等級保護測評主要為【技術】和【管理】兩大類測評
管理方面的要求
參考標準文件的要求即可:
《信息系統(tǒng)安全管理要求》GB/T 20269-2006
《信息系統(tǒng)安全工程管理要求》GB/T 20282-2006
技術方面的要求:
技術方面的要求分為:物理安全,網(wǎng)路安全,主機安全,應用安全,數(shù)據(jù)安全以及備份恢復。
物理安全:主要涉及機房安全,機房位置,機房其他配套和弱電防盜防雷防電磁設施。
網(wǎng)絡安全:機房網(wǎng)絡設備、安全設備,以及網(wǎng)絡設備的相關配置。
主機安全:應用所在操作系統(tǒng)安全,主要是操作系統(tǒng)基線配置。
應用安全:業(yè)務應用安全相關措施,主要還是B/S或C/S模式為主(即瀏覽器-服務器 客戶端-服務器)。
數(shù)據(jù)安全以及備份恢復:是否有異地備份,備份線路以及備份還原數(shù)據(jù)是否可靠等。
等級保護測評技術部分詳細條目
1:對機房建設有一定了解,熟悉一些機房建設標準。
2:熟悉2-3個速通廠家網(wǎng)絡設備配置,以及2-3安全廠家網(wǎng)絡設備配置。
3:熟悉至少2種操作系統(tǒng)基線配置,centos(redhat)、debian、freebsd、solaris、windows server4:懂的應用抓包 burp suite 或wireshark之類工具以及基本使用。
5:了解一些主流軟件開發(fā)語言以及中間件(apache iis nginx ) 數(shù)據(jù)庫(mssql mysql oracle)等
物理安全 技術要求:
物理位置的選擇
a)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建筑內(nèi); 目前機房是否具備防震,防風和防雨是否在建筑內(nèi)。
b)機房場地應避免設在建筑物的高層或地下室,以及用水設備的下層或隔壁。 字面意思,機房位置不建議超過5層,這就是普遍云計算數(shù)據(jù)中心等,樓房一般不會太高的原因,怕震。注意防滲水。 三級要求
物理訪問控制
a)機房出入口應安排專人值守,控制、鑒別和記錄進入的人員 字面意思,進出機房有專人值守,識別如指紋密碼識別等,進出機房需登記,一般為紙質(zhì)記錄 一般都合格,很多單位缺失可能是文檔記錄和門禁建議補充。
b)需進入機房的來訪人員應經(jīng)過申請和審批流程,并限制和監(jiān)控其活動范圍; 外人來訪需要有審批流程,如進出入介紹信,身份證登記等,進入機房需有人陪同,和規(guī)范作業(yè)范圍 一般情況不符合,主要是沒人約束具體行為,或沒有審批文檔,確認身份流程。
c)應對機房劃分區(qū)域進行管理,區(qū)域和區(qū)域之間設置物理隔離裝置,在重要區(qū)域前設置交付或安裝等過渡區(qū)域; 機房要求有過度區(qū)域,服務器區(qū)域,托管區(qū)域,有存在物理上劃分區(qū)域即為符合,到其他區(qū)域最好有門禁。
d)重要區(qū)域應配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員。 需要有門禁系統(tǒng),并對進入門禁系統(tǒng)的人員進行識別、控制和記錄的功能。
防盜竊和防破壞
a)應將主要設備放置在機房內(nèi); 字面意思,主要服務器,網(wǎng)絡設備在機房范圍內(nèi)。
b)應將設備或主要部件進行固定,并設置明顯的不易除去的標記; 標識設備,如網(wǎng)絡設備、網(wǎng)線、服務器IP,名稱,業(yè)務用途,負責人聯(lián)系方式等。
c)應將通信線纜鋪設在隱蔽處,可鋪設在地下或管道中; 如網(wǎng)絡線纜走橋架(高空),電力線纜走地板下。線纜不暴露在地板上。
d)應對介質(zhì)分類標識,存儲在介質(zhì)庫或檔案室中; 如不使用存儲介質(zhì)為不適用項目,少數(shù)機房會使用U盤,光盤等需要固定地點存檔和標識。
e)應利用光、電等技術設置機房防盜報警系統(tǒng); 需要光感,電感防盜報警,(如電磁防盜門 光感報警照相等)具體了解安防設備,不贅述。 一般情況為不符合,可能有監(jiān)控,門禁。
f)應對機房設置監(jiān)控報警系統(tǒng)。 當機房有人出入時,有自動記錄、拍照報警等。
防雷擊
a)機房建筑應設置避雷裝置; 機房建筑是否有避雷針,或其他避雷措施。
b)應設置防雷保安器,防止感應雷; 防雷安保器,感應雷其實講的是非雷電直接擊中設備造成的其他影響。
c)機房應設置交流電源地線。 確認設備機柜是否有接地線,以及是否有設備漏電的情況,機房電源是否有接地線。
防火
a)機房應設置火災自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火; 火感,煙感設備,是否有自動滅火系統(tǒng),是否有配備滅火器,滅火器氣壓是否正常。
b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料; 機房需采用防火靜電地板,防火門等。
c)機房應采取區(qū)域隔離防火措施,將重要設備與其他設備隔離開。
防水和防潮
a)水管安裝,不得穿過機房屋頂和活動地板下; 不能有水管或者滲水通過機房。
