![](https://img-blog.csdnimg.cn/20200803110920412.jpg?x-oss-process=image/resize,m_fixed,h_224,w_224)
等保测评
文章平均质量分 87
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
Mr. Rich
愿为夜幕暗室一灯火,照彻万里尘埃千百年。
展开
-
等保测评--《互联网安全保护技术措施规定》(公安部令第82号)
互联网安全保护技术措施规定互联网安全保护技术措施规定,共19条,20051123通过,20060301实行。检查对象:互联网服务提供者(ISP)、联网使用单位、提供互联网上网服务的单位(网吧)、提供互联网数据中心服务的单位(IDC)和提供互联网信息服务的单位(ICP)。互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。互联网安全保护技术措施应当符合国家标准,没有国家标准的,应当符合公共安全行业技术标准技术措施一般包括防火墙、防病毒、入侵检测、入侵原创 2021-02-19 11:33:14 · 2308 阅读 · 1 评论 -
信息安全风险评估
网站的风险,大多来自于漏洞!漏洞扫描漏洞扫描内容网络设备版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。 空弱口令,例如空/弱telnet口令、snmp口令等。 网络资源的访问控制:检测到无线访问点 域名系统,ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击 路由器,Cisco IOS Web配置接口安全认证可被绕过,N原创 2021-01-11 15:25:46 · 6278 阅读 · 0 评论 -
等保测评--网络安全等级保护实施指南
GB∕T 25058-2019 信息安全技术 网络安全等级保护实施指南范围本标准规定了等级保护对象实施网络安全等级保护工作的过程. 本标准适用于指导网络安全等级保护工作的实施。引用文件GB 17859 计算机信息系统 安全保护等级划分准则 GB/T 22239 信息安全技术 网络安全等级保护进本要求 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 GB/T 25069 信息安全技术 术语 GB/T 28448 信息安全技术 网络安全等级保护测评要求等级保护实施概述原创 2020-12-21 15:17:52 · 5206 阅读 · 3 评论 -
等保测评--网络安全等级保护定级指南
GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南范围本标准给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程。本标准适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。定级原理及流程安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:原创 2020-12-05 15:01:59 · 7036 阅读 · 3 评论 -
等保测评--工业控制系统安全扩展要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。工业控制系统安全扩展要求室外控制设备物理防护室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应原创 2020-12-01 14:30:30 · 1600 阅读 · 0 评论 -
等保测评--网络安全等级保护工作流程
网络安全等级保护工作流程运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量(主机、网络设备、安全设备等)、机房的模式(自建、云平台、托管等)等。2、对每个目标系统,按照《信息安全技术 网络安全等级保护定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。运营单位也可委托具备资质的等保测评机构协助填写上述表格。3、对所定级的系统进行专家评审(二级系统原创 2020-12-01 11:11:12 · 6929 阅读 · 1 评论 -
等保测评--物联网安全扩展要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。物联网安全扩展要求感知节点设备物理防护感知节点设备所处的物理环境应不对感知节点设备造成物理破坏,如挤压、强振动。感知节点设备在工作状态所处物理环境应能正确反映环境状态(如温湿度传感器不能安装在阳光直射区域)。感知节点设备在工作状原创 2020-11-30 17:31:31 · 2016 阅读 · 0 评论 -
等保测评--移动互联安全扩展要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。移动互联安全无线接入点的物理位置应为无线接入设备的安装选择合适位置,避免过度覆盖和电磁干扰。边界防护应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。访问控制无线接入设备应开启接入认证功能,并支持采用认原创 2020-11-21 11:33:32 · 1885 阅读 · 2 评论 -
等级保护--云计算安全扩展要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。概述云计算技术云计算技术服务的五个基本特征:按需自助、无所不在的网络访问、资源池化、快速弹性、可度量的服务。...原创 2020-11-20 17:20:53 · 3438 阅读 · 0 评论 -
等保测评--网络安全等级保护测评过程指南
信息安全技术网络安全等级保护测评过程指南范围适用于测评机构、定级对象的主管部门及运营使用单位开展网络安全等级保护测试评价工作 规范等保测评工作过程,规定测评活动及工作任务引用文件GB 17859 计算机信息系统安全保护等级划分准则 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 28448 信息安全技术 信息系统安全等级保护测评要求等级测评概述过程概述测评工作过程及任务基于受委托测评机构对定级对象的初次等.原创 2020-10-05 15:51:51 · 7663 阅读 · 0 评论 -
等保测评--等保2.0解析
等保2.0解析适合从事网安行业或即将从事网安行业人士查阅,你会收获技术、产品、方案、项目案例、厂商、行业、生态、法律法规/等保、职业规划。加油吧,少年!行业剖析网络安全概述网络安全大事件网络安全厂商产品方案网络安全产品网络安全部门等级保护法律法规政策解读等保解决方案项目实战各行各业等级保护项目收藏≠我会了,望周知!解压密码:白露---文章发布日(四位)...原创 2020-09-07 15:12:03 · 1528 阅读 · 4 评论 -
等保测评--安全运维管理(二)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。目录安全运维管理(MMS)恶意代码防范管理配置管理密码管理变更管理备份与恢复管理安全事件管理应急预案管理外包运维管理安全运维管理(MMS)恶意代码防范管理L3-MMS1-25应提高所有用户的防原创 2020-09-07 14:10:01 · 1050 阅读 · 0 评论 -
等保测评--安全运维管理(一)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。安全运维管理(MMS)环境管理L3-MMS1-01应制定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。L3-MMS1-02L3-MMS1-03资产管理介原创 2020-09-04 10:12:34 · 2581 阅读 · 0 评论 -
等保测评--安全建设管理(二)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。安全建设管理CMS工程实施L3-CMS-21应指定或授权专门的部门或人员负责工程实施过程的管理1 访谈建设负责人,工程实施是否指定专门的部门或人员进行工程实施过程的管控2 核查部门或岗位职责文档指定了专门部门或人员对工程原创 2020-08-12 18:03:56 · 1058 阅读 · 0 评论 -
