请百度搜索安徽米阳智能科技有限公司关键词找到我们!

热点推荐词:

轻松过等保三级(安全计算环境)

轻松过等保三级(安全计算环境)

文字:[大][中][小] 手机页面二维码 2020/7/31     浏览次数:    

引 言



等级保护制度,作为我国网络安全领域的基本国策、基本制度和基本要求,不仅是企业可持续发展的重要保障,更是我国成为网络强国在新时代、新态势下网络安全“风向标”。等级保护2.0更是在《中华人民共和国网络安全法》正式施行后的热门话题。众所周知,等级保护2.0标准已于2019年5月13日正式发布,2019年12月1日正式施行,这意味着“没有网络安全就没有国家安全”的理念践行已经正式走上了施行的阶段。

在网络安全等级保护2.0正式发布这一年内,能够感受到众多企业已经开始着手进行等级保护的建设工作,为避免企业走更多的弯路,所以希望通过等级保护建设文章连载,对等级保护2.0网络安全建设的一些关键点进行阐述,帮助企业更好的开展网络安全等级保护建设工作。等级保护2.0相比等级保护1.0 ,在技术要求结构发生了很大的调整,从原来的物理安全、网络安全、主机安全、应用安全、数据安全演变成安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。
 

图  1 等级保护1.0&等级保护2.0技术要求架构

在这个技术要求演变中,变化最大之一就是安全计算环境,因为在等级保护2.0中,安全计算环境包含了等级保护1.0中的主机安全、数据安全和应用安全这三个重要的部分。所以我们首先来对安全计算环境等保建设中如何抓住其关键点,达到等保2.0的最基本要求进行描述。
 

图  2 安全计算环境等保1.0与等保2.0的要求对应关系


等级保护建设关键点



在企业中,一般被定级为等级保护三级系统比较多,所以本文章以三级做为标准进行描述。

身份鉴别


在身份鉴别的要求中,共包括了四个控制点,如下图所示:



关键点一:弱口令、空口令修改

在身份鉴别这部分要求中,要保证所有的网络设备、安全设备、重要服务器、数据库服务器、应用业务系统等这些关键设备和业务系统不存在弱口令、空口令账户登录情况。一般采用手动加固的方式,对各类设备的账号进行口令的调整,这是最基础性的要求。

关键点二:采用双因子认证登录

在保证无弱口令和空口令的前提下,对于重要的设备,如核心的网络设备,核心的服务器,与企业息息相关的核心业务系统都需要采用双因子认证方式登录,尤其是针对核心业务应用系统,采用基本的用户名/口令是无法达到要求的。比较常用的做法是采用令牌、智能卡、生物指纹、虹膜识别、人脸识别等技术。

关键点三:远程管理严格管控

对于远程管理维护的操作时,需要关注2个关键点:

1) 采用双因子认证的方式;

2) 采取传输信息加密的方式确保鉴别信息的保密性。

一般建议通过部署堡垒机来实现双因子认证和传输信息的加密。市场上常见品牌的堡垒机都支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等远程维护方式。

访问控制


在访问控制的要求中,共包括7个控制点,如下图:
 


关键点四:默认口令修改、默认用户删除

关于访问控制中大部分的需求是针对于业务应用系统,对于非业务系统的网络设备、主机设备、服务器设备等只需要进行默认账户删除、修改默认口令、无法通过默认账户以及默认口令登录就可以满足最基本的要求。

关键点五:强制访问控制与自主访问控制

很多业务应用系统,现阶段很难达到等级保护访问控制的基本要求,很多业务应用系统的访问控制策略存在缺陷,可越权访问系统功能模块或查看、操作其他用户的数据。如存在平行权限漏洞,低权限用户越权访问高权限功能模块等。而应用系统又很难进行更改,尤其是在一些特殊领域,如工业领域,很难对其应用系统进行访问控制策略的优化。所以采用的解决方式是尽量降低风险即可,建议做法如下:

1)将承载关键业务系统的服务器进行单独区域划分,部署第二代防火墙类设备进行边界隔离,对访问行为进行深层次过滤;

2)对承载关键业务系统的服务器,如有明确的管理制度不允许存在本地操作,则也可以相应降低风险;如无明确管理制度不允许本地操作,则需对本地的操作进行访问控制, 一般部署终端管理类软件或主机加固访问控制类软件利用内置的安全模型进行对访问行为的控制,常见的安全模型一般有BLP,BIBA,RBAC等;

3)对承载关键业务系统的访问进行控制策略的优化,针对于远程的操作进行访问控制策略控制,部署堡垒机对用户行为进行访问控制。

安全审计


安全审计的控制项中,主要包括四个控制点,如下图: 



安全审计,在安全计算环境中主要是对日志进行记录并审计。日志审计无论是《网络安全法》、《信息安全技术 网络安全等级保护基本要求》中都有明确的要求,所以无论是针对于设备的日志审计(包括重要核心网络设备、安全设备、操作系统、数据库等),还是对于业务应用系统(包括前端系统和后台管理系统)都必须要求能够对日志进行记录。如缺失对重要的用户行为和重要安全事件的审计,则肯定无法通过等级保护测评的。

关键点六:日志记录满足要求

   建议在网络设备、安全设备、主机/服务器操作系统、数据库系统、业务应用系统性能允许的前提下,开启用户操作类和安全事件类审计策略。大多情况下使用第三方日志审计系统,日志审计系统除进行日志记录收集外,还应对日志进行关联分析,进一步分析可能存在的安全风险。

入侵防范


入侵防范控制项中,共包括六个控制点。如下图:


 
关键点七:关闭不需要的系统服务、默认共享和高危端口

网络中的网络设备、安全设备、主机/服务器操作系统、数据库系统和业务应用系统等存在的多余系统服务/默认共享/高危端口必须要关闭。同时建议在既有业务中使用默认共享服务的,尽量切换到其他服务。

关键点八:管理终端、管理用户严格管控

与关键点三类似,需要对远程管理的用户以及管理维护所使用的终端进行管控,一般采用堡垒机类产品进行管控。但如有专门的运维管理区,管理运维终端是也是固定的,同时管理运维终端对运维用户采用双因子身份鉴别的方式,也可以达到对管理终端以及管理用户严格管控的效果,满足等级保护在这条控制点的基本要求。

关键点九:尽快修补已知、严重的系统漏洞

对于一些互联网直接能够访问到的网络设备、安全设备、主机/服务器操作系统、数据库系统、业务应用系统等要尽快修补已在公开渠道披露的重大漏洞。尤其是业务应用系统,现阶段针对应用系统的SQL注入、跨站脚本等均为高风险漏洞,都会对业务应用系统正常运行造成严重后果。

如果确实不具备漏洞修复能力的情况下,一般通过部署WAF类产品进行降低风险处理。

恶意代码防范


恶意代码防范控制项中只有一个控制点,如下图:


 
关键点十:做好恶意代码防范工作

这个控制点非常好理解,顾名思义保证网络内Windows操作系统的主机/服务器不被恶意代码攻击,但需要注意的是:1)需要安装反病毒软件  2)反病毒软件需要及时更新病毒库,病毒库应至少保证半个月更新一次 3)如果是相对封闭的网络,如工业控制系统,则需要安装白名单类软件进行恶意代码防范。

数据完整性、数据保密性


数据完整性和数据保密性主要是针对业务应用系统,具体包括如下基本要求: