堡垒主机在信息安全等级保护制度中的探究与应用.docxVIP

下载本文档

3
0
约 3页
2017-07-16 发布于浙江
举报
版权申诉

堡垒主机在信息安全等级保护制度中的探究与应用.docx

1、本文档共3页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

堡垒主机在信息安全等级保护制度中的探究与应用

堡垒主机在信息安全等级保护制度中的探究与应用随着信息安全等级保护制度的开展和普及，越来越多的政府部门和企事业单位开始参与并落实制度的执行。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。随着信息安全等级保护制度的开展和普及，越来越多的政府部门和企事业单位开始参与并落实制度的执行。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。有人提出了疑问，具体是哪些标准、哪些条款成为推动堡垒主机落地的驱动力？那接下来将针对标准的解读以及等级保护要求来给大家拨开疑云，看清方向。我们来看等级保护制度的主要标准，在这里列举2个：1、《信息系统等级保护安全设计技术要求（GBT 25070—2010）》2、《信息系统安全等级保护基本要求（GBT 22239-2008）》首先看《信息系统等级保护安全设计技术要求（GBT 25070—2010）》，我们以三级系统为标准来探讨。三级系统安全计算环境应从以下方面进行安全设计：1、用户身份鉴别需要采用两种或两种以上组合方式进行身份验证。堡垒机拥有本地认证、AD域认证、Radius认证、数字证书认证，提供外部接口可供指纹识别认证、UKEY（移动数据证书）认证，满足三级系统的设计要求。2、自主访问控制应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。堡垒机通过主从账号一一对应的授权方式，赋予用户完成操作的最小权限。其中命令访问控制策略，能对高危命令进行告警或阻断；图形控制策略能对RDP文件传输进行控制，达到允许或阻断的能力。访问控制粒度达到文件或命令级别，满足三级系统的设计要求。3、标记和强制访问控制在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。堡垒机通过旁路部署，逻辑网关的形式接入用户网络，不改变用户现有的网络构架；为用户提供C/S、B/S两种登录方式，不改变用户现有的运维习惯。登录统一安全管理与综合审计系统平台，由超级管理员进行标记分配来控制操作管理。满足三级系统的设计要求。4、系统安全审计应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护；确保对特定安全事件进行报警；确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口。堡垒机能够对字符、图形、数据库操作、WEB应用、应用发布、KVM等各类操作进行审计；字符类审计能不仅可以命令识别，而且还可以对FTP/SFTP的文件传输进行审计并记录；图形类审计能够实现实时的文字识别功能，完成标题栏的识别，传统的审计视频流可被有哪些信誉好的足球投注网站、精准定位；数据库操作能够实现协议解析，完整无死角进行操作审计；WEB应用、应用发布以及KVM的安全审计，让整个信息系统的任何操作都逃避不了堡垒机的“法眼”，并能根据客户需求输出各类可查询的审计记录；堡垒机作为独立的第三方审计系统，可以有效避免数据遭到破坏或非授权的访问删除、增加、篡改；对于审计记录只有超级管理员和审计员可以查看，并实现三权分立的原则；系统为安全管理中心提供接口，输出日志等相关信息。满足三级系统的设计要求。5、用户数据完整性保护、用户数据必威体育官网网址性保护、客体安全重用、程序可信执行保护堡垒主机在信息安全等级保护制度中的探究与应用。堡垒机通过HTTPS加密协议进行通信链路的传输，采用加密技术对数据的存储进行必威体育官网网址性保护；各模块相互传数据及配置和控制信息都采用加密传输方式，提高了信息的必威体育官网网址性。传输的数据不被泄漏或篡改，在传输错误或异常中断的情况下能重发数据。数据保护机制采用HASH值对数据进行验证，保证数据不会篡改，保持数据的完整性。满足三级系统的设计要求。综上所述，堡垒机从设计到功能完全符合等级保护安全设计三级要求，对于目前定级的二、三级系统完全适用，成为通过信息安全等级保护设计和测评不可或缺的重要安全审计系统。作为等级保护制度的基本标准，也是测评机构或相关监管部门重要的审计依据——《信息系统安全等级保护基本要求（GBT 22239-2008）》的地位不可小觑。它从物理安全、网络安全、主机安全、应用安全、数据安全以及管理安全六个方面对信息系统的安全性分等级进行规定。堡垒机从网络安全、主机安全、应用安全到数据安全中的身份鉴别、访问控制、安全审计、数据安全均满足标准要求。成为各单位部门