a)测评指标:应保证跨越边界的访问和数据流通过边界设备提供的受控借口进行通信。
b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。
c)测评实施:
1)应核查在网络边界处是否部署访问控制设备;
2)应核查设备配置信息是否制定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略。
3)应采用其他技术手段(如非法无线网络设备定位、核查设备配置信息等)核查是否不存在其他未受控端口进行跨越边界的网络通信。
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
3.2 访问控制
测评单元1:
该测评单元包括以下要求:
a)测评指标:应在网络边界根据访问控制策略设置访问控制现状,默认情况下除允许通信外受控接口拒绝所有通信。
b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。
c)测评实施:
1)应核查在网络边界是否部署访问控制设备并启用访问控制策略;
2)应核查设备的最后一条访问控制策略是否为禁止所有网络通信。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。
c)测评实施:
1)应核查是否不存在多余或无效的访问控制策略;
2)应核查不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元3:
该测评单元包括以下要求:
a)测评指标:应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
b)测评对象:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。
c)测评实施:应核查设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
3.3 可信验证
该测评单元包括以下要求:
a)测评指标:可基于可信根对边界设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
b)测评对象:提供可信验证的设备或组件。
c)测评实施:
1)应核查是否基于可信根对边界设备的系统引导程序、系统程序等进行可信验证;
2)应核查当检测到边界设备的可信性受到破坏后是否进行报警。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
4、安全计算环境
4.1 身份鉴别
测评单元1:
该测评单元包括以下要求:
a)测评指标:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟终端操作系统)、网络设备(包括虚拟网络设备)、安全设别(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
c)测评实施:
1)应核查用户在登录时是否采用了身份鉴别措施;
2)应核查用户列表确认用户身份标识是否具有一致性;
3)应核查用户配置信息是否不存在空口令用户;
4)应核查用户鉴别信息是否具有复杂度要求并定期更换。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟终端操作系统)、网络设备(包括虚拟网络设备)、安全设别(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
c)测评实施:
1)应核查是否配置并启用了登录失败处理功能;
2)应核查是否配置并启用了限制非法登录功能,非法登录达到一定此处后采取特定动作,如账户锁定等;
3)应核查是否配置并启用了登录连接超时及自动退出功能;
d)单元判定:如果1)~3)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
4.2 访问控制
测评单元1:
该测评单元包括以下要求:
a)测评指标:应对登录的用户分配账户和权限。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟终端操作系统)、网络设备(包括虚拟网络设备)、安全设别(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
c)测评实施:
1)应核查用户账户和权限设置情况;
2)应核查是否已禁用或限制匿名、默认账户的访问权限。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应重命名或删除默认账户,修改默认账户的默认口令。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟终端操作系统)、网络设备(包括虚拟网络设备)、安全设别(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
c)测评实施:
1)应核查是否已经重命名默认账户或默认账户已被删除;
2)应核查是否已修改默认账户的默认口令。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元3:
该测评单元包括以下要求:
a)测评指标:应及时删除或停用多余的、过期的账户,避免共享账户的存在。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟终端操作系统)、网络设备(包括虚拟网络设备)、安全设别(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
c)测评实施:
1)应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;
