安全产品与等级保护:匹配与选择指南
| 基本要求项 | 测评项 | 基本措施 | 对应产品 |
| 网络架构 | 应保证网络各个部分的带宽满足业务高峰期需要; | 带宽管理 | 流量控制系统 |
| 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; | 网络及安全设备配置访问控制策略 | 防火墙、网闸、WAF等访问控制设备 | |
| 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性; | 设备冗余部署 | 核心设备硬件冗余 | |
| 边界防护 | 应保证跨越边界的访间和数据流通过边界设备提供的受控接口进行通信; | 边界网络通信控制 | 边界防火墙、网闸 |
| 应能够对非授权设备私自联到内部网络的行为进行检查或限制; | 内网准入 | 网络准入控制系统 | |
| 应能够对内部用户非授权联到外部网络的行为进行检查或限制; | 外联检测 | 上网行为管理系统、终端管理系统 | |
| 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络; | 无线控制 | 无线控制网关 | |
| 访问控制 | 应对进出网络的数据流实现基于应用协议和应用内容的访问控制; | 控制网络协议中的非法命令 | WEB应用防火墙(WAF) |
| 安全审计 | 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | 网络流量审计 | 流量分析产品、堡垒机、数据库审计等 |
| 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; | 审计信息保护 | 日志审计系统 | |
| 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性; | 时钟同步配置 | 网络时间同步 | |
| 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 | 行为审计 | 上网行为审计系统、堡垒机 | |
| 入侵防范 | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; | 检测网络入侵行为 | 入侵防御系统(IPS)、抗DDOS系统 |
| 应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; | 检测网络入侵行为 | 态势感知平台、抗ATP攻击 | |
| 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 | 检测网络入侵行为 | 入侵检测系统(IDS) | |
| 恶意代码防范 | 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; | 防御网络恶意代码 | 防病毒网关 |
| 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 | 防垃圾邮件 | 防垃圾邮件系统 | |
| 可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | 可信验证 | 建设自主可控网络安全体系,实现从硬件、操作系统到应用的完全国产、自主、可控。 |
| 身份鉴别 | 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现; | 双因素认证 | 主机核心防护系统 用户名口令、动态口令、USBkey、生物特征等鉴别方式、堡垒主机设备统一控制。 |
| 访问控制 | 应授予管理用户所需的最小权限,实现管理用户的权限分离; | 权限分离,系统管理、安全管理、安全审计 | 堡垒主机 主机核心防护系统 |
| 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 | 标记敏感信息,敏感信息访问控制 | 主机核心防护系统 | |
| 入侵防范 | 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警; | 检测服务器入侵行为 | 主机入侵防御系统(HIPS) |
| 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; | 程序完整性检测、恢复 | 主机核心防护系统 | |
| 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; | 及时检测操作系统补丁情况,及时更新 | 漏洞扫描系统 | |
| 恶意代码防范 | 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 | 软件版本、病毒库及时更新 | 防病毒软件 |
| 可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | 可信验证 | 安全管理中心 |
| 数据完整性 | 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 | 网页完整性验证及恢复 传输数据完整性验证及恢复 | 网页防篡改产品 CA |
| 数据备份恢复 | 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; | 数据实时异地备份 | 异地灾备 |
| 应提供重要数据处理系统的热冗余,保证系统的高可用性。 | 冗余 | 主服务器,数据库服务器热备 | |
| 系统管理 | 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; | 运维审计 | 堡垒主机 |
| 集中管控 | 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; | 设备运维管理 | 网络集中管理平台 |
| 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | 日志汇总分析 | 综合日志审计系统(SOC) | |
| 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; | 设备运维管理 | 终端安全管理系统 | |
| 应能对网络中发生的各类安全事件进行识别、报警和分析 | 安全事件分析 | 态势感知平台 |
相关文章:
安全产品与等级保护:匹配与选择指南
基本要求项测评项基本措施对应产品网络架构应保证网络各个部分的带宽满足业务高峰期需要;带宽管理流量控制系统应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;网络及安全设备配置访问控制策略防…...
