同时,腾讯云TStack的高分通过,也为用户进行等保合规打下坚实基础。根据要求,云上用户进行等保合规验证,必须保证其所在云平台已过测评;对于云用户系统的评定,云平台等级分数也是影响因素之一。...腾讯云TStack还可以为客户定制等保合规的整改意见,指导客户进行安全服务的选型与部署,助力用户更加高效省心过等保。...02 等保1.0到2.0 ,云平台成重头戏 等保,全称是网络安全等级保护制度标准,是国家法律确定的规范,对企业等组织的信息安全有着重要保护作用。...早在2017年6月1号,等保1.0已经发布,随着大数据、云计算、人工智能的不断发展,国家网络与信息安全发展也在向更严格、更全面的“等保2.0”逐步过渡。...等保2.0于5月13日正式发布,计划于2019年12月1日正式实施。等保2.0将重点保护监管对象,由原来的传统系统,扩展到云平台与大数据平台。
1、等保初衷:从各行各业的开展等保来看,基于网络安全的初心开展等保的单位企业少之又少,而绝大都是单位企业都是政策要求,其中具体又可以细分为 1)行业主管部门要求开展等保,比如电力行业和金融行业,这两个行业都有文件要求开展等保...2)寻找背锅侠,部分政府单位对等保不感冒,但是被等保机构销售忽悠后以为做的等保就可以给自己上一道“保险”,纯粹为了事后找等保机构给自己背锅。...标准体系方面 等吧2.0标准发布以来,笔者认为,等保2.0系列标准既有进步的一方面,同时又存在一些问题。...这也就是为什么等保2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为等保测评就是花钱买设备,而国家推行等保测评的初衷却不甚了解。...目前很多客户单位也在学习等保2.0系列标准,但是很多标准测评机构都无法解释,如何给客户解释。
username 设置密码永不过期 chage -M 90 username 设置密码过期时间为90天 二、 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
/etc/securetty值类型:①tty:终端 ②pts:伪终端 ③console:当前的控制台 ④vc:visual console虚拟控制台 ⑤vt:虚拟终端 ⑥hvc ⑦hvsi ⑧xvc等...查看是否启用默认账户,检查/etc/passwd文件对不启用的用户是否nologin或以#号标注 2.应检查是否已修改默认账户的默认密码,查看是否存在如:root/root,oracle/oracle等用户
近年来随着人工智能、大数据、物联网、云计算等的快速发展,安全趋势和形势的急速变化,原来发布的标准已经不再适用于当前安全要求,从2015年开始,等级保护的安全要求逐步开始制定2.0标准,包括5个部分:安全通用要求...旧标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全形势的发展,结合《中华人民共和国网络安全法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。...我们总说等级保护有五个规定动作,即定级、备案、建设整改、等级测评和监督检查,2.0时代,等保的内涵已大为丰富和完善。...控制措施分类结构的变化 等保2.0由旧标准的10个分类调整为8个分类,分别为: 分别为: 技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全; 管理部分:安全策略和管理制度、安全管理机构和人员...标准控制点和要求项的变化 等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。
等保2.0概述 2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求...信息系统安全等级保护分为五级,一级防护水平最低,最高等保为五级。...关于三级等保的技术要求 GBT22239-2019等保2.0基本要求分技术要求与管理要求。...以下加粗字段为等保三级与二级的区别,需重点关注。...等保二级与三级区别 等保二级测评项为 135 项 等保三级测评项为 211 项(不含云计算、物联网、工控 扩展项) ?