2)应核查多余的、过期的账户是否被删除或停用。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
4.3 入侵防范
测评单元1:
该测评单元包括以下要求:
a)测评指标:应遵循最小安装的原则,仅安装需要的组件和应用程序。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟终端操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等。
c)测评实施:
1)应核查是否遵循最小安装原则;
2)应确认是否未安装非必要的组件和应用程序。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应关闭不需要的系统服务、默认共享和高危端口。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟终端操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备和控制设备等。
c)测评实施:
1)应核查是否关闭了非必要的系统服务和默认共享;
2)应核查是否不存在非必要的高危端口。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
4.4 恶意代码防范
该测评单元包括以下要求:
a)测评指标:应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。
b)测评对象:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)和移动终端等。
c)测评实施:
1)应核查是否安装了防恶意代码软件或相应功能的软件;
2)应核查是否定期进行升级和更新防恶意代码库。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
4.5 可信验证
该测评单元包括以下要求:
a)测评指标:可基于可信根对计算对计算设备的系统引导程序、系统程序等进行可信验证,并在检测其可信性收到破坏后进行报警。
b)测评对象:提供可信验证的设备或组件。
c)测评实施:
1)应核查是否基于可信根对计算设备的引导程序、系统程序等进行可信验证。
2)应核查当检测到计算设备的可信性收到破坏后是否进行报警。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
4.6 数据完整性
该测评单元包括以下要求:
a)测评指标:应采用校验技术保证重要数据在传输过程中的完整性。
b)测评对象:业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
c)测评实施:应核查系统设计文档,重要管理数据、重要业务数据在传输过程中是否采用了校验技术或密码技术保证完整性。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
4.7 数据备份恢复
该测评单元包括以下要求:
a)测评指标:应提供重要数据的本地数据备份与恢复系统。
b)测评对象:配置数据和业务数据。
c)测评实施:
1)应核查是否按照备份策略进行本地备份;
2)应核查备份策略设置是否合理、配置是否正确;
3)应核查备份结果是否与备份策略一致;
4)应核查近期恢复测试记录,是否能够进行正常的数据恢复。
d)单元判定:如果1)~4)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
5、安全管理制度
5.1 管理制度
该测评单元包括以下要求:
a)测评指标:应建立日常管理活动中常用的安全管理制度。
b)测评对象:安全管理制度类文档。
c)测评实施:应核查各项安全管理制度是否覆盖日常管理活动中的管理内容。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
6、安全管理机构
6.1 岗位设置
该测评单元包括以下要求:
a)测评指标:应设立系统管理员等岗位,并定义各个工作岗位的职责。
b)测评对象:信息/网络安全主管和管理制度类文档。
c)测评实施:
1)应访谈信息/网络安全主管是否进行了系统管理员等岗位的划分;
2)应核查岗位职责文档是否确认了各岗位职责。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
6.2 人员配备
该测评单元包括以下要求:
a)测评指标:应配备一定数量的系统管理员。
b)测评对象:信息/网络安全主管和记录表单类文档。
c)测评实施:
1)应访谈信息/网络安全主管是否配备一定数量的系统管理员;
2)应核查人员配备文档是否有各岗位人员配备情况。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
6.3 授权和审批
该测评单元包括以下要求:
a)测评指标:应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。
b)测评对象:管理制度类文档和记录表单类文档。
c)测评实施:
1)应核查部门职责文档是否明确各部门审批事项;
2)应核查岗位职责文档是否明确各岗位审批事项。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
7、安全管理人员
7.1 人员录用
该测评单元包括以下要求:
a)测评指标:应指定或授权专门的部门或人员负责人员录用。
b)测评对象:信息/网络安全主管。
c)测评实施:应访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
7.2 人员离岗
该测评单元包括以下要求:
