今天我们来攻略一下等保2.0国家标准中 《信息安全技术网络安全等级保护基本要求》 所对三级系统所提出的要求项以及针对这些要求项如何去应对或者说是如何去做防护。废话不多说直接上正题
在等保三级中分为十个大项分别是:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设和管理、安全运维管理,这十大项里面有N个小项来做限制,因为小项比较多,这篇文章主要是针对安全计算环境来说的,后面也会慢慢把所有的检查项都写给大家攻略的
下面所写的攻略以及测评结果仅供参考,要以实际情况为准。
安全计算环境
安全计算环境这一块主要针对主机设备、存储设备、应用系统、数据库等一些对象来做管理或者防护的一些要求,在这一块相对来说所有的业务系统都涉及的,也是丢失分数比较多的一部分,具体来看下每一项都是怎么做的要求吧
身份鉴别
| 要求项 |
攻略 |
测评结果 |
| 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 |
这一项主要说的是我们业务系统的登录方式是怎样的,登录的用户名或者ID是否唯一,登录时所使用的密码是否有一定复杂度这些。这一块大部分的业务系统也都是满足的。 |
这一项测评公司会写:应用系统采用B/S架构,采用账号密码的登录方式进行身份鉴别,用户可以从组织架构列表中查询,身份标识具有唯一性,密码长度是8,满足复杂度要求。 |
| 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 |
这一项主要说的是身份鉴别出现失败时应用系统时做的一些操作,比如说登录失败后是否有登录失败记录、登录失败几次后自动锁定等等一些操作,这一项主机操作系统、应用系统、网络设备等等都有类似的一些功能,这一项基本设置一下就可以 |
这一项测评公司会写:应用系统已启用登录失败处理功能,已启用密码输入错误自动锁定功能,已启用长时间未登录自动锁定。 |
| 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 |
这一项主要说的是业务系统从互联网中所采用的鉴权传输方式是怎样的,是采用GET传输还是POST传输,传输过程中是否进行了加密,这里一般测评公司都会看网站或者系统是否使用了SSL证书,有证书基本上就能过 |
这一项测评公司会写:该网站采用HTTPS协议进行远程管理,用户鉴别以加密的方式进行传输。 |
| 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现 |
这一项主要是说的登录业务系统需要有两种及两种以上的身份鉴别方式,常见的鉴别方式有:账号密码登录、人脸识别、指纹识别、CA证书、短信验证码等,只要有两种组合方式就可以,现在可能更多的是短信验证码,这一项大部分业务系统都不满足 |
这一项测评公司会写:该网站/业务系统采用用户名+口令+短信验证码的方式进行登录管理。 |
访问控制
| 要求项 |
攻略 |
测评结果 |
| 应对登录的用户分配账户和权限 |
这一项主要说的是对要登录业务系统的用户单独分配一个账号和与整个用户所相对应的权限,不能出现多个用户使用一个账号的问题,这一项基本都可以满足的。 |
这一项测评公司会写:通过查询业务系统的通讯录以及组织架构,为每个用户分配了不同的账号和权限。 |
| 应重命名或删除默认账户,修改默认账户的默认口令 |
这一项主要说的是业务系统或者操作系统会有一些默认的用户账号,比如管理员账号:root,sys等一些默认高级权限账号,按照要求这些账号应该被禁用或者删除的,这一项就是检查业务系统当中是否存在可以登录的默认账号 |
这一项测评公司会写:业务系统中不存在默认出厂的账号,所有用户不存在与默认口令相同的账号。 |
| 应及时删除或停用多余的、过期的账户,避免共享账户的存在 |
这一项主要说的是当有员工离职时是否有及时删除相对应的账号,是否存在测试账号未删除的情况,是否有多个用户共享使用一个账号的情况等,这一项基本都可以满足 |
这一项测评公司会写:已通过组织架构和业务系统账号对应,未发现有多余未删除用户账号以及不存在有共享账户。 |
| 应授予管理用户所需的最小权限,实现管理用户的权限分离 |
这一项主要管控的是业务系统中用户的权限是否设置的最小权限,简单来说就是每个人只能打开自己的页面做自己的事情不能干预别人的,这一项基本上也都可以满足 |
这一项测评公司会写:业务系统每个账户都是选用最小权限账户。 |
| 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级 |
