- 综合排序
- 最热优先
- 最新优先
- 来自专栏安智客
《密码模块安全要求》与《密码模块安全检测要求》
信安标委最近对大量的信息安全行业规范进行征集意见,3月份的时候安智客介绍过行业标准密码模块安全安全要求,不过这个标准现在上升到了国家标准,说明很重要!安智客今天来学习密码模块安全要求。 一,标准间的关系 国家标准《信息安全技术 密码模块安全要求》,来源于密码行业标准《GM/T 0028-2014 密码模块安全技术要求》。 密码模块安全检测要求:规定了密码模块对应的11个安全域的一系列检测规程、检测方法和对应的送检文档要求。 11个安全域分别是:通用要求,密码模块规格,密码模块接口,角色、服务和鉴别,软件/固件安全,运行环境,物理安全,非入侵式安全,敏感安全参数管理,自测试,生命周期保障,以及对其他攻击的缓解。 标准中定义,密码模块是指实现密码运算、密钥管理等功能的硬件、软件、固件或者其组合,分为硬件、软件、固件模块。
3.6K30发布于 2018-07-30 - 来自专栏FreeBuf
等保2.0安全管理中心要求解读
而等保中新增的个人信息保护中,也要满足《互联网个人信息安全保护指引》的要求,对于漏洞也应参考《网络安全漏洞管理规定》要求。 对应到等2中即安全管理中心、安全通信网络、安全区域边界、安全计算环境(物理环境安全属于独立科目),此外网安法中要求系统建设必须做到三同步,即同步规划、同步建设、同步使用。 同步规划 在业务规划的阶段,应当同步纳入安全要求,引入安全措施。 安全管理员主要负责安全策略的配置,参数设置,安全标记(非强制要求),授权以及安全配置检查和保存等。这里指说了一部分要求的内容,实际中企业安全部门要管的事情很多。 大部分安全设备都有管理接口,其他功能接口不具备管理功能,也不涉及IP地址,这里要求就是将此类管理接口统一汇总到一个Vlan内(比如所有设备管理口都只能由堡垒机进行登录,堡垒机单独划分在一个管理Vlan中
5.8K60发布于 2019-07-17 - 来自专栏人工智能机器学习
企业运维安全管理实践的9大领域
运维安全作为企业安全保障的基石,特别是互联网企业,它不同于Web安全、移动安全、或者业务安全,因为运维安全位于最底层,或涉及到服务器、网络设备。 webshell 提权的提权,内网的内网 神器而已之奇虎360某站GETSHELL内网漫游到webscan了 网站备份文件放在WEB根目录下,并且能被用户下载 网站代码存在漏洞 Shell之后漫游内网 运维管理实践一般包含以下 9个内容: 1.信息安全治理与风险管理 2.物理安全 3.身份与访问控制管理 4.主机安全 5.通信与网络安全 6.灾难恢复计划与业务连续性 7.安全运营:部门角色及所承担责任 8.安全配置管理:安全上线步骤 、数据泄露防护(DLP)脆弱性扫描与测试 9.运营安全参考标准与制度:包含ISO27001、行政性安全管理制度示例等内容 安全是一个整体,保证安全不在于地方有多强大,而是要找到自己薄弱的地方。 不要片面对待安全,即认为不出安全事故就是天下太平,一定要有危机意识。以上内容参考:运维安全管理必修课 安全牛课堂 来自:
1.3K00发布于 2019-07-22 - 来自专栏安智客
《密码模块安全技术要求》解读
中国密码行业标准化技术委员会分别在2014年、2015年制定了GM/T 0028-2014《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》,这个主要是面向产品的密码模块安全认证 《安全技术要求》指定了密码模块应该满足的安全需求,为了适应广泛的密码模块应用和环境,标准定义了四个逐次增加且定性的安全级别:一级、二级、三级、四级。 分别举例来说,计算机加密硬件板卡属于一级,适用于已经配置了物理安全、网络安全以及管理过程等控制措施的运行环境。 安全四级是标准中的最高安全等级。除了安全三级提供的物理防护功能,安全四级密码模块提供了覆盖整个密码模块的防护机制,即从任何角度、任何方式对密码模块的入侵都会被密码模块检测到。 密码产品比密码模块包含的范围更广,密码产品既包含GM/T 0028-2014《密码模块安全技术要求》定义的密码模块,还需满足包含安全芯片及密码服务系统(如CA系统、电子签章系统、动态口令认证系统)等的相关标准规范
6.8K70发布于 2018-03-20 - 来自专栏FreeBuf
信息安全等级保护三级要求,安全管理机构多年测评经验分享