a)测评指标:应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。
b)测评对象:记录表单类文档。
c)测评实施:应核查是否具有离岗人员终止其访问权限、交还身份证件、软硬件设备等的登记记录。
d)单元判定:如果以上测评实施内容均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
7.3 安全意识教育与培训
该测评单元包括以下要求:
a)测评指标:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
b)测评对象:管理制度类文档。
c)测评实施:
1)应核查安全意识教育及岗位技能培训是否明确培训周期、培训方式、培训内容和考核方式等相关内容;
2)应核查安全责任和承接措施管理文档或培训文档是否包含具体的安全责任和惩戒措施。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
7.4 外部人员访问管理
该测评单元包括以下要求:
a)测评指标:应保证在外部人员访问受控区域前得到授权或审批。
b)测评对象:管理制度类文档和记录表单类文档。
c)测评实施:
1)应核查外部人员访问管理文档是否明确允许外部人员访问的范围(区域、系统、设备、信息等内容),外部人员进入的条件(对哪些重要区域的访问须提出书面申请批准后方可进入),外部人员进入的访问控制措施(由专人全程陪同或监督等)等;
2)应核查外部人员访问重要区域的书面申请文档是否具有批转人允许访问的批准签字等。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
8、安全建设管理
8.1 定级和备案
该测评单元包括以下要求:
a)测评指标:应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由。
b)测评对象:记录表单类文档。
c)测评实施:应核查定级文档是否明确保护对象的安全保护等级,是否说明定级的方法和理由。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
8.2 安全方案设计
该测评单元包括以下要求:
a)测评指标:应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
b)测评对象:安全规划设计类文档。
c)测评实施:应核查安全设计文档是否根据安全保护等级选择安全措施,是否根据安全需求调整安全措施。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
8.3 产品采购和使用
该测评单元包括以下要求:
a)测评指标:应确保网络网络安全产品采购和使用符合国家的有关规定。
b)测评对象:记录表单类文档。
c)测评实施:应核查有关网络安全产品是否符合国家的有关规定,如网络安全产品获得了销售许可等。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
8.4 工程实施
该测评单元包括以下要求:
a)测评指标:应指定获授权专门的部门或人员负责过程实施过程的管理。
b)测评对象:记录表单类文档。
c)测评实施:应核查是否指定专门部门或人员对工程实施进行进度和质量控制。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
8.5 测试验收
该测评单元包括以下要求:
a)测评指标:应进行安全性测试验收。
b)测评对象:建设负责人。
c)测评实施:应访谈建设负责人是否进行了安全性测试验收。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
8.6 系统交付
测评单元1:
该测评单元包括以下要求:
a)测评指标:应制定交付清单,并根据交付清单对所交接的设备,软件和文档等进行清点。
b)测评对象:记录表单类文档。
c)测评实施:应核查是否制定交付清单并说明交付的各类设备、软件、文档等。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应对负责运行维护的技术人员进行相应的技能培训。
b)测评对象:记录表单类文档。
c)测评实施:应核查交付技术培训记录是否包括培训内容、培训时间和参与人员等。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
8.7 服务供应商管理
测评单元1:
该测评单元包括以下要求:
a)测评指标:应确保服务供应商的选择符合国家的有关规定。
b)测评对象:建设负责人
c)测评实施:应访谈建设负责人选择的安全服务商是否符合国家有关规定。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应与选定的服务供应商签订安全相关的协议,明确约定相关责任。
b)测评对象:记录表单类文档。
c)测评实施:应核查是否具有与服务供应商签订的服务合同或安全责任书,是否明确了相关责任。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
9、安全运维管理
9.1 环境管理
测评单元1:
该测评单元包括以下要求:
a)测评指标:应制定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。
b)测评对象:物理安全责任人和记录表单类文档。
c)测评实施:
1)应访谈物理安全负责人是否指定部门和人员负责机房安全管理工作,对机房的出入进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护;