网络分层和网络原理之UDP和TCP
温故而知新 目录 网络分层 应用层 http协议 传输层 介绍 UDP协议 TCP协议 网络层 数据链路层 物理层 网络分层 一. 应用层 应用程序 现成的应用层协议有超文本协议http(不仅仅有文本). http协议 http://t.csdnimg.cn/e0e8khttp://t.csdnimg.cn/e0e8k 自定义应…...
软件包管理:在CentOS 7中部署Tengine
目录 下载: 方法一: 方法二: 部署: 实验操作 下载: 方法一: 1、打开浏览器搜索tengine并点击官网 2、选择需要安装的版本并复制链接链接 标题栏处可以更改为中文界面 下滑选择版本单击下载 在远程连…...
爬取A站视频,涉及m3u8格式的处理
一、抓包分析 1.进入A站进行抓包分析 进入一个页面,右点击鼠标按钮,点击检查 接着点击network,点击Fetxh/XHR,然后刷新网页,得到下面的页面 发现其中有许多d595开头的文件,它们是ts文件,点击其中一个。在…...
《微信小程序开发从入门到实战》学习九十四
7.1 视图容器组件 7.1.4 movable-view和movable-area组件 movable-view是一个可移动的视图容器,它需要与movable-area组件结合使用。movabke-view只能放在movable-area组件中,在movable-area组件的范围内拖曳滑动。 movable-view组件属性如下…...
深度学习记录--Batch Norm
Batch Norm 与Input Norm对输入层进行归化不同,Batch Norm是对隐藏层进行归化 实现 ,其中、调节均值和方差 ,...
svn和git的本质区别是什么
参考: https://blog.csdn.net/feiying0canglang/article/details/126550676 上边图中,跨越了区的箭头,它中间的区数据都会同步。例如:git checkout ,它是将本地仓库数据更新到暂存区和工作区的。\ 理解 gitlab和svn都…...
Redis面试
1.说说什么事redis Redis是一种基于键值对的NoSql数据库。 Redis中的value支持string(字符串)、hahs(哈希)、list、set、zset(有序集合)、bitmaps(位图),HyperLoglog等数…...
贪吃蛇(C)
游戏背景:贪吃蛇是久负盛名的游戏,它也和俄罗斯⽅块,扫雷等游戏位列经典游戏的⾏列。 总: 游戏设计大纲: 使⽤C语⾔在Windows环境的控制台中模拟实现经典⼩游戏贪吃蛇。 实现的基本功能: 1、贪吃蛇地图绘制。 2、蛇吃⻝物的功能 (上、下、左、右⽅向键控制蛇的动作)。 …...
【云原生】Docker基于Dockerfile多级构建,实现缩小镜像体积
目录 一、基于上次的nginx的Dockerfile做多级构建 二、基于上次的php的Dockerfile修改做多级构建 三、基于上次的mysql的Dockerfile修改做多级构建 基于以上三个镜像构建 四、镜像体积是不是越小越好?为什么要缩减镜像体积? 五、缩小镜像体积的方法…...
第七十一周周报
学习目标: 一、实验 二、小程序 学习时间: 2024.1.20-2024.1.26 学习产出: 一、小程序 这周花了两天根据陈勇和纪行之的代码优化了小程序的代码 二、实验 根据stylegan2仓库的redeme文件重新跑了stylegan2和diffusion-stylegan2 DV…...
绿色制造的行业标杆OEKO-TEX STeP认证
STeP是“OEKO-TEX国际环保纺织协会”推出的一个独立的第三方认证体系。STeP全称Sustainable Textile & Leather Production(可持续纺织和皮革生产),是面向纺织和皮革供应链中环保且负有社会责任的生产工厂推出的透明认证体系。 STeP认证的…...
