铭感标记

最新推荐文章于 2023-04-05 18:00:01 发布
最新推荐文章于 2023-04-05 18:00:01 发布
阅读量2.9k 收藏 6
点赞数 1
分类专栏: 网络安全等级保护 文章标签: 等级保护

敏感标记

访问控制是信息安全防范和保护的主要策略,用于保证信息资源不被非法使用和访问。访问控制大致分为自主访问控制和强制访问控制两大类:在自主访问控制下,用户可以对其创建的文件、数据表等进行访问,并可自主地将访问权授予其他用户;在强制访问控制下,系统对需要保护的信息资源进行统一的强制性控制,按照预先设定的规则控制用户、进程等主体对信息资源的访问行为。通过自主访问控制与强制访问控制的协同运作,安全操作系统的访问控制机制可以同时保障系统及系统上应用的安全性与易用性。

在我国信息安全等级保护制度中,三级及三级以上系统为重要信息系统,对国民经济和社会发展具有深远的影响。这其中,操作系统作为承载核心业务应用与重要数据的平台,其安全性关系到信息系统本身的安全防护能力。因此,如何构建安全的三级操作系统,特别是完善操作系统本身的访问控制机制,已成为当前信息安全领域的一个重要命题。

现有C2级操作系统访问控制缺陷

目前,我国使用的操作系统大多数依赖于进口,由于发达*在核心产品及技术出口上的限制,B1级以上系统不对我国出口,所以国内普遍使用的商用服务器操作系统为C2级,低于我国等级保护国标规定的系统审计保护级(第二级)和安全标记保护级(第三级),主要表现在两方面:首先自主访问控制机制存在缺陷,其次没有强制访问控制机制,操作系统在访问控制方面是不完善的。

在自主访问控制方面,主流的商用服务器操作系统通常采用等级型自主访问控制机制,高等级主体如系统管理员等自动获得各类低等级客体的访问控制权,一旦位于*等级的超级管理员账号、密码等信息被攻击者盗取并成功利用,操作系统将无安全性可言。例如近年来曝光的一些“本地提权”漏洞,攻击者就可以利用漏洞修改自己拥有的文件访问控制信息,进而可对系统上的相关文件等资源进行查看、修改、删除等操作,而且,传统的自主访问控制也难以防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。

等级保护国标对三级操作系统的访问控制要求

根据*标准《信息安全技术-信息系统安全等级保护基本要求》(GB/T22239-2008)的规定,信息系统安全保护等级由低到高划分为五级,其中,在主机安全访问控制方面,三级信息系统比二级系统增加了新的内容:“应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;应对重要信息资源设置敏感标记;应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。”

具体到三级操作系统的访问控制方面,则根据*标准《信息安全技术-操作系统安全技术要求》(GB/T20272-2006)的规定来执行,主要包括自主访问控制和强制访问控制:

自主访问控制(DAC)

与传统操作系统的自主访问控制相比,三级系统自主访问控制机制更为严格,客体的拥有者是*有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体。即使是高安全等级的主体,如果没有获得客体拥有者授予的访问权,也无法访问受保护的客体,更不能对客体进行修改、删除等操作,保障了受保护资源的安全性。同时,三级系统自主访问控制还与身份鉴别、安全审计等安全功能相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,提升操作系统的安全性与安全管理水平。

强制访问控制(MAC)

强制访问控制是三级操作系统与二级系统之间的一道“分水岭”,其主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先给访问主体和受控对象分配不同的安全级别属性,在实施访问控制时,系统先对访问主体和受控对象的安全级别属性进行比较,再决定访问主体能否访问该受控对象。

强制访问控制主要从如下几个方面来设计和实现:

  • 管理员权限分离
  • 多个安全功能联动防御
  • 多个操作系统集中管理

1.管理员权限分离

在传统操作系统中,超级管理员一家独大,拥有无上的权限,因此,很多攻击者通常通过窃取管理员账号密码或利用漏洞将自身提升为管理员的方式,实现对目标操作系统的完全控制。三级操作系统将管理员权限进行分离,设立了系统安全员、系统管理员及系统审计员,其中,系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息,系统管理员、系统审计员则分别进行系统常规管理及审计管理,各管理人员之间相互独立、相互制约。
2、多个安全功能联动防御

