开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

等保测评服务限时活动

等保测评服务是一种针对信息安全等级保护制度的测评服务，旨在评估信息系统的安全性并提出改进措施。根据《信息安全等级保护管理办法》，信息系统建设完成后，运营、使用单位或其主管部门应当选择符合本办法规定条件的测评机构，定期对信息系统安全等级状况开展等级测评。

等保测评服务的基础概念

目的：评估信息系统的安全性并提出改进措施。
内容：包括物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度等多个方面。
流程：包括测评准备、方案编制、现场测评、分析和报告编制、后续行动。

等保测评服务的优势

提高安全性：通过专业的安全评估，发现并修复潜在的安全风险。
合规性：帮助企业满足国家信息安全等级保护法规要求。
全面性：覆盖信息系统多个层面的安全评估，确保系统的整体安全性。

等保测评服务的类型

根据安全需求和保护等级分类：一级到五级，级别越高，安全要求越严格。
服务类型：包括纯测评服务、一站式全包服务等。

请注意，具体的等保测评服务限时活动信息，建议直接咨询相关服务提供商或访问其官方网站以获取最新和最准确的信息。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

等保测评师角度浅谈等保2.0

1、等保初衷：从各行各业的开展等保来看，基于网络安全的初心开展等保的单位企业少之又少，而绝大都是单位企业都是政策要求，其中具体又可以细分为 1）行业主管部门要求开展等保，比如电力行业和金融行业，这两个行业都有文件要求开展等保...2）寻找背锅侠，部分政府单位对等保不感冒，但是被等保机构销售忽悠后以为做的等保就可以给自己上一道“保险”，纯粹为了事后找等保机构给自己背锅。...，把等保测评当作驾校培训，每年被停止营业的大部分就是这类。...这也就是为什么等保2.0出台后，很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章，让很多客户单位慢慢被认为等保测评就是花钱买设备，而国家推行等保测评的初衷却不甚了解。...测评要求中，很多测评指标的对应的测评对象明显无法测评，比如剩余信息保护测评对象是终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件，操作系统在Windows上都比较清晰可操作

2.8K5 1

等保测评：SQLServer操作超时

我们对sqlserver数据库执行sql语句如查询语句，往往是对一个数据源（数据库）进行查询，而当我们涉及到另一个远程数据源（数据库）的时候，就需要对远程数据源进行连接（登陆），而我们可以通过链接服务器实现这个功能...通过链接服务器，SQL Server 数据库引擎和 Azure SQL 数据库托管实例可从远程数据源中读取数据，并针对 SQL Server 实例之外的 OLE DB 数据源等远程数据库服务器执行命令...在msdn中，remote login timeout的说明如下： remote login timeout 选项指定从登录远程服务器失败返回前等待的秒数。...例如，如果您尝试登录到一个远程服务器而该服务器已关闭， remote login timeout 帮助确保您在计算机停止登录尝试前不必无限期地等待下去。此选项的默认值为 10 秒。...所以我们要进行区分，同样是在SQL Server Management Studio上进行一些设置，有些是对这个软件本身的一些项进行设置（如连接超时值等），而有些则是对你连接的这个数据库的一些项进行设置

4K3 0

等保测评2.0：MySQL安全审计

，定期备份，避免受到未预期的删除、修改或覆盖等； d)应对审计进程进行保护，防止未经授权的中断。...自带的审计功能在MySQL中自带了审计功能——general log，它会记录所有关于mysql的sql语句（所以会给服务器和数据库带来很大的资源占用）。...server_audit_file_rotations：指定日志文件的数量，如果为0日志将从不轮转 server_audit_file_rotate_now：强制日志文件轮转 server_audit_incl_users：指定哪些用户的活动将记录...在这种情况下，请在刷新文件之前在服务器外部手动重命名该文件（要不然原来的记录就没了）。如果该 auditlogrotateonsize 值大于0，则会自动进行基于大小的日志文件轮换。...c c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 5.1.