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/123
等保2.0时代,将根据信息技术的发展应用和网络安全的态势,不断地丰富制度的内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。...2、等级保护的对象不断地拓展 随着云计算、移动互联网、大数据、物联网、人工智能等新的技术不断地涌现,计算机信息系统的概念已经不能够涵盖的全部,特别是互联网快速发展带来大数据价值的凸显,等级保护对象的外延将不断拓展...3、等级保护工作内容持续扩展 在定级、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警事件调查、数据防护、灾难备份,应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入到等级保护制度并加以实施...4、等级保护体系将进行重大升级 2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制。...第六基因数据(新), 第七经处理可识别特定个人的生物识别数据(新) 在个人信息安全上的要求是一致的,以三级等保为例,其中对于个人信息的要求有:
2019年5月13日等保2.0正式发布,这是继2008年发布等保1.0十余年来继网络安全法实施后的一次重大升级。等保2.0在等保1.0的基础上,更加注重全方位主动防御、安全可信、动态感知和全面审计。...工控角度等保2.0有哪些变化呢? 01、总体结构上的区别 结构上由原来的安全要求变到现在的安全通用要求加安全扩展要求。...打开百度App,看更多图片 02、等保对象变化 等保对象由原来的信息系统过渡到现在的网络和信息系统,统称为等级保护对象。...除此之外,等级保护的合格线也从60分提升到现在的75分,这对于等保建设来说要求变得越来越严格。 根据等保2.0的要求,工业控制系统需要同时满足通用要求和扩展要求两部分。...相关内容推荐:等保2.0与大数据安全
那么只要oracle数据库中建立一个名为opscv的账户并给与基础权限(连接权限等),用户在登录操作系统中的cv后,可以直接使用sqlplus /或sqlplus / as normal(两个命令是一个意思...raise_application_error(-20003, 'Password same as username reversed'); END IF; 这里检查口令是否和数据库名相等,以及是否和数据库名0到数据库名100相等。...顺序取字符串来对比: u不等于a,differ的值加1,为1 s不等于d,differ加1,为2 最后循环4次结束,differ为4, 如果最后differ小于3,则未通过校验,大于等3,则通过校验。
二、测评项 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施...四、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 4.1....测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...这里我在等保测评:CentOS登录失败参数详解和双因素认证这篇文章中也说到过,这里换个角度说一说基础的知识。 6.1....所以实际测评的时候,对于这一项,只要不让其成为高风险即可,比如用堡垒机等方式(具体看高风险判定指引里的内容)。
对重要的用户行为和重要安全事件进行审计; b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;...但是错误日志记录的事件的范围不够大,并没有达到对重要的用户行为和重要安全事件进行审计这个要求,比如记录更改关键数据的语句等,所以只能算是部分符合。...另外,这里应该也要判断下日志中的日期和时间是否准确,SqlServer日志中的时间应该是引用的本机时间,所以就要看一看数据库所在的操作系统是否做了这方面的措施,具体哪些措施可以看:等保测评2.0:Windows...五、测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 5.1. 要求1 也即仅某些账户可删除、修改审计记录。...反正涉及到权限,如果纪录存在表中,那么就要去看表的权限、表所在架构的权限、架构所在数据库的权限的权限等。 如果记录存在文件中,那么就要去看文件的权限。 5.2.
所以,决定结合即将实施的等保2.0(以下简称“等2”或“新标准”)标准的通用部分,做一下分析,给出一些个人建议,以供前端和后端人员参考。...而且,做安全也不要太局限于技术层面,管理其实更为重要,这就是为何等保中有技术也有管理的原因。...本篇算是开个头,把之前安全管理中心的东西贴过来(不然内容太少了,不好意思发),各位也可以直接去看那篇文章:《等保2.0安全管理中心要求解读》(请点击底部【阅读原文】观看)。...在这个通道中,只传输管理数据、统计信息、计费信息等,网管数据与业务数据分离,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。...比如安全的信息传输路径(SSH、HTTPS、V**等);对链路、设备和服务器运行状况进行监控并能够告警(堡垒机、网络监控平台等);设备上的审计(日志服务器、日志管理平台等),这里啰嗦一句,不但要有策略配置