2)应核查部门或人员岗位职责文档是否明确机房安全的责任部门及人员。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应对机房的安全管理做出规定,包括物理访问、物品进出和环境安全等方面。
b)测评对象:管理制度类文档和记录表单类文档。
c)测评实施:
1)应核查机房安全管理制度是否覆盖物理访问、物品进出和环境安全等方面内容;
2)应核查物理访问、物品进出和环境安全等的相关记录是否与制度相符。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
9.2 介质管理
该测评单元包括以下要求:
a)测评指标:应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储介质专人管理,并根据存档介质的目录清单定期盘点。
b)测评对象:资产管理员和记录表单类文档。
c)测评实施:
1)应访谈资产管理员介质存放环境是否安全,存放环境是否由专人管理;
2)应核查介质管理记录是否记录介质归档、使用和定期盘点等情况。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
9.3 设备维护管理
该测评单元包括以下要求:
a)测评指标:应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。
b)测评对象:设备管理员和管理制度类文档。
c)测评实施:
1)应访谈设备管理员是否对各类设备、线路制定专人或专门部门进行定期维护;
2)应核查部门或人员岗位职责文档是否明确设备维护管理的责任部门。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
9.4 漏洞和风险管理
该测评单元包括以下要求:
a)测评指标:应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
b)测评对象:记录表单类文档。
c)测评实施:
1)应核查是否具有识别安全漏洞和隐患的安全报告或记录(如漏洞扫描报告、渗透测试报告和安全通报等);
2)应核查相关记录是否对发现的漏洞及时进行修补或评估可能的影响后进行修补。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
9.5 网络和系统安全管理
测评单元1:
该测评单元包括以下要求:
a)测评指标:应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。
b)测评对象:记录表单类文档。
c)测评实施:应核查网络和系统安全管理文档,是否划分了网络和系统管理员等不同角色,并定义各个角色的责任和权限。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制。
b)测评对象:韵味负责人和记录表单类文档。
c)测评实施:
1)应访谈运维负责人是否指定专门的部门或人员进行账户管理;
2)应核查相关审批记录或流程是否对申请账户、建立账户、删除账户等进行控制。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
9.6 恶意代码防范管理
测评单元1:
该测评单元包括以下要求:
a)测评指标:应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等。
b)测评对象:运维负责人和管理制度类文档。
c)测评实施:
1)应访谈运维负责人是否采取培训和告知等方式提升员工的防恶意代码意识。
2)应核查恶意代码防范管理制度是否明确对外来计算机或存储设备接入系统前进行恶意代码检查。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应对恶意代码防范要求做出规定,包括防恶意代码软件的授权和使用、恶意代码库升级、恶意代码的定期查杀等。
b)测评对象:管理制度类文档。
c)测评实施:应核查恶意代码防范管理制度是否包括防恶意代码软件的授权使用、恶意代码库升级、定期查杀等。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
9.7 备份和恢复管理
测评单元1:
该测评单元包括以下要求:
a)测评指标:应识别需要定期备份的重要业务信息、系统数据及软件系统等。
b)测评对象:系统管理员和管理制度类文档。
c)测评实施:
1)应访谈系统管理员有哪些需要定期备份的业务信息、系统数据及软件系统。
2)应核查是否具有定期备份的重要业务信息、系统数据、软件系统的列表或清单。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应规定备份信息的备份方式、备份制度、存储介质、保存期等。
b)测评对象:管理制度类文档。
c)测评实施:应核查备份与恢复管理制度是否明确备份方式、频度、介质、保存期等内容。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
9.8 安全事件处置
测评单元1:
该测评单元包括以下要求:
a)测评指标:应及时向安全管理部门报告所发丝悬的安全弱点和可疑事件。
b)测评对象:运维负责人和管理制度类文档。
c)测评实施:
1)应访谈韵味负责人是否告知用户在发现安全弱点和可疑事件时及时向安全管理部门报告;
2)应核查在发现安全弱点和可疑事件后是否具备对应的报告或相关文档。
d)单元判定:如果1)和2)均为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元1:
该测评单元包括以下要求:
a)测评指标:应明确安全事件的报告和处置流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责。
b)测评对象:管理制度类文档。
c)测评实施:
