近日,国家等保办陆续发布《关于撤销网络安全等级测评机构推荐证书的公告》和《关于启用的公告》,在行业引起不少讨论。...,经研究决定,自即日起,国家网络安全等级保护工作协调小组办公室撤销网络安全等级测评机构推荐证书,不再发布《全国网络安全等级测评机构推荐目录》,相关工作纳入国家认证体系。...11月19日,中关村信息安全测评联盟发布《关于启用的公告》,公告提出,为贯彻落实国务院“放管服”改革要求,不断提升网络安全等级测评机构管理工作的规范化、专业化和社会化水平...,国家网络安全等级保护工作协调小组办公室发布公告,撤销网络安全等级测评机构推荐证书,相关工作纳入国家认证体系。...为保障网络安全等级测评和检测评估工作的顺利开展,经公安部第三研究所(国家认证认可委员会批准的认证机构)认证发放的《网络安全等级测评与检测评估机构服务认证证书》自颁发之日起即可使用,同步使用新的认证标志。
我们对sqlserver数据库执行sql语句如查询语句,往往是对一个数据源(数据库)进行查询,而当我们涉及到另一个远程数据源(数据库)的时候,就需要对远程数据源进行连接(登陆),而我们可以通过链接服务器实现这个功能...通过链接服务器,SQL Server 数据库引擎 和 Azure SQL 数据库托管实例可从远程数据源中读取数据,并针对 SQL Server 实例之外的 OLE DB 数据源等远程数据库服务器执行命令...在msdn中,remote login timeout的说明如下: remote login timeout 选项指定从登录远程服务器失败返回前等待的秒数。...例如,如果您尝试登录到一个远程服务器而该服务器已关闭, remote login timeout 帮助确保您在计算机停止登录尝试前不必无限期地等待下去。此选项的默认值为 10 秒。...比如类似语句就会使用链接服务器: SELECT * FROM [WIN-CGQ89NM7L8J,15478].master.sys.objects 而remote login timeout的意思是指你现在连接的这个数据库
2、技术能力不强,重设备轻管理,众多甲方单位没有网络安全管理专职岗位,基本都是由负责网络的或者负责服务器的人员兼任,且除了银行、证券等少数单位外,大部分单位的技术人员技术水平其实并不高,很多都是通过外包或者集成商代为运维...4)测评机构独立性不足 测评机构为营利性决定了测评机构不可能完全中立,所以很多地方暴露出花钱买报告的情况就习以为常了,而且测评管理办法对测评机构处罚力度比较小,即便吊销推荐证书,原班人马换个公司又可以从头开始...这也就是为什么等保2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为等保测评就是花钱买设备,而国家推行等保测评的初衷却不甚了解。...测评要求中,很多测评指标的对应的测评对象明显无法测评,比如剩余信息保护测评对象是终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件,操作系统在Windows上都比较清晰可操作...精彩推荐
三、测评项a a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; SQLServer默认开启着错误日志,在服务器-管理-SQL Server日志中: ?...Violation) (11) SQL服务关闭时间 (12) SQL SERVER版本,以及windows和processor基本信息。 ...如果想要达到符合,需要自创审核规范和审核对象,SQLServer是具备这个功能的,在服务器的安全性和数据库的安全性中可以查看: ?...另外,这里应该也要判断下日志中的日期和时间是否准确,SqlServer日志中的时间应该是引用的本机时间,所以就要看一看数据库所在的操作系统是否做了这方面的措施,具体哪些措施可以看:等保测评2.0:Windows...而执行sp_cycle_errorlog该命令的权限,仅服务器角色sysadmin才具有。 如果从操作系统的层面来说的话,也就是错误日志的文件的权限: ?
一、说明 本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解。...二、测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 三、测评项a要求1 应对登录的用户进行身份标识和鉴别 oracle使用用户名对登录用户进行身份标识...以centos系统为例子,也就是测评的时候先登录oracle数据库服务器的oracle账户,如果被测评方不清楚oracle账户的口令,也可以登录到root账户,然后使用“su - oracle”命令切换过去...五、测评项a要求3 身份鉴别信息具有复杂度要求 这个要从两个方面看,我个人觉得两个方面都符合才能算达到要求。...六、测评项a要求4 并定期更换 一方面查看实际的更换时间: select name,PTIME from USER$ ?
