請百度搜索安徽米陽智能科技有限公司關鍵詞找到我們!

熱點推薦詞:

輕松過等保三級(安全計算環境)

引 言



等級保護制度,作為我國網絡安全領域的基本國策、基本制度和基本要求,不僅是企業可持續發展的重要保障,更是我國成為網絡強國在新時代、新態勢下網絡安全“風向標”。等級保護2.0更是在《中華人民共和國網絡安全法》正式施行后的熱門話題。眾所周知,等級保護2.0標準已于2019年5月13日正式發布,2019年12月1日正式施行,這意味著“沒有網絡安全就沒有國家安全”的理念踐行已經正式走上了施行的階段。

在網絡安全等級保護2.0正式發布這一年內,能夠感受到眾多企業已經開始著手進行等級保護的建設工作,為避免企業走更多的彎路,所以希望通過等級保護建設文章連載,對等級保護2.0網絡安全建設的一些關鍵點進行闡述,幫助企業更好的開展網絡安全等級保護建設工作。等級保護2.0相比等級保護1.0 ,在技術要求結構發生了很大的調整,從原來的物理安全、網絡安全、主機安全、應用安全、數據安全演變成安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心。
 

圖  1 等級保護1.0&等級保護2.0技術要求架構

在這個技術要求演變中,變化最大之一就是安全計算環境,因為在等級保護2.0中,安全計算環境包含了等級保護1.0中的主機安全、數據安全和應用安全這三個重要的部分。所以我們首先來對安全計算環境等保建設中如何抓住其關鍵點,達到等保2.0的最基本要求進行描述。
 

圖  2 安全計算環境等保1.0與等保2.0的要求對應關系


等級保護建設關鍵點



在企業中,一般被定級為等級保護三級系統比較多,所以本文章以三級做為標準進行描述。

身份鑒別


在身份鑒別的要求中,共包括了四個控制點,如下圖所示:



關鍵點一:弱口令、空口令修改

在身份鑒別這部分要求中,要保證所有的網絡設備、安全設備、重要服務器、數據庫服務器、應用業務系統等這些關鍵設備和業務系統不存在弱口令、空口令賬戶登錄情況。一般采用手動加固的方式,對各類設備的賬號進行口令的調整,這是最基礎性的要求。

關鍵點二:采用雙因子認證登錄

在保證無弱口令和空口令的前提下,對于重要的設備,如核心的網絡設備,核心的服務器,與企業息息相關的核心業務系統都需要采用雙因子認證方式登錄,尤其是針對核心業務應用系統,采用基本的用戶名/口令是無法達到要求的。比較常用的做法是采用令牌、智能卡、生物指紋、虹膜識別、人臉識別等技術。

關鍵點三:遠程管理嚴格管控

對于遠程管理維護的操作時,需要關注2個關鍵點:

1) 采用雙因子認證的方式;

2) 采取傳輸信息加密的方式確保鑒別信息的保密性。

一般建議通過部署堡壘機來實現雙因子認證和傳輸信息的加密。市場上常見品牌的堡壘機都支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等遠程維護方式。

訪問控制


在訪問控制的要求中,共包括7個控制點,如下圖:
 


關鍵點四:默認口令修改、默認用戶刪除

關于訪問控制中大部分的需求是針對于業務應用系統,對于非業務系統的網絡設備、主機設備、服務器設備等只需要進行默認賬戶刪除、修改默認口令、無法通過默認賬戶以及默認口令登錄就可以滿足最基本的要求。

關鍵點五:強制訪問控制與自主訪問控制

很多業務應用系統,現階段很難達到等級保護訪問控制的基本要求,很多業務應用系統的訪問控制策略存在缺陷,可越權訪問系統功能模塊或查看、操作其他用戶的數據。如存在平行權限漏洞,低權限用戶越權訪問高權限功能模塊等。而應用系統又很難進行更改,尤其是在一些特殊領域,如工業領域,很難對其應用系統進行訪問控制策略的優化。所以采用的解決方式是盡量降低風險即可,建議做法如下:

