记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华等保2.0系列安全计算环境之数据完整性、保密性测评
收录于话题 请点击上面 一键关注!内容来源:疯猫网络1前言等级测评中,相信很多测评师在内的人都不是很了解数据的完整性和数据的保密性,因此本文将结合商密测评角度浅淡数据的完整性和保密性的理解和测评。如有错误,欢迎指正。2定义2.1完整性通俗的来说就是数据不被篡改和非授权访问。目前完整性主要是通过哈希算法来实现。国密算法中,能够提供数据完整性的算法主要是:SM3。国际算法中,能够提供数据完整性的算法主要是:MD5、SHA256、SHA512。2.2保密性通俗的来说就是数据不能是明文,目前保密性主要是通过加密算法来实现。
等保2.0:合规自检平台的“深耕”与“求成”
近年来,信息网络技术发展瞬息万变、日新月异,网络风险对现实世界的影响不断加深。《中华人民共和国网络安全法》颁布仅仅三个月后,国家网络与信息安全信息中心通报了国内首例因未落实等级保护制度高校违法案例,也给世人敲响了警钟。信息技术的不断革新,等级保护制度的要求必须越来越严格,等保合规建设更要与时俱进、及时调整。对企业而言,等保的需求是实时变化的,这就要求企业在落实等级保护2.0建设时应避免形式化主义,一门心思把重点花在评测上。网络系统安全等级保护基本要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”。
等保涉及的PostgreSQL数据库
收录于话题 一、访问控制1. 应及时删除或停用多余的、过期的账户,避免共享账户的存在查看当前已有账户,询问管理员是否存在多余过期账户2. 应授予管理用户所需的最小权限,实现管理用户的权限分离这个管理用户的权限分离,像安全设备那种的三权分立用户,个人认为数据库层面不太好实现,一般不符合,要不就询问客户取证。3. 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则确认各用户的操作权限,例如:赋予zfy角色所有表的查询权限然后查询这个用户对应表的权限,就均拥有了select权限。
等保物理安全 | 机房监控系统标准和常见故障
收录于话题 请点击上面 一键关注!内容来源:数据中心运维管理一、系统概况和说明为提升信息中心机房动力环境设备、网络设备及其他设备安全管理水平、增强设备运行的稳定性、及时发现设备故障隐患、提高管理效率、减轻工作压力,特建立机房集中监控系统。系统建设要求对机房整体动力环境设备工作有状态演示,故障迅速定位、故障及时通知、保存报警信息及系统运行数据、绘制分析图表、设备巡视分析记录等。
AIoT安全峰会议题回顾|等保2.0-物联网安全扩展要求解读
收录于话题 #AIoT安全峰会 6个 GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》中物联网安全扩展要求针对物联网系统提出了具体的安全保护要求,如何正确理解等保2.0中物联网安全扩展要求?如何让物联网系统更好地符合等保2.0的要求?本次分享将解读等保2.0中物联网安全扩展要求。
中小企业等保合规的痛点、难点和要点
收录于话题 安全牛 Author 蔡培特 安全牛 发现、挖掘与推荐、传播优秀的安全技术、产品,提升安全领域在全行业的价值,了解机构与企业的安全需求,一家真正懂安全的专业咨询机构,我们是安全牛! 文章来源:安全牛随着网络威胁不断复杂化和组织化,网络攻防的“军备竞赛”持续升级,新冠疫情带来新的网络威胁,作为网络安全的“弱势群体”,安全意识、管理、人才、资金捉襟见肘的中小企业也正面临越来越严峻的“安全鸿沟”问题。围绕等保合规建设实现安全管理体系化,是当下中国中小企业全面提升安全防护能力的必要路径和契机。对于中小企业来说,最常见的误区是:把等保测评当成“应试”和负担。
等保2.0:绿盟科技实战化、体系化和常态化实践深度分享
2019年5月,等级保护新标准《网络安全等级保护基本要求GB/T22239-2019》正式发布,等级保护制度正式进入了一个新的阶段。等级保护2.0对于我国网络安全行业当下工作和未来发展的重要性不言而喻。绿盟科技多年来持续深入学习、研究等级保护相关文件和技术标准。结合自身丰富技术能力和实践经验,于2019年5月正式发布了等级保护2.0系列解决方案以及针对中小企业通用场景的“等保一体机”,将绿盟科技对等级保护的深入理解以产品、解决方案、服务等形式,赋能给我们的客户。在本届“天府杯”等级保护2.0主题论坛上,绿盟科技分享了对等级保护2.0中“实战化、体系化和常态化”要求的最新实践和思考。
等保2.0涉及的Apache Tomcat中间件(下)
续上文,上文对Apache Tomact中间件等保身份鉴别中的条款进行了大致说明。本文叙述,等保测评项中的访问控制和安全审计。一、访问控制首先这里的访问控制要求,就是针对tomcat管理控制台中的用户权限,即Tomcat Manager,它是Tomcat自带的,用于对Tomcat自身以及部署在Tomcat上的应用进行管理的web应用。Tomcat Manager以授予用户相应角色的方式,进行访问控制,授权其使用相应的功能。
