首页
学习
活动
专区
工具
TVP
发布

测评师角度浅谈2.0

1、初衷:从各行各业的开展来看,基于网络安全的初心开展的单位企业少之又少,而绝大都是单位企业都是政策要求,其中具体又可以细分为 1)行业主管部门要求开展,比如电力行业和金融行业,这两个行业都有文件要求开展...2)寻找背锅侠,部分政府单位对等不感冒,但是被机构销售忽悠后以为做的就可以给自己上一道“保险”,纯粹为了事后找机构给自己背锅。...,把测评当作驾校培训,每年被停止营业的大部分就是这类。...这也就是为什么2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为测评就是花钱买设备,而国家推行测评的初衷却不甚了解。...测评要求中,很多测评指标的对应的测评对象明显无法测评,比如剩余信息保护测评对象是终端和服务设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件,操作系统在Windows上都比较清晰可操作

2.6K51

测评:SQLServer操作超时

通过链接服务器,SQL Server 数据库引擎 和 Azure SQL 数据库托管实例可从远程数据源中读取数据,并针对 SQL Server 实例之外的 OLE DB 数据源远程数据库服务器执行命令...在msdn中,remote login timeout的说明如下: remote login timeout 选项指定从登录远程服务器失败返回前等待的秒数。...例如,如果您尝试登录到一个远程服务器而该服务器已关闭, remote login timeout 帮助确保您在计算机停止登录尝试前不必无限期地等待下去。此选项的默认值为 10 秒。...所以我们要进行区分,同样是在SQL Server Management Studio上进行一些设置,有些是对这个软件本身的一些项进行设置(如连接超时值),而有些则是对你连接的这个数据库的一些项进行设置...但更大概率应该是用完就断,用的时候再连(具体我也不清楚,因为我不知道它代码里怎么实现的),所以连接的空闲超时时间的意义其实并不很大。

3.6K30
您找到你想要的搜索结果了吗?
是的
没有找到

测评2.0:SQLServer安全审计

三、测评项a a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; SQLServer默认开启着错误日志,在服务器-管理-SQL Server日志中: ?...另外,这里应该也要判断下日志中的日期和时间是否准确,SqlServer日志中的时间应该是引用的本机时间,所以就要看一看数据库所在的操作系统是否做了这方面的措施,具体哪些措施可以看:测评2.0:Windows...五、测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 5.1. 要求1 也即仅某些账户可删除、修改审计记录。...而如果是对于自建的审核规范和审核对象,大概率不会碰到,这里就不怎么说了。 反正涉及到权限,如果纪录存在表中,那么就要去看表的权限、表所在架构的权限、架构所在数据库的权限的权限。...,也会存在一个默认模板,这个默认模板包含的规则基本上至少能满足测评项a的要求了,除非特殊要求,基本不需要用户自己创建规则。

3K20

测评2.0:Windows身份鉴别

如果运维人员通过第三方软件远程管理windows服务器,比如向日葵、TeamViewer,并没有使用windows的验证功能,这种情况下,测评项中的“用户名、口令”可能就不仅仅是指windows服务器中的...四、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 4.1....测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...这里我在测评:CentOS登录失败参数详解和双因素认证这篇文章中也说到过,这里换个角度说一说基础的知识。 6.1....所以实际测评的时候,对于这一项,只要不让其成为高风险即可,比如用堡垒机方式(具体看高风险判定指引里的内容)。

4.9K51

测评2.0:Oracle身份鉴别

一、说明 本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解。...二、测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 三、测评项a要求1 应对登录的用户进行身份标识和鉴别 oracle使用用户名对登录用户进行身份标识...以centos系统为例子,也就是测评的时候先登录oracle数据库服务器的oracle账户,如果被测评方不清楚oracle账户的口令,也可以登录到root账户,然后使用“su - oracle”命令切换过去...因为utlpwdmg.sql并不是函数本身,它只是创建函数的一段语句而已。...我在2020年4月7日10点整,创建了一个账户,在DBA_USERS表中,该账户的CREATED(创建时间)就是2020年4月7日10点,ACCOUNT_STATUS(账户状态)是OPEN,在USER$

