首页
学习
活动
专区
工具
TVP
发布

新的要求之下,如何快速通过云操作系统测评

即使企业使用了已经通过的云服务器,将系统建立在云上,同样也需要通过测评。...对于广大使用公有云的中小企业来说,在安全人员和技术能力的储备上本来就相对欠缺,当面对等2.0复杂的要求时更是一头雾水,尤其是对于云上操作系统的测评,需要进行复杂的手动配置才能满足超过30多个项的要求...为了帮助云上租户解决这一困扰,近期腾讯安全云鼎实验室在专业测评机构提供基线标准支持下,免费推出了云原生默认镜像——该产品基于原生公共镜像打造,保持原生内核未修改,在保障原生镜像兼容性和性能的基础上进行了适配...腾讯云每年会针对内部各类系统开展10次以上等认证,同时也会帮助各行业用户提供测评支持。在这些过程中,腾讯云不仅与专业测评机构进行了深入的交流,并且积累了丰富的自动化测评工具集和经验。...现在,在专业测评机构的基线标准支持下,腾讯云将这些经验和能力通过默认镜像的方式输出给云上租户,帮助租户通过操作系统的测评,并且腾讯安全团队将对默认镜像进行持续运营维护,确保在出现新的重大安全威胁时

3.8K20

测评师角度浅谈2.0

1、初衷:从各行各业的开展来看,基于网络安全的初心开展的单位企业少之又少,而绝大都是单位企业都是政策要求,其中具体又可以细分为 1)行业主管部门要求开展,比如电力行业和金融行业,这两个行业都有文件要求开展...2)寻找背锅侠,部分政府单位对等不感冒,但是被机构销售忽悠后以为做的就可以给自己上一道“保险”,纯粹为了事后找机构给自己背锅。...,把测评当作驾校培训,每年被停止营业的大部分就是这类。...这也就是为什么2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为测评就是花钱买设备,而国家推行测评的初衷却不甚了解。...目前很多客户单位也在学习2.0系列标准,但是很多标准测评机构都无法解释,如何给客户解释。

2.6K51
您找到你想要的搜索结果了吗?
是的
没有找到

2.0时代,企业如何开展移动互联安全建设

对于企业来说,想要避免踩雷就必须满足要求,首先要做的就是完成相关工作。...一站式服务,助力移动互联安全建设 等级保护建设整改过程中,会涉及到四个不同的角色,分别是:建设单位、公安机关、建设服务商、测评机构。...,帮助企业快速完成移动互联安全建设工作。...其具有明显优势: 安全保障:提供应用风险报告和加固方案列表,为安全提供数据支撑 持续跟踪:提供项目进度表,时刻掌握过检状态 定制化服务:根据不同客户需求,制定合理灵活的套餐服务,提高测评效率 贴合2.0...要求:2.0定制化方案,全面解决APP安全问题 2.0既是国家安全部署要求,也是市场发展客户安全保障的刚需,开展网络安全等级保护是未来用户运营的必经之路。

2.6K10

测评2.0:SQLServer安全审计

另外,这里应该也要判断下日志中的日期和时间是否准确,SqlServer日志中的时间应该是引用的本机时间,所以就要看一看数据库所在的操作系统是否做了这方面的措施,具体哪些措施可以看:测评2.0:Windows...五、测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 5.1. 要求1 也即仅某些账户可删除、修改审计记录。...而如果是对于自建的审核规范和审核对象,大概率不会碰到,这里就不怎么说了。 反正涉及到权限,如果纪录存在表中,那么就要去看表的权限、表所在架构的权限、架构所在数据库的权限的权限。...,也会存在一个默认模板,这个默认模板包含的规则基本上至少能满足测评项a的要求了,除非特殊要求,基本不需要用户自己创建规则。...测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 这里应该看数据库审计系统中是否对账户的权限进行了分离,即仅某一个或某一类账户可以对审计记录进行操作。

3K20

测评2.0:Oracle身份鉴别

一、说明 本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解。...二、测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 三、测评项a要求1 应对登录的用户进行身份标识和鉴别 oracle使用用户名对登录用户进行身份标识...以centos系统为例子,也就是测评的时候先登录oracle数据库服务器的oracle账户,如果被测评方不清楚oracle账户的口令,也可以登录到root账户,然后使用“su - oracle”命令切换过去...因为utlpwdmg.sql并不是函数本身,它只是创建函数的一段语句而已。...我在2020年4月7日10点整,创建了一个账户,在DBA_USERS表中,该账户的CREATED(创建时间)就是2020年4月7日10点,ACCOUNT_STATUS(账户状态)是OPEN,在USER$

