等級(jí)保護(hù)測(cè)評(píng)主要為【技術(shù)】和【管理】?jī)纱箢悳y(cè)評(píng)
管理方面的要求
參考標(biāo)準(zhǔn)文件的要求即可:
《信息系統(tǒng)安全管理要求》GB/T 20269-2006
《信息系統(tǒng)安全工程管理要求》GB/T 20282-2006
技術(shù)方面的要求:
技術(shù)方面的要求分為:物理安全,網(wǎng)路安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全以及備份恢復(fù)。
物理安全:主要涉及機(jī)房安全,機(jī)房位置,機(jī)房其他配套和弱電防盜防雷防電磁設(shè)施。
網(wǎng)絡(luò)安全:機(jī)房網(wǎng)絡(luò)設(shè)備、安全設(shè)備,以及網(wǎng)絡(luò)設(shè)備的相關(guān)配置。
主機(jī)安全:應(yīng)用所在操作系統(tǒng)安全,主要是操作系統(tǒng)基線配置。
應(yīng)用安全:業(yè)務(wù)應(yīng)用安全相關(guān)措施,主要還是B/S或C/S模式為主(即瀏覽器-服務(wù)器 客戶端-服務(wù)器)。
數(shù)據(jù)安全以及備份恢復(fù):是否有異地備份,備份線路以及備份還原數(shù)據(jù)是否可靠等。
等級(jí)保護(hù)測(cè)評(píng)技術(shù)部分詳細(xì)條目
1:對(duì)機(jī)房建設(shè)有一定了解,熟悉一些機(jī)房建設(shè)標(biāo)準(zhǔn)。
2:熟悉2-3個(gè)速通廠家網(wǎng)絡(luò)設(shè)備配置,以及2-3安全廠家網(wǎng)絡(luò)設(shè)備配置。
3:熟悉至少2種操作系統(tǒng)基線配置,centos(redhat)、debian、freebsd、solaris、windows server4:懂的應(yīng)用抓包 burp suite 或wireshark之類工具以及基本使用。
5:了解一些主流軟件開發(fā)語言以及中間件(apache iis nginx ) 數(shù)據(jù)庫(mssql mysql oracle)等
物理安全 技術(shù)要求:
物理位置的選擇
a)機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi); 目前機(jī)房是否具備防震,防風(fēng)和防雨是否在建筑內(nèi)。
b)機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。 字面意思,機(jī)房位置不建議超過5層,這就是普遍云計(jì)算數(shù)據(jù)中心等,樓房一般不會(huì)太高的原因,怕震。注意防滲水。 三級(jí)要求
物理訪問控制
a)機(jī)房出入口應(yīng)安排專人值守,控制、鑒別和記錄進(jìn)入的人員 字面意思,進(jìn)出機(jī)房有專人值守,識(shí)別如指紋密碼識(shí)別等,進(jìn)出機(jī)房需登記,一般為紙質(zhì)記錄 一般都合格,很多單位缺失可能是文檔記錄和門禁建議補(bǔ)充。
b)需進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程,并限制和監(jiān)控其活動(dòng)范圍; 外人來訪需要有審批流程,如進(jìn)出入介紹信,身份證登記等,進(jìn)入機(jī)房需有人陪同,和規(guī)范作業(yè)范圍 一般情況不符合,主要是沒人約束具體行為,或沒有審批文檔,確認(rèn)身份流程。
c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理,區(qū)域和區(qū)域之間設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域; 機(jī)房要求有過度區(qū)域,服務(wù)器區(qū)域,托管區(qū)域,有存在物理上劃分區(qū)域即為符合,到其他區(qū)域最好有門禁。
d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進(jìn)入的人員。 需要有門禁系統(tǒng),并對(duì)進(jìn)入門禁系統(tǒng)的人員進(jìn)行識(shí)別、控制和記錄的功能。
防盜竊和防破壞
a)應(yīng)將主要設(shè)備放置在機(jī)房?jī)?nèi); 字面意思,主要服務(wù)器,網(wǎng)絡(luò)設(shè)備在機(jī)房范圍內(nèi)。
b)應(yīng)將設(shè)備或主要部件進(jìn)行固定,并設(shè)置明顯的不易除去的標(biāo)記; 標(biāo)識(shí)設(shè)備,如網(wǎng)絡(luò)設(shè)備、網(wǎng)線、服務(wù)器IP,名稱,業(yè)務(wù)用途,負(fù)責(zé)人聯(lián)系方式等。
c)應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中; 如網(wǎng)絡(luò)線纜走橋架(高空),電力線纜走地板下。線纜不暴露在地板上。
d)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí),存儲(chǔ)在介質(zhì)庫或檔案室中; 如不使用存儲(chǔ)介質(zhì)為不適用項(xiàng)目,少數(shù)機(jī)房會(huì)使用U盤,光盤等需要固定地點(diǎn)存檔和標(biāo)識(shí)。
e)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng); 需要光感,電感防盜報(bào)警,(如電磁防盜門 光感報(bào)警照相等)具體了解安防設(shè)備,不贅述。 一般情況為不符合,可能有監(jiān)控,門禁。
f)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 當(dāng)機(jī)房有人出入時(shí),有自動(dòng)記錄、拍照?qǐng)?bào)警等。
防雷擊
a)機(jī)房建筑應(yīng)設(shè)置避雷裝置; 機(jī)房建筑是否有避雷針,或其他避雷措施。
b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷; 防雷安保器,感應(yīng)雷其實(shí)講的是非雷電直接擊中設(shè)備造成的其他影響。
c)機(jī)房應(yīng)設(shè)置交流電源地線。 確認(rèn)設(shè)備機(jī)柜是否有接地線,以及是否有設(shè)備漏電的情況,機(jī)房電源是否有接地線。
防火
a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng),能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警,并自動(dòng)滅火; 火感,煙感設(shè)備,是否有自動(dòng)滅火系統(tǒng),是否有配備滅火器,滅火器氣壓是否正常。
