信息安全等级保护措施之应用安全技术
8个控制点
| 8个控制点 |
|---|
| 身份鉴别 |
| 访问控制 |
| 安全审计 |
| 剩余信息保护 |
| 通信完整性 |
| 通信保密性 |
| 抗抵赖 |
| 软件容错 |
身份鉴别
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别
b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别
c)应提供用户身份标识唯—和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识身份鉴别信息不易被冒用
d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
访问控制
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作
σ)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限
d)应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
e)应具有对重要信息资源设置敏感标记的功能;
f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作
安全审计
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录
C)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等
d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
剩余信息保护
a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中
b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
通信完整性
a)应采用密码技术保证通信过程中数据的完整性。
常用对称加密算法,DES、3DES、AES
常用非对称加密算法,RSA、背包算法、DH、ECC(椭圆算法)
通信保密性
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证
b)应对通信过程中的整个报文或会话过程进行加密。
抗抵赖
a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能
b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
软件容错
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求
b)应提供**自动保护功能,**当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
C)应能够对单个帐户的多重并发会话进行限制
d)应能够对一个时间段内可能的并发会话连接数进行限制
e)应能够对一个访问帐户或-个请求进程占用的资源分配最大限额和最小限额
f)应能够对系统服务水平降低到预先规定的最小值迸行检测和报警
g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
摘抄
喜欢不一定非要谈恋爱,
现在互相拥有还太过幼稚,
等自己真正能撑起一片天的时候再对喜欢的人负责,
而不是在空间里留言在签名上暧昧,
天天聊的没完,再相爱的两个人也有自己的事情,
没有必要每时每刻都在一起,
不是一分手就删留言删签名,
然后拿着最后的照片像世界末日一样哭的稀里哗啦。
– 《网易云热评》