欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

等保测评2.0:SQLServer身份鉴别(下)

来源:本站整理 作者:佚名 时间:2020-02-16 TAG: 我要投稿
好吧,由于等级保护2.0去掉了0-5分的分数制,所以虽然有很多种情况,但是判定结果只有符合、部分符合、不符合、不适用,所以区分得这么细在判定结果处差别不大。
但是,在结果记录处还是有区别的,要根据实际情况进行记录嘛。
哦,对了,最后说一句,要记得查看SQLServer的版本,默认加密是从2005版开始的。
四、测评项d
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
好吧,直接实现SQLServer数据库双因素认证的方法我没找到,顶多也就是可以使用证书对存储过程进行访问控制:使用证书为存储过程签名。
绝大部分的被测评单位在SQLServer数据库的这一个测评项处,只能得0分,不过也不用过于在意。
该测评项属于安全计算环境这个安全类,其测评对象包括了数据库、服务器和终端的操作系统、应用系统、安全设备、网络设备等等,按照等级保护2.0的标准,对于3级和以上的系统,只要其中一个设备在该测评项处得0分,那么就可能属于高风险项,测评结论瞬间就变成差了。
从现实的角度而言,这么多设备统统都要实现双因素认证,既无可能,也没必要。
所以制定等级保护标准的专家们考虑到这一点,在网络安全等级保护测评高风险判定指引(2019定稿)中留下了很多的口子(个人理解)。
举个例子,对于该测评项而言:

满足条件中指明,属于3级和3级以上系统,且被测评对象属于重要核心设备等通过不可控网络环境远程进行管理,然后同时未实现双因素认证的,可判定为高风险项。
分析一下,3级和3级以上系统这个条件不用多说,3级以下系统不存在这个测评项。
被测评项对象属于重要核心设备,这个也不用多说,被抽选出来的测评项对象,其重要性一般都不低(否则你选它干嘛)。
通过不可控网络环境远程进行管理,这个有些用,对于数据库,不一定存在远程连接的行为,这一点我上面的文章有说。就算存在远程连接的行为,是否就处于不可控网络环境呢?也不一定的。
注意,不可控网络在判定指引中有明确定义:

到这里,就算条件都满足了,属于高风险项,也存在很多的补偿措施,对该高风险项目进行修正,这些补偿措施都是现实可行的,绝不是无法实行的,这里就不具体的分析了。
总而言之,虽然高风险项存在着一票否决的特性,但需要满足特定条件且不能被修正。
在实际工作中,给测评师们降低了实施的难度,也减少了和被测评单位扯皮的概率,也算是等级保护2.0的一种进步吧。
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载