等级保护2.0要求_等级保护2.0 安全计算环境要求

作者：金玲

“

随着《网络安全法》的不断推进，网络安全等级保护制度的不断完善，网络安全已经渗透到了各行各业。等级保护2.0是一部完整的以技术保障为基础、以管理运营为抓手、以监测预警为中心、以协同响应为目标的网络安全防御体系框架性指导标准与规划建设指南。

等级保护2.0的技术保障体系虽然延续了等级保护1.0中的以资产(网络与信息系统)防护为目标的安全保障思路，但是在控制层面上进行了重新的划分，尤其是等级保护1.0中的主机安全和应用安全在等级保护2.0中已经被计算环境安全替代，在变化上较为显著。

等保2.0之安全计算环境涉及的主要对象包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。具体包含11个控制点：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。下面我就来详细介绍一下。

一. 身份鉴别

身份鉴别是网络安全的基础措施，是对登录应用系统及各类型设备的用户进行身份确认，从而就确认该用户是否具有资源的访问和使用权限，若是有用户登录成功就可以根据管理员设置的访问策略去进行相关操作了，这样做的目的是防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全。
针对身份主要具备以下几个功能：
1、身份标识唯一；
2、密码复杂度要求及密码周期；
3、具有登录失败和登录超时；
4、远程接入采用加密传输；
5、具有两种或两种以上身份鉴别方式。
控制项包括：
a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；
b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；
c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

二. 访问控制

安全计算环境中的访问控制是为了保证系统资源受控合法地使用，使用户只能在自己的权限范围内访问和使用系统资源，不得越权访问。

等保2.0中对于默认账户，通常指超管账号、具备一定权限的管理账户(像root这类不太适合修改的默认账户测评时要将原因解释清楚)必须要重命名，