5.1K10

测评2.0:Windows身份鉴别

二、测评项 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施...四、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 4.1....测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...这里我在测评:CentOS登录失败参数详解和双因素认证这篇文章中也说到过,这里换个角度说一说基础的知识。 6.1....所以实际测评的时候,对于这一项,只要不让其成为高风险即可,比如用堡垒机方式(具体看高风险判定指引里的内容)。

4.9K51

测评2.0:Windows入侵防范

注意,测评项d的测评对象不包括服务器的操作系统: ? 三、测评项a a)应遵循最小安装的原则,仅安装需要的组件和应用程序; 这一条比较容易理解。...在进行测评的时候,有一些是明显多余的程序,比如QQ、迅雷,另外一些,如果是不常见或者不清楚用途的软件,需要通过访谈来进行确认。...即,被测评方要定期使用专业的漏洞扫描工具进行扫描或者进行渗透测试,而360安全卫士软件不算专业的漏洞扫描工具。 测评的时候,就需要向对方提供扫描报告或者渗透报告。...一些杀毒软件,比如EDR、卡巴斯基(企业版)具备入侵防范检测和报警功能(通过邮箱、短信),或者在网络中部署有IPS设备具有相关功能也可以。...另外,部署在云上的话,阿里云、华为云,也存在这样的安全服务,也可以实现要求。但是要注意的是,被测评方是否购买了此类安全服务。

5.9K20

测评2.0:SQLServer身份鉴别

二、测评项 c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现...测评项c总结二 对于这个测评项也要从该数据库的使用模式来进行判断(以下是个人理解)。...又或者,虽然数据库本身没有进行什么配置,但是客户端是直连数据库的(某一些C/S架构的软件确实会这样),但是客户端使用了SSL协议进行了网络传输数据的加密,那么也应该是部分符合或者符合。...四、测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...满足条件中指明,属于3级和3级以上系统,且被测评对象属于重要核心设备通过不可控网络环境远程进行管理,然后同时未实现双因素认证的,可判定为高风险项。

2.4K30

测评2.0:MySQL访问控制

测评2.0:MySQL身份鉴别(上)中有说过: 对于MySQL来说,如上文所言,用户的身份标识为username + host,MySQL并没有禁止出现完全一样的username + host行,...::1这个我不知道要如何才能连上,当用户名为root的行只剩下host值为::1的行的时候,使用用户名root怎么连都不可能连上。...对于127.0.0.1和localhost,在windows系统上没啥区别,登录时其排序是不确定的(对于这种,应该是谁先创建谁在前)。...测评项要求 那么怎么才算是符合呢?应该要根据应用程序业务复杂程度来判断,应用程序业务越复杂或者越庞大,则数据库账户的权限就应该划分得越细致。 反正,一个root账户从头用到尾,那肯定是不符合的。...关于安全标记,可以看看测评2.0:Windows访问控制中测评项g中的内容。 实际测评中,基本上就没有能实现的,不过也不用太在意,因为这一个测评项不属于高风险项。

2.6K30

测评2.0:Oracle安全审计

说明 本篇文章主要说一说Oracle数据库安全审计控制点中b、c、d测评项的相关内容和理解,以及一些其它零碎的与相关的内容。 2....具体怎么判断,可以把测评2.0:Oracle安全审计(上)的相关内容看一看。 4. 测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 4.1....如果存储在表中,则要看dba角色、update any table权限被授予给哪些用户了 以及查看o7_dictionary_accessibility参数的值,详情可看测评2.0:Oracle访问控制...审计记录的留存时间 在测评2.0:MySQL安全审计的5.2节中,对于网络安全法中对日志留存时间的要求如何测评,进行过一些个人的猜想。...Mysql数据库的身份鉴别 在测评2.0:MySQL身份鉴别(下)对身份鉴别控制点c项进行过说明,但是没说全。

6.7K10

测评2.0:应用身份鉴别

测评项 b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、...测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 3.1....测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 5.1....谷歌验证器 其实和测评2.0:Oracle身份鉴别(下)中5.2节介绍的认证方式差不多,谷歌验证码生成的时间间隔是一般是30s。...怎么写 两种方法,一种在测评项的结果记录中直接把修正的理由给写了,比如: 未能够对非授权设备私自联到内部网络的行为进行检查或限制,但重点区域出入控制严格,非受权人员访问重要区域有专人陪同等措施。

3.1K30

测评2.0:Windows安全审计

,定期备份,避免受到未预期的删除、修改或覆盖; d)应对审计进程进行保护,防止未经授权的中断。...但是如果服务器本身不联网,本机上时间的是否准确就不能保证,也就无法保证事件中日期、时间信息的准确性。...另外插一句嘴,在写测评记录表的时候,要按照实际情况来写,而不是直接复制测评项中的文字。 比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间。...而不是去直接复制测评项中的内容,比如事件的日期和时间、用户、事件类型。 五、测评项c 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 5.1....无论是自己手动去拷贝,或者将日志推送到日志综合审计平台等第三方系统或者备份一体机备份工具去备份,都可以。 六、测评项d 应对审计进程进行保护,防止未经授权的中断。

