關於在測評中遇到的問題
1、安全裝置的傳輸過程保密性及完整性 ,確認口令在傳輸前是否經過加密?
在前端進行加密之後通過https進行傳輸(傳輸後的密文直接進行儲存)
口令明文傳輸,儲存前通過加密演算法進行加密(明文傳輸,加密儲存)
山石防火牆:口令前端進行md5進行加密,然後通過https協議進行傳輸,與裝置中的口令庫進行比對。
2、關於遠端管理 安全邊界 安全審計d)應能對遠端訪問的使用者行為、訪問網際網路的使用者行為等單獨進行行為審計和資料分析。
系統拓撲中涉及外聯,不在本單位進行使用(本單位為信任主體,其他單位不屬於本單位的信任主體),均屬涉及遠端管理,不可給不適用
3、關於滲透測試結果,
滲透測試結果需與安全計算環境的應用系統中的d)應提供資料有效性檢驗功能,保證通過人機介面輸入或通過通訊介面輸入的內容符合系統設定要求;如滲透測試中防止發現sql注入、xss等漏洞,均屬不符合
4、管理裝置本地管理
通過裝置自身管理口,單獨進行訪問,無法通過業務網進行訪問,屬本地管理
5、關於windows作業系統
關於審計管理的d)應對審計程序進行保護,防止未經授權的中斷。作業系統自身具有此機制無法中斷審計程序。(window系統具備審計程序自我保護機制,能夠防止未經授權的中斷。)
關於操作系系統鑑別資訊的加密演算法,目前採用(nt-hash演算法)保證間鑑別資訊的完整性及保密性。
網路安全等級保護2 0測評最新流程
按照公安部的最新通知要求,目前網路安全等級保護2.0測評的最新流程,針對各環節重點簡要提示如下 由責任單位發起,按照要求填寫相關材料,2.0重點變化是二級及以上系統定級均需要經過專家評審 由責任單位進行,按照要求填寫相關材料,2.0重點變化是備案材料接受單位由原來的省廳總隊 市局支隊擴充套件到了縣局...
網路安全等級保護測評高風險判定
指出現因短時故障無法提供服務,可能對社會秩序 公共利益等造成嚴重損害的系統,既可用性級別大於等於99 年度停機時間小於8.8小時的系統 一般包括但不限於銀行 非金融機構等交易類系統,提供公共服務的民生類系統 工業控制類系統等。只資料在傳輸過程中遭受惡意破壞或篡改,可能造成較大的財產損失,或造成嚴重破...
網路安全等級保護行業政策彙總
部分引用來自 其餘部分補充,主要目的是彙總有部委政策性要求的等保行業 不包含地方性政策 以及相關標準發布部門和政策物件,相關檔案隨時可能廢止僅供參考。行業名 等級保護 可自行搜尋最新政策。電力行業資訊系統安全等級保護定級指導意見 電力行業資訊保安等級保護基本要求 電力行業資訊保安等級保護基本要求釋義...