发布时间:2020-11-11 22:59 |
阅读:9883 | 评论:0 |
标签:等保
等保2.0定级指南已正式实施!这几点需要注意!
11月1日,等保2.0定级指南正式实施!结合国家政策面上,这几年来对等级保护的强调重点和要求,以及出台相关的政策来看,等级保护已不是仅仅属于网络运营者以及关键信息技术设施运营者们的事,而是上升到法律层面受相关律法的制约,其重要性不言而喻。等级保护制度的实施和落地,不仅有助于中国数字化的进一步发展,同时也带来了网络空间安全的新时代。在“责任共担”中看等保2.0定级重点截至到2020年6月,我国网民规模达到9.4亿。
发布时间:2020-11-10 13:36 |
阅读:13290 | 评论:0 |
标签:等保
等保2.0 扩展项 移动安全防护
收录于话题 请点击上面 一键关注!来源:InforCube上讯信息 在没有网络安全就没有国家安全的新形势下,网络安全等级保护制度2.0,已于2019年12月1日正式实施,安全保护要求全面升级,针对移动互联提出了明确的安全扩展要求。
等保2.0-新形势下如何建设等级保护
收录于话题 文章来源:广西壮族自治区信息安全测评中心网络空间新形式近年来,伴随着信息革命的飞速发展,网络空间正逐步成为信息传播的新渠道、生产生活的新空间、经济发展的新引擎、社会治理的新平台。《信息安全等级保护管理办法》作为我国网络安全建设的重要指导依据,从首次被提出至今,逐步筑起了国家网络和信息安全的重要防线。然而随着云计算、物联网、移动互联、工业控制、大数据等领域的发展,原有的标准已不能满足等级保护的工作需要。从2014年3月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作。
发布时间:2020-11-04 15:10 |
阅读:8602 | 评论:0 |
标签:等保
不只破解 | “天府杯”2020绿盟科技与您共话等保2.0时代的“三化六防”
收录于话题 当今中国的网络安全从业者,相信不会对等级保护这个词感到陌生。2016年11月正式通过的《中华人民共和国网络安全法》,从法律角度明确了这一基本要求和义务。2019年5月《网络安全等级保护基本要求GB/T22239-2019》的正式发布,更是宣告等级保护制度正式进入2.0时代。2020年7月公安部发函,要求重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度,健全完善国家网络安全综合防控体系。
一项一项教你测等保2.0——Linux入侵防范
一、前言前边我们已经讲了windows系统下的入侵防范,现在我们讲讲Linux系统下的入侵防范,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置的方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Linux系统下如何测评身份鉴别的相关测评项。
《等保2.0体系互联网合规实践白皮书》发布,腾讯联合编制
2020年10月22日,《等保2.0体系互联网合规实践白皮书》(以下简称白皮书)正式对外发布。该白皮书由腾讯公司、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、深圳市网安计算机安全检测技术有限公司联合编制,是国内首份对网络安全等级保护2.0标准条文进行详细分析及解读的白皮书,安全管理与技术能力并重,具有极高的实践价值和参考意义。 等保2.0全称为“网络安全等级保护标准2.0”,以《网络安全法》等法律为顶层规范性文件,于2019年12月1日起正式实施。
全国首个《等保2.0体系互联网合规实践白皮书》来了
国内首部《等保2.0体系互联网合规实践白皮书》(以下简称白皮书)今天正式发布。该白皮书由腾讯公司联合中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、深圳市网安计算机安全检测技术有限公司共同发布。这是国内首份对等保2.0安全管理标准条文进行详细分析及解读的白皮书,安全管理与技术能力并重,具有极高的实践价值和参考意义。
等保2.0时代,企业身份与访问合规
等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。而《网络安全法》的出台,更是将等级保护制度提升到了法律层面。2019年12月,网络安全等级保护制度2.0(简称“等保2.0”)正式实施。等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0中和“身份与访问管理”相关的内容很多,如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战略和目标的过程中,合理评估身份与访问管理相关组件的标准是否满足合规要求也是非常重要的一个环节。
等保2.0时代,企业身份与访问合规怎么做?