b)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透; 機房墻壁,機柜,窗戶,地板不能有潮濕,滲水情況。
c)應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透; 最好有控制濕度或干燥設備等。
d)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。 有針對出現(xiàn)水滲透情況,進行檢測報警的相關設備。
防靜電
基本要求 解讀 備注 a)主要設備應采用必要的接地防靜電措施; 機柜是否為防靜電,設備是否有接地線 。
b)機房應采用防靜電地板。 字面意思,機房不能直接在瓷磚、木地板上,最好有防靜電地板。
溫濕度控制
基本要求 解讀 備注 機房應設置溫、濕度自動調(diào)節(jié)設施,使機房溫、濕度的變化在設備運行所允許的范圍之內(nèi)。
機房標準有A、B、C三類機房。針對溫濕度:
A類和B類機房要求一樣,溫度都是23±1℃,濕度為40%~55% 。
C類機房的溫度為18~28℃,濕度35%~75%。。
電力供應
a)應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備; 需要有UPS設備,過壓防護設備。
b)應提供短期的備用電力供應,至少滿足主要設備在斷電情況下的正常運行要求; 斷電后UPS至少能工作一小時以上,或保證機房設備能有備用發(fā)電設備也可。
c)應設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電; 至少兩種市級供電線路,斷電自動切換(毫秒級)。
d)應建立備用供電系統(tǒng)。 除UPS電池之外,還需要有備用發(fā)電機發(fā)電。
電磁防護
a)應采用接地方式防止外界電磁干擾和設備寄生耦合干擾; 有防電磁干擾和寄生耦合干擾措施,各種供電線路和通信線纜 和服務器相關設備不能太近。
b)電源線和通信線纜應隔離鋪設,避免互相干擾; 供電線路和通信線纜分開鋪設,如橋架(高空)走通信線纜 地板下走供電線路。
c)應對關鍵設備和磁介質(zhì)實施電磁屏蔽。
網(wǎng)絡安全 技術要求:
PS:是等級保護重要的權重部分,也是可以較多整改的部分。本部分涉及到很多設備配置查看和識別以下會簡稱為(參考設備配置手冊)
結(jié)構安全
a)應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間,滿足業(yè)務高峰期需要; 看網(wǎng)絡設備負載冗余,一般情況80%利用率以下為符合 。
b)應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要; 寬帶冗余。
c)應在業(yè)務終端與業(yè)務服務器之間進行路由控制建立安全的訪問路徑; 采用靜態(tài)路由。
d)應繪制與當前運行情況相符的網(wǎng)絡拓撲結(jié)構圖; 字面。意思,需要有當前網(wǎng)絡布局的拓撲圖,并根據(jù)實際情況更新。
e)應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段; 訪談網(wǎng)絡管理員,是否依據(jù)部門的工作職能、重要性和應用系統(tǒng)的級別劃分了不同的VLAN或子網(wǎng)。
f)應避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段; 各個網(wǎng)段VLAN 之間三層設備是否配置ACL 來控制訪問。
g)應按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要主機。
訪問控制
a)應在網(wǎng)絡邊界部署訪問控制設備,啟用訪問控制功能; 網(wǎng)絡邊界的防護設備,如防火墻之類。
b)應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級; 策略精細控制到端口級。
c)應對進出網(wǎng)絡的信息內(nèi)容進行過濾,實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制; 對HTTP、FTP、TELNET等協(xié)議的通信默認端口進行限制即可,稍微好一些的下一代的防火墻可以只禁止協(xié)議訪問。
d)應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接; 字面意思,講的其實是網(wǎng)絡連接上的超時時間,當網(wǎng)絡連接不活躍時有自動斷開連接的功能,也包括登陸網(wǎng)絡設備不操作的超時時間。
e)應限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù); 兩個方面,最大流量上下行限制,以及網(wǎng)絡最大并發(fā)鏈接數(shù)限制。
f)重要網(wǎng)段應采取技術手段防止地址欺騙; 其實就是MAC 綁定IP的操作,防止ARP地址欺騙。省事的辦法還有防ARP的防火墻。
g)應按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶;
1:對于遠程撥號用戶,需要有用戶認證功能。(校園網(wǎng)撥號上網(wǎng))