这一项主要是针对业务系统中账号的权限做到最小粒度的限制,比如只能操作某个数据库的某个表的权限,这一项基本上也没有查的那么严格大部分都可以满足 |
这一项测评公司会写:用户账号的访问控制已达到最小粒度的限制,业务系统普通账号仅浏览部分页面的内容。 |
| 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问 |
这一项主要是针对主体和客体是否设置安全标记,这个我也整不太明白,我看大部分业务系统都不满足这一条,可能这一条弄得比较科幻 |
这一项测评公司会写:业务系统未对重要主体和客体设置安全标记,未实现通过安全标记控制主体对客体的访问 |
安全审计
| 要求项 |
攻略 |
测评结果 |
| 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 |
这一项主要说的是能不能对用户所登录的业务系统以及设备进行审计,其实就类似于堡垒机的这样一个审计的手段,一方面是要对用户的操作行为进行记录,另一方面就是对用户所有操作的行为进行审计,避免违规操作 |
这一项测评公司会写:部署了安全审计系统,并对所有用户的操作行为进行审计以及对安全事件进行记录 |
| 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 |
这一项主要是对审计记录进行了一些规范和要求,审计的相关记录必须要有日期、事件、操作用户、事件类型、是否成功等等 |
这一项测评公司会写:部署了安全审计系统,日志内容包含事件发生时间、事件的操作、操作用户、是否成功等内容 |
| 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等 |
这一项主要是对审计记录的保存时间、备份等做的一些保护,一般要求审计记录要求保留半年左右才能删除,而且要定期对审计记录进行备份 |
这一项测评公司会写:部署了安全审计系统,日志设置保留时间为180天,并每天对日志进行增量备份 |
| 应对审计进程进行保护,防止未经授权的中断 |
这一项主要是针对普通用户是否可以关掉审计或者查看审计记录等,这一项最主要的就是怕普通用户自行把审计关掉无法对该用户进行审计 |
这一项测评公司会写:部署了安全审计系统,并且设置了审计管理员,非管理员用户无法查看审计内容以及关闭审计进程 |
入侵防范
| 要求项 |
攻略 |
测评结果 |
| 应遵循最小安装的原则,仅安装需要的组件和应用程序 |
这一项主要是针用户的业务主机上面是否有部署非用于此业务系统的应用程序或者组件之类的,基本上都可以满足,有些是有一台主机上面部署了多个应用的那种,就需要注意了 |
这一项测评公司会写:业务系统所涉及的主机上面仅安装了该业务系统相关的应用程序 |
| 应关闭不需要的系统服务、默认共享和高危端口 |
这一项就很简单了就是把不使用的端口或者高危端口进行封禁就可以了,常见的高危端口有135、137、138等,这些端口禁掉基本问题不大 |
这一项测评公司会写:业务系统前端配置有防火墙,所涉及主机关闭了所不需要的系统服务,并对135、137、138等高危端口进行了封禁 |
| 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制 |
这一项主要是看对运维管理终端是否有做网络限制,一般有防火墙配置ACL限制或者路由限制就可以了 |
这一项测评公司会写:业务主机部署在防火墙的DMZ区域,并对访问服务器做了详细的路由限制 |
| 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设 定要求 |
这一项主要是针对业务系统在上传、下载、传输数据进行校验,避免发生XSS、SQL注入等一些风险,这个一般有防火墙都会开启WEB应用防护功能 |
这一项测评公司会写:客户测部署有防火墙,在防火墙测对上传、下载、传输等数据进行了过滤限制以及对数据进行校验 |
| 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞 |
这一项主要是针对漏洞做的一项条目,是要看看你有没有定期对业务系统所涉及的一些设备或系统及时的进行漏洞修补,这个一般测评公司会拿漏洞扫描扫一遍 |
这一项测评公司会写:机房内部署有漏洞扫描设备,定期对业务系统进行漏洞扫描,发现系漏洞进行评估修复 |
| 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警 |
这一项主要是看有没有部署入侵检测设备,能不能在出现有入侵时进行及时的报警,并拦截记录入侵行为 |
