等級保護(hù)認(rèn)證作為我國最權(quán)威的網(wǎng)絡(luò)安全等級資格認(rèn)證����,自《中華人民共和國網(wǎng)絡(luò)安全法》正式實施后�,已成為我國網(wǎng)安領(lǐng)域的基本國策���、基本制度和基本要求����。
在之前的推送中�,中科三方為大家介紹了等保2.0的政策背景,以及等保2.0相較于1.0的異同點���。(科普|網(wǎng)絡(luò)安全等級保護(hù)2.0大揭秘)
今天三方以等保三級為標(biāo)準(zhǔn)���,為您介紹認(rèn)證等保三級不可不知的7個基本要求�。
等保三級有多嚴(yán)格?
等保三級是國家對非銀行機(jī)構(gòu)的最高級認(rèn)證��,是安全標(biāo)記保護(hù)級���,屬“監(jiān)管級別”�����,由國家信息安全監(jiān)管部門進(jìn)行監(jiān)督���、檢查等保三級����,認(rèn)證�。
測評內(nèi)容涵蓋了5個等級保護(hù)安全技術(shù)要求和5個安全管理要求,具體包含信息保護(hù)��、安全審計�、通信保密等近300項要求,涉及73類測評分類���,要求十分嚴(yán)格�����。
中科三方于2017年就已通過公安部的等保三級測評認(rèn)證�����,作為深耕行業(yè)20年的老牌互聯(lián)網(wǎng)基建服務(wù)商���,三方在等保認(rèn)證和網(wǎng)絡(luò)安全方面擁有豐富的實戰(zhàn)經(jīng)驗�,多次在“兩會“����、“一帶一路峰會“等國家重大會議承擔(dān)重保工作。
等保三級 之 6大關(guān)鍵點
1.身份驗證
身份驗證需保證所有網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、重要服務(wù)器�����、數(shù)據(jù)庫服務(wù)器�、應(yīng)用業(yè)務(wù)系統(tǒng)等這些關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令、空口令賬戶登錄情況���。
在確保無弱口令和空口令的前提下�,所有重要設(shè)備都需采用雙因子認(rèn)證方式登錄���,尤其是針對核心業(yè)務(wù)應(yīng)用系統(tǒng),不能只采用基本的用戶名/口令���。比較常用的做法是采用令牌�����、智能卡�����、生物指紋���、虹膜識別���、人臉識別等高階認(rèn)證技術(shù)。
對于遠(yuǎn)程管理維護(hù)的操作�����,一般建議通過部署堡壘機(jī)實現(xiàn)雙因子認(rèn)證和傳輸信息的加密���。
2. 訪問控制
對于業(yè)務(wù)應(yīng)用系統(tǒng)��,有很多未達(dá)到等保訪問控制基本要求的常見缺陷���,如越權(quán)訪問系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)等��。
針對此類問題,建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行單獨區(qū)域劃分�,部署第二代防火墻類設(shè)備進(jìn)行邊界隔離,深層次過濾訪問行為�。同時需有明確的管理制度不允許本地操作,或者對本地的操作進(jìn)行訪問控制����。
針對遠(yuǎn)程操作進(jìn)行訪問控制策略控制,部署堡壘機(jī)對用戶行為進(jìn)行訪問控制�����。
對于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備����、主機(jī)設(shè)備、服務(wù)器設(shè)備等只需要進(jìn)行默認(rèn)賬戶刪除��、修改默認(rèn)口令�����、無法通過默認(rèn)賬戶以及默認(rèn)口令登錄就可以滿足最基本的要求�����。
3. 安全審計
安全審計主要指對日志進(jìn)行記錄與審計���。若缺失對重要的用戶行為和重要安全事件的審計����,肯定無法通過等保測評��。
建議在網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備�����、主機(jī)/服務(wù)器操作系統(tǒng)�����、數(shù)據(jù)庫系統(tǒng)��、業(yè)務(wù)應(yīng)用系統(tǒng)性能允許的前提下��,開啟用戶操作類和安全事件類審計策略�����。
通常使用第三方日志審計系統(tǒng),除進(jìn)行常規(guī)的日志記錄收集外�,對日志進(jìn)行關(guān)聯(lián)分析,篩查可能存在的安全風(fēng)險���。
4. 入侵防范
關(guān)閉不需要的系統(tǒng)服務(wù)�、默認(rèn)共享和高危端口���。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備����、安全設(shè)備���、主機(jī)/服務(wù)器操作系統(tǒng)�、數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口必須要關(guān)閉����。
同時建議在既有業(yè)務(wù)中使用默認(rèn)共享服務(wù)的,盡量切換到其他服務(wù)��。
此外還需要對遠(yuǎn)程管理的用戶以及管理維護(hù)所使用的終端進(jìn)行管控,一般采用堡壘機(jī)類產(chǎn)品進(jìn)行管控��。
對于一些互聯(lián)網(wǎng)直接能夠訪問到的設(shè)備及系統(tǒng)��,須盡快修補(bǔ)已在公開渠道披露的重大漏洞��。尤其是業(yè)務(wù)應(yīng)用系統(tǒng)�,現(xiàn)階段針對應(yīng)用系統(tǒng)的SQL注入�����、跨站腳本等均為高風(fēng)險漏洞�,都會對業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行造成嚴(yán)重后果。
5. 惡意代碼防范
安裝反病毒軟件��,同時反病毒軟件需及時更新病毒庫�。如果是相對封閉的網(wǎng)絡(luò),如工業(yè)控制系統(tǒng)��,需安裝白名單類軟件進(jìn)行惡意代碼防范��。
6. 數(shù)據(jù)完整性及保密性
數(shù)據(jù)的完整性與保密性主要包含存儲數(shù)據(jù)的完整性與保密性�,以及傳輸數(shù)據(jù)的完整性和保密性。
