基于阿里云的应用系统三级等保1.0测评总结

Posted 志波同学

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基于阿里云的应用系统三级等保1.0测评总结相关的知识,希望对你有一定的参考价值。

背景

由于政策的要求,我们的应用系统需要过信息系统安全等级保护第三级(简称三级等保)。在编写本文时,我们的三级等保已经通过,所以本文是对三级等保测评的一次总结。分享给大家,希望能够帮助有需要的人。

我们的应用系统是基于阿里云部署的,阿里云作为云平台,本身通过了三级等保测评。所以与阿里云相关(物理安全、中间件安全)的测评都不需要重复进行,只需要提供阿里云的三级等保测评报告就可以。因此我们的三级等保测评可以转化为:阿里云三级等保报告+应用系统测评+安全管理规范三部分内容。本文着重对应用系统的测评要求进行描述。

一、应用系统测评要求

1、登录校验

使用账号+静态密码+4位验证码进行登录验证。

2、密码复杂度

八位以上,大小写+特殊字符+数字,加盐,采用两次md5加密。

3、密码更换

要求用户密码每3个月更换一次,更新的口令5次内不能重复。

4、登录失败策略

当日连续登录失败 5 次则锁定账户,第二天再登录。登录成功则清空失败次数。

5、退出

提供退出功能,由用户主动操作退出系统。

6、超时退出

提供超时退出功能,在指定的时间后,系统自动退出。

7、并发会话限制

对单个帐户的多重并发会话进行限制,禁止同一用户同时登录系统。

8、访问控制

对系统中的每个请求资源进行权限控制,只有用户该权限的用户才可以访问资源,禁止越权操作。

9、权限分离

信息系统根据业务需求划分不同角色(管理员、审计员、业务员),应根据最小原则进行授权,对特权用户进行权限分离,实现各用户间形成相互制约关系,如录入与审核分离,操作与监督分离等。

10、数据有效性校验

在数据输入界面提供数据有效性检验功能。

11、审计功能

对系统的重要安全事件(包括用户登陆、用户注册、重要业务数据操作等行为)进行记录,形成审计日志。审计日志包括事件发生的日期和时间、触发事件的主体、事件的类型、事件成功或失败、事件请求的来源、事件的结果等,并提供导出功能。
审计日志由审计员进行操作,其他人员无法操作。禁止提供修改、删除审计日志的功能,禁止提供终端审计进程的功能。

12、HTTPS通信

采用HTTPS加密通信方式对数据通信完整性进行保护。

13、并发数控制

对应用系统的并发数进行限制,超出限制后应进行报警通知。

14、系统相关文档

需求说明文档、概要设计文档、详细设计文档、用户手册等。

15、安全防护

通过购买阿里云安全组件或者自主安装的方式实现安全防护。包括ECS服务器、负载均衡器、云数据库RDS、云堡垒机、WEB应用防火墙、云盾证书、clamav(防病毒)等。

二、安全管理规范

包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。

三、参考资料

GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求.pdf

文章内容仅代表个人观点,如有不正之处,欢迎批评指正,谢谢大家。

以上是关于基于阿里云的应用系统三级等保1.0测评总结的主要内容,如果未能解决你的问题,请参考以下文章

等保三级多久测评一次?每年都要测评吗?

等保三级都需要哪些安全产品?都有哪些作用?

等保小知识等保3.0就是等保三级吗?

等保小知识等保3.0就是等保三级吗?

等保小知识等保3.0就是等保三级吗?

三级等保三级等保服务费用一年大概要多少?一年需要测评一次嘛?