1)將承載關鍵業務系統的服務器進行單獨區域劃分,部署第二代防火墻類設備進行邊界隔離,對訪問行為進行深層次過濾;

2)對承載關鍵業務系統的服務器,如有明確的管理制度不允許存在本地操作,則也可以相應降低風險;如無明確管理制度不允許本地操作,則需對本地的操作進行訪問控制, 一般部署終端管理類軟件或主機加固訪問控制類軟件利用內置的安全模型進行對訪問行為的控制,常見的安全模型一般有BLP,BIBA,RBAC等;

3)對承載關鍵業務系統的訪問進行控制策略的優化,針對于遠程的操作進行訪問控制策略控制,部署堡壘機對用戶行為進行訪問控制。

安全審計


安全審計的控制項中,主要包括四個控制點,如下圖: 



安全審計,在安全計算環境中主要是對日志進行記錄并審計。日志審計無論是《網絡安全法》、《信息安全技術 網絡安全等級保護基本要求》中都有明確的要求,所以無論是針對于設備的日志審計(包括重要核心網絡設備、安全設備、操作系統、數據庫等),還是對于業務應用系統(包括前端系統和后臺管理系統)都必須要求能夠對日志進行記錄。如缺失對重要的用戶行為和重要安全事件的審計,則肯定無法通過等級保護測評的。

關鍵點六:日志記錄滿足要求

   建議在網絡設備、安全設備、主機/服務器操作系統、數據庫系統、業務應用系統性能允許的前提下,開啟用戶操作類和安全事件類審計策略。大多情況下使用第三方日志審計系統,日志審計系統除進行日志記錄收集外,還應對日志進行關聯分析,進一步分析可能存在的安全風險。

入侵防范


入侵防范控制項中,共包括六個控制點。如下圖:


 
關鍵點七:關閉不需要的系統服務、默認共享和高危端口

網絡中的網絡設備、安全設備、主機/服務器操作系統、數據庫系統和業務應用系統等存在的多余系統服務/默認共享/高危端口必須要關閉。同時建議在既有業務中使用默認共享服務的,盡量切換到其他服務。

關鍵點八:管理終端、管理用戶嚴格管控

與關鍵點三類似,需要對遠程管理的用戶以及管理維護所使用的終端進行管控,一般采用堡壘機類產品進行管控。但如有專門的運維管理區,管理運維終端是也是固定的,同時管理運維終端對運維用戶采用雙因子身份鑒別的方式,也可以達到對管理終端以及管理用戶嚴格管控的效果,滿足等級保護在這條控制點的基本要求。

關鍵點九:盡快修補已知、嚴重的系統漏洞

對于一些互聯網直接能夠訪問到的網絡設備、安全設備、主機/服務器操作系統、數據庫系統、業務應用系統等要盡快修補已在公開渠道披露的重大漏洞。尤其是業務應用系統,現階段針對應用系統的SQL注入、跨站腳本等均為高風險漏洞,都會對業務應用系統正常運行造成嚴重后果。

如果確實不具備漏洞修復能力的情況下,一般通過部署WAF類產品進行降低風險處理。

惡意代碼防范


惡意代碼防范控制項中只有一個控制點,如下圖:


 
關鍵點十:做好惡意代碼防范工作

這個控制點非常好理解,顧名思義保證網絡內Windows操作系統的主機/服務器不被惡意代碼攻擊,但需要注意的是:1)需要安裝反病毒軟件  2)反病毒軟件需要及時更新病毒庫,病毒庫應至少保證半個月更新一次 3)如果是相對封閉的網絡,如工業控制系統,則需要安裝白名單類軟件進行惡意代碼防范。

數據完整性、數據保密性


數據完整性和數據保密性主要是針對業務應用系統,具體包括如下基本要求: