等級保護測評主要為【技術(shù)】和【管理】兩大類測評
管理方面的要求
參考標(biāo)準(zhǔn)文件的要求即可:
《信息系統(tǒng)安全管理要求》GB/T 20269-2006
《信息系統(tǒng)安全工程管理要求》GB/T 20282-2006
技術(shù)方面的要求:
技術(shù)方面的要求分為:物理安全,網(wǎng)路安全,主機安全,應(yīng)用安全,數(shù)據(jù)安全以及備份恢復(fù)。
物理安全:主要涉及機房安全,機房位置,機房其他配套和弱電防盜防雷防電磁設(shè)施。
網(wǎng)絡(luò)安全:機房網(wǎng)絡(luò)設(shè)備、安全設(shè)備,以及網(wǎng)絡(luò)設(shè)備的相關(guān)配置。
主機安全:應(yīng)用所在操作系統(tǒng)安全,主要是操作系統(tǒng)基線配置。
應(yīng)用安全:業(yè)務(wù)應(yīng)用安全相關(guān)措施,主要還是B/S或C/S模式為主(即瀏覽器-服務(wù)器 客戶端-服務(wù)器)。
數(shù)據(jù)安全以及備份恢復(fù):是否有異地備份,備份線路以及備份還原數(shù)據(jù)是否可靠等。
等級保護測評技術(shù)部分詳細(xì)條目
1:對機房建設(shè)有一定了解,熟悉一些機房建設(shè)標(biāo)準(zhǔn)。
2:熟悉2-3個速通廠家網(wǎng)絡(luò)設(shè)備配置,以及2-3安全廠家網(wǎng)絡(luò)設(shè)備配置。
3:熟悉至少2種操作系統(tǒng)基線配置,centos(redhat)、debian、freebsd、solaris、windows server4:懂的應(yīng)用抓包 burp suite 或wireshark之類工具以及基本使用。
5:了解一些主流軟件開發(fā)語言以及中間件(apache iis nginx ) 數(shù)據(jù)庫(mssql mysql oracle)等
物理安全 技術(shù)要求:
物理位置的選擇
a)機房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi); 目前機房是否具備防震,防風(fēng)和防雨是否在建筑內(nèi)。
b)機房場地應(yīng)避免設(shè)在建筑物的高層或地下室,以及用水設(shè)備的下層或隔壁。 字面意思,機房位置不建議超過5層,這就是普遍云計算數(shù)據(jù)中心等,樓房一般不會太高的原因,怕震。注意防滲水。 三級要求
物理訪問控制
a)機房出入口應(yīng)安排專人值守,控制、鑒別和記錄進入的人員 字面意思,進出機房有專人值守,識別如指紋密碼識別等,進出機房需登記,一般為紙質(zhì)記錄 一般都合格,很多單位缺失可能是文檔記錄和門禁建議補充。
b)需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程,并限制和監(jiān)控其活動范圍; 外人來訪需要有審批流程,如進出入介紹信,身份證登記等,進入機房需有人陪同,和規(guī)范作業(yè)范圍 一般情況不符合,主要是沒人約束具體行為,或沒有審批文檔,確認(rèn)身份流程。
c)應(yīng)對機房劃分區(qū)域進行管理,區(qū)域和區(qū)域之間設(shè)置物理隔離裝置,在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域; 機房要求有過度區(qū)域,服務(wù)器區(qū)域,托管區(qū)域,有存在物理上劃分區(qū)域即為符合,到其他區(qū)域最好有門禁。
d)重要區(qū)域應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員。 需要有門禁系統(tǒng),并對進入門禁系統(tǒng)的人員進行識別、控制和記錄的功能。
防盜竊和防破壞
a)應(yīng)將主要設(shè)備放置在機房內(nèi); 字面意思,主要服務(wù)器,網(wǎng)絡(luò)設(shè)備在機房范圍內(nèi)。
b)應(yīng)將設(shè)備或主要部件進行固定,并設(shè)置明顯的不易除去的標(biāo)記; 標(biāo)識設(shè)備,如網(wǎng)絡(luò)設(shè)備、網(wǎng)線、服務(wù)器IP,名稱,業(yè)務(wù)用途,負(fù)責(zé)人聯(lián)系方式等。
c)應(yīng)將通信線纜鋪設(shè)在隱蔽處,可鋪設(shè)在地下或管道中; 如網(wǎng)絡(luò)線纜走橋架(高空),電力線纜走地板下。線纜不暴露在地板上。
d)應(yīng)對介質(zhì)分類標(biāo)識,存儲在介質(zhì)庫或檔案室中; 如不使用存儲介質(zhì)為不適用項目,少數(shù)機房會使用U盤,光盤等需要固定地點存檔和標(biāo)識。
e)應(yīng)利用光、電等技術(shù)設(shè)置機房防盜報警系統(tǒng); 需要光感,電感防盜報警,(如電磁防盜門 光感報警照相等)具體了解安防設(shè)備,不贅述。 一般情況為不符合,可能有監(jiān)控,門禁。
f)應(yīng)對機房設(shè)置監(jiān)控報警系統(tǒng)。 當(dāng)機房有人出入時,有自動記錄、拍照報警等。
防雷擊
a)機房建筑應(yīng)設(shè)置避雷裝置; 機房建筑是否有避雷針,或其他避雷措施。
b)應(yīng)設(shè)置防雷保安器,防止感應(yīng)雷; 防雷安保器,感應(yīng)雷其實講的是非雷電直接擊中設(shè)備造成的其他影響。
c)機房應(yīng)設(shè)置交流電源地線。 確認(rèn)設(shè)備機柜是否有接地線,以及是否有設(shè)備漏電的情況,機房電源是否有接地線。
防火
a)機房應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng),能夠自動檢測火情、自動報警,并自動滅火; 火感,煙感設(shè)備,是否有自動滅火系統(tǒng),是否有配備滅火器,滅火器氣壓是否正常。
b)機房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級的建筑材料; 機房需采用防火靜電地板,防火門等。
c)機房應(yīng)采取區(qū)域隔離防火措施,將重要設(shè)備與其他設(shè)備隔離開。