强制访问控制与用户身份鉴别、标记等安全功能密切配合,使系统对用户的安全控制包含从用户进入系统到退出系统的全过程,对客体的控制范围涉及操作系统内部的存储、处理和传输过程。

3、多个操作系统集中管理

多个操作系统的强制访问控制包括如下两个方面:运行于网络环境的分布式操作系统,应统一实现强制访问控制功能;运行于网络环境的多台计算机系统上的网络操作系统,在需要进行统一管理时,应考虑各台计算机操作系统的主、客体安全属性设置的一致性,并实现跨网络的SSOOS间用户数据保密性和完整性保护。

随着等级保护标准的出台与深入实施,目前国内已经涌现出一批自主可控的操作系统层安全产品与技术,椒图科技推出的JHSE椒图主机安全环境系统,就能够同时支持符合三级操作系统标准的自主访问控制和强制访问控制,同时也完全满足等级保护国标对三级操作系统的安全要求。可以相信,随着我国等级保护工作的深入推进与相关安全产品的日益丰富,操作系统本身的访问控制状况将会得到改善,推动我国信息安全水平持续攀升。

–如有侵权,私信我删除

七 安
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php实现基于确定有穷自动机算法的铭感词过滤
08-08
实现过滤敏感词汇,基于确定有穷自动机(DFA)算法
《GB/T 39786-2021信息系统密码应用基本要求》-学习笔记
weixin_47385895的博客
02-28 2093
密码学习笔记
等保测评(windows)
m0_52527037的博客
04-05 1万+
2)“管理工具”-“服务器管理”-“功能”-“添加”-查看服务器功能启用情况,一些不必要的服务如Alerter、Remote Registry Service、Messenger等是否已启用;)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
等保2.0三级测评手册汇编
03-02
包含等保2.0三级测评手册内容包含应用系统、终端设备安全、Linux、Windows、Oracle、MySQL、安全建设管理、安全管理人员、安全管理制度、安全管理机构、安全区域边界、运维管理、通信网络、物理环境安全、云计算安全、移动互联网安全、物联网安全等。
springBoot-java敏感词语过滤类
09-14
springBoot-java敏感词语过滤类
你要知道的密评改造方案
多乐为的博客
05-20 9598
参照商用密码应用安全性评估标准,来设计全流程国产密码改造合规解决方案,建设完整的密码支撑体系,
密码应用安全性评估-应用层国密改造
Hyacinth12138的博客
09-06 7936
密码应用安全性评估-应用层国密改造参考
安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
热门推荐
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
linux 敏感标记 权限,闲话Linux系统安全(二)——强制访问控制(MAC)
weixin_29507477的博客
04-29 922
安全秘笈第二式——不安全的特殊权限和强制访问控制(MAC)在DAC的机制中,不管是所有权加权限的管理办法,还是文件系统访问控制列表(facl),都是非常强大的访问控制机制,均可以对文件资源进行比较有效的访问控制。但DAC的自主性太强,可以说文件资源安全在很大的程度上取决于使用者个人的意志,因此这种安全似乎就被主观化了。尤其是对于root用户而言,不管是权限和所有权的限制,还是facl的管理控制,...
等级保护测评策略建议整改措施
11-08 9155
主机安全 服务器windows 身份鉴别 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 整改方法: 修改配置策略:1、查看控制面板—管理工具—本地安全策略—账户策略—密码策略;2、查看控制面板—管理工具—计算机管理—系统工具—本地用户和组—用户—右键—属性—是否勾选“密码永不过期”。建议修改值:(一)策略...
基于多模态特征融合的即时社交软件违规图片检测系统(Python)通过结合图像和文本信息,系统支持对OCR后的文本进行高效的敏感词
01-03