这一项测评公司会写:机房内部署有防火墙,并开启了入侵防御功能,可有效对入侵行为进行报警和拦截 |
恶意代码防范
| 要求项 |
攻略 |
测评结果 |
| 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其 有效阻断。 |
这一项主要是看看有没有防范恶意代码攻击的手段或者设备,来有效阻断恶意代码攻击,一般部署web应用防护设备基本上都有这个防护功能 |
这一项测评公司会写:机房内部署有web应用防护设备,可有效链接XSS、SQL注入等一些恶意代码攻击的风险 |
可信验证
| 要求项 |
攻略 |
测评结果 |
| 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
这一项是针对可信性做的要求,这个解释起来比较繁琐并且不太容易让人理解,说简单点就是你的通信设备要具有可信性的芯片或者硬件,这个一般测评公司都看可信性报告,来评判是否符合 |
这一项测评公司会写:通信设备具有可信性报告,并且可以对可信性进行验证 |
数据完整性
| 要求项 |
攻略 |
测评结果 |
| 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重 要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等 |
这一项是针对是否有相关手段做到在数据传输的过程中校验数据的完整性和安全性,一般网站配置有SSL证书或者采用VPN的形式就可以满足这个要求,远程管理采用RDP或者SSH协议进行远程管理 |
这一项测评公司会写:业务系统通过HTTPS协议、服务器通过RDP/SSH进行远程管理可以保证重要数据在传输过程中的完整性 |
数据保密性
| 要求项 |
攻略 |
测评结果 |
| 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据 和重要个人信息等; |
这一项和数据完整性类似只要采用了HTTPS、SSL或者VPN就可以满足此条目 |
这一项测评公司会写:业务系统通过HTTPS协议进行访问,保障重要数据在传输过程中的保密性 |
数据备份恢复
| 要求项 |
攻略 |
测评结果 |
| 应提供重要数据的本地数据备份与恢复功能 |
这一项主要是说的要对重要数据在本地有备份,并且在数据出现丢失或者系统故障时可以对备份进行恢复,这一条基本上都可以满足的,最次了可以拿块硬盘做个定期复制数据到硬盘也算备份 |
这一项测评公司会写:业务系统采用备份一体机设备对现有业务系统进行备份,并且可在业务系统故障或数据丢失时对数据进行恢复 |
| 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地 |
这一项主要是说的要有异地副本的备份,更类似与两地三中心的这种概念,这个都是没有强制要求必须要在异地有个资源中心,但是需要有一个实时备份到异地的机制,最常用的就是云备份的形式 |
这一项测评公司会写:业务系统采用云备份的方式对当前数据中心的重要数据进行实时备份 |
| 应提供重要数据处理系统的热冗余,保证系统的高可用性 |
这一项就是说的当业务系统宕机时有另外的一套相同的业务系统进行提供访问,类似于数据库的双活,这也是为了保障重要业务的高可用性 |
这一项测评公司会写:业务系统采用异地容灾的形式提供高可用服务 |
剩余信息保护
| 要求项 |
攻略 |
测评结果 |
| 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除 |
这一项主要是说是当用户退出登录时应及时清除虚拟内存中数据,很多测评公司都会看有没有在操作系统中配置关机自动清除虚拟内存中的数据,一般根据配置配一下就可以了 |
这一项测评公司会写:未对及时清除会话信息 |
个人信息保护
| 要求项 |
攻略 |
测评结果 |
| 应仅采集和保存业务必需的用户个人信息 |
这一项主要说的是只对用户的必要信息进行保存,非比较信息不进行保存,比如身份证号、手机号等等一些隐私信息,基本上就可以满足的 |
这一项测评公司会写:仅采集和保存业务必需的用户个人信息 |
| 应禁止未授权访问和非法使用用户个人信息 |
这一项主要是说的要对用户的个人信息进行加密保存,不能通过查询数据库的方式看到用户的隐私信息 |
这一项测评公司会写:用户个人信息未进行加密存储,数据库管理员可通过数据库直接查看用户个人信息 |
以上就是关于等保测评安全计算环境的测评攻略,大家有没有发现越往后检查项越是类似的,基本上都是从架构-访问控制-入侵检测-审计-可信验证,这几方面来说的,往后除了机房管理条例之外,剩下的都大差不差的了