5.6K2 0

等保测评2.0：Windows安全审计

但是如果服务器本身不联网，本机上时间的是否准确就不能保证，也就无法保证事件中日期、时间等信息的准确性。...另外插一句嘴，在写测评记录表的时候，要按照实际情况来写，而不是直接复制测评项中的文字。比如windows的安全审计的测评项b，要写就写实际的审计记录中包含的字段，如级别、用户、记录时间等。...而不是去直接复制测评项中的内容，比如事件的日期和时间、用户、事件类型等。五、测评项c 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 5.1....如果选择了这个选项，那么到日志文件的大小达到上限时，操作系统不会覆盖原有的日志记录。而是先把旧的日志记录进行存档，然后再利用新的日志信息来覆盖旧的日志信息。三是不覆盖事件。...无论是自己手动去拷贝，或者将日志推送到日志综合审计平台等第三方系统或者备份一体机等备份工具去备份，都可以。六、测评项d 应对审计进程进行保护，防止未经授权的中断。

5.8K2 1

等保测评2.0：SQLServer安全审计

，定期备份，避免受到未预期的删除、修改或覆盖等； d)应对审计进程进行保护，防止未经授权的中断。...三、测评项a a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； SQLServer默认开启着错误日志，在服务器-管理-SQL Server日志中： ?...另外，这里应该也要判断下日志中的日期和时间是否准确，SqlServer日志中的时间应该是引用的本机时间，所以就要看一看数据库所在的操作系统是否做了这方面的措施，具体哪些措施可以看：等保测评2.0：Windows...五、测评项c c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 5.1. 要求1 也即仅某些账户可删除、修改审计记录。...测评项c c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；这里应该看数据库审计系统中是否对账户的权限进行了分离，即仅某一个或某一类账户可以对审计记录进行操作。

3.5K2 0

等保测评2.0：Windows身份鉴别

如果运维人员通过第三方软件远程管理windows服务器，比如向日葵、TeamViewer等，并没有使用windows的验证功能，这种情况下，测评项中的“用户名、口令”可能就不仅仅是指windows服务器中的...先来解释下和要求相关的两个选项：活动会话限制（在安全策略中叫设置活动的远程桌面服务会话的时间限制）：即，远程登录成功后，无论你是否操作，达到限定时间后就会断开连接。...空闲会话限制（在安全策略中叫设置活动但空闲的远程桌面服务会话的时间限制）：即，远程登录成功后，如果你不进行操作的时间达到限定值，即断开连接。...这里我在等保测评：CentOS登录失败参数详解和双因素认证这篇文章中也说到过，这里换个角度说一说基础的知识。 6.1....所以实际测评的时候，对于这一项，只要不让其成为高风险即可，比如用堡垒机等方式（具体看高风险判定指引里的内容）。

5.6K5 1

等保测评2.0：Oracle身份鉴别

一、说明本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解。...二、测评项a a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；三、测评项a要求1 应对登录的用户进行身份标识和鉴别 oracle使用用户名对登录用户进行身份标识...以centos系统为例子，也就是测评的时候先登录oracle数据库服务器的oracle账户，如果被测评方不清楚oracle账户的口令，也可以登录到root账户，然后使用“su - oracle”命令切换过去...那么只要oracle数据库中建立一个名为opscv的账户并给与基础权限（连接权限等），用户在登录操作系统中的cv后，可以直接使用sqlplus /或sqlplus / as normal（两个命令是一个意思...顺序取字符串来对比： u不等于a，differ的值加1，为1 s不等于d，differ加1，为2 最后循环4次结束，differ为4，如果最后differ小于3，则未通过校验，大于等3，则通过校验。

5.7K1 0

等保测评2.0：Windows入侵防范

在进行测评的时候，有一些是明显多余的程序，比如QQ、迅雷等，另外一些，如果是不常见或者不清楚用途的软件，需要通过访谈来进行确认。...这里注意，公用配置文件是活动的，也即现在服务器接入的网络使用的是公用配置文件，同时它下面的防火墙是启用的。...注意看，专用配置文件下的防火墙已关闭，但是它没有处于活动状态，现在接入的网络用不到这个配置文件，所以关闭也无所谓。...即，被测评方要定期使用专业的漏洞扫描工具进行扫描或者进行渗透测试，而360安全卫士等软件不算专业的漏洞扫描工具。测评的时候，就需要向对方提供扫描报告或者渗透报告。...另外，部署在云上的话，阿里云、华为云等，也存在这样的安全服务，也可以实现要求。但是要注意的是，被测评方是否购买了此类安全服务。

6.3K2 0

等保测评2.0：SQLServer身份鉴别

二、测评项 c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现...又或者中间件所在服务器A和数据库所在服务器B处于同一内网中，服务器A接收到请求后，发送数据库的鉴别信息到服务器B，外网的设备比较难获取到鉴别信息（更别说鉴别信息也不是明文传输的），应该判定为部分符合或者符合...四、测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。...该测评项属于安全计算环境这个安全类，其测评对象包括了数据库、服务器和终端的操作系统、应用系统、安全设备、网络设备等等，按照等级保护2.0的标准，对于3级和以上的系统，只要其中一个设备在该测评项处得0分，...满足条件中指明，属于3级和3级以上系统，且被测评对象属于重要核心设备等通过不可控网络环境远程进行管理，然后同时未实现双因素认证的，可判定为高风险项。