测评项 b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、...密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 3.1....测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 5.1....谷歌验证器 其实和等保测评2.0:Oracle身份鉴别(下)中5.2节介绍的认证方式差不多,谷歌验证码生成的时间间隔是一般是30s。
在进行测评的时候,有一些是明显多余的程序,比如QQ、迅雷等,另外一些,如果是不常见或者不清楚用途的软件,需要通过访谈来进行确认。...筛选器列表中可以有多个IP筛选器: 筛选器即对ip设置规则,表示对符合选定规则的连接进行操作(允许、阻止等)。 ?...即,被测评方要定期使用专业的漏洞扫描工具进行扫描或者进行渗透测试,而360安全卫士等软件不算专业的漏洞扫描工具。 测评的时候,就需要向对方提供扫描报告或者渗透报告。...一些杀毒软件,比如EDR、卡巴斯基(企业版)等,等具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。...另外,部署在云上的话,阿里云、华为云等,也存在这样的安全服务,也可以实现要求。但是要注意的是,被测评方是否购买了此类安全服务。
在等保测评2.0:MySQL身份鉴别(上)中有说过: 对于MySQL来说,如上文所言,用户的身份标识为username + host,MySQL并没有禁止出现完全一样的username + host行,...关于安全标记,可以看看等保测评2.0:Windows访问控制中测评项g中的内容。 实际测评中,基本上就没有能实现的,不过也不用太在意,因为这一个测评项不属于高风险项。
好吧,由于等级保护2.0去掉了0-5分的分数制,所以虽然有很多种情况,但是判定结果只有符合、部分符合、不符合、不适用,所以区分得这么细在判定结果处差别不大。...四、测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...该测评项属于安全计算环境这个安全类,其测评对象包括了数据库、服务器和终端的操作系统、应用系统、安全设备、网络设备等等,按照等级保护2.0的标准,对于3级和以上的系统,只要其中一个设备在该测评项处得0分,...满足条件中指明,属于3级和3级以上系统,且被测评对象属于重要核心设备等通过不可控网络环境远程进行管理,然后同时未实现双因素认证的,可判定为高风险项。...在实际工作中,给测评师们降低了实施的难度,也减少了和被测评单位扯皮的概率,也算是等级保护2.0的一种进步吧。 *本文原创作者:起于凡而非于凡,本文属于FreeBuf原创奖励计划,未经许可禁止转载
具体怎么判断,可以把等保测评2.0:Oracle安全审计(上)的相关内容看一看。 4. 测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 4.1....如果存储在表中,则要看dba角色、update any table等权限被授予给哪些用户了 以及查看o7_dictionary_accessibility参数的值,详情可看等保测评2.0:Oracle访问控制...审计记录的留存时间 在等保测评2.0:MySQL安全审计的5.2节中,对于网络安全法中对日志留存时间的要求如何测评,进行过一些个人的猜想。...Mysql数据库的身份鉴别 在等保测评2.0:MySQL身份鉴别(下)对身份鉴别控制点c项进行过说明,但是没说全。...Mysql在客户端连接数据库时,也是使用挑战/应答(Challenge/Response)方式进行鉴别的,具体什么是挑战/应答(Challenge/Response)方式请看等保测评2.0:Oracle
但是如果服务器本身不联网,本机上时间的是否准确就不能保证,也就无法保证事件中日期、时间等信息的准确性。...比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间等。而不是去直接复制测评项中的内容,比如事件的日期和时间、用户、事件类型等。...五、测评项c 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 5.1....顶多就是在存储策略下动手脚,比如去除掉日志文件的所有权限,亦或者在事件查看器中对日志的存储策略进行设置,比如将日志最大大小设置为极小等。...七、日志综合审计系统 日志审计系统有两种: 一种是将各个设备(操作系统、网络设备等)的日志都推送到这个系统当中,一般都是syslog协议。
对重要的用户行为和重要安全事件进行审计; b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;...无论是自带的审计还是审计插件,如果审核记录存储于文件中的,应该在操作系统上对这些日志文件的权限进行限定,仅允许数据库管理员可对这些文件进行访问、修改等。...在这里有一个地方想探讨下,在等级保护2.0试行稿中,对日志的留存时间有要求: ?...这里的法律法规要求一般来说指的就是《网络安全法》,其中有关日志留存时间的条款如下: (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 在等保正式2.0...否则,等级保护2.0正式稿中就不会将应确保审计记录的留存时间符合法律法规要求挪到集中管控里面去了。 为什么说到这个呢?因为我在初级教程里看到了关于留存时间的要求: ?
领取专属 10元无门槛券
手把手带您无忧上云