5.1K10

测评2.0:MySQL访问控制

测评2.0:MySQL身份鉴别(上)中有说过: 对于MySQL来说,如上文所言,用户的身份标识为username + host,MySQL并没有禁止出现完全一样的username + host行,...::1这个我不知道要如何才能连上,当用户名为root的行只剩下host值为::1的行的时候,使用用户名root怎么连都不可能连上。...对于127.0.0.1和localhost,在windows系统上没啥区别,登录时其排序是不确定的(对于这种,应该是谁先创建谁在前)。...测评项要求 那么怎么才算是符合呢?应该要根据应用程序业务复杂程度来判断,应用程序业务越复杂或者越庞大,则数据库账户的权限就应该划分得越细致。 反正,一个root账户从头用到尾,那肯定是不符合的。...关于安全标记,可以看看测评2.0:Windows访问控制中测评项g中的内容。 实际测评中,基本上就没有能实现的,不过也不用太在意,因为这一个测评项不属于高风险项。

2.6K30

测评2.0:Oracle安全审计

说明 本篇文章主要说一说Oracle数据库安全审计控制点中b、c、d测评项的相关内容和理解,以及一些其它零碎的与相关的内容。 2....具体怎么判断,可以把测评2.0:Oracle安全审计(上)的相关内容看一看。 4. 测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 4.1....审计记录的留存时间 在测评2.0:MySQL安全审计的5.2节中,对于网络安全法中对日志留存时间的要求如何测评,进行过一些个人的猜想。...所以我觉得3级系统的各个设备(服务器、数据库)的日志留存时间,应该集中在集中管控的测评项中统一描述,不用在每个被测评对象的安全审计控制点的c测评项中进行描述。 这么想的话,逻辑上还算自洽。...但是2级系统的的各个设备(服务器、数据库)的日志留存时间要不要进行测评,就让人疑惑了。

6.7K10

测评2.0:Windows入侵防范

注意,测评项d的测评对象不包括服务器的操作系统: ? 三、测评项a a)应遵循最小安装的原则,仅安装需要的组件和应用程序; 这一条比较容易理解。...在进行测评的时候,有一些是明显多余的程序,比如QQ、迅雷,另外一些,如果是不常见或者不清楚用途的软件,需要通过访谈来进行确认。...即,被测评方要定期使用专业的漏洞扫描工具进行扫描或者进行渗透测试,而360安全卫士软件不算专业的漏洞扫描工具。 测评的时候,就需要向对方提供扫描报告或者渗透报告。...一些杀毒软件,比如EDR、卡巴斯基(企业版)具备入侵防范检测和报警功能(通过邮箱、短信),或者在网络中部署有IPS设备具有相关功能也可以。...另外,部署在云上的话,阿里云、华为云,也存在这样的安全服务,也可以实现要求。但是要注意的是,被测评方是否购买了此类安全服务

5.9K20

测评2.0:SQLServer身份鉴别

二、测评项 c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现...又或者中间件所在服务器A和数据库所在服务器B处于同一内网中,服务器A接收到请求后,发送数据库的鉴别信息到服务器B,外网的设备比较难获取到鉴别信息(更别说鉴别信息也不是明文传输的),应该判定为部分符合或者符合...四、测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...该测评项属于安全计算环境这个安全类,其测评对象包括了数据库、服务器和终端的操作系统、应用系统、安全设备、网络设备等等,按照等级保护2.0的标准,对于3级和以上的系统,只要其中一个设备在该测评项处得0分,...满足条件中指明,属于3级和3级以上系统,且被测评对象属于重要核心设备通过不可控网络环境远程进行管理,然后同时未实现双因素认证的,可判定为高风险项。

