首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

新的要求之下,如何快速通过云操作系统测评

即使企业使用了已经通过的云服务器,将系统建立在云上,同样也需要通过测评。...对于广大使用公有云的中小企业来说,在安全人员和技术能力的储备上本来就相对欠缺,当面对等2.0复杂的要求时更是一头雾水,尤其是对于云上操作系统的测评,需要进行复杂的手动配置才能满足超过30多个项的要求...为了帮助云上租户解决这一困扰,近期腾讯安全云鼎实验室在专业测评机构提供基线标准支持下,免费推出了云原生默认镜像——该产品基于原生公共镜像打造,保持原生内核未修改,在保障原生镜像兼容性和性能的基础上进行了适配...腾讯云每年会针对内部各类系统开展10次以上等认证,同时也会帮助各行业用户提供测评支持。在这些过程中,腾讯云不仅与专业测评机构进行了深入的交流,并且积累了丰富的自动化测评工具集和经验。...现在,在专业测评机构的基线标准支持下,腾讯云将这些经验和能力通过默认镜像的方式输出给云上租户,帮助租户通过操作系统的测评,并且腾讯安全团队将对默认镜像进行持续运营维护,确保在出现新的重大安全威胁时

4K20

测评师角度浅谈2.0

1、初衷:从各行各业的开展来看,基于网络安全的初心开展的单位企业少之又少,而绝大都是单位企业都是政策要求,其中具体又可以细分为 1)行业主管部门要求开展,比如电力行业和金融行业,这两个行业都有文件要求开展...2)寻找背锅侠,部分政府单位对等不感冒,但是被机构销售忽悠后以为做的就可以给自己上一道“保险”,纯粹为了事后找机构给自己背锅。...,把测评当作驾校培训,每年被停止营业的大部分就是这类。...这也就是为什么2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为测评就是花钱买设备,而国家推行测评的初衷却不甚了解。...目前很多客户单位也在学习2.0系列标准,但是很多标准测评机构都无法解释,如何给客户解释。

2.7K51
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    2.0时代,企业如何开展移动互联安全建设

    对于企业来说,想要避免踩雷就必须满足要求,首先要做的就是完成相关工作。...一站式服务,助力移动互联安全建设 等级保护建设整改过程中,会涉及到四个不同的角色,分别是:建设单位、公安机关、建设服务商、测评机构。...,帮助企业快速完成移动互联安全建设工作。...其具有明显优势: 安全保障:提供应用风险报告和加固方案列表,为安全提供数据支撑 持续跟踪:提供项目进度表,时刻掌握过检状态 定制化服务:根据不同客户需求,制定合理灵活的套餐服务,提高测评效率 贴合2.0...要求:2.0定制化方案,全面解决APP安全问题 2.0既是国家安全部署要求,也是市场发展客户安全保障的刚需,开展网络安全等级保护是未来用户运营的必经之路。

    2.7K10

    测评2.0:应用身份鉴别

    测评项 b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、...测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 3.1....测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 5.1....谷歌验证器 其实和测评2.0:Oracle身份鉴别(下)中5.2节介绍的认证方式差不多,谷歌验证码生成的时间间隔是一般是30s。...而如果修正的理由和控制间、区域间、层面间没啥关系的话,就直接在测评项中进行描述,比如: ? 如果Linux非Windows的系统没有部署防恶意代码软件,可以通过补偿措施的a项进行修正。

    3.6K30

    测评2.0:Windows身份鉴别

    四、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 4.1....先来解释下和要求相关的两个选项: 活动会话限制(在安全策略中叫设置活动的远程桌面服务会话的时间限制):即,远程登录成功后,无论你是否操作,达到限定时间后就会断开连接。...测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...这里我在测评:CentOS登录失败参数详解和双因素认证这篇文章中也说到过,这里换个角度说一说基础的知识。 6.1....所以实际测评的时候,对于这一项,只要不让其成为高风险即可,比如用堡垒机方式(具体看高风险判定指引里的内容)。

    5.4K51

    测评2.0:SQLServer安全审计

    ,定期备份,避免受到未预期的删除、修改或覆盖; d)应对审计进程进行保护,防止未经授权的中断。...但是错误日志记录的事件的范围不够大,并没有达到对重要的用户行为和重要安全事件进行审计这个要求,比如记录更改关键数据的语句,所以只能算是部分符合。...另外,这里应该也要判断下日志中的日期和时间是否准确,SqlServer日志中的时间应该是引用的本机时间,所以就要看一看数据库所在的操作系统是否做了这方面的措施,具体哪些措施可以看:测评2.0:Windows...五、测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 5.1. 要求1 也即仅某些账户可删除、修改审计记录。...测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 这里应该看数据库审计系统中是否对账户的权限进行了分离,即仅某一个或某一类账户可以对审计记录进行操作。