1)应核查安全事件报告和处置流程是否明确了与安全事件有关的工作职责,包括报告单位(人)、接报单位(人)和处置单位等职责。
d)单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
二、云计算安全测评扩展要求
1、安全物理环境
1.1 基础设施位置
该测评单元包括以下要求:
a)测评指标:应保证云计算基础设施位于中国境内。
b)测评对象:机房管理员、办公场地、机房和平台建设方案。
c)测评实施:
1)应访谈机房管理员云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件是否均位于中国境内。
2)应核查云计算平台建设方案,云计算服务器、存储设备、网络设备、云管理平台、信息系统等运行业务和承载数据的软硬件是否均位于中国境内。
d)单元判定:如果1)和2)均为肯定,则符合被测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
2、安全通信网络
2.1网络架构
测评单元1:
该测评单元包括以下要求:
a)测评指标:应保证云计算平台不承载高于其安全保护等级的业务应用系统。
b)测评对象:云计算平台和业务应用系统顶级备案材料。
c)测评实施:应核查云计算平台和云计算平台承载的业务应用系统相关顶级备案材料,云计算平台安全保护等级是否不低于其承载的业务应用系统安全保护等级。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应实现不同云服务器客户虚拟网络之间的隔离。
b)测评对象:网络资源隔离措施、综合网管系统和云管理平台。
c)测评实施:
1)应核查云服务客户之间是否采取网络隔离措施;
2)应核查云服务客户之间是否设置并启用网络资源隔离策略。
d)单元判定:如果1)和2)为肯定,则符合被测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
3、安全区域边界
3.1 访问控制
该测评单元包括以下要求:
a)测评指标:应在虚拟化网络边界部署访问控制机制,并设置访问控制规则。
b)测评对象:访问控制机制、网络便捷设备和虚拟化网络边界设备。
c)测评实施:
1)应核查是否在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
2)应核查是否设置了云计算平台和云服务客户业务系统虚拟化网络便捷访问控制规则和访问控制策略等;
3)应核查是否设置了云计算平台的网络便捷设备或虚拟化网络边界设备安全保障机制、访问控制规则和访问控制策略;
4)应核查是否设置了不同云服务器客户间访问控制规则和访问控制策略等;
5)应核查是否设置了云服务器客户不同安全保护等级业务系统之间访问控制规则和访问控制策略等。
d)单元判定:如果1)~5)均为肯定,则符合被测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
4、安全计算环境
4.1 访问控制
测评单元1:
该测评单元包括以下要求:
a)测评指标:应保证当虚拟机迁移时,访问控制策略随其迁移。
b)测评对象:虚拟机、虚拟机迁移记录和相关配置。
c)测评实施:
1)应核查虚拟机迁移时访问控制策略是否随之迁移;
2)应核查是否具备虚拟机迁移记录及相关配置。
d)单元判定:如果1)和2)均为肯定,则符合被测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应允许云服务器客户设置不同虚拟机之间的访问控制策略。
b)测评对象:虚拟机和安全组或相关组件。
c)测评实施:应核查云服务客户是否能够设置不同虚拟机之间访问控制策略。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
4.2 数据完整性和保密性
该测评单元包括以下要求:
a)测评指标:应确保云服务器客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定。
b)测评对象:数据库服务器、数据存储设备和管理文档记录。
c)测评实施:
1)应核查云服务客户数据、用户个人信息所在的服务器及数据存储设备是否位于中国境内;
2)应核查上述数据出境时是否符合国家相关规定。
d)单元判定:如果1)和2)均为肯定,则符合被测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
5、安全建设管理
5.1 云服务商选择
测评单元1:
该测评单元包括以下要求:
a)测评指标:应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。
b)测评对象:系统建设负责人和服务合同。
c)测评实施:
1)应访谈系统建设负责人是否根据业务系统的安全保护等级选择具有相应等级安全保护能力的云计算平台及云服务商;
2)应核查云服务商提供的相关服务合同是否明确其云计算平台具有与所承载的业务应用系统具有相应或高于的安全保护能力。
d)单元判定:如果1)和2)均为肯定,则符合被测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
测评单元2:
该测评单元包括以下要求:
a)测评指标:应在服务水平协议中规定云服务的各项服务内容和具体技术指标。
b)测评对象:服务水平协议或服务合同。
c)测评实施:应核查服务水平协议或服务合同是否规定了云服务的各项服务内容和具体指标等。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
测评单元3:
该测评单元包括以下要求:
a)测评指标:应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
b)测评对象:服务水平协议或服务合同。