等保测评--建设管理安全CMS(一)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。安全建设管理CMS定级和备案L3-CMS-01应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由1 核查定级文档是否明确测评系统的安全保护等级2 核查是否给出了定级方法和理由具有明确描述定级方法理由和最终定级原创 2020-08-07 12:00:41 · 880 阅读 · 0 评论 -
等保测评--管理机构安全(ORS)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。目录安全管理机构(ORS)岗位设置L3-ORS1-01L3-ORS1-02L3-ORS1-03人员配置L3-ORS1-04L3-ORS1-05授权和审批L3-ORS1-06L3-ORS1-07.原创 2020-08-06 11:45:44 · 1480 阅读 · 2 评论 -
等保测评--管理人员安全测评
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。安全管理人员(HRS)人员录用L3-HRS1-01应指定或授权专门的部门或人员负责人员录用访谈信息/网络安全主管是否由专门的部门或人员负责人员录用工作1、具有相关的职能部门专门负责人员录用工作2、具有明确规定负责人员录用原创 2020-08-05 18:05:31 · 1125 阅读 · 0 评论 -
等保测评--管理制度安全测评
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。目录安全管理制度(PSS)安全策略L3-PSS1-01管理制度L3-PSS1-02L3-PSS1-03L3-PSS1-04制定和发布L3-PSS1-05L3-PSS1-06评审和修订L3-P.原创 2020-08-03 10:49:00 · 1619 阅读 · 0 评论 -
等保测评--管理中心安全测评
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。安全管理中心(SMC)系统管理L4-SMC1-01应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。1)应核查是否对系统管理员进行身份鉴别2)应核查是否只允许系统管理员通过特原创 2020-07-31 12:01:03 · 1959 阅读 · 0 评论 -
等保测评--计算环境之应用系统安全
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。应用系统身份鉴别L3-CES1-01应对登录的用户进行身份标识和鉴别,身份标识具有唯一性。身份鉴别信息具有复杂度要求并定期更换。1)询问系管,用户登录时是否采用了身份鉴别措施2)在未登录状态下之间访问任一操作页面或操作功能3)核查用户原创 2020-07-30 11:10:32 · 1413 阅读 · 0 评论 -
等保测评--计算环境之数据安全
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。数据安全数据完整性数据完整性主要保证各种重要数据在存储和传输过程中免受未授权的破坏。这种保护包括对完整性破坏的检测和恢复。L3-CES1-25应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重原创 2020-07-29 10:50:48 · 2415 阅读 · 6 评论 -
等保测评--计算环境之终端设备安全
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。终端设备终端安全测评主要涉及4个方面:身份鉴别、访问控制、入侵防范、恶意代码防范。身份鉴别L3-CES1-01应对登录的用户进行身份标识和鉴别,身份标识具有唯一性。身份鉴别信息具有复杂度要求并定期更换。1)用户需要输入用户名和密码才能登原创 2020-07-28 11:51:10 · 1196 阅读 · 0 评论 -
等保测评--计算环境之服务器设备安全(二)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。服务器设备Oracle身份鉴别L3-CES1-01应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。1)访谈数据库管理员,系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录原创 2020-07-28 09:59:41 · 2146 阅读 · 0 评论 -
等保测评--计算环境之服务器设备安全(一)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。服务器设备 Linux身份鉴别L3-CES1-01应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并要求定期更换。1)访谈系统管理员系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。原创 2020-07-23 17:27:13 · 3926 阅读 · 0 评论 -
等保测评--计算环境之安全设备安全
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。安全设备防火墙1.身份鉴别L3-CES1-01应对登录的用户进行身份鉴别和标识,身份标识具有唯一性,身份鉴别信息具有复杂度顶要求定期更换。以天荣信防火墙为例操作。1、防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别2.原创 2020-07-22 11:18:02 · 1329 阅读 · 0 评论 -
等保测评--计算环境之网络设备安全
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。原创 2020-07-20 16:53:40 · 1883 阅读 · 0 评论 -
等保测评--计算环境安全测评
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。...原创 2020-07-20 11:36:00 · 2297 阅读 · 1 评论 -
等保测评--区域边界之边界防护安全
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。边界防护L3-ABS1-01应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。1.核查网络拓扑图与实际网络链路是否一致,是否明确了网络边界设备,且明确边界设备端口2.核查路由器配置信息及边界设备配置信息,确认是否指原创 2020-07-17 16:54:31 · 4606 阅读 · 2 评论 -
等保测评--区域边界安全测评要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。安全区域边界(ABS)边界防护L3-ABS1-01...原创 2020-07-08 17:44:48 · 2256 阅读 · 1 评论 -
等保测评--通信网络安全测评要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。网络安全等级测评师---安全通信网络测试(CNS)1.网络架构应保证网络设备的业务处理能力满足业务高峰期需要。应保证网络各部分的带宽满足业务高峰期需要。应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。应原创 2020-07-06 17:02:30 · 6905 阅读 · 0 评论 -
等保测评--物理环境安全测评要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。原创 2020-07-06 14:26:10 · 1939 阅读 · 0 评论