开发者社区> 晚来风急> 正文

麒麟开源堡垒主机在等保上的合规性分析

简介:
+关注继续查看

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

我国的信息安全等级保护共分为五级,级别越高,要求越严格。

我国的信息安全等级保护主要标准包括,《信息系统等级保护安全设计技术要求(GBT 25070—2010)》和《信息系统安全等级保护基本要求(GBT 22239-2008)》。

根据上述二个标准,可以发现堡垒机一般在信息安全等级保护中,主要可以在身份鉴别、访问控制、安全审计、完整性、加密性检查等方面进行匹配,下面从标准中摘抄内容说明如下:

1、 用户身份鉴别(等级保护三要求合规性)

需要采用两种或两种以上组合方式进行身份验证。堡垒机拥有本地认证、AD域认证、Radius认证、数字证书认证,提供外部接口可供指纹识别认证、UKEY(移动数据证书)认证,满足三级系统的设计要求。

说明:身份鉴别从等级保护三开始,必须要进行双因素,通过双因素去鉴别到个体,而如果将双因素(比如动态口令)部署到所有的生产服务器,成本非常高而且很容易出生产事故,堡垒机的上线可以合理的例规本条,麒麟开源堡垒机上内置了CA、动态口令、指纹识别、USBKEY证书等强认证,在不动生产系统的情况下即合规身份鉴别。

2、 自主访问控制

应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。

说明:堡垒机通过给每个用户建立一个堡垒机帐号(主帐号),并且将设备帐号(从帐号)分配给主帐号完成授权,同时授权时可以绑定来源IP限制、可运行命令限制、可登录时间限制等多种规则,可以完全合规访问控制要求。

3、 标记和强制访问控制

在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。

说明:麒麟开源堡垒机有管理员、分组管理员、审计员等角色,管理员可以对设备、用户、权限进行配置并且标记,同时所有的配置过程都会被记录,记录可以由审计员进行审计,因此,管理员必须按要求写严格的访问控制规则,达到本条合规。

4、 系统安全审计

应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口。

说明:麒麟开源堡垒机telnet/ftp/ssh/sftp/scp/rdp/vnc/x11/db操作/http/https/各种CS程序进行审计;其中,字符协议除了录相可以识别命令,图形协议除了录相可以识别键盘记录等。

麒麟开源堡垒机作本身的录相为自有加密格式,并且存贮在专门的空间中,可以有效避免数据遭到破坏或非授权的访问删除、增加、篡改;而且又分为管理员、审计员、密码管理员以进行三权分立相互辖制,管理员的任何操作都受审计员的审计。

麒麟开源堡垒机支持以SYSLOG、短信、邮件方式对用户定制的特殊事件进行报警。

因此,通过上述审计及三权分立、告警功能,麒麟开源堡垒机本条例合规。

5、 用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护堡垒主机在信息安全等级保护制度中的探究与应用。

麒麟开源堡垒机使用HTTPS、RDP、SSH等加密协议进行通信链路的传输,本地录相文件都通过自有的算法进行加密存贮,不通过通用软件进行播放,重要文件都有MD5值的记录,因此,麒麟开源堡垒机本条例合规。

麒麟开源堡垒机从网络安全、主机安全、应用安全到数据安全中的身份鉴别、访问控制、安全审计、数据安全各方面均合规,成为等级保护方案中必采的设备。

文章转载自 开源中国社区[http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
我的mqtt协议和emqttd开源项目个人理解(18) - 一个客户端sub很多主题和数据,出现宕机?使用本地共享订阅解决!
我的mqtt协议和emqttd开源项目个人理解(18) - 一个客户端sub很多主题和数据,出现宕机?使用本地共享订阅解决!
107 0
手写SpringMVC实战,一切从Spring底层源码分析开始
Spring框架对于Java后端程序员来说再熟悉不过了,以前只知道它用的反射实现的,但了解之后才知道有很多巧妙的设计在里面。
1275 0
Facebook 将神奇动画引擎 Pop 开源了!
Facebook 2月发布的新闻类应用Paper,因为其灵动的用户界面和交互,成为近来最令人眼前一亮的移动产品之一。 而这个产品的背后是2011年Facebook收购的Push Pop Press,创始人是分别在Apple任设计师和工程师的Mike Matas与Kimon Tsinteris。他们的合作者还有传奇人物Bret Victor。他们为美国前副总统Al Gore开发的电子书Our Choice当时就曾技惊四座。
127 0
阿里云开源PolarDB数据库,与社区共建云原生分布式数据库生态
5月29日,阿里云开发者大会上,阿里巴巴宣布开源云原生数据库能力,对外开放关系型数据库PolarDB for PostgreSQL 源代码,服务百万开发者,与社区开发者一起共建云原生分布式数据库生态。“我们希望将阿里云在云原生分布式数据库技术上积累的丰富经验,通过标准技术组件和系统的方式开放出来,共建开源数据库生态。”阿里云智能数据库产品事业部负责人李飞飞表示。
19034 0
【云周刊】第205期:阿里云重磅开源实时计算平台Blink,挑战计算领域的“珠峰”
本期头条 阿里云重磅开源实时计算平台Blink,挑战计算领域的“珠峰” 信息爆炸的时代,智能推荐已经被应用到各类互联网产品中,但为千万级甚至亿级规模的用户实时做精准的推荐难度极高。这一难题已经被阿里攻克了:双11的第1分钟,数千万人同时涌进天猫,点开APP的一瞬间,心仪的宝贝就已经出现在屏幕上。
3676 0
开源网站流量统计系统Piwik源码分析——后台处理(二)
  在第一篇文章中,重点介绍了脚本需要搜集的数据,而本篇主要介绍的是服务器端如何处理客户端发送过来的请求和参数。
33 0
+关注
9364
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载