c)测评实施:应核查服务水平协议或服务合同中是否规范了安全服务商和云服务供应商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
5.2 供应链管理
该测评单元包括以下要求:
a)测评指标:应确保供应商的选择符合国家规定。
b)测评对象:记录表单类文档。
c)测评实施:应核查云服务商的选择是否符合国家的有关规定。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
三、移动互联安全测评扩展要求
1、安全物理环境
1.1 无线接入点的物理位置
该测评单元包括以下要求:
a)测评指标:应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。
b)测评对象:无线接入设备。
c)测评实施:
1)应核查物理位置与无线信号的覆盖范围是否合理;
2)应测试验证无线信号是否可以避免电磁干扰。
d)单元判定:如果1)和2)均为肯定,则符合被测评单元指标要求,否则不符合或部分符合本测评单元指标要求。
2、安全区域边界
2.1 边界防护
该测评单元包括以下要求:
a)测评指标:应保证有限网络和无线网络边界之间的访问和数据流通过无线接入网关设备。
b)测评对象:无线接入网管设备。
c)测评实施:应核查有线网络与无线网络边界之间是否部署无线接入网关设备。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
2.2 访问控制
该测评单元包括以下要求:
a)测评指标:无线接入设备应开启接入认证功能,并且禁止使用WEp方式进行认证,如使用口令,长度不小于8位字符。
b)测评对象:无线接入设备。
c)测评实施:应核查是否开启接入认证功能,是否使用除WEP方式以外的其他方式进行认证,密钥长度不小于8位。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
3、安全计算环境
3.1 移动应用管控
该测评单元包括以下要求:
a)测评指标:应具有选择应用软件安装、运行的功能。
b)测评对象:移动终端管理客户端。
c)测评实施:应核查是否具有选择应用软件安装、运行的功能。
d)单元判定:如果以上测评内容实施内容为肯定,则符合被测评单元指标要求,否则不符合本测评单元指标要求。
4、安全建设管理
4.1 移动应用软件采购
该测评单元包括以下要求:
a)测评指标:应保证移动终端安装、运行的应用软件来自可靠分发渠道货使用可靠证书签名
b)测评对象:移动终端。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
![img](https://img-
blog.csdnimg.cn/img_convert/81c1d60aa6ea96634e44a1e0e918eff1.png)
![img](https://img-
blog.csdnimg.cn/img_convert/8a6757f78e6c95f56b52c37ad2308eca.png)
![img](https://img-
blog.csdnimg.cn/img_convert/ae0edf08c8c4cf5922099a5f48ca2415.png)
![img](https://img-
blog.csdnimg.cn/img_convert/bdc2d214385c2d7448fc40ca54236dec.png)
![img](https://img-
blog.csdnimg.cn/img_convert/be97b42eccf7b30700f09fc8b9e29444.png)
![img](https://img-
blog.csdnimg.cn/img_convert/fca5d3ca91296bcf2f88bb8e2dfb4cdc.png)
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
![img](https://img-
blog.csdnimg.cn/img_convert/1221523eb38863ecde50078c835fb9f0.png)
一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
![在这里插入图片描述](https://img-
blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)![在这里插入图片描述](https://img-
blog.csdnimg.cn/b07abbfab1fd4edc800d7db3eabb956e.png)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
![img](https://img-
blog.csdnimg.cn/img_convert/05d0d7d67b5e54ff6909b764b29aa042.png)
或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
![在这里插入图片描述](https://img-
blog.csdnimg.cn/15c1192cad414044b4dd41f3df44433d.png)![在这里插入图片描述](https://img-
blog.csdnimg.cn/b07abbfab1fd4edc800d7db3eabb956e.png)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-LnqvKza6-1713047993118)]
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!