b)機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料; 機(jī)房需采用防火靜電地板,防火門等。
c)機(jī)房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。
防水和防潮
a)水管安裝,不得穿過機(jī)房屋頂和活動(dòng)地板下; 不能有水管或者滲水通過機(jī)房。
b)應(yīng)采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透; 機(jī)房墻壁,機(jī)柜,窗戶,地板不能有潮濕,滲水情況。
c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透; 最好有控制濕度或干燥設(shè)備等。
d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件,對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警。 有針對(duì)出現(xiàn)水滲透情況,進(jìn)行檢測(cè)報(bào)警的相關(guān)設(shè)備。
防靜電
基本要求 解讀 備注 a)主要設(shè)備應(yīng)采用必要的接地防靜電措施; 機(jī)柜是否為防靜電,設(shè)備是否有接地線 。
b)機(jī)房應(yīng)采用防靜電地板。 字面意思,機(jī)房不能直接在瓷磚、木地板上,最好有防靜電地板。
溫濕度控制
基本要求 解讀 備注 機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施,使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。
機(jī)房標(biāo)準(zhǔn)有A、B、C三類機(jī)房。針對(duì)溫濕度:
A類和B類機(jī)房要求一樣,溫度都是23±1℃,濕度為40%~55% 。
C類機(jī)房的溫度為18~28℃,濕度35%~75%。。
電力供應(yīng)
a)應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備; 需要有UPS設(shè)備,過壓防護(hù)設(shè)備。
b)應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求; 斷電后UPS至少能工作一小時(shí)以上,或保證機(jī)房設(shè)備能有備用發(fā)電設(shè)備也可。
c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電; 至少兩種市級(jí)供電線路,斷電自動(dòng)切換(毫秒級(jí))。
d)應(yīng)建立備用供電系統(tǒng)。 除UPS電池之外,還需要有備用發(fā)電機(jī)發(fā)電。
電磁防護(hù)
a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾; 有防電磁干擾和寄生耦合干擾措施,各種供電線路和通信線纜 和服務(wù)器相關(guān)設(shè)備不能太近。
b)電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾; 供電線路和通信線纜分開鋪設(shè),如橋架(高空)走通信線纜 地板下走供電線路。
c)應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。
網(wǎng)絡(luò)安全 技術(shù)要求:
PS:是等級(jí)保護(hù)重要的權(quán)重部分,也是可以較多整改的部分。本部分涉及到很多設(shè)備配置查看和識(shí)別以下會(huì)簡(jiǎn)稱為(參考設(shè)備配置手冊(cè))
結(jié)構(gòu)安全
a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要; 看網(wǎng)絡(luò)設(shè)備負(fù)載冗余,一般情況80%利用率以下為符合 。
b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要; 寬帶冗余。
c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑; 采用靜態(tài)路由。
d)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖; 字面。意思,需要有當(dāng)前網(wǎng)絡(luò)布局的拓?fù)鋱D,并根據(jù)實(shí)際情況更新。
e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段; 訪談網(wǎng)絡(luò)管理員,是否依據(jù)部門的工作職能、重要性和應(yīng)用系統(tǒng)的級(jí)別劃分了不同的VLAN或子網(wǎng)。
f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段; 各個(gè)網(wǎng)段VLAN 之間三層設(shè)備是否配置ACL 來控制訪問。
g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要主機(jī)。
訪問控制
a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能; 網(wǎng)絡(luò)邊界的防護(hù)設(shè)備,如防火墻之類。
b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級(jí); 策略精細(xì)控制到端口級(jí)。
c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制; 對(duì)HTTP、FTP、TELNET等協(xié)議的通信默認(rèn)端口進(jìn)行限制即可,稍微好一些的下一代的防火墻可以只禁止協(xié)議訪問。
d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接; 字面意思,講的其實(shí)是網(wǎng)絡(luò)連接上的超時(shí)時(shí)間,當(dāng)網(wǎng)絡(luò)連接不活躍時(shí)有自動(dòng)斷開連接的功能,也包括登陸網(wǎng)絡(luò)設(shè)備不操作的超時(shí)時(shí)間。
e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù); 兩個(gè)方面,最大流量上下行限制,以及網(wǎng)絡(luò)最大并發(fā)鏈接數(shù)限制。
f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙; 其實(shí)就是MAC 綁定IP的操作,防止ARP地址欺騙。省事的辦法還有防ARP的防火墻。