2.4K30

测评2.0:应用身份鉴别

测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 3.1....测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 5.1....谷歌验证器 其实和测评2.0:Oracle身份鉴别(下)中5.2节介绍的认证方式差不多,谷歌验证码生成的时间间隔是一般是30s。...服务器中的应用系统和手机中软件按照同样的算法(当然还包括密钥),同时计算出某个验证码,每30s重新计算1次。 这样服务器和手机都不需要联网,直接对比算出的值就可以了,比短信验证的方式要感觉要好一些。...怎么写 两种方法,一种在测评项的结果记录中直接把修正的理由给写了,比如: 未能够对非授权设备私自联到内部网络的行为进行检查或限制,但重点区域出入控制严格,非受权人员访问重要区域有专人陪同等措施。

3.1K30

测评2.0:Windows安全审计

但是如果服务器本身不联网,本机上时间的是否准确就不能保证,也就无法保证事件中日期、时间信息的准确性。...另外插一句嘴,在写测评记录表的时候,要按照实际情况来写,而不是直接复制测评项中的文字。 比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间。...而不是去直接复制测评项中的内容,比如事件的日期和时间、用户、事件类型。 五、测评项c 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 5.1....无论是自己手动去拷贝,或者将日志推送到日志综合审计平台等第三方系统或者备份一体机备份工具去备份,都可以。 六、测评项d 应对审计进程进行保护,防止未经授权的中断。...这里实际上在测评项a那一部分说过了,默认就是开启的,Windows Event Log服务无法在一般情况下关闭。

4.8K21

2.0,腾讯云TStack通过四级测评

近日,腾讯云TStack高分通过公安部“网络安全等级保护”四级资质测评。安全等级保护等级越高,安全保护能力越强,四级是目前云服务提供商所能满足的最高级别。...这验证了腾讯云TStack具有稳定、全面的安全性能,可为用户提供高效可靠的云服务,同时助力用户进行合规。...腾讯云TStack通过四级测评,一方面直接证明其可为政府、企业用户,在关键应用向云迁移时,提供高性能、高可靠、高安全、高适应性的服务。...同时,腾讯云TStack的高分通过,也为用户进行合规打下坚实基础。根据要求,云上用户进行合规验证,必须保证其所在云平台已过测评;对于云用户系统的评定,云平台等级分数也是影响因素之一。...腾讯云TStack还可以为客户定制合规的整改意见,指导客户进行安全服务的选型与部署,助力用户更加高效省心过

5.7K20

测评2.0:MySQL身份鉴别

二、测评项 b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令...三、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 3.1....比如一边是tomcat web服务器,一边是数据库服务器,两者怎么通信?在java web里,我们通常会选择hibernate或者是jdbc来连接。那么这时候就是非交互式操作。...也可以强制服务器端只接受ssl的连接: ? 五、测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...对于双因素本身的探讨在这里就不进行重复的论述了,可以看我以前文章中该测评项的内容:测评2.0:Windows身份鉴别、测评2.0:SQLServer身份鉴别(下) 。

3.2K21

测评:Centos超时退出详解

一、说明 测评主机测评中需要查询主机的超时退出配置,具体在Centos中的话,主要有两种方式可以实现超时退出的功能。...实现方式 在/etc/profile、~/.bashrc、~/.bash_profile文件的最后加入export TMOUT=900语句即可(单位是秒),然后想要不重新登录就起效就,还需要用source...所以如果想在测评的时候更全面的了解情况,最好就是一块查。...:则指定这种请求服务器端发送后,客户端最多的无响应次数(但网上一般是说服务器端最多向客户端发送这种消息多少次,我觉得不太对),默认值是3。...它应该是指服务器端发送这种请求后,客户端最多的无响应次数,而且还得是连续的,因为从源代码里面看(见下文),只要有一次正常相应,这个次数就会被清空。

