(a)身份鉴别
应用服务器、数据库服务器、Mysql数据库：运维人员通过“用户名+口令”的方式登录设备进行运维，未采用密码技术对登录设备的人员进行身份鉴别。
堡垒机：运维人员使用“XX”的方式登录堡垒机，未采用密码技术对登录设备的人员进行身份鉴别。
安全接入网关、XX：采用“UKey、用户标识和PIN码”的方式登录，使用“挑战-响应”机制通过基于SM3和SM9算法的数字签名技术实现身份鉴别，密码设备及使用的UKey均具有商用密码产品认证证书且符合密码模块安全二级要求。
故该指标判定为部分符合。

(b)远程管理通道安全
应用服务器、数据库服务器：采用SSH 2.0协议，采用[email protected]算法保证数据传输的机密性和完整性。
堡垒机：运维人员对堡垒机使用TLS 1.2协议建立远程管理通道，使用ECDHE-RSA和AES-128-GCM算法对通道安全进行保护。
安全接入网关、XX：运维人员均对密码设备使用TLS 1.2协议建立远程管理通道，使用ECDHE-RSA和AES-256-GCM算法对通道安全进行保护。
Mysql数据库、密码机：Mysql数据库和密码机未开启远程管理功能，故不存在远程管理通道。
故该指标判定为部分符合。

(c)系统资源访问控制信息完整性
应用服务器、数据库服务器、Mysql数据库、堡垒机：设备为通用设备，暂时无法进行改造，通过自身机制保护系统资源访问控制信息完整性。
安全接入网关、XX：产品均已通过商用密码产品认证且符合密码模块安全二级要求，通过产品自身机制保护系统资源访问控制信息完整性。
故该指标判定为部分符合。

(d)重要信息资源安全标记完整性
设备暂未设置重要信息资源安全标记，该指标不适用。

(e)日志记录完整性
应用服务器、数据库服务器、Mysql数据库、堡垒机：设备为通用设备，暂时无法进行改造，通过自身机制保护日志记录完整性。
安全接入网关、XX：产品均已通过商用密码产品认证且符合密码模块安全二级要求，通过产品自身机制保护日志记录完整性。
故该指标判定为部分符合。

(f)重要可执行程序完整性、重要可执行程序来源真实性
应用服务器、数据库服务器：设备为通用设备，暂时无法进行改造，通过自身机制保护重要可执行程序完整性、重要可执行程序来源真实性。
Mysql数据库、堡垒机：暂无重要可执行程序完整性、重要可执行程序来源真实性需求。
安全接入网关、XX：产品均已通过商用密码产品认证且符合密码模块安全二级要求，通过产品自身机制保护重要可执行程序完整性、重要可执行程序来源真实性。
故该指标判定为部分符合。
综上所述：设备和计算安全方面，身份鉴别为部分符合，远程管理通道安全为部分符合，系统资源访问控制信息完整性为部分符合，重要信息资源安全标记完整性为不适用，日志记录完整性为部分符合，重要可执行程序完整性、重要可执行程序来源真实性为部分符合。

本文由 li_ 创作，采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外，均为本站原创或翻译，转载前请务必署名。