g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問,控制粒度為單個(gè)用戶;
1:對(duì)于遠(yuǎn)程撥號(hào)用戶,需要有用戶認(rèn)證功能。(校園網(wǎng)撥號(hào)上網(wǎng))
2:對(duì)于直接插網(wǎng)線能上網(wǎng)用戶,簡(jiǎn)單方式用上網(wǎng)行為管理。
h)應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。
1:遠(yuǎn)程撥號(hào)用戶是否有最大用戶數(shù)量限制。
2:直接上網(wǎng)用戶在網(wǎng)關(guān)是否有最大IP/鏈接限制。
安全審計(jì)
a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄; 網(wǎng)絡(luò)設(shè)備需要啟用日志功能,輸出日志到其他地方也好,單機(jī)保存。
b)審計(jì)記錄應(yīng)包括:事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息; 網(wǎng)絡(luò)設(shè)備的日志審計(jì)內(nèi)容需要記錄時(shí)間、類型、用戶、事件類型、事件是否成功失敗等。
c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;
能夠?qū)⑷罩緦?dǎo)出,分析,形成報(bào)告。寬松點(diǎn)的評(píng)測(cè)你其他方式導(dǎo)出也行。
d)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),避免受到未預(yù)期的刪除、修改或覆蓋等。
一般管理賬戶或普通用戶不能修改,刪除,覆蓋相關(guān)日志,僅超級(jí)管理權(quán)限可以修改。嚴(yán)格的要求是任何賬戶不可修改。
邊界完整性檢查
a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查, 準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷。
b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷。
入侵防范
a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等; 針對(duì)這幾種類型攻擊需要有入侵檢測(cè)設(shè)備,一般有IPS就可以滿足,也有帶有IPS功能下一代防火墻,下一代防火墻跟單獨(dú)IPS相比,一般情況IPS單口可走網(wǎng)絡(luò)流量較高。
b)當(dāng)檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間,在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。 IPS上的一個(gè)日志和告警功能,能夠記錄“攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間”跟網(wǎng)絡(luò)安全層面的日志要求類似。。
惡意代碼防范
a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除;
惡意代碼有兩種,傳統(tǒng)主機(jī)病毒 可執(zhí)行類病毒。如后綴為EXE 、BAT、VBS、VBE、JS、JSE、WSH、WSF等 這類需要在網(wǎng)絡(luò)邊界部署防毒墻。
還有一種是腳本病毒一般所說的WEBSHELL類型 上傳ASPX.PHP.JSP 的腳本類型。這類需要在網(wǎng)絡(luò)邊界部署web防火墻 (也稱為:網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文:Web Application Firewall,簡(jiǎn)稱: WAF)。 b)應(yīng)維護(hù)惡意代碼庫的升級(jí)和檢測(cè)系統(tǒng)的更新。
同上解釋,病毒墻和WAF需要定期升級(jí)特征庫。
身份訪問控制
a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別; 網(wǎng)絡(luò)設(shè)備口至少兩種密碼:一種是網(wǎng)絡(luò)訪問(SSH TELNET HTTPS)的密碼,另一種是直接接consle口的密碼,密碼不能為默認(rèn)。
b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制; 登陸訪問網(wǎng)絡(luò)設(shè)備的來源IP進(jìn)行限制。如管理IP192.168.1.100. 那么網(wǎng)絡(luò)設(shè)備只準(zhǔn)許這個(gè)IP登陸,其他IP則直接拒絕登陸。
c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一; 用戶名唯一性,不存在重復(fù)的用戶名。不能出現(xiàn)一個(gè)賬戶多人使用的情況。每個(gè)管理人員有自己唯一專屬的賬號(hào)。
d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別;一般說的雙因子認(rèn)證,就是除了賬戶密碼之外 需要有加密狗或短信驗(yàn)證或指紋類生物識(shí)別等其他驗(yàn)證方式來確定使用者身份的認(rèn)證方式。
e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;
1:口令復(fù)雜度 大小寫數(shù)字特殊符號(hào)的組合密碼8位以上
2:定期更換 2個(gè)月 3個(gè)月更換一次比較常見。
f)應(yīng)具有登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施; 如賬戶密碼輸入錯(cuò)誤 連續(xù)5次 鎖定賬戶 或IP地址 20分鐘 。防止暴力破解。
g)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽; 網(wǎng)絡(luò)設(shè)備訪問方式 基本就以下這些
加密:https ssh
明文:telnet consle aux http
特殊:gui 或其他客戶端模式
要求是只是用加密的訪問方式,https ssh
不加密的方式禁用掉,特殊的登陸方式有些加密有些不加密,需要用wireshark 抓包進(jìn)行觀察。
h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。
將一個(gè)超級(jí)用戶權(quán)限拆分成幾個(gè)用戶,每個(gè)用戶權(quán)限獨(dú)立互不干涉。按照要求一般需要三種賬戶:普通賬戶,審計(jì)/備份賬戶,配置更改賬戶。
(本文屬知識(shí)庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權(quán)歸原作者所有)