防水和防潮
a)水管安裝,不得穿過機房屋頂和活動地板下; 不能有水管或者滲水通過機房。
b)應(yīng)采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透; 機房墻壁,機柜,窗戶,地板不能有潮濕,滲水情況。
c)應(yīng)采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透; 最好有控制濕度或干燥設(shè)備等。
d)應(yīng)安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。 有針對出現(xiàn)水滲透情況,進行檢測報警的相關(guān)設(shè)備。
防靜電
基本要求 解讀 備注 a)主要設(shè)備應(yīng)采用必要的接地防靜電措施; 機柜是否為防靜電,設(shè)備是否有接地線 。
b)機房應(yīng)采用防靜電地板。 字面意思,機房不能直接在瓷磚、木地板上,最好有防靜電地板。
溫濕度控制
基本要求 解讀 備注 機房應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施,使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。
機房標(biāo)準(zhǔn)有A、B、C三類機房。針對溫濕度:
A類和B類機房要求一樣,溫度都是23±1℃,濕度為40%~55% 。
C類機房的溫度為18~28℃,濕度35%~75%。。
電力供應(yīng)
a)應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備; 需要有UPS設(shè)備,過壓防護設(shè)備。
b)應(yīng)提供短期的備用電力供應(yīng),至少滿足主要設(shè)備在斷電情況下的正常運行要求; 斷電后UPS至少能工作一小時以上,或保證機房設(shè)備能有備用發(fā)電設(shè)備也可。
c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電; 至少兩種市級供電線路,斷電自動切換(毫秒級)。
d)應(yīng)建立備用供電系統(tǒng)。 除UPS電池之外,還需要有備用發(fā)電機發(fā)電。
電磁防護
a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾; 有防電磁干擾和寄生耦合干擾措施,各種供電線路和通信線纜 和服務(wù)器相關(guān)設(shè)備不能太近。
b)電源線和通信線纜應(yīng)隔離鋪設(shè),避免互相干擾; 供電線路和通信線纜分開鋪設(shè),如橋架(高空)走通信線纜 地板下走供電線路。
c)應(yīng)對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽。
網(wǎng)絡(luò)安全 技術(shù)要求:
PS:是等級保護重要的權(quán)重部分,也是可以較多整改的部分。本部分涉及到很多設(shè)備配置查看和識別以下會簡稱為(參考設(shè)備配置手冊)
結(jié)構(gòu)安全
a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要; 看網(wǎng)絡(luò)設(shè)備負(fù)載冗余,一般情況80%利用率以下為符合 。
b)應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要; 寬帶冗余。
c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑; 采用靜態(tài)路由。
d)應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖; 字面。意思,需要有當(dāng)前網(wǎng)絡(luò)布局的拓?fù)鋱D,并根據(jù)實際情況更新。
e)應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段; 訪談網(wǎng)絡(luò)管理員,是否依據(jù)部門的工作職能、重要性和應(yīng)用系統(tǒng)的級別劃分了不同的VLAN或子網(wǎng)。
f)應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段; 各個網(wǎng)段VLAN 之間三層設(shè)備是否配置ACL 來控制訪問。
g)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要主機。
訪問控制
a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,啟用訪問控制功能; 網(wǎng)絡(luò)邊界的防護設(shè)備,如防火墻之類。
b)應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級; 策略精細(xì)控制到端口級。
c)應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制; 對HTTP、FTP、TELNET等協(xié)議的通信默認(rèn)端口進行限制即可,稍微好一些的下一代的防火墻可以只禁止協(xié)議訪問。
d)應(yīng)在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接; 字面意思,講的其實是網(wǎng)絡(luò)連接上的超時時間,當(dāng)網(wǎng)絡(luò)連接不活躍時有自動斷開連接的功能,也包括登陸網(wǎng)絡(luò)設(shè)備不操作的超時時間。
e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù); 兩個方面,最大流量上下行限制,以及網(wǎng)絡(luò)最大并發(fā)鏈接數(shù)限制。
f)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙; 其實就是MAC 綁定IP的操作,防止ARP地址欺騙。省事的辦法還有防ARP的防火墻。
g)應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶;