2:對于直接插網(wǎng)線能上網(wǎng)用戶,簡單方式用上網(wǎng)行為管理。
h)應限制具有撥號訪問權限的用戶數(shù)量。
1:遠程撥號用戶是否有最大用戶數(shù)量限制。
2:直接上網(wǎng)用戶在網(wǎng)關是否有最大IP/鏈接限制。
安全審計
a)應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄; 網(wǎng)絡設備需要啟用日志功能,輸出日志到其他地方也好,單機保存。
b)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息; 網(wǎng)絡設備的日志審計內(nèi)容需要記錄時間、類型、用戶、事件類型、事件是否成功失敗等。
c)應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
能夠?qū)⑷罩緦С觯治觯纬蓤蟾妗捤牲c的評測你其他方式導出也行。
d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。
一般管理賬戶或普通用戶不能修改,刪除,覆蓋相關日志,僅超級管理權限可以修改。嚴格的要求是任何賬戶不可修改。
邊界完整性檢查
a)應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查, 準確定出位置,并對其進行有效阻斷。
b) 應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查,準確定出位置,并對其進行有效阻斷。
入侵防范
a)應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等; 針對這幾種類型攻擊需要有入侵檢測設備,一般有IPS就可以滿足,也有帶有IPS功能下一代防火墻,下一代防火墻跟單獨IPS相比,一般情況IPS單口可走網(wǎng)絡流量較高。
b)當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警。 IPS上的一個日志和告警功能,能夠記錄“攻擊源IP、攻擊類型、攻擊目的、攻擊時間”跟網(wǎng)絡安全層面的日志要求類似。。
惡意代碼防范
a)應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除;
惡意代碼有兩種,傳統(tǒng)主機病毒 可執(zhí)行類病毒。如后綴為EXE 、BAT、VBS、VBE、JS、JSE、WSH、WSF等 這類需要在網(wǎng)絡邊界部署防毒墻。
還有一種是腳本病毒一般所說的WEBSHELL類型 上傳ASPX.PHP.JSP 的腳本類型。這類需要在網(wǎng)絡邊界部署web防火墻 (也稱為:網(wǎng)站應用級入侵防御系統(tǒng)。英文:Web Application Firewall,簡稱: WAF)。 b)應維護惡意代碼庫的升級和檢測系統(tǒng)的更新。
同上解釋,病毒墻和WAF需要定期升級特征庫。
身份訪問控制
a)應對登錄網(wǎng)絡設備的用戶進行身份鑒別; 網(wǎng)絡設備口至少兩種密碼:一種是網(wǎng)絡訪問(SSH TELNET HTTPS)的密碼,另一種是直接接consle口的密碼,密碼不能為默認。
b)應對網(wǎng)絡設備的管理員登錄地址進行限制; 登陸訪問網(wǎng)絡設備的來源IP進行限制。如管理IP192.168.1.100. 那么網(wǎng)絡設備只準許這個IP登陸,其他IP則直接拒絕登陸。
c)網(wǎng)絡設備用戶的標識應唯一; 用戶名唯一性,不存在重復的用戶名。不能出現(xiàn)一個賬戶多人使用的情況。每個管理人員有自己唯一專屬的賬號。
d)主要網(wǎng)絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別;一般說的雙因子認證,就是除了賬戶密碼之外 需要有加密狗或短信驗證或指紋類生物識別等其他驗證方式來確定使用者身份的認證方式。
e)身份鑒別信息應具有不易被冒用的特點,口令應有復雜度要求并定期更換;
1:口令復雜度 大小寫數(shù)字特殊符號的組合密碼8位以上
2:定期更換 2個月 3個月更換一次比較常見。
f)應具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施; 如賬戶密碼輸入錯誤 連續(xù)5次 鎖定賬戶 或IP地址 20分鐘 。防止暴力破解。
g)當對網(wǎng)絡設備進行遠程管理時,應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽; 網(wǎng)絡設備訪問方式 基本就以下這些
加密:https ssh
明文:telnet consle aux http
特殊:gui 或其他客戶端模式
要求是只是用加密的訪問方式,https ssh
不加密的方式禁用掉,特殊的登陸方式有些加密有些不加密,需要用wireshark 抓包進行觀察。
h)應實現(xiàn)設備特權用戶的權限分離。
將一個超級用戶權限拆分成幾個用戶,每個用戶權限獨立互不干涉。按照要求一般需要三種賬戶:普通賬戶,審計/備份賬戶,配置更改賬戶。
(本文屬知識庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權歸原作者所有)