    3.5K20

    测评2.0:Oracle身份鉴别

    一、说明 本篇文章主要说一说oracle数据库中身份鉴别控制点中测评项a的相关内容和理解。...二、测评项a a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 三、测评项a要求1 应对登录的用户进行身份标识和鉴别 oracle使用用户名对登录用户进行身份标识...以centos系统为例子,也就是测评的时候先登录oracle数据库服务器的oracle账户,如果被测评方不清楚oracle账户的口令,也可以登录到root账户,然后使用“su - oracle”命令切换过去...那么只要oracle数据库中建立一个名为opscv的账户并给与基础权限(连接权限),用户在登录操作系统中的cv后,可以直接使用sqlplus /或sqlplus / as normal(两个命令是一个意思...顺序取字符串来对比: u不等于a,differ的值加1,为1 s不等于d,differ加1,为2 最后循环4次结束,differ为4, 如果最后differ小于3,则未通过校验,大于3,则通过校验。

    5.6K10

    测评2.0:MySQL安全审计

    ,定期备份,避免受到未预期的删除、修改或覆盖; d)应对审计进程进行保护,防止未经授权的中断。...不过仅仅从测评要求的角度来说,如果开启了general log,那么是符合测评项a的。...server_audit_file_rotations:指定日志文件的数量,如果为0日志将从不轮转 server_audit_file_rotate_now:强制日志文件轮转 server_audit_incl_users:指定哪些用户的活动将记录...c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 5.1....无论是自带的审计还是审计插件,如果审核记录存储于文件中的,应该在操作系统上对这些日志文件的权限进行限定,仅允许数据库管理员可对这些文件进行访问、修改

    5.3K20

    测评2.0:Windows安全审计

    ,定期备份,避免受到未预期的删除、修改或覆盖; d)应对审计进程进行保护,防止未经授权的中断。...但是如果服务器本身不联网,本机上时间的是否准确就不能保证,也就无法保证事件中日期、时间信息的准确性。...另外插一句嘴,在写测评记录表的时候,要按照实际情况来写,而不是直接复制测评项中的文字。 比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间。...而不是去直接复制测评项中的内容,比如事件的日期和时间、用户、事件类型。 五、测评项c 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 5.1....无论是自己手动去拷贝,或者将日志推送到日志综合审计平台等第三方系统或者备份一体机备份工具去备份,都可以。 六、测评项d 应对审计进程进行保护,防止未经授权的中断。

    5.7K21

    测评2.0:Windows入侵防范

    在进行测评的时候,有一些是明显多余的程序,比如QQ、迅雷,另外一些,如果是不常见或者不清楚用途的软件,需要通过访谈来进行确认。...这里注意,公用配置文件是活动的,也即现在服务器接入的网络使用的是公用配置文件,同时它下面的防火墙是启用的。...注意看,专用配置文件下的防火墙已关闭,但是它没有处于活动状态,现在接入的网络用不到这个配置文件,所以关闭也无所谓。...即,被测评方要定期使用专业的漏洞扫描工具进行扫描或者进行渗透测试,而360安全卫士软件不算专业的漏洞扫描工具。 测评的时候,就需要向对方提供扫描报告或者渗透报告。...另外,部署在云上的话,阿里云、华为云,也存在这样的安全服务,也可以实现要求。但是要注意的是,被测评方是否购买了此类安全服务。

    6.2K20

    测评2.0:MySQL访问控制

    三、测评项a a)应对登录的用户分配账户和权限; 3.1. 要求1 如果从字面意思来看,就是一个废话,用户都登录账户了,自然就存在着账户。...所以,该测评项就需要MySQL中存在至少两个账户,且这两个账户的权限不一样。 3.2. 要求2 在测评要求中测评实施如下: ? 在MySQL中,安装完成后默认存在的账户一般有3个,都是root: ?...无论存不存在初始口令,现在使用的口令应该是强口令,才符合测评要求。...在测评2.0:MySQL身份鉴别(上)中有说过: 对于MySQL来说,如上文所言,用户的身份标识为username + host,MySQL并没有禁止出现完全一样的username + host行,...关于安全标记,可以看看测评2.0:Windows访问控制中测评项g中的内容。 实际测评中,基本上就没有能实现的,不过也不用太在意,因为这一个测评项不属于高风险项。

    2.8K30

    测评2.0:Oracle安全审计

    说明 本篇文章主要说一说Oracle数据库安全审计控制点中b、c、d测评项的相关内容和理解,以及一些其它零碎的与相关的内容。 2....具体怎么判断,可以把测评2.0:Oracle安全审计(上)的相关内容看一看。 4. 测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; 4.1....如果存储在表中,则要看dba角色、update any table权限被授予给哪些用户了 以及查看o7_dictionary_accessibility参数的值,详情可看测评2.0:Oracle访问控制...审计记录的留存时间 在测评2.0:MySQL安全审计的5.2节中,对于网络安全法中对日志留存时间的要求如何测评,进行过一些个人的猜想。...Mysql数据库的身份鉴别 在测评2.0:MySQL身份鉴别(下)对身份鉴别控制点c项进行过说明,但是没说全。