3.1K3 0

等保测评2.0：MySQL访问控制

在等保测评2.0：MySQL身份鉴别（上）中有说过：对于MySQL来说，如上文所言，用户的身份标识为username + host，MySQL并没有禁止出现完全一样的username + host行，...权限判断过程大概是这样的：客户端操作核实阶段，当客户端的连接请求被MySQL服务器端通过其身份认证后。...那么接下来就可以发送数据库的操作命令给服务器端处理，服务器检查用户要执行的操作，在确认权限时，MySQL首先检查user表，如果指定的权限没有在user表中被授权；MySQL将检查db表，db表时下一安全层级...如果仅达到了数据库级别或者服务器级别的权限，那肯定是不符合要求的。至于主体就不说了，MySQL中也没存在用户组。...关于安全标记，可以看看等保测评2.0：Windows访问控制中测评项g中的内容。实际测评中，基本上就没有能实现的，不过也不用太在意，因为这一个测评项不属于高风险项。

2.8K3 0

等保测评2.0：Oracle安全审计

说明本篇文章主要说一说Oracle数据库安全审计控制点中b、c、d测评项的相关内容和理解，以及一些其它零碎的与等保相关的内容。 2....具体怎么判断，可以把等保测评2.0：Oracle安全审计（上）的相关内容看一看。 4. 测评项c c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 4.1....审计记录的留存时间在等保测评2.0：MySQL安全审计的5.2节中，对于网络安全法中对日志留存时间的要求如何测评，进行过一些个人的猜想。...所以我觉得3级系统的各个设备（服务器、数据库等）的日志留存时间，应该集中在集中管控的测评项中统一描述，不用在每个被测评对象的安全审计控制点的c测评项中进行描述。这么想的话，逻辑上还算自洽。...但是2级系统的的各个设备（服务器、数据库等）的日志留存时间要不要进行测评，就让人疑惑了。

7.3K1 0

等保测评2.0：应用身份鉴别

测评项 b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； d)应采用口令、...测评项b b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 3.1....测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 5.1....谷歌验证器其实和等保测评2.0：Oracle身份鉴别（下）中5.2节介绍的认证方式差不多，谷歌验证码生成的时间间隔是一般是30s。...服务器中的应用系统和手机中软件按照同样的算法（当然还包括密钥），同时计算出某个验证码，每30s重新计算1次。这样服务器和手机都不需要联网，直接对比算出的值就可以了，比短信验证的方式要感觉要好一些。

3.7K3 0

等保2.0，腾讯云TStack通过等保四级测评

近日，腾讯云TStack高分通过公安部“网络安全等级保护”四级资质测评。安全等级保护等级越高，安全保护能力越强，四级是目前云服务提供商所能满足的最高级别。...这验证了腾讯云TStack具有稳定、全面的安全性能，可为用户提供高效可靠的云服务，同时助力用户进行等保合规。...腾讯云TStack通过等保四级测评，一方面直接证明其可为政府、企业等用户，在关键应用向云迁移时，提供高性能、高可靠、高安全、高适应性的服务。...同时，腾讯云TStack的高分通过，也为用户进行等保合规打下坚实基础。根据要求，云上用户进行等保合规验证，必须保证其所在云平台已过测评；对于云用户系统的评定，云平台等级分数也是影响因素之一。...腾讯云TStack还可以为客户定制等保合规的整改意见，指导客户进行安全服务的选型与部署，助力用户更加高效省心过等保。

6K2 0

等保测评：Centos超时退出详解

一、说明等保测评主机测评中需要查询主机的超时退出配置，具体在Centos中的话，主要有两种方式可以实现超时退出的功能。...实现方式在/etc/profile、~/.bashrc、~/.bash_profile等文件的最后加入export TMOUT=900语句即可（单位是秒），然后想要不重新登录就起效就，还需要用source...所以如果想在测评的时候更全面的了解情况，最好就是一块查。...：则指定这种请求服务器端发送后，客户端最多的无响应次数（但网上一般是说服务器端最多向客户端发送这种消息多少次，我觉得不太对），默认值是3。...设置为60，ClientAliveCountMax设置1，然后我一直不操作，同时我把xshell里保持活动状态的选项关掉： ?