-2012 《信息安全技术 信息系统安全等级保护测评要求》等相关标准,将等级保护分为 ‘技术’ 和 ‘管理’ 两大模块,其中技术部分包含:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复共五个方面 本篇文章具体介绍在信息安全等级保护三级要求中—安全管理机构测评过程中的经验分享,安全管理机构有5个测评指标,分别是岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。 如选图所示: ? 2、人员配备 a:应配备一定数量的系统管理员、网络管理员、安全管理员等。 测评经验: 这一条的测评方法就是询问客户系统管理员、网络管理员、安全管理员的配备数量,要求是至少1人及以上。 但很多客户是达不到这种要求的,而我的建议整改是用兼职来代替,但兼职的注意事项就要参考b来实施了。 b:应配备专职安全管理员,不可兼任。 测评经验: 这一条就是要求客户的安全管理员是专岗专职的,不能由其他职位人员来兼任。如何验证是专岗专职呢,就查看岗位人员情况表。
3.7K30发布于 2018-12-07 - 来自专栏技术杂记
RabbitMQ管理9
运行生产脚本 [root@h102 ruby]# ruby p.rb /usr/local/rvm/rubies/ruby-2.2.1/lib/ruby/site_ruby/2.2.0/rubygems/core_ext/kernel_require.rb:54:in `require': cannot load such file -- bunny (LoadError) from /usr/local/rvm/rubies/ruby-2.2.1/lib/ruby/site_ruby/2.2.0/ru
39420编辑于 2022-04-23 - 来自专栏netservice
安全要求之开源软件实现
等级划分 《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 本文目的主要是调研等保三级的硬件可以使用哪些软件来替换(有些有硬性要求另说),整理一版放在这里,以后的项目中如果有使用到,就不用在一一查找了。 安全管理中心系统 OSSIM OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),是一个非常流行和完整的开源安全架构体系。 Smoothwall Smoothwall提供了强大的网络安全工具来管理电子邮件。开放源码的网页过滤引擎被称为Smoothwall DansGuardian的。
1.6K20编辑于 2022-04-24 - 来自专栏探索RPA
浅谈RPA平台的安全要求
RPA平台安全性面临的挑战 实际上,与大多数其他数据处理服务一样,RPA所涉及风险问题与安全挑战将是企业所不容忽视的。特别是数据安全性和访问安全性。 在自动化领域,数据安全涉及防止未经授权的用户获取软件机器人处理的数据。简而言之,维护数据安全性的目标是确保隐私以及保护个人和企业数据。在这方面,访问安全性与数据安全性密切相关。 如何防范RPA安全风险 由于RPA软件更多的是以“单机”形式出现,所以其本身的安全性还是有所保证。为了提高数据安全性和访问安全性,必须保护RPA系统内部和外部的每个部分都要免受威胁。 这种安全的大部分责任在于RPA供应商,他们将某些安全措施纳入其软件产品中。 通过一定程度的主动规划来选择稳定的RPA产品,并定期监控安全措施,可以轻松管理或完全避免大多数威胁。
2.3K30发布于 2019-11-05 - 来自专栏腾讯云开发者社区头条
企业文化与管理的要求
国内企业 我工作过的国内企业,企业文化基于管理,强调一个“管”字。 当时事情也没有那么多,但还要求加班,为了给总公司表现自己有多忙,每个月还拍加班前几名和后几名的红榜和黑榜。大家于是纷纷加班,加班又没事情干,只有摸鱼;但摸鱼又被老板抓,这种猫捉老鼠的游戏持续上演中。 工作更多的基于结果管理和work-life balance, 不打卡,不加班(下班关灯)。会秋后算账,从结果看有没有达到自己的保证,来衡量绩效,会影响到加薪和升值。 企业更多的是靠对员工的激励来让他自我管理,考核也是结果导向而不是时间管理。这个让远程办公更加容易接受。 结论 这次疫情,我在的公司第一时间就让远程办公,甚至下礼拜都是建议远程办公。 国内企业要接受远程办公,更多的是要转变管理理念。
7161614发布于 2020-03-20 - 来自专栏网站建设、网站制作专栏
PageAdmin网站管理系统环境配置要求