第3章:Python 的函数和模块(基于最新版 Python3.12 编写)
文章目录 3.1 函数:编写你的代码乐曲3.1.1 什么是函数?3.1.2 如何定义函数?3.1.3 如何调用函数?3.1.4 函数的返回值3.1.5 函数的文档字符串3.1.6 默认参数值3.1.7 可变数量的参数3.1.8 局部变量和全局变量3.1.9 递归函数 3.2 模块…...
网络安全产品之认识漏洞扫描设备
文章目录 一、什么是漏洞扫描设备二、漏洞扫描设备的主要功能三、漏洞扫描设备的主要技术四、漏洞扫描设备的主要类型五、漏洞扫描设备的使用方式六、漏洞扫描设备如何与其他安全设备联动七、漏洞扫描设备的应用场景 漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在…...
Hadoop增加新节点环境配置(自用)
完成Hadoop集群增添一个新的节点配置(文中命名为)Hadoop106,没有进行继续为该节点分配身份职能的步骤 1.在VMware中安装CentOS 7 新建虚拟机 1.⾸先我们创建⼀个新的虚拟机,也可以点⽂件-新建虚拟机。 2.选择⾃定义,…...
Apache Shiro 安全框架
前言 Apache Shiro 是一个强大且容易使用的Java安全矿建,执行身份验证,授权,密码和会话管理。使用Shiro的易于理解的API您可以快速轻松的获得任何应用程序直到大的项目。 一丶什么是Shiro 1.Shiro是什么 Apache Shiro是一个强大且易于使用…...
防火墙的NAT
目录 1. NAT 概念解析 2. 配置NAT策略: 1. NAT 概念解析 静态NAT --- 一对一 动态NAT --- 多对多 NAPT --- 一对多的NAPT --- easy ip --- 多对多的NAPT 服务器映射 源NAT --- 基于源IP地址进行转换。我们之前接过的静态NAT,动态NAT,NAPT都属…...
Java基础进阶03-注解和单元测试
目录 一、注解 1.概述 2.作用 3.自定义注解 (1)格式 (2)使用 (3)练习 4.元注解 (1)概述 (2)常见元注解 (3)Target &#x…...
Mac+Android Studio配置 Flutter环境
Fluttrer中文下载官网 Flutter下载官网 1、环境变量 .zshrc #Flutter export PUB_HOSTED_URL"https://pub.flutter-io.cn" export FLUTTER_STORAGE_BASE_URL"https://storage.flutter-io.cn" export FLUTTER_HOME/Users/leon/Flutter/flutter_3_10_4/f…...
架构整洁之道-设计原则
4 设计原则 通常来说,要想构建一个好的软件系统,应该从写整洁的代码开始做起。这就是SOLID设计原则所要解决的问题。 SOLID原则的主要作用就是告诉我们如何将数据和函数组织成为类,以及如何将这些类链接起来成为程序。请注意,这里…...
数据结构(队列)
一.什么是队列 1.队列定义 队列是一种特殊的线性表,特殊之处在于他只允许在表的前端(front)进行删除操作,而在表的后端(rear)进行插入操作。和栈一样,队列也是一种操作受限制的线性表。进行插入操作的一端称为队尾,进行删除操作的…...
docker容器启动后修改或添加端口 nacos容器 版本2.x需要额外开放9848、9849
1.输入docker ps -a查看需要修改的容器ID: 记录下、 docker ps -a 2.停止docker systemctl stop docker 3.进入docker 容器文件夹,找到对应容器的位置: docker的默认文件夹应该是/var/lib/docker 如果不是root用户查看的话,可能会出现权限…...
C语言实现归并排序算法(附带源代码)
归并排序 把数据分为两段,从两段中逐个选最小的元素移入新数据段的末尾。 可从上到下或从下到上进行。 动态效果过程演示: 归并排序(Merge Sort)是一种分治算法,它将一个数组分为两个子数组,分别对这两个…...
考研C语言刷题基础篇之分支循环结构基础(二)
目录 第一题分数求和 第二题:求10 个整数中最大值 第三题:在屏幕上输出9*9乘法口诀表 第四题:写一个代码:打印100~200之间的素数 第五题:求斐波那契数的第N个数 斐波那契数的概念:前两个数相加等于第三…...