1:對于遠(yuǎn)程撥號用戶,需要有用戶認(rèn)證功能。(校園網(wǎng)撥號上網(wǎng))
2:對于直接插網(wǎng)線能上網(wǎng)用戶,簡單方式用上網(wǎng)行為管理。
h)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。
1:遠(yuǎn)程撥號用戶是否有最大用戶數(shù)量限制。
2:直接上網(wǎng)用戶在網(wǎng)關(guān)是否有最大IP/鏈接限制。
安全審計
a)應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄; 網(wǎng)絡(luò)設(shè)備需要啟用日志功能,輸出日志到其他地方也好,單機保存。
b)審計記錄應(yīng)包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息; 網(wǎng)絡(luò)設(shè)備的日志審計內(nèi)容需要記錄時間、類型、用戶、事件類型、事件是否成功失敗等。
c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
能夠?qū)⑷罩緦?dǎo)出,分析,形成報告。寬松點的評測你其他方式導(dǎo)出也行。
d)應(yīng)對審計記錄進行保護,避免受到未預(yù)期的刪除、修改或覆蓋等。
一般管理賬戶或普通用戶不能修改,刪除,覆蓋相關(guān)日志,僅超級管理權(quán)限可以修改。嚴(yán)格的要求是任何賬戶不可修改。
邊界完整性檢查
a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查, 準(zhǔn)確定出位置,并對其進行有效阻斷。
b) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查,準(zhǔn)確定出位置,并對其進行有效阻斷。
入侵防范
a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等; 針對這幾種類型攻擊需要有入侵檢測設(shè)備,一般有IPS就可以滿足,也有帶有IPS功能下一代防火墻,下一代防火墻跟單獨IPS相比,一般情況IPS單口可走網(wǎng)絡(luò)流量較高。
b)當(dāng)檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。 IPS上的一個日志和告警功能,能夠記錄“攻擊源IP、攻擊類型、攻擊目的、攻擊時間”跟網(wǎng)絡(luò)安全層面的日志要求類似。。
惡意代碼防范
a)應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除;
惡意代碼有兩種,傳統(tǒng)主機病毒 可執(zhí)行類病毒。如后綴為EXE 、BAT、VBS、VBE、JS、JSE、WSH、WSF等 這類需要在網(wǎng)絡(luò)邊界部署防毒墻。
還有一種是腳本病毒一般所說的WEBSHELL類型 上傳ASPX.PHP.JSP 的腳本類型。這類需要在網(wǎng)絡(luò)邊界部署web防火墻 (也稱為:網(wǎng)站應(yīng)用級入侵防御系統(tǒng)。英文:Web Application Firewall,簡稱: WAF)。 b)應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。
同上解釋,病毒墻和WAF需要定期升級特征庫。
身份訪問控制
a)應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別; 網(wǎng)絡(luò)設(shè)備口至少兩種密碼:一種是網(wǎng)絡(luò)訪問(SSH TELNET HTTPS)的密碼,另一種是直接接consle口的密碼,密碼不能為默認(rèn)。
b)應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制; 登陸訪問網(wǎng)絡(luò)設(shè)備的來源IP進行限制。如管理IP192.168.1.100. 那么網(wǎng)絡(luò)設(shè)備只準(zhǔn)許這個IP登陸,其他IP則直接拒絕登陸。
c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一; 用戶名唯一性,不存在重復(fù)的用戶名。不能出現(xiàn)一個賬戶多人使用的情況。每個管理人員有自己唯一專屬的賬號。
d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別;一般說的雙因子認(rèn)證,就是除了賬戶密碼之外 需要有加密狗或短信驗證或指紋類生物識別等其他驗證方式來確定使用者身份的認(rèn)證方式。
e)身份鑒別信息應(yīng)具有不易被冒用的特點,口令應(yīng)有復(fù)雜度要求并定期更換;
1:口令復(fù)雜度 大小寫數(shù)字特殊符號的組合密碼8位以上
2:定期更換 2個月 3個月更換一次比較常見。
f)應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施; 如賬戶密碼輸入錯誤 連續(xù)5次 鎖定賬戶 或IP地址 20分鐘 。防止暴力破解。
g)當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽; 網(wǎng)絡(luò)設(shè)備訪問方式 基本就以下這些
加密:https ssh
明文:telnet consle aux http
特殊:gui 或其他客戶端模式
要求是只是用加密的訪問方式,https ssh
不加密的方式禁用掉,特殊的登陸方式有些加密有些不加密,需要用wireshark 抓包進行觀察。
h)應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。
將一個超級用戶權(quán)限拆分成幾個用戶,每個用戶權(quán)限獨立互不干涉。按照要求一般需要三種賬戶:普通賬戶,審計/備份賬戶,配置更改賬戶。
(本文屬知識庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權(quán)歸原作者所有)