3K20

测评2.0之Centos安全审计

这里在初级教程中,让我们去查看系统日志服务和安全审计服务是否正常运行,但是这两者有什么关系以及具体有什么功能书里没说清楚。...定期备份 定期备份一般是指将日志推送至日志服务设备进行备份,所以如果对方说有该类设备,就去查看相关配置以及是否存在实际的备份的日志文件即可。...如果对方说是手动定期备份的话,这个嘛,就要看你自己怎么判断了。 五、测评项d ?...这就需要对测评的目标有一定的了解,否则便无从下手。 所以我的文章基本上就光描述相关的技术了,没怎么说具体怎么测评。 但是我觉得技术搞明白了,百分之99的工作就都完成了。...要不然,就拿着初级教程或测评要求,在啥都不懂的情况下一条条的套,那只不过是在走过场拉低等的水准(虽然其实也没多少水准啦)。

3.3K11

测评主机安全:CentOS访问控制

一、说明 权限控制在测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。...所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。 这里我把我现在知道的关于权限控制的方法都列举出来,供大家参考参考。...UMASK 077 其实这个是针对用户的home目录的,当设置CREATE_HOME为yes的时候 ,创建用户时就会自动创建用户的home目录,这里就是专门对home目录设置的umask...更何况,很多被测评单位自己压根就没做权限控制…… 不过无论如何,访问控制必然要用某些方法实现,那么其中用户、用户组,目录、文件的基础知识是怎么也绕不过去的。...说句不好听的,如果通过访谈,被测评单位说他做了访问控制,你至少也得知道怎么去取证吧?

1.7K31

2.0 和 密码测评之间的关系

随着5G、大数据、云计算、人工智能、工业互联网、物联网新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家安全的新挑战。...为保障网络空间安全,我国网络安全法治建设持续推进,《网络安全法》、《密码法》多部法律已颁布实施,《个人信息保护法》《数据安全法》加速制定中,网络空间不再是“法外之地”。...、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。...商用密码应用安全评估:(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。...关键信息基础设施必须落实网络安全等级保护制度,开展定级备案、等级测评、安全建设整改、安全检查强制性及规定性工作;商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段

2.4K20

2.0测评:Redis 数据库配置

由于本人也不是做运维的,这个Redis数据库是一个缓存数据库,具体怎么用,在项目中怎么部署我不太清楚,这里仅针对于测评要求,对其进行分析如何配置相应的策略。如有不对的地方,欢迎指正哈。...前期调研 针对于前期系统情况方面,这里我们要了解的是数据库的版本。 查看数据库版本:运维人员一般都会配置redis命令的环境变量,如果下面命令不行就用 find 找吧,一些基础知识这里就不说了。...1)服务器本地查看 redis-server -v redis-server --version ?...像非授权访问漏洞,本地也测试过能成功,这里就不细说了,交给渗透工程师去看吧,然后我们的拿他们的报告确认是否存在对应漏洞即可。 五、数据完整性 针对这个数据库,下面两条默认都是不符合。...七、数据备份恢复 a) 应提供重要数据的本地数据备份与恢复功能 这个没啥好说的,直接去问管理人员备份怎么做的,是否有措施保证备份数据有效(有测试记录即可)。

2.7K10

测评之安全物理环境、安全管理

、查验、分析活动,获取证据以证明其安全保护措施是否有效的一种方法 核查对象 各类文件-制度文档 操作规程-执行记录 物理环境-基础础设施 安全管理测评流程 基本活动 核查是否存在有关的规定、制度或规程文档...测评流程 第一步,根据现场配合人员名单,进一步明确协调人员、访谈人员及时间 第二步,根据检查文档列表,获得制度、记录、规程各类文档,并填写文档交接单; 第三步,审阅各类文档,并在现场测评作业指导书的相关项中进行结果记录...审批事项、审批部门、批准人及审批程序(制度),审批过程实际执行记录,了解授权和审批情况; 沟通和合作情况,了解部门内外沟通和合作情况,各类会议纪要、外协单位联系档案; 安全检查周期、内容、程序,各类安全检查表格...; 过程控制记录、各个阶段产品评审记录、测试验收报告;与服务供应商签订的保密协议或安全责任书。...外包运维管理 外包运维服务商的选择符合规定; 签订协议,明确外包运维范围、工作内容、明确相关安全要求; 在技术方面和管理方面均具有按照等级保护要求开展运维工作能力。

2K30
领券