    7.2K10

    测评2.0:SQLServer身份鉴别

    二、测评项 c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现...测评项c总结二 对于这个测评项也要从该数据库的使用模式来进行判断(以下是个人理解)。...又或者,虽然数据库本身没有进行什么配置,但是客户端是直连数据库的(某一些C/S架构的软件确实会这样),但是客户端使用了SSL协议进行了网络传输数据的加密,那么也应该是部分符合或者符合。...四、测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...满足条件中指明,属于3级和3级以上系统,且被测评对象属于重要核心设备通过不可控网络环境远程进行管理,然后同时未实现双因素认证的,可判定为高风险项。

    3K30

    测评2.0:MySQL身份鉴别

    二、测评项 b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; d)应采用口令...、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...三、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出相关措施; 3.1....五、测评项d d)应采用口令、密码技术、生物技术两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。...对于双因素本身的探讨在这里就不进行重复的论述了,可以看我以前文章中该测评项的内容:测评2.0:Windows身份鉴别、测评2.0:SQLServer身份鉴别(下) 。

    3.5K21

    :保护企业网络安全的必要性与优势

    什么是是指按照《网络安全法》的要求,通过安全评估、安全测评、安全测试方式,评估企业的网络安全水平,确定其安全等级,并采取相应的安全保障措施,保障信息系统的安全和可靠性。...是一种国家强制性的安全认证制度,旨在促进网络安全技术和保护水平的提升。到底在“”什么?评级,会从七个维度进行测评。...故而,民营企业在参与到政企事业单位的投标工作时,被要求提供“安全等测评”是为符合招标单位需采购符合法律和有关标准要求的网络产品的需求。...此外,规范还应包括性审查和认证等流程的安排和规定,以确保企业达到认证的要求。【设计网络安全等级保护方案】与企业的信息安全专家、技术人员和管理人员合作,参与制定网络安全等级保护方案。...【协助企业进行性审查】可以协助企业审查性,可以对企业的信息系统进行性审查,检查其是否符合网络安全等级保护制度的要求,发现并指出存在的安全隐患和不足,提出改进建议和措施,确保企业的网络和信息安全符合认证的要求

    58010

    2.0,腾讯云TStack通过四级测评

    这验证了腾讯云TStack具有稳定、全面的安全性能,可为用户提供高效可靠的云服务,同时助力用户进行。...腾讯云TStack通过四级测评,一方面直接证明其可为政府、企业用户,在关键应用向云迁移时,提供高性能、高可靠、高安全、高适应性的服务。...同时,腾讯云TStack的高分通过,也为用户进行打下坚实基础。根据要求,云上用户进行验证,必须保证其所在云平台已过测评;对于云用户系统的评定,云平台等级分数也是影响因素之一。...腾讯云TStack还可以为客户定制的整改意见,指导客户进行安全服务的选型与部署,助力用户更加高效省心过。...腾讯云还通过了CSA STAR金牌认证、ISO27001信息安全认证、可信云认证多项国内外权威认证,致力于提升云平台的安全性。

    5.9K20

    全国首个《2.0体系互联网实践白皮书》来了

    国内首部《2.0体系互联网实践白皮书》(以下简称白皮书)今天正式发布。...白皮书从互联网行业在2.0方面的实践痛点入手,针对当前国内企业对等2.0关注度最高的几大技术落地难点,如可信计算、密码技术、IPv6、安全算力和安全管理中心应用,结合腾讯在整体体系建设和云安全建设等方面的实践及解决方案进行解读分析...公司体系建设实践,描述了腾讯集团自身2.0的体系建设思路。...2.0解决方案,总结了快速完成等级保护测评全流程的五大关键要素,即优选测评机构、系统合理定级、准备工作充分、及时跟进流程、关键路径并进。...此外,腾讯安全还从各行业实践中总结出2.0时代网络安全工作的方式与方法,在云平台、技术支持、专家服务等方面助力提升企业网络安全能力,规避和缓解企业风险。

    3.5K93

    密码测评新服务:“微咨询”正式发布

    国家也在不断出台相应政策完善密码,密码测评作为密码的重要工作项受到各行业广泛关注。腾讯安全云鼎实验室为解决企业密评时面临的周期长、动作大、成本高三大问题,正式发布密码微咨询服务。...行业方面,2019年12月,国办发〔2019〕57号文《国家政务信息化项目建设管理办法》中提出“不符合密码应用和网络安全要求,不安排运行维护经费“,另外公安部【2020】1960号文 关于《贯彻和关保护制度指导意见...》中明确指出“在网络安全等级测评中同步开展密码应用安全性评估”,由此可见国家对密码使用的重视。...腾讯安全云鼎实验室推出的“密码微咨询”服务区别于标准的服务模式,以助力企业“快速掌握关键差距、预估改造成本、可行性评估、理清整改思路”多维度出发,制定了详细的工作计划,全方位服务企业解决问题: ?...而在信息行业,相较于标准的密码咨询,微咨询更具有“周期短、影响小、费用低”的特点。目前也已经在政务、金融、交通、汽车行业展开应用。

    1.6K20
    领券