测评项a要求4 要求并定期更换 和口令复杂度一样,一个方面是看实际的口令更换周期。 这里可以通过访谈相关人员或者直接核查配置,我推荐第二种方法。...测评项a的另外一种情况 一般情况下,运维人员要么是通过远程桌面登录windows服务器,要么就是在本地登录,这两种使用的都是windows自带的验证功能,所以测评项中的“用户名、口令”指的就是windows...如果运维人员通过第三方软件远程管理windows服务器,比如向日葵、TeamViewer等,并没有使用windows的验证功能,这种情况下,测评项中的“用户名、口令”可能就不仅仅是指windows服务器中的...所以如果被测评服务器没有连接外部网络,仅处于内网之中(也没有wifi),管理服务器的方式就是跑去机房进行本地操作的话,也就不存在什么“远程管理”,不存在什么“数据保密性”,自然就符合了。...这里我在等保测评:CentOS登录失败参数详解和双因素认证这篇文章中也说到过,这里换个角度说一说基础的知识。 6.1.
谷歌验证器 其实和等保测评2.0:Oracle身份鉴别(下)中5.2节介绍的认证方式差不多,谷歌验证码生成的时间间隔是一般是30s。...服务器中的应用系统和手机中软件按照同样的算法(当然还包括密钥),同时计算出某个验证码,每30s重新计算1次。 这样服务器和手机都不需要联网,直接对比算出的值就可以了,比短信验证的方式要感觉要好一些。...按照思路1,就直接在测评报告的“表 5-1 安全问题风险分析表”那写个中风险的结果,不需要在报告中体现判定的理由; 按照思路2,就需要在测评报告的“整体测评结果分析”那把这个理由写出来,也就是修正(从高降到中...另外一种就是放在整体测评中进行描述。 后来某位网友给的意见是如果修正的理由涉及到整体测评,比如“未能对非法内联进行检查或限制,但物理可控“这种情况。 就属于层面间的修正,应该再整体测评中进行描述。...对于这种类型的修正理由,感觉理论上还可以不在测评项、整体测评中描述,直接放在表 4 1修正后的安全问题汇总表中: ? 测评报告的两个基础是资产表、记录表。
在等保测评2.0:MySQL身份鉴别(上)中有说过: 对于MySQL来说,如上文所言,用户的身份标识为username + host,MySQL并没有禁止出现完全一样的username + host行,...权限判断过程大概是这样的: 客户端操作核实阶段,当客户端的连接请求被MySQL服务器端通过其身份认证后。...那么接下来就可以发送数据库的操作命令给服务器端处理,服务器检查用户要执行的操作,在确认权限时,MySQL首先检查user表,如果指定的权限没有在user表中被授权;MySQL将检查db表,db表时下一安全层级...如果仅达到了数据库级别或者服务器级别的权限,那肯定是不符合要求的。 至于主体就不说了,MySQL中也没存在用户组。...关于安全标记,可以看看等保测评2.0:Windows访问控制中测评项g中的内容。 实际测评中,基本上就没有能实现的,不过也不用太在意,因为这一个测评项不属于高风险项。
此时客户一定要信任SQL Server端的证书(也就是信任服务器证书为是),否则连接无法建立。另外,需要注意的是,此处的配置只对使用Native Client的客户端程序有效果。...在生产环境中或在连接到 Internet 的服务器上,不应依赖使用自签名证书的 SSL。 3.3. 手动配置证书 如果要判定为符合,应该不使用自签名证书(也即SQLServer自动生成的证书)。...比如中间件和数据库处于同一台服务器A上,客户端或者浏览器不会直连数据,而是发送请求到http接口到A,A再连接处于本地的数据库获取数据,未发生过数据库鉴别信息的网络传输,那么这个测评项应判定为不适用或者符合...又或者中间件所在服务器A和数据库所在服务器B处于同一内网中,服务器A接收到请求后,发送数据库的鉴别信息到服务器B,外网的设备比较难获取到鉴别信息(更别说鉴别信息也不是明文传输的),应该判定为部分符合或者符合...该测评项属于安全计算环境这个安全类,其测评对象包括了数据库、服务器和终端的操作系统、应用系统、安全设备、网络设备等等,按照等级保护2.0的标准,对于3级和以上的系统,只要其中一个设备在该测评项处得0分,
