背景
由於政策的要求,我們的應用系統需要過信息系統安全等級保護第三級(簡稱三級等保)。在編寫本文時,我們的三級等保已經通過,所以本文是對三級等保測評的一次總結。分享給大家,希望能夠幫助有需要的人。
我們的應用系統是基於阿里雲部署的,阿里雲作爲雲平臺,本身通過了三級等保測評。所以與阿里雲相關(物理安全、中間件安全)的測評都不需要重複進行,只需要提供阿里雲的三級等保測評報告就可以。因此我們的三級等保測評可以轉化爲:阿里雲三級等保報告+應用系統測評+安全管理規範三部分內容。本文着重對應用系統的測評要求進行描述。
一、應用系統測評要求
1、登錄校驗
使用賬號+靜態密碼+4位驗證碼進行登錄驗證。
2、密碼複雜度
八位以上,大小寫+特殊字符+數字,加鹽,採用兩次md5加密。
3、密碼更換
要求用戶密碼每3個月更換一次,更新的口令5次內不能重複。
4、登錄失敗策略
當日連續登錄失敗 5 次則鎖定賬戶,第二天再登錄。登錄成功則清空失敗次數。
5、退出
提供退出功能,由用戶主動操作退出系統。
6、超時退出
提供超時退出功能,在指定的時間後,系統自動退出。
7、併發會話限制
對單個帳戶的多重併發會話進行限制,禁止同一用戶同時登錄系統。
8、訪問控制
對系統中的每個請求資源進行權限控制,只有用戶該權限的用戶纔可以訪問資源,禁止越權操作。
9、權限分離
信息系統根據業務需求劃分不同角色(管理員、審計員、業務員),應根據最小原則進行授權,對特權用戶進行權限分離,實現各用戶間形成相互制約關係,如錄入與審覈分離,操作與監督分離等。
10、數據有效性校驗
在數據輸入界面提供數據有效性檢驗功能。
11、審計功能
對系統的重要安全事件(包括用戶登陸、用戶註冊、重要業務數據操作等行爲)進行記錄,形成審計日誌。審計日誌包括事件發生的日期和時間、觸發事件的主體、事件的類型、事件成功或失敗、事件請求的來源、事件的結果等,並提供導出功能。
審計日誌由審計員進行操作,其他人員無法操作。禁止提供修改、刪除審計日誌的功能,禁止提供終端審計進程的功能。
12、HTTPS通信
採用HTTPS加密通信方式對數據通信完整性進行保護。
13、併發數控制
對應用系統的併發數進行限制,超出限制後應進行報警通知。
14、系統相關文檔
需求說明文檔、概要設計文檔、詳細設計文檔、用戶手冊等。
15、安全防護
通過購買阿里雲安全組件或者自主安裝的方式實現安全防護。包括ECS服務器、負載均衡器、雲數據庫RDS、雲堡壘機、WEB應用防火牆、雲盾證書、clamav(防病毒)等。
二、安全管理規範
包含安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等。
三、參考資料
GBT 22239-2008 信息安全技術 信息系統安全等級保護基本要求.pdf
文章內容僅代表個人觀點,如有不正之處,歡迎批評指正,謝謝大家。