五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

安全產品-云堡壘機(CBH)等保最佳實踐(技術要求滿足)

為助力企業(yè)通過等保合規(guī)測評,本文為您介紹華為云堡壘機各項功能與等保相關條款的對應關系,以便您有針對性地提供佐證材料。

等保三級相關條款:

最佳實踐將主要聚焦于滿足以下等保條例的考察內容:

1、應在網絡邊界、重要網絡節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;

2、審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

3、應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;

應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析;

4、應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;

5、應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;

6、當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。

應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現;

7、應對登錄的用戶分配賬戶和權限;

8、應重命名或刪除默認賬戶,修改默認賬戶的默認口令;

9、應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;

10、應授予管理用戶所需的最小權限,實現管理用戶的權限分離;

11、應由授權主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則;

12、應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;

13、審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

前提條件

已購買標準版及以上版本堡壘機,并已完成堡壘機配置。

安全區(qū)域邊界:安全審計

等保條例:應在網絡邊界、重要網絡節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;

本條款主要考察:是否有進行安全審計。云堡壘機支持對云服務器運維操作進行監(jiān)控和審計。

使用有審計模塊權限的賬號登錄云堡壘機,單擊“審計 > 歷史會話審計”,進入“歷史會話”頁面。


在歷史會話頁面可分別查看資源會話信息、系統會話信息、運維操作記錄、文件傳輸記錄、會話協同記錄等。具體操作詳見云堡壘機歷史會話。

等保條例:審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

本條款主要考察:日志是否按照要求進行記錄。

使用管理員賬號登錄云堡壘機,單擊“審計 > 歷史會話審計”,進入“歷史會話”頁面。

主要包含資源名稱、類型、主機IP、資源賬戶、起止時間、會話時長、會話大小、操作用戶、操作用戶來源IP、操作用戶來源MAC、登錄方式、運維記錄、文件傳輸記錄、會話協同記錄等信息。具體操作詳見云堡壘機歷史會話


應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;

使用管理員賬號登錄云堡壘機,單擊“系統 > 數據維護”,單擊“日志備份”,進入“日志備份”頁面。

在“日志備份”頁面,可以創(chuàng)建、查看日志備份,支持系統登錄日志、資源登錄日志、命令操作日志、文件操作日志、雙人授權日志。也支持備份至Syslog服務器、FTP/SFTP服務器和OBS桶。具體操作詳見云堡壘機創(chuàng)建數據備份。


應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析;

本條款主要考察:是否能夠對遠程訪問的用戶行為進行審計與數據分析。具體詳見云堡壘機運維審計。

安全計算環(huán)境:身份鑒別

等保條例:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;

本條款主要考察如下三點:

是否對登錄用戶進行身份識別和鑒別使用瀏覽器訪問堡壘機頁面,證明需要對用戶身份進行鑒別之后才可正常使用產品功能。

圖4 云堡壘機登錄界面

身份標識是否具有唯一性:每名用戶創(chuàng)建必須填寫姓名、手機號、郵箱及角色,并且一名用戶只能配置一個角色。詳見:云堡壘機創(chuàng)建用戶。


身份鑒別信息是否具有復雜度要求并定期更換:華為云堡壘機支持“手動執(zhí)行”、“定時執(zhí)行”、“周期執(zhí)行”三種改密執(zhí)行方式,還支持“生成不同密碼”、“生成相同密碼”、“指定相同密碼”三種改密方式。具體操作詳見云堡壘機改密策略。


等保條例:應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現;

華為云堡壘機采用多因子認證的登錄方式,具體登錄認證的方法有:手機短信、手機令牌、USBkey和動態(tài)令牌登錄四種方式。具體操作詳見:云堡壘機配置多因子認證。

等保條例:應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;

華為云堡壘機可配置用戶登錄安全鎖,可設置鎖定方式、鎖定時長、可嘗試密碼次數等。具體操作詳見:云堡壘機配置用戶登錄安全鎖。


訪問控制

等保條例:應授予管理用戶所需的最小權限,實現管理用戶的權限分離;

華為云堡壘機支持對用戶的操作權限進行限制,分別為三大類:訪問控制策略、命令控制策略和數據庫控制策略。

華為云堡壘機可以對登錄用戶角色的一些操作權限進行控制,詳細細粒度劃分見圖9,比如您可以對運維主管的賬號授予刪除和修改代理服務器的權限。


您可以對各個賬戶進行訪問控制,具體可細分到文件管理、上行剪切板、下行剪切板、顯示水印、控制登錄時間和上傳下載文件,并且可以對登錄的角色進行IP的黑白名單限制。如圖10所示


等保條例:應對登錄的用戶分配賬戶和權限;

華為云堡壘機支持對用戶進行角色分配和用戶組分配,具體操作詳見:華為云堡壘機用戶角色管理和華為云堡壘機用戶組管理。

對于長期不登錄或過期的賬戶,應及時刪除。云堡壘機可以設定僵尸用戶判定時間,超過此時間的賬戶就會被禁用。


安全審計

等保條例:應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;

華為云堡壘機支持查看實時會話、查看歷史會話及查看查看系統日志的功能。

您可以在系統日志中查看系統登錄日志,具體可細分為登錄時間、登錄用戶、來源IP、日志內容、登錄方式、登錄結果和備注等內容。


等保條例:審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;

華為云可以在系統操作日志中詳細查看每個賬號對堡壘機做了哪些操作,具體記錄到用戶、時間、來源IP、模塊、日志內容、結果。如圖13所示