4.8K21

2.0,腾讯云TStack通过四级测评

这验证了腾讯云TStack具有稳定、全面的安全性能,可为用户提供高效可靠的云服务,同时助力用户进行。...腾讯云TStack通过四级测评,一方面直接证明其可为政府、企业用户,在关键应用向云迁移时,提供高性能、高可靠、高安全、高适应性的服务。...同时,腾讯云TStack的高分通过,也为用户进行打下坚实基础。根据要求,云上用户进行验证,必须保证其所在云平台已过测评;对于云用户系统的评定,云平台等级分数也是影响因素之一。...腾讯云TStack还可以为客户定制的整改意见,指导客户进行安全服务的选型与部署,助力用户更加高效省心过。...腾讯云还通过了CSA STAR金牌认证、ISO27001信息安全认证、可信云认证多项国内外权威认证,致力于提升云平台的安全性。

5.7K20

测评2.0:MySQL身份鉴别

二、测评项 b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令...三、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 3.1....比如一边是tomcat web服务器,一边是数据库服务器,两者怎么通信?在java web里,我们通常会选择hibernate或者是jdbc来连接。那么这时候就是非交互式操作。...五、测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...对于双因素本身的探讨在这里就不进行重复的论述了,可以看我以前文章中该测评项的内容:测评2.0:Windows身份鉴别、测评2.0:SQLServer身份鉴别(下) 。

3.2K21

全国首个《2.0体系互联网实践白皮书》来了

国内首部《2.0体系互联网实践白皮书》(以下简称白皮书)今天正式发布。...白皮书从互联网行业在2.0方面的实践痛点入手,针对当前国内企业对等2.0关注度最高的几大技术落地难点,如可信计算、密码技术、IPv6、安全算力和安全管理中心应用,结合腾讯在整体体系建设和云安全建设等方面的实践及解决方案进行解读分析...公司体系建设实践,描述了腾讯集团自身2.0的体系建设思路。...2.0解决方案,总结了快速完成等级保护测评全流程的五大关键要素,即优选测评机构、系统合理定级、准备工作充分、及时跟进流程、关键路径并进。...此外,腾讯安全还从各行业实践中总结出2.0时代网络安全工作的方式与方法,在云平台、技术支持、专家服务等方面助力提升企业网络安全能力,规避和缓解企业风险。

3.2K93

密码测评新服务:“微咨询”正式发布

国家也在不断出台相应政策完善密码,密码测评作为密码的重要工作项受到各行业广泛关注。腾讯安全云鼎实验室为解决企业密评时面临的周期长、动作大、成本高三大问题,正式发布密码微咨询服务。...行业方面,2019年12月,国办发〔2019〕57号文《国家政务信息化项目建设管理办法》中提出“不符合密码应用和网络安全要求,不安排运行维护经费“,另外公安部【2020】1960号文 关于《贯彻和关保护制度指导意见...》中明确指出“在网络安全等级测评中同步开展密码应用安全性评估”,由此可见国家对密码使用的重视。...腾讯安全云鼎实验室推出的“密码微咨询”服务区别于标准的服务模式,以助力企业“快速掌握关键差距、预估改造成本、可行性评估、理清整改思路”多维度出发,制定了详细的工作计划,全方位服务企业解决问题: ?...而在信息行业,相较于标准的密码咨询,微咨询更具有“周期短、影响小、费用低”的特点。目前也已经在政务、金融、交通、汽车行业展开应用。

1.5K20

测评2.0之Centos安全审计

audit 来记录内核信息,包括文件的读写,权限的改变。...aureport命令有着很多参数,如-x、-l、-f、-c、-u,可以查看各类记录的具体信息,默认情况下会对以下信息进行记录: 账号修改,如使用passwd、usermod命令; 用户登陆,包括图形界面的登陆...如果对方说是手动定期备份的话,这个嘛,就要看你自己怎么判断了。 五、测评项d ?...这就需要对测评的目标有一定的了解,否则便无从下手。 所以我的文章基本上就光描述相关的技术了,没怎么说具体怎么测评。 但是我觉得技术搞明白了,百分之99的工作就都完成了。...要不然,就拿着初级教程或测评要求,在啥都不懂的情况下一条条的套,那只不过是在走过场拉低等的水准(虽然其实也没多少水准啦)。

3.3K11
领券