4K2 0

等保测评2.0：MySQL身份鉴别

二、测评项 b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； d)应采用口令...三、测评项b b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 3.1....比如一边是tomcat web服务器，一边是数据库服务器，两者怎么通信？在java web里，我们通常会选择hibernate或者是jdbc来连接。那么这时候就是非交互式操作。...也可以强制服务器端只接受ssl的连接： ? 五、测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。...对于双因素本身的探讨在这里就不进行重复的论述了，可以看我以前文章中该测评项的内容：等保测评2.0：Windows身份鉴别、等保测评2.0：SQLServer身份鉴别（下）。

3.6K2 1

等保测评主机安全：CentOS访问控制

一、说明权限控制在等保测评里仅仅说了要求，但是怎么落地却基本没写，怎么说呢，比较抽象。...所以，我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制，不至于测评的时候完全不知道怎么测。这里我把我现在知道的关于权限控制的方法都列举出来，供大家参考参考。...文件如果对文件具有读r权限，就代表可以使用cat、head、tail等命令查看文件内容。...其实访问控制不很好弄，因为不太清楚实际业务中，被测评单位会用什么方式进行访问控制，也就是不知道会用什么技术。...说句不好听的，如果通过访谈，被测评单位说他做了访问控制，你至少也得知道怎么去取证吧？

1.8K3 1

等保测评2.0之Centos安全审计

这里在初级教程中，让我们去查看系统日志服务和安全审计服务是否正常运行，但是这两者有什么关系以及具体有什么功能书里没说清楚。...audit 来记录内核信息，包括文件的读写，权限的改变等。...对于实际运行的规则，你可以临时的增加、删除、修改（服务重启就恢复原样）。而对于写在配置文件中的规则，如果你修改了配置文件却没有重启服务，那么你修改的也不会生效。...定期备份定期备份一般是指将日志推送至日志服务器等设备进行备份，所以如果对方说有该类设备，就去查看相关配置以及是否存在实际的备份的日志文件即可。...要不然，就拿着初级教程或测评要求，在啥都不懂的情况下一条条的套，那只不过是在走过场拉低等保的水准（虽然其实也没多少水准啦）。

3.7K1 1

等保2.0测评之Nginx 中间件

有小伙伴说有没有Nginx的作业指导书，个人认为这个中间件主要测评点就在安全审计，本文这里就简单聊一下等保2.0 条款中对应Nginx中间件的测评要求。...前期调研 nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器，一般主要功能会有两种，一种作为一个HTTP服务器进行网站的发布处理，另外一种nginx可以作为反向代理进行负载均衡的实现...对应参数：log_format log_format：用来设置日志格式 nginx的log_format有很多可选的参数用于标示服务器的活动状态，默认为： ‘$remote_addr – $remote_user...b）应关闭不需要的系统服务、默认共享和高危端口该测评点在操作系统层面核查，中间件不适用该条款。...该测评点在设备层面核查，中间件不适用该条款。

5.1K1 0

等保2.0 和密码测评之间的关系

基本概念网络安全等级测评：（简称“等级测评”）是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动，是信息系统安全等级保护工作的重要环节...关键信息基础设施安全检测评估：（简称“关基安全检测评估”）对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。...、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等，尤其关注关键信息基础设施跨系统、跨区域间的信息流动，及其关键业务流动过程中所经资产的安全防护情况。...商用密码应用安全评估：（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。...关键信息基础设施必须落实网络安全等级保护制度，开展定级备案、等级测评、安全建设整改、安全检查等强制性及规定性工作；商用密码应用安全是保障网络和信息系统安全的一项防护措施，也是保障关键基础设施安全的重要手段

2.6K2 0

等保2.0测评：Redis 数据库配置

由于本人也不是做运维的，这个Redis数据库是一个缓存数据库，具体怎么用，在项目中怎么部署我不太清楚，这里仅针对于等保的测评要求，对其进行分析如何配置相应的策略。如有不对的地方，欢迎指正哈。...前期调研针对于等保前期系统情况方面，这里我们要了解的是数据库的版本。查看数据库版本：运维人员一般都会配置redis命令的环境变量，如果下面命令不行就用 find 找吧，一些基础知识这里就不说了。...1）服务器本地查看 redis-server -v redis-server --version ?...登录到数据库内查询登录数据库：redis-cli -h 127.0.0.1 -p 6379 -h后面跟ip，-p跟端口一般是本地登录，直接 redis-cli 即可登录，当然前提是没有修改过Redis的服务端口...像非授权访问漏洞，本地也测试过能成功，这里就不细说了，交给渗透工程师去看吧，然后我们等保的拿他们的报告确认是否存在对应漏洞即可。五、数据完整性针对这个数据库，下面两条默认都是不符合。

3.2K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