背景
由于政策的要求,我们的应用系统需要过信息系统安全等级保护第三级(简称三级等保)。在编写本文时,我们的三级等保已经通过,所以本文是对三级等保测评的一次总结。分享给大家,希望能够帮助有需要的人。
我们的应用系统是基于阿里云部署的,阿里云作为云平台,本身通过了三级等保测评。所以与阿里云相关(物理安全、中间件安全)的测评都不需要重复进行,只需要提供阿里云的三级等保测评报告就可以。因此我们的三级等保测评可以转化为:阿里云三级等保报告+应用系统测评+安全管理规范三部分内容。本文着重对应用系统的测评要求进行描述。
一、应用系统测评要求
1、登录校验
使用账号+静态密码+4位验证码进行登录验证。
2、密码复杂度
八位以上,大小写+特殊字符+数字,加盐,采用两次md5加密。
3、密码更换
要求用户密码每3个月更换一次,更新的口令5次内不能重复。
4、登录失败策略
当日连续登录失败 5 次则锁定账户,第二天再登录。登录成功则清空失败次数。
5、退出
提供退出功能,由用户主动操作退出系统。
6、超时退出
提供超时退出功能,在指定的时间后,系统自动退出。
7、并发会话限制
对单个帐户的多重并发会话进行限制,禁止同一用户同时登录系统。
8、访问控制
对系统中的每个请求资源进行权限控制,只有用户该权限的用户才可以访问资源,禁止越权操作。
9、权限分离
信息系统根据业务需求划分不同角色(管理员、审计员、业务员),应根据最小原则进行授权,对特权用户进行权限分离,实现各用户间形成相互制约关系,如录入与审核分离,操作与监督分离等。
10、数据有效性校验
在数据输入界面提供数据有效性检验功能。
11、审计功能
对系统的重要安全事件(包括用户登陆、用户注册、重要业务数据操作等行为)进行记录,形成审计日志。审计日志包括事件发生的日期和时间、触发事件的主体、事件的类型、事件成功或失败、事件请求的来源、事件的结果等,并提供导出功能。
审计日志由审计员进行操作,其他人员无法操作。禁止提供修改、删除审计日志的功能,禁止提供终端审计进程的功能。
12、HTTPS通信
采用HTTPS加密通信方式对数据通信完整性进行保护。
13、并发数控制
对应用系统的并发数进行限制,超出限制后应进行报警通知。
14、系统相关文档
需求说明文档、概要设计文档、详细设计文档、用户手册等。
15、安全防护
通过购买阿里云安全组件或者自主安装的方式实现安全防护。包括ECS服务器、负载均衡器、云数据库RDS、云堡垒机、WEB应用防火墙、云盾证书、clamav(防病毒)等。
二、安全管理规范
包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。
三、参考资料
GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求.pdf