最近小熊优化的小编给客户做网站用到了pageadmin网站管理系统,这是一个asp.net开发的网站管理系统,功能强大,扩展灵活,做模板和仿站都非常方便,下面整理记录一下。 1、操作系统要求: Win7/win8/win2008/win2012及以上版本都可以,建议用64位的操作系统,服务器建议选择win2012或以上版本。 2、net framework版本要求: net framework4.5或以上版本,如果win7或win8系统,需要下载framework4.6安装上,因为win7和win8自带的framework版本过低 3、数据库要求: Msql Server 2005/2008/2012/2014及以上版本,由于个人电脑基本都是win7,win8,所以本地安装sql2008即可,但是服务器建议安装sql2012或以上版本
3.1K00发布于 2019-06-01 - 来自专栏技术杂记
Mycat 管理命令9
| | Mycat_managerPort | 9066 | mycat的管理端口
48030编辑于 2021-12-02 - 来自专栏安智客
云计算安全扩展要求标准应用实践
与往年不同,本次会议会期从一天增加到两天,邀请了多位专家就等级保护标准解读、新技术新应用测评实践指导、等级测评工作经验交流、测评业务规范化管理等方面进行了深入交流和探讨,在业内获得了良好反响,与会人士普遍评价此次会议干货满满 基本要求标准由原来的单一部分变更为由多个部分组成的标准,包括:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求、大数据安全扩展要求(待立项)。 02与安全通用要求的关系 既然本部分标准作为《基本要求》系列标准在云计算安全领域的扩展,那云计算安全扩展要求与安全通用要求之间一定存在着密不可分的关系。 举个例子,在物理位置选择这个控制点上,对应第一级,云计算安全扩展要求较安全通用要求是增加的,意味着在安全通用要求中第一级没有对物理位置选择提出要求,而在云计算安全扩展要求中提出了物理位置选择的要求。 因此,我们将云计算安全扩展要求作为全局要求对待,类似安全管理的要求。这些要求不落到具体某一个对象上。因此在报告结构上需要将这部分等同于全局测评,各测评项不再重复对应一个或多个测评对象。
3.6K30发布于 2018-07-30 - 来自专栏安智客
等级保护2.0之云安全威胁、要求、设计
云安全风险分类如下图: ? 对于云安全要求,不同级别要求不一样,如下图所示: ? 比如第三第四级,在保护项目上没有区别,但是在具体要求上不一样,比如, 针对入侵防范,不仅要求告警并需要及时处理。 比如安全通信网络设计,第四级中要求: a) 资源层通信网络可信接入保护安全设计要求包括以下方面: 1) 应禁止通过互联网直接访问云计算平台物理网络; 2) 应在物理网络中通过IP、MAC、端口绑定等技术限制非授权设备接入 ; 3) 应确保在远程管理时,采用由密码等技术支持的可信网络连接机制。 b) 服务层通信网络可信接入保护安全设计要求包括以下方面: 1) 应提供开放接口,允许接入可信的第三方安全产品; 2) 应确保在远程管理时,防止远程管理设备同时连接其他网络; 3) 应能够建立一条安全的信息传输路径 ,对网络中的安全设备或安全组件进行管理。
1.5K20发布于 2018-07-30 - 来自专栏FreeBuf
合规要求下,再谈企业数据出境安全
数据出境法律法规要求 《中华人民共和国网络安全法》2017年6月1日:第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 《中华人民共和国数据安全法》2021年9月1日:第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法 《关键信息基础设施安全保护条例》2021年9月1日:第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划 网络安全标准实践指南——数据分类分级指引(征求意见稿)》 《信息安全技术 网联汽车 采集数据的安全要求(草案)》 《个人信息跨境处理活动安全认证规范》 《个人信息出境标准合同规定(征求意见稿)》 《信息安全技术 ,依据办法的评估要求,开展出境安全评估,评估要点包括 (一)申报书; (二)数据出境风险自评估报告; (三)数据处理者与境外接收方拟订立的法律文件; (四)安全评估工作需要的其他材料。
1.5K20编辑于 2023-03-30 - 来自专栏软件实验室资质建设知识分享
CNAS软件测试信息管理系统要求解读,怎样才可以满足要求?