说明 本篇文章主要说一说Oracle数据库安全审计控制点中b、c、d测评项的相关内容和理解,以及一些其它零碎的与等保相关的内容。 2....审计记录的留存时间 在等保测评2.0:MySQL安全审计的5.2节中,对于网络安全法中对日志留存时间的要求如何测评,进行过一些个人的猜想。...所以我觉得3级系统的各个设备(服务器、数据库等)的日志留存时间,应该集中在集中管控的测评项中统一描述,不用在每个被测评对象的安全审计控制点的c测评项中进行描述。 这么想的话,逻辑上还算自洽。...但是2级系统的的各个设备(服务器、数据库等)的日志留存时间要不要进行测评,就让人疑惑了。...这条要求里;至于设备,由于其自身存储的能力有限,如果没有日志服务器集中存储,日志保存六个月难度比较大,而恰恰2级并没有集中存储的要求,因此,在这一版的《指引》中暂不明确要求,测评时可以根据实际情况进行判断
注意,测评项d的测评对象不包括服务器的操作系统: ? 三、测评项a a)应遵循最小安装的原则,仅安装需要的组件和应用程序; 这一条比较容易理解。...四、测评项b b)应关闭不需要的系统服务、默认共享和高危端口; 这个测评项总的意思为是否对外部的访问进行管制和最小化处理。...所以对于这个测评项,可以从多个方面进行判断,一个是开启服务(其中也包括了共享服务)情况,一个是监听端口的情况,其中最直接的是通过服务器监听的端口情况进行判断。 4.1....这里启用了Telnet服务器功能,明显是多余的(在身份鉴别控制点的c测评项中也是不允许的),但注意,这不能代表它就一定开启了telnet服务。...另外,部署在云上的话,阿里云、华为云等,也存在这样的安全服务,也可以实现要求。但是要注意的是,被测评方是否购买了此类安全服务。
自带的审计功能 在MySQL中自带了审计功能——general log,它会记录所有关于mysql的sql语句(所以会给服务器和数据库带来很大的资源占用)。...不过仅仅从测评要求的角度来说,如果开启了general log,那么是符合测评项a的。...在这种情况下,请在刷新文件之前在服务器外部手动重命名该文件(要不然原来的记录就没了)。 如果该 auditlogrotateonsize 值大于0,则会自动进行基于大小的日志文件轮换。...auditlogstatement_policy: 应该被记录的语句事件,在服务器启动的时候如果auditlogstatementpolicy和auditlogpolicy都显示赋予了值,那么auditlogstatementpolicy...综上所述,我个人觉得关于日志留存时间6个月的要求,应该再集中管控的d测评项中进行统一描述,而不是在每个测评对象的安全审计的c测评项中进行描述。
三、测评项a a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 对于windows而言,在服务器管理器或事件查看器或计算机管理中都可以查看到审计日志的具体内容以及一些策略...按照测评要求里的内容,该测评项存在三个递进的要求: ?...所以对于局域网内的服务器,可以设置一台ntp服务器,该ntp服务器对外联网,其余服务器的时间与这台服务器的时间进行同步,以该ntp服务器的时间为准。...时间设置中将服务器的ip改为ntp服务器的ip即可: ?...六、测评项d 应对审计进程进行保护,防止未经授权的中断。 这里实际上在测评项a那一部分说过了,默认就是开启的,Windows Event Log服务无法在一般情况下关闭。
一、 说明 本篇文章主要说一下MySQL数据中身份鉴别控制点中b、c、d测评项的相关知识点和理解。...比如一边是tomcat web服务器,一边是数据库服务器,两者怎么通信?在java web里,我们通常会选择hibernate或者是jdbc来连接。那么这时候就是非交互式操作。...当MySQL服务重启时,global变量也会失效,从MySQL配置文件中读取默认值或者设置值。...也可以强制服务器端只接受ssl的连接: ? 五、测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...对于双因素本身的探讨在这里就不进行重复的论述了,可以看我以前文章中该测评项的内容:等保测评2.0:Windows身份鉴别、等保测评2.0:SQLServer身份鉴别(下) 。
一、说明 等保测评主机测评中需要查询主机的超时退出配置,具体在Centos中的话,主要有两种方式可以实现超时退出的功能。...所以如果想在测评的时候更全面的了解情况,最好就是一块查。...ClientAliveCountMax的值是0 这种情况下,就是我们想要的操作超时自动退出的效果,也就是当客户端多久没有操作,服务器端就直接断开ssh连接。...:则指定这种请求服务器端发送后,客户端最多的无响应次数(但网上一般是说服务器端最多向客户端发送这种消息多少次,我觉得不太对),默认值是3。...它应该是指服务器端发送这种请求后,客户端最多的无响应次数,而且还得是连续的,因为从源代码里面看(见下文),只要有一次正常相应,这个次数就会被清空。