Scala基础知识
scala 1、scala简介 scala是运行在JVM上的多范式编程语言,同时支持面向对象和面向函数式编程。 2、scala解释器 要启动scala解释器,只需要以下几步: 按住windows键 r输入scala即可 在scala命令提示窗口中执行:quit,即可退…...
数学建模-------误差来源以及误差分析
绝对误差:精确值-近似值; 举个例子:从A到B,应该有73千米,但是我们近似成了70千米;从C到D,应该是1373千米,我们近似成了1370千米,如果使用绝对误差,结果都是3…...
Arduino和MPLAB X 开发STM32F103和PIC16F15376
要点: 使用Arduino开发STM32F103(Blue Pill),MPLAB X 开发PIC16F15376(Curiosity Nano)C/C嵌入式开发ESP32(Arduino、ESP-IDF)和STM32实时操作系统FreeRTOS STM32使用FreeRTOS示例 在使用 FreeRTOS 时&a…...
手机操作系统Android
▶1.Android系统概述 Andaid(读[安卓)由Coosle公司和开放手机联盟共同开发,它是基于Lmx内核的开源操作系统。Andtoid主要用于移动设备,如智能手机和平板计算机。2008年发布了第一部Andtoid智能手机,以后Android逐渐扩展到平板计算机、电视、…...
2024年,你是否还在迷茫?
2024年,你是否还在迷茫? 别担心!鸿蒙来了,这个未来技术的制高点,为你提供了答案! 诸多大厂疯抢、24年预计鸿蒙相关的岗位需求将达到百万级、就业均薪达到19K,全国高校开课…… 种种现象都在表…...
ART: Automatic multi-step reasoning and tool-use for large language models 导读
ART: Automatic multi-step reasoning and tool-use for large language models 本文介绍了一种名为“自动推理和工具使用(ART)”的新框架,用于解决大型语言模型(LLM)在处理复杂任务时需要手动编写程序的问题。该框架可…...
厦门做网站优化的公司/百度seo外包
从IOS角度看http url是服务器上资源的一个位置,作为这个规则一个单独的资源可能和很多url有关系,但…...
学做美食视频在哪个网站/网站制作推广
题意:给一个表达式,求所有的计算顺序产生的结果总和 思路:比较明显的区间dp,令dp[l][r]为闭区间[l,r]的所有可能的结果和,考虑最后一个符号的位置k,k必须在l,r之间,则l≤k<r,dp[l…...
网站规划与建设课程设计/网络seo是什么
详细参考:定义常量paypalurlconst PAYPAL_URL https://www.sandbox.paypal.com/;将要传送的数据记录为一个数组$paypalData array(add > 1,cmd > _ext-enter,redirect_cmd > _xclick,business > $paypalA…...
网页的网站建设/百度搜索引擎怎么弄
借助U盘的用PE安装操作系统时系统提示:无法创建新的系统分区 也无法定位现有系统分区 的解决办法、、、 --------------------------------- 具体原因是安装时加载到安装程序中的u盘变成了主引导盘而引起的。 解决方案一: 1、先格式化一下要装的那个盘&a…...
用c 做一个小网站怎么做/电脑培训网上免费课程
OSPF多区域原理与配置楔子 其实网路算得上是底层的原理了 根据tcp/ip 七层协议就可以看出 系统原理和网络是不可分割的一部分。生成OSPF多区域的原因改善网络的可扩展性快速收敛OSPF区域的容量划分多区域后,每个OSPF区域里到底可以容纳多少台路由器?单个…...
如何给一个网站做推广/推广公司简介
点击上方“蓝色字”可关注我们!暴走时评:根据美国专利商标局周四公布的专利申请,北京大学深圳研究生院正在研究如何使用“区块链联盟”提高顶级域名(TLD)管理的安全性和效率。该团队认为,虽然目前标准的互联…...