CNAS-CL01:2018中第 7.11.3 条款要求:软件测试实验室信息管理系统应:a) 防止未经授权的访问;b) 安全保护以防止篡改和丢失;c) 在符合系统供应商或实验室规定的环境中运行,或对于非计算机化的系统 ——应确保该系统满足所有相关要求,包括审核路径、数据安全和完整性等。——常用的现成商业化软件在其设计的应用范围内使用可视为已经过充分的确认。——应保留确认记录。 简而言之,实验室信息管理系统的基本要求有:防止未经授权的访问;安全保护以防止篡改和丢失;在符合系统供应商或实验室规定的环境中运行,或对于非计算机化的系统,提供保护人工记录和转录准确性的条件;以确保数据和信息完整性的方式进行维护 三、工作程序1、实验室信息管理系统要求:1)防止未经授权的访问;2)安全保护以防止篡改和丢失;3)在符合系统供应商或实验室规定的环境中运行,或对于非计算机化的系统,提供保护人工记录和转录准确性的条件;4 2)实验室网络管理员按照实验室的要求,负责本实验室计算机网络安全以及服务器等设备的维护保养。3)实验室网络管理员负责数字化实验室管理系统的维护及该系统上的检测资源的管理。
30710编辑于 2025-12-23 - 来自专栏网络安全文章
远程人脸识别系统技术要求 安全分级
声明 本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 远程人脸识别系统技术要求 安全分级 远程人脸识别系统的功能、性能和安全要求分为基本级和增强级 远程人脸识别系统技术要求 功能要求 基本级要求 用户标识 应从以下方面设计和实现系统的身份标识功能: 所有用户在用户登记时都进行用户标识; 应具唯一性; 应对用户标识信息进行管理、维护 当用来对用户身份鉴别的人脸特征模板等秘密信息由人脸识别系统产生时,系统应可生成符合秘密信息质量要求的秘密信息。秘密信息质量包括模板大小等。秘密信息质量量度的要求由安全管理员制定。 用户鉴别 鉴别时机 应在人脸识别系统安全功能实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别。 当用来对用户身份鉴别的人脸特征模板等秘密信息由人脸识别系统产生时,系统应可生成符合秘密信息质量要求的秘密信息。秘密信息质量包括模板大小等。秘密信息质量量度的要求由安全管理员制定。
5.7K30编辑于 2023-01-09 - 来自专栏数据派THU
干货 | 碳数据交换共享安全要求
以下内容整理自清华大学《数智安全与标准化》课程大作业期末报告同学的汇报内容。 一、概念 碳排放是一个非常宽泛的概念,在现实中,怎么去进行一个更加精细的计算?
36540编辑于 2023-08-08 - 来自专栏Linux基础入门
(9)Linux用户管理命令
④load average表示负载均衡指数,分别记录了过去一分钟,五分钟和十五分钟系统的负载情况,加起来除以三就是平均负载指数,系统的负载情况主要是指CPU和内存的负载情况,数字大表示负载严重。
1.4K31发布于 2020-08-26 - 来自专栏听雨堂
【9】分页浏览的管理
阅读目录 分页关注的内容 状态的传递 数据的获取 查询结果的分页 跳页的实现 分页器的样式 页面的完整处理流程 分页关注的内容 前面博文中,通过自行构造HTML表格代码,可以生成易于管理、 因此,我们需要研究和表格方式展示数据相适应的分页管理机制。 分页显示的核心,是根据页面记录数、页号、查询条件、排序顺序等因素,在数据库中查出该页相对应的数据集(DataTable)。 因此,我们只需要关心执行查询以外的各种管理和操作,包括以下方面: 获取总记录集的记录数 页码的有效性的检验 查询条件的传递和应用 向任意页面跳转的支持 分页器的样式控制 状态的传递 分页管理的目的就是要对多个相互关联的页面进行管理 查询结果的分页 查询是数据管理的一个常用功能,查询浏览界面和数据浏览界面往往是同一个界面,或者说,查询功能本身就是数据浏览的一部分。 所以分页管理必须要把查询综合考虑进来。 如果是查询结果分页浏览,和前面的分页浏览有何不同呢?其实很容易看到,就是需要把上面的sql语句,增加一个查询条件即可。
1.5K70发布于 2018-01-23 - 来自专栏jtti
Jtti:云基础架构安全性有哪些要求
云基础架构的安全性是非常重要的,以下是一些云基础架构安全性的要求和措施:访问控制:确保只有经过授权的用户能够访问和管理云资源,使用强密码和多因素认证来增加登录安全性。 安全审计和日志记录:开启安全审计和日志记录功能,记录所有重要事件,以便进行安全审查和调查。高可用性:采用冗余和备份措施,确保云服务的高可用性和业务连续性。 漏洞管理:及时修补系统和应用程序的漏洞,防止黑客利用漏洞进行攻击。应急响应计划:制定应急响应计划,针对可能发生的安全事件做好预案,以便快速应对。 供应商安全合规:确保云服务供应商符合相关的安全合规标准和法规。培训员工:加强员工的安全意识,提供安全培训,防范社交工程和钓鱼攻击。 安全合同:与云服务供应商签订安全合同,明确责任和义务,确保服务供应商对安全性负责。这些要求可以帮助保护云基础架构免受安全威胁,并确保云服务的稳定和可靠。
51220编辑于 2023-07-27
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号