等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。而《网络安全法》的出台,更是将等级保护制度提升到了法律层面。2019年12月,网络安全等级保护制度2.0(简称“等保2.0”)正式实施。等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0中和“身份与访问管理”相关的内容很多,如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战略和目标的过程中,合理评估身份与访问管理相关组件的标准是否满足合规要求也是非常重要的一个环节。
等保2.0系列安全计算环境之vcenter通用测评
前言等保2.0云计算测评过程中,除了常见的阿里云、百度云、华为云外,最多的就是Vmware旗下的Vsphere系列产品,本次以安全计算环境为例,简单记录下vcenter6.7通用部分测评实施,扩展部分还未整理完,匆忙之中,难免不足,敬请大家指出,。Vcenter分为Vmware设备管理和Vcenter Application Server(VCSA),以下分别是两者的登录截图,后面测评实施部分会交叉核查。
等保测评师角度浅谈等保2.0
收录于话题 前言目前网络安全话题越来越火,网上关于网络安全的话题比比皆是,但大都是从甲方或乙方的角度写的,鲜有从测评机构的角度分析和总结,因此,本文将从一个4年的测评工作角度进行探讨和分析当前网络安全行业的问题,并窃以展望未来网络安全行业的发展趋势。以下仅为笔者个人意见,不代表任何机构,如果异议,欢迎讨论。甲方存在的主要问题这几年做过的甲方的测评项目中,其中主要分布在政府、事业单位,人社、国土、财政、卫生和交通类,私企也有,但不多,一般是金融类私企。
发布时间:2020-10-05 20:09 |
阅读:17025 | 评论:0 |
标签:等保
等保2.0要求及所需设备清单
收录于话题 文章来源:信安社群等级保护2.0的工作流程包括定级、备案、建设整改、等级测评,核心思想在于建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。一、等级保护工作的主要内容和流程测评准备活动测评准备活动的主要任务包括:项目启动、信息收集和分析、工具和表单准备。这三项任务之间存在工作的先后次序,项目启动任务完成之后才能开始信息收集和分析任务。可采用如图所示的工作流程:方案编制活动方案编制活动的主要任务包括:测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。
发布时间:2020-09-25 19:29 |
阅读:24897 | 评论:0 |
标签:等保
等保商机 | 校园信息安全等保建设设备采购项目,总额91.85亿
收录于话题 请点击上面 一键关注!一、项目基本情况1、项目编号:AHJZCG2020-H09012、项目名称:安徽金寨技师学院(安徽金寨职业学校)校园信息安全等保设备采购项目3、项目类型:货物类4、资金来源:财政资金5、预算金额: 918500 万元6、最高限价: 918500 万元7、采购需求:本次采购内容为本项目等保设备的供货、安装、调试及配套服务等。具体内容见公告附件。8、标段(包别)划分:不分包。9、合同履行期限:合同签订之日起30日内完成供货安装调试并交付使用。10、是否接受联合体:本项目接受/不接受联合体投标。
一项一项教你测等保2.0——Windows入侵防范
一、前言随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。
三级等保成标配,互联网医院安全架构报告发布
收录于话题 互联网医院本身处于互联网环境中,随时面临着未知人员的恶意访问与攻击行为,自身的安全性难以保障。2018年7月国家卫生健康委员会、国家中医药管理局印发的《互联网医院管理办法(试行)》提出“互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护。”这是医疗行业首次将信息化建设与安全建设进行了捆绑,等级保护建设成为了互联网医院上线的必要条件。
