最近更新时间:2024.01.22 21:02:36
首次发布时间:2023.03.07 23:14:13
云堡垒机满足等保条例中对信息系统的安全要求,可保障业务系统运行的安全合规性。本文介绍云堡垒机各项功能与等保相关条款的对应关系,助力企业顺利通过等保测评。
网络安全等级保护标准中对信息系统的安全审计、访问控制、多因子认证等方面都提出了更严苛的要求。一些安全性要求较高的行业(例如:金融、医疗),业务系统涉及很多个人隐私数据,所使用的 IT 系统需要满足这些审计要求,才能保障业务系统运行的安全合规性。
以下是安全审计相关等保条款与云堡垒机各项功能的对应关系。
以上两条等保条款主要考察是否有进行安全审计,以及是否对用户的行为和事件进行安全审计。云堡垒机提供完整的运维审计功能,对主机资源的运维操作进行监控和审计,拥有审计权限的用户可登录云堡垒机控制台,查看实时会话、查看运维历史会话、查看操作日志。
本条款主要考察审计日志是否按照要求进行记录。云堡垒机对历史会话、登录日志、操作日志均有详细的审计记录。
以下是身份鉴别相关等保条款与云堡垒机各项功能的对应关系。
本条款主要考察三点:是否对登录用户进行身份识别和鉴别,身份标识是否具有唯一性,以及身份鉴别信息具有复杂度要求并定期更换。
身份标识是否具有唯一性:云堡垒机目前将 IAM 作为认证源,直接导入 IAM 用户作为云堡垒机用户使用,IAM 用户本身就具备完善的身份识别和鉴别要求,例如:用户名不允许重复以保证身份标识的唯一性。
是否对登录用户进行身份识别和鉴别:云堡垒机为导入的 IAM 用户生成独立的云堡垒机登录密码,不管通过浏览器还是其他客户端登录,均需登录才能正常使用,这也证明云堡垒机已经对登录的用户进行了身份标识和鉴别。详细介绍可参考:登录云堡垒机。
本条款主要考察。云堡垒机采用多因子认证的登录方式,登录云堡垒机完成密码认证后,可通过短信或邮件发送动态验证码进行二次登录验证,降低密码泄露风险,有效提升安全性。具体操作参见:双因子认证。
本条款主要考察是否具备阻拦非法登录的能力。云堡垒机提供账号锁定功能,可配置账号密码锁定策略,防止恶意登录账号或暴力破解密码,保障系统安全。具体操作参见:账号锁定配置。
以下是访问控制相关等保条款与云堡垒机各项功能的对应关系。
本条款主要考察是否对登录用户分配账户和权限。云堡垒机提供 5 种预置策略,可前往 访问控制控制台 为用户配置权限。
本条款主要考察对用户的权限控制粒度是否精细。云堡垒机提供的访问控制策略和命令控制策略,约束运维人员及其运维操作。
本条款主要考察用户之前是否做到权限隔离。云堡垒机提供 5 种预置策略,涵盖管理员、审计人员、运维人员三种身份。
由上述权限划分可知,只有管理员具备配置访问控制策略的权限,审计人员和运维人员并不具这方面的权限。