国家信息安全等级保护三级认证(三级等保设置以及注意点)

1.服务终端 + 操作终端

操作终端:开发人员的电脑或者具有后台登录的管理员的电脑

服务终端:具备进入服务器和阿里云全部权限的操作人员的电脑

设置:运行secpol.msc进入管理设置页面

1.1 账户策略

1.1.1 密码策略(长度至少8位,使用期限最短设置90天)

1.1.2 账户锁定策略:10分钟(建议)

1.2 本地策略

1.2.1 审核策略(全部修改成:成功+失败)

1.2.2 安全选项(关机:清除虚拟内存页面文件:开启)

1.2.3 安全选项(交互方式登录:不显示最后的用户名:开启)

1.3 设置:搜索计算机管理,进入系统

1.3.1 共享文件夹(需要关闭)

1.3.2 本地用户和组(需要修改用户的默认名:比如admin)

1.3.3 Windows日志(日志最大大小:修改为204800,日志满时将其存档,不覆盖事件)

2.数据库

1.1. 定期修改密码(后台设置:3-6个月)

1.2. 账户锁定

国家信息安全等级保护三级认证(三级等保设置以及注意点)_第1张图片 

1.3. 日志审计

1.3.1 阿里云后台:安全中心(检测响应->日志分析:扩容)

1.3.2 数据库审计(存储管理->审计+会话:设置期限为180天)

1.4. 备份       

1.4.1 数据库备份(云备份)

1.4.2 数据库备份(navicat:自动运行添加数据备份定时任务)

3.项目

1.1.定期修改密码(后台设置:3-6个月)

1.2 用户锁定(登录时间限制:可以参考登录时间为2小时,过期后强制退出)

1.3 用户密码(长度最少8位,组成由数字,字符,字母两者中的两种组成)

1.4 用户登录双认证(静态口令,动态口令,生物特征)

1.5 后台需要“有用户行为分析”功能(记录用户的操作)

1.6 注意用户权限的横向越权和纵向越权问题

1.7 注意短信爆破问题

1.8 互联网医院项目(电子处方需要有药师审核的功能)

1.9 互联网医院项目(就诊人小于6岁需要监护人信息)

4.服务器

1.1 需要开启云防火墙或者开启安全中心+WAF

1.2 服务器密码需要定期跟换(3-6个月)

1.3 服务器需要设置会话超时退出

国家信息安全等级保护三级认证(三级等保设置以及注意点)_第2张图片      国家信息安全等级保护三级认证(三级等保设置以及注意点)_第3张图片

5.省级接口对接(互联网医院项目:以四川监管平台为例)

1.1 获取token(需要缓存:目前有效时间是7天)

1.2 标准数据需要获取(用药频次,用药单位,用药剂量需要标准化)

1.3 上报数据:初诊数据+复诊数据+电子处方信息

1.4 上报方式(可以实时上报也可以集中上报,要求:上报数据不能超过24小时)

设置参考文献:

资产添加(需要添加的是:云安全中心和数据库审计):参考文档:审计操作 - 日志服务 - 阿里云

       

你可能感兴趣的:(阿里云,安全性测试,node.js,集成测试,php)