等保1.0到等保2.0升级套餐详解
收录于话题 请点击上面 一键关注!文章来源|奇安信等保1.0二级信息系统 ≈65分(待提升)等保2.0二级信息系统 提升套餐 >75分等保二级1.0—2.0升级详解等保1.0三级信息系统 ≈65分(待提升)等保2.0三级信息系统 提升套餐 >75分等保三级1.0—2.0升级详解如何构建一体化安全管理平台?安全管理中心设计优势总结「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。
发布时间:2020-09-18 21:06 |
阅读:16756 | 评论:0 |
标签:等保
话题讨论 | 聊聊等保2.0实施落地那些事儿
2017 年 6 月 1 日,《中华人民共和国网络安全法》正式实施,等级保护工作正式入法。随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,国家制定了网络安全等级保护 2.0 标准(简称等保2.0),并于2019年5月13日正式发布,于2019年12月1日开始实施。如今距离等保2.0实施落地也有一段时间了,尽管等保2.0的话题热度逐渐“冷却”,但是企业如何过等保、过等保成本多少等还是大家津津乐道的话题之一。
发布时间:2020-09-17 15:00 |
阅读:11422 | 评论:0 |
标签:等保
等保测评2.0:应用访问控制
收录于话题 1. 说明本篇文章主要说一说应用测评中访问控制控制点的相关内容和理解,以及Scada软件的一些介绍。 2. 测评项a)应对登录的用户分配账户和权限;b)应重命名或删除默认账户,修改默认账户的默认口令;c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;d)应授予管理用户所需的最小权限,实现管理用户的权限分离;e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
发布时间:2020-09-15 19:02 |
阅读:10445 | 评论:0 |
标签:等保
Oracle数据库基线核查(等保二级,适合自查)
一、身份鉴别1.1应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用a)应对数据库
发布时间:2020-09-14 20:39 |
阅读:13773 | 评论:0 |
标签:等保
科普:关基、等保与密评的关系
作者丨山志出品丨北京一等一技术咨询有限公司头图丨freepik“没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼、驱动之双轮”。随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家安全的新挑战。为保障网络空间安全,我国网络安全法治建设持续推进,《网络安全法》、《密码法》等多部法律已颁布实施,《个人信息保护法》《数据安全法》加速制定中,网络空间不再是“法外之地”。
发布时间:2020-09-09 12:21 |
阅读:18382 | 评论:0 |
标签:等保
等保测评:交换机与防火墙的区别,交换机与防火墙如何配置上网
收录于话题 请点击上面 一键关注!内容来源:弱电行业网几乎大部分网络都有交换机、路由器和防火墙这三种基本设备,因此这三种设备对于网络而言非常重要,很多人对这三种设备的使用容易弄混,其中交换机与防火墙有不少朋友问到关于他们的使用,本期我们来看一下他们的应用与区别。本篇内容主要包括两部分:1、交换机与防火墙的区别2、交换机与防火墙的如何对接配置上网一、交换机与防火墙的区别一、交换机交换机的我们可以把它看作是桥接网络的设备,在局域网(LAN)中,交换机类似于城市中的立交桥,它的主要功能是桥接其他网络设备同(路由器、防火墙和无线接入点),并连接客户端设备(计算机、服务器、网络摄像机和IP打印机)。
公告
❤人人都能成为掌握黑客技术的英雄⛄️