近日,腾讯云TStack高分通过公安部“网络安全等级保护”四级资质测评。安全等级保护等级越高,安全保护能力越强,四级是目前云服务提供商所能满足的最高级别。...这验证了腾讯云TStack具有稳定、全面的安全性能,可为用户提供高效可靠的云服务,同时助力用户进行等保合规。...腾讯云TStack通过等保四级测评,一方面直接证明其可为政府、企业等用户,在关键应用向云迁移时,提供高性能、高可靠、高安全、高适应性的服务。...同时,腾讯云TStack的高分通过,也为用户进行等保合规打下坚实基础。根据要求,云上用户进行等保合规验证,必须保证其所在云平台已过测评;对于云用户系统的评定,云平台等级分数也是影响因素之一。...腾讯云TStack还可以为客户定制等保合规的整改意见,指导客户进行安全服务的选型与部署,助力用户更加高效省心过等保。
一、说明 在进行等级保护测评时,需要检查主机的安全审计功能,这里就以等级保护2.0来说一说centos6在这方面的检测,以下是安全计算环境的安全审计控制点中的测评项。 二、测评项a ?...这里在初级教程中,让我们去查看系统日志服务和安全审计服务是否正常运行,但是这两者有什么关系以及具体有什么功能书里没说清楚。...对于实际运行的规则,你可以临时的增加、删除、修改(服务重启就恢复原样)。而对于写在配置文件中的规则,如果你修改了配置文件却没有重启服务,那么你修改的也不会生效。...剩下的,面对测评要求,在实际测评过程中大家自然能做出合适的取舍,使用相应的技术作为测评支撑。...要不然,就拿着初级教程或测评要求,在啥都不懂的情况下一条条的套,那只不过是在走过场拉低等保的水准(虽然其实也没多少水准啦)。
三、常用面板测评介绍完运维面板的一些基础信息之后,通过查阅大量资料,并对这几十款运维进行实际部署测试后,选取了其中几个在各个发展阶段具有代表意义的项目,接下来将对它们逐一进行介绍。...0x02 图形化后来随着云服务器和个人博客的发展,每个人花十几块就能拥有一台服务器并且搭建个人的网站和博客。顺应市场的需求,涌现了一批以快速建站为核心的服务器面板工具。...● 不足:无法同时管理多个服务器,需要在每个服务器上另外安装;部署手册相对还不太完善,需要比较繁琐的安装流程。图片0x03 全都想要?...总之,运维面板在近年来一直在不断地发展,从简化服务器管理到引入高级功能,不断迭代和创新,只为提供更便捷、高效的服务器运维体验。...大家可以将以上的测评内容作为参考,根据自己需求选择最合适工具。
一、说明 权限控制在等保测评里仅仅说了要求,但是怎么落地却基本没写,怎么说呢,比较抽象。...所以,我觉得还是有必要了解一下centos系统大概有什么方法可以实现对用户的权限控制,不至于测评的时候完全不知道怎么测。 这里我把我现在知道的关于权限控制的方法都列举出来,供大家参考参考。...其实访问控制不很好弄,因为不太清楚实际业务中,被测评单位会用什么方式进行访问控制,也就是不知道会用什么技术。...更何况,很多被测评单位自己压根就没做权限控制…… 不过无论如何,访问控制必然要用某些方法实现,那么其中用户、用户组,目录、文件的基础知识是怎么也绕不过去的。...说句不好听的,如果通过访谈,被测评单位说他做了访问控制,你至少也得知道怎么去取证吧?
测评方法 测评工具 安全管理测评指导书 安全物理环境测评作业指导书 作业指导书开发基本步骤 第一步:从《基本要求中》选择‘控制点’(测评指标)和要求项(测评项) 第二步:从《测评要求》中选择”测评方法“...第三步:结合信息系统实际情况调整”测评方法“ 第四步最终形成作业指导书 测评方式 访谈 核查 核查与访谈的关系 通过访谈获得肯定的答案,通过核查验证访谈结果。...安全建设管理 测评要点 测评对象的定级报告、备案证书; 测评对象的安全保护等级与其它级别保护对象关系的整体规划方案; 安全设计方案、工程实施方案 软件开发、产品采购、工程实施、测试验收、系统交付等方面的管控措施...; 过程控制记录、各个阶段产品评审记录、测试验收报告;与服务供应商签订的保密协议或安全责任书。...外包运维管理 外包运维服务商的选择符合规定; 签订协议,明确外包运维范围、工作内容、明确相关安全要求; 在技术方面和管理方面均具有按照等级保护要求开展运维工作能力。
领取专属 10元无门槛券
手把手带您无忧上云
