略测评结果
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重 要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等这一项是针对是否有相关手段做到在数据传输的过程中校验数据的完整性和安全性,一般网站配置有SSL证书或者采用VPN的形式就可以满足这个要求,远程管理采用RDP或者SSH协议进行远程管理这一项测评公司会写:业务系统通过HTTPS协议、服务器通过RDP/SSH进行远程管理可以保证重要数据在传输过程中的完整性
数据保密性
要求项攻略测评结果
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据 和重要个人信息等;这一项和数据完整性类似只要采用了HTTPS、SSL或者VPN就可以满足此条目这一项测评公司会写:业务系统通过HTTPS协议进行访问,保障重要数据在传输过程中的保密性
数据备份恢复
要求项攻略测评结果
应提供重要数据的本地数据备份与恢复功能这一项主要是说的要对重要数据在本地有备份,并且在数据出现丢失或者系统故障时可以对备份进行恢复,这一条基本上都可以满足的,最次了可以拿块硬盘做个定期复制数据到硬盘也算备份这一项测评公司会写:业务系统采用备份一体机设备对现有业务系统进行备份,并且可在业务系统故障或数据丢失时对数据进行恢复
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地这一项主要是说的要有异地副本的备份,更类似与两地三中心的这种概念,这个都是没有强制要求必须要在异地有个资源中心,但是需要有一个实时备份到异地的机制,最常用的就是云备份的形式这一项测评公司会写:业务系统采用云备份的方式对当前数据中心的重要数据进行实时备份
应提供重要数据处理系统的热冗余,保证系统的高可用性这一项就是说的当业务系统宕机时有另外的一套相同的业务系统进行提供访问,类似于数据库的双活,这也是为了保障重要业务的高可用性这一项测评公司会写:业务系统采用异地容灾的形式提供高可用服务
剩余信息保护
要求项攻略测评结果
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除这一项主要是说是当用户退出登录时应及时清除虚拟内存中数据,很多测评公司都会看有没有在操作系统中配置关机自动清除虚拟内存中的数据,一般根据配置配一下就可以了这一项测评公司会写:未对及时清除会话信息
个人信息保护
要求项攻略测评结果
应仅采集和保存业务必需的用户个人信息这一项主要说的是只对用户的必要信息进行保存,非比较信息不进行保存,比如身份证号、手机号等等一些隐私信息,基本上就可以满足的这一项测评公司会写:仅采集和保存业务必需的用户个人信息
应禁止未授权访问和非法使用用户个人信息这一项主要是说的要对用户的个人信息进行加密保存,不能通过查询数据库的方式看到用户的隐私信息这一项测评公司会写:用户个人信息未进行加密存储,数据库管理员可通过数据库直接查看用户个人信息

以上就是关于等保测评安全计算环境的测评攻略,大家有没有发现越往后检查项越是类似的,基本上都是从架构-访问控制-入侵检测-审计-可信验证,这几方面来说的,往后除了机房管理条例之外,剩下的都大差不差的了

  • 4
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
### 回答1: 机器人学建模规划与控制MATLAB是一个综合性的工具包,用于实现机器人学相关问题的自动化建模、规划和控制。它包含了一套完整的机器人学算法,可以用来实现机器人路径规划、动力学模拟、运动控制等多种功能。这个工具包基于MATLAB的高级编程语言和开发环境,使得用户能够更加便捷高效地进行机器人学相关开发和研究。 机器人学建模规划与控制MATLAB的主要特点是具有高度的灵活性和可扩展性。用户可以使用MATLAB自带的函数或设计自己的程序来完成特定的机器人学问题,同时也可以结合其他软件或硬件进行系统级别的仿真和控制。在这个工具包中,用户可以通过数学建模和仿真来理解机器人的运动学、动力学、力学等基本原理,并研究机器人任务规划、路径优化、控制方案等复杂问题。此外,该工具包还提供了机器人底层控制和实时渲染等功能,可以帮助用户更加直观地理解机器人行为。 总的来说,机器人学建模规划与控制MATLAB在机器人学领域具有广泛的应用价值。它可以用来教学、研究和工程开发,并为机器人产业发展提供技术支持和创新催化。同时,这个工具包也具有较高的可移植性和可重用性,在其他领域的智能系统开发中也有很大的潜力。 ### 回答2: 机器人学是研究机器人的学科,其涉及到机器人的建模、规划与控制等方面。在机器人学中,建模是指建立机器人的运动和力学模型,以便进行控制和规划。而规划是指机器人在任务中的路径和动作规划,包括轨迹规划和动作指令,以完成任务。控制是指机器人运动的控制和调节,以保证机器人按照规划路径安全地进行运动。 Matlab是一个广泛用于科学和工程计算的软件包,对于机器人学建模规划与控制来说,Matlab具有非常重要的作用。Matlab提供了大量的函数和工具箱,用于机器人学中运动学、动力学、轨迹规划、控制和仿真等方面,可以方便地进行机器人建模和控制调节。 在机器人学中,Matlab可以帮助研究人员进行机器人建模,通过机器人的尺寸、质量、关节角度、速度等参数,建立机器人的运动和力学模型。同时,Matlab可以进行机器人运动规划,如基于轨迹的规划、运动学约束的规划等。针对不同的任务需求,可以选择合适的机器人路径规划算法,对机器人进行运动控制和调节,实现机器人的精准控制和运动。 在机器人学的学习和研究中,Matlab的应用可以使研究人员更快速、更准确地完成机器人建模、规划和控制等任务,提升机器人学习研究的效率和水平。 ### 回答3: 机器人学是一门研究如何设计、建模、控制和操作机器人的学科。而在机器人学中,建模、规划和控制是至关重要的三项技能。Matlab作为一款强大的计算工具,在机器人学中也有着广泛的应用。 首先,建模就是将现实世界中的机器人抽象成数学模型。Matlab提供了强大的仿真和建模工具,可以对机器人的运动学、动力学等建模进行求解和优化,得到机器人的行为和性能分析。在机器人的建模过程中,Matlab的高度可视化和易用性为用户提供了强大的支持,出类拔萃。 其次,规划和控制是机器人学中很重要的两个方面。机器人的规划和控制问题往往涉及大量的数学和理论知识,在Matlab中,我们可以使用强大的控制工具箱,如PID控制器、模型预测控制等对机器人的运动实现更为精确可控的控制。 综上所述,Matlab在机器人学中的建模、规划和控制是非常重要且必不可少的。通过这些工具和方法,我们可以更加清晰地了解机器人的行为和特性,也可以为机器人的控制和运动提供更为精细的优化方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

避凉闲庭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值