基于多模态特征融合的即时社交软件违规图片检测系统。通过结合图像和文本信息,系统支持对OCR后的文本进行高效的敏感词检测,并允许用户自定义敏感词词库。此外,系统能够自动识别图片中的二维码并提取域名进行安全检测,实现对图片的三分类,包括正常、涉黄和敏感信息,并支持建立图片黑白名单库进行匹配。 功能: 支持对 OCR 后得到的文本进行高效地敏感词检测,可自定义敏感词词库 自动找出图片内含有的所有二维码并识别结果,通过正则表达式提取出二维码中所包含的域名,进行域名安全检测 对图片进行三分类,根据图片的内容,包括图片特征和文本信息对图片进行分类 支持建立图片黑白名单库,并进行匹配 检测流程: 我们将原始图片输入模型,先通过inception_v3模型来提取图像特征,同时使用Easy OCR模型提取图片中的文本,之后原始文本输入BERT预训练模型来提取文本特征,将提取到的文本特征和图像特征融合后通过MLP 多层感知机进行分类得到最终的分类结果(此处我们的模型为三分类,包括正常、涉黄和敏感信息三类) 使用Easy OCR模型提取到的原始文本信息,将其与铭感词词库中的信息进行比对,得到图像文字铭
json-ism:JSON信息安全标记标准
05-22
JSON信息安全标记标准(JSON-ISM)---草稿 介绍 国防部(DoD)政策要求识别和保护国家安全信息和受控的非保密信息(CUI)。 国防部手册(DoDM)5200.01,第2卷和第4卷(以下引用)描述了如何正确标记机密信息和CUI以促进信息共享。 这些标记(以及其他因素)用于做出访问/传播决策。 国防部内部广泛使用可扩展标记语言(XML)来共享信息,而国家情报总监办公室已经提供了称为信息安全标记元数据(ISM或IC-ISM)的综合标记标准(以下简称)。 我们尚无基于JavaScript对象符号(JSON)的类似标记标准。 随着用于在应用程序/系统之间共享信息的REST API的日益普及,现在许多使用基于XML的JSON,用于标记JSON文档的标准已成为必需。 JSON信息安全标记标准(JSON-ISM)旨在成为该标准。 参考 概述 JSON-ISM有助于根据DoDM 5200
铭感词相关词库和脚本
09-13
包含铭感词词库和检查敏感词词库算法,DirtyConfig.lua 和DirtyCtrl.lua
敏感词过滤的sql文件
07-23
是sql文件,4038 条数据,整理过,字段type的表设计里有备注 0~5 分类代表什么类型的过滤。id,text,type 三个字段,
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门.txt
04-30
ChatGPT4.0知识问答、DALL-E生成AI图片、Code Copilot辅助编程,打开新世界的大门
基于matlab实现DOA 估计和自适应波束形成.rar
最新发布
04-30
基于matlab实现DOA 估计和自适应波束形成.rar
基于C++的线程安全容器。.zip
04-30
基于C++的线程安全容器。.zip
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
本周-综合案例.zip
04-30
本周-综合案例.zip
javascript如何拦截铭感
05-09
在JavaScript中,可以通过正则表达式来检查文本中是否包含敏感词。以下是一个简单的示例代码: ```javascript const sensitiveWords = ['敏感词1', '敏感词2', '敏感词3']; // 定义敏感词列表 function checkSensitiveWords(text) { for (const word of sensitiveWords) { const pattern = new RegExp(word, 'i'); // 不区分大小写匹配 if (pattern.test(text)) { return true; // 如果匹配到敏感词,返回true } } return false; // 如果没有匹配到敏感词,返回false } const text = '这是一段包含敏感词的文本'; // 待检查的文本 if (checkSensitiveWords(text)) { console.log('检测到敏感词!'); // 如果检测到敏感词,输出提示信息 } ``` 在上述示例中,我们通过一个名为 `checkSensitiveWords` 的函数来检查文本中是否包含敏感词。该函数接受一个文本参数,并依次检查该文本中是否包含定义的敏感词列表中的任何一个敏感词。如果检测到敏感词,则函数返回 `true`,否则返回 `false`。在实际应用中,可以根据需要对该函数进行优化,例如使用更复杂的正则表达式、使用词库等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值