麒麟開源堡壘主機在等保上的合規性分析

2021-08-27 23:08:10 字數 1692 閱讀 8650

[size=small]

資訊保安等級保護工作包括定級、備案、安全建設和整改、資訊保安等級測評、資訊保安檢查五個階段。

我國的資訊保安等級保護共分為五級,級別越高,要求越嚴格。

我國的資訊保安等級保護主要標準包括,《資訊系統等級保護安全設計技術要求(gbt 25070—2010)》和《資訊系統安全等級保護基本要求(gbt 22239-2008)》。

根據上述二個標準,可以發現堡壘機一般在資訊保安等級保護中,主要可以在身份鑑別、訪問控制、安全審計、完整性、加密性檢查等方面進行匹配,下面從標準中摘抄內容說明如下:

[b]1、 使用者身份鑑別(等級保護三要求合規性)[/b]

需要採用兩種或兩種以上組合方式進行身份驗證。堡壘機擁有本地認證、ad域認證、radius認證、數字證書認證,提供外部介面可供指紋識別認證、ukey(移動資料證書)認證,滿足**系統的設計要求。

說明:身份鑑別從等級保護三開始,必須要進行雙因素,通過雙因素去鑑別到個體,而如果將雙因素(比如動態口令)部署到所有的生產伺服器,成本非常高而且很容易出生產事故,堡壘機的上線可以合理的例規本條,麒麟開源堡壘機上內建了ca、動態口令、指紋識別、usbkey證書等強認證,在不動生產系統的情況下即合規身份鑑別。

[b]2、 自主訪問控制[/b]

應在安全策略控制範圍內,使使用者對其建立的客體具有相應的訪問操作許可權,並能將這些許可權的部分或全部授予其他使用者。自主訪問控制主體的粒度為使用者級,客體的粒度為檔案或資料庫表級和(或)記錄或字段級。

說明:堡壘機通過給每個使用者建立乙個堡壘機帳號(主帳號),並且將裝置帳號(從帳號)分配給主帳號完成授權,同時授權時可以繫結**ip限制、可執行命令限制、可登入時間限制等多種規則,可以完全合規訪問控制要求。

[b]3、 標記和強制訪問控制[/b]

在對安全管理員進行身份鑑別和許可權控制的基礎上,應由安全管理員通過特定操作介面對主、客體進行安全標記;應按安全標記和強制訪問控制規則,對確定主體訪問客體的操作進行控制。

說明:麒麟開源堡壘機有管理員、分組管理員、審計員等角色,管理員可以對裝置、使用者、許可權進行配置並且標記,同時所有的配置過程都會被記錄,記錄可以由審計員進行審計,因此,管理員必須按要求寫嚴格的訪問控制規則,達到本條合規。

[b]4、 系統安全審計[/b]

應記錄系統的相關安全事件。審計記錄包括安全事件的主體、客體、時間、型別和結果等內容。應提供審計記錄查詢、分類、分析和儲存保護;確保對特定安全事件進行報警;確保審計記錄不被破壞或非授權訪問。應為安全管理中心提供介面。

說明:麒麟開源堡壘機telnet/ftp/ssh/sftp/scp/rdp/vnc/x11/db操作/http/https/各種cs程式進行審計;其中,字元協議除了錄相可以識別命令,圖形協議除了錄相可以識別鍵盤記錄等。

麒麟開源堡壘機作本身的錄相為自有加密格式,並且存貯在專門的空間中,可以有效避免資料遭到破壞或非授權的訪問刪除、增加、篡改;而且又分為管理員、審計員、密碼管理員以進行三權分立相互轄制,管理員的任何操作都受審計員的審計。

麒麟開源堡壘機支援以syslog、簡訊、郵件方式對使用者定製的特殊事件進行報警。

因此,通過上述審計及三權分立、告警功能,麒麟開源堡壘機本條例合規。

[b]5、 使用者資料完整性保護、使用者資料保密性保護、客體安全重用、程式可信執行保護堡壘主機在資訊保安等級保護制度中的**與應用。[/b]

麒麟開源堡壘機從網路安全、主機安全、應用安全到資料安全中的身份鑑別、訪問控制、安全審計、資料安全各方面均合規,成為等級保護方案中必採的裝置。

[/size]

麒麟開源堡壘主機在等保上的合規性分析

資訊保安等級保護工作包括定級 備案 安全建設和整改 資訊保安等級測評 資訊保安檢查五個階段。我國的資訊保安等級保護共分為五級,級別越高,要求越嚴格。我國的資訊保安等級保護主要標準包括,資訊系統等級保護安全設計技術要求 gbt 25070 2010 和 資訊系統安全等級保護基本要求 gbt 22239...

跑在Windows上的開源軟體總匯

from 在許多人看來,免費開源軟體和windows似乎是相互排斥的。畢竟,在linux中執行開源軟體是最合情合理的,unix也說得過去。但是,當你把開源 軟體和windows放在一起時,總覺得有些彆扭。但這只是一種偏見,因為現在精心製作的強大的免費開源解決方案已經越來越多,正等著勇敢的 windo...

在Linux上執行其它Linux主機上的程式

在linux上執行其它linux主機上的程式 於 indow系統設計的網路透明性,inux桌面系統上大多執行 indow,顯示執行在其他 inux主機上的 indow程式,應該是天經地義沒問題的。經過實驗有兩種方法。以兩台linux主機cb48和cb251為例。一 本地 inux主機上執行多個 se...