信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
我国的信息安全等级保护共分为五级,级别越高,要求越严格。
我国的信息安全等级保护主要标准包括,《信息系统等级保护安全设计技术要求(GBT 25070—2010)》和《信息系统安全等级保护基本要求(GBT 22239-2008)》。
根据上述二个标准,可以发现堡垒机一般在信息安全等级保护中,主要可以在身份鉴别、访问控制、安全审计、完整性加密性检查等方面进行匹配,下面从标准中摘抄内容说明如下:
1、 用户身份鉴别(等级保护三要求合规性)
需要采用两种或两种以上组合方式进行身份验证。堡垒机拥有本地认证、AD域认证、Radius认证、数字证书认证,提供外部接口可供指纹识别认证、UKEY(移动数据证书)认证,满足三级系统的设计要求。
说明:身份鉴别从等级保护三开始,必须要进行双因素,通过双因素去鉴别到个体,而如果将双因素(比如动态口令)部署到所有的生产服务器,成本非常高而且很容易出生产事故,堡垒机的上线可以合理的例规本条,麒麟开源堡垒机上内置了CA、动态口令、指纹识别、USBKEY证书等强认证,在不动生产系统的情况下即合规身份鉴别。
2、 自主访问控制
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。
说明