之前有两篇文章写了为什么要做等保测评、等保测评的含义以及等保测评这份工作的一些职责和一些常见的FAQ,没有看过的朋友可以先去看下我的另外两篇文章:一起聊聊等保测评 和 一起聊聊等保测评工作内容以及FAQ 。
今天我们来攻略一下等保2.0国家标准中《信息安全技术网络安全等级保护基本要求》所对三级系统所提出的要求项以及针对这些要求项如何去应对或者说是如何去做防护。废话不多说直接上正题
在等保三级中分为十个大项分别是:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设和管理、安全运维管理,这十大项里面有N个小项来做限制,因为小项比较多,这篇文章主要是针对安全通信网络和安全区域边界来说的,后面也会慢慢把所有的检查项都写给大家攻略的
下面所写的攻略以及测评结果仅供参考,要以实际情况为准。
安全通信网络
安全通信网络这一块主要是针对网络传输、网络设备、通信线路等等一些对象来做的管理或者防护的一些要求,在这一块基本上都是可以满足的,具体来看一下每一项都是怎么要求得吧
网络架构
要求项 |
攻略 |
测评结果 |
应保证网络设备的业务处理能力满足业务高峰期需要 |
这一项主要是说一些业务系统对可用性要求比较高的,网络设备的业务处理能力要可以支撑业务高峰时的所需要的业务支撑能力,不能因为网络设备的原因导致宕机或者服务中断的情况,这一块基本上都可以满足 |
这一项测评公司会写:核心网络设备采用什么型号的,可以满足业务高峰的需求,并且置顶了随着业务增长不断提高业务的处理能力 |
应保证网络各个部分的带宽满足业务高峰期需要 |
这一项主要是说的我们网络带宽要满足业务高峰时所需的带宽,这个目前机房内基本上都采用百兆的网线甚至有直接做千兆网线接入的,所以说这个基本上也就不存在不满足的这种情况 |
这一项测评公司会写:网络中采用百兆或者千兆的网线接入,可以从容应对业务高峰 |
应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址 |
这一项将主要是针对我们网络子网的划分做出了要求,根据不同重要成都的业务系统划分不同的子网,只要是所有网络都在一个子网里面就算不合格的,这一项一般也没有不合格的,基本上都会有划分子网 |
这一项测评公司会写:针对不同重要程度的业务系统划分了不同的子网来进行管理 |
应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 |
这一项主要是针对划分的不同区域之间有没有做网络访问控制,比如说各个区域之间网络无限制可随意访问,这样就不行的,避免发生横向攻击 |
这一项测评公司会写:在各区域边界部署有访问控制设备,并且设置了不同区域之间对的访问限制 |
应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性 |
这一项要求的是网络链路不能是单链路,要做有冗余,当出现故障或者安全事故时可以保障网络的可用性,一般常做的就是核心设备的冗余,比如核心交换、路由等冗余 |
这一项测评公司会写:核心设备或关键网络采用冗余设计,采用双机热备和负载均衡等方式 |
通信传输
要求项 |
攻略 |
测评结果 |
应采用校验技术或密码技术保证通信过程中数据的完整性 |
这一项主要说的是对数据传输的完整性做的要求,一般这一项的话就算对数据的完整性进行做校验基本上就可以了,比如说采用SSL的方式进行传输 |
这一项测评公司会写:采用检验技术对数据传输的完整性进行校验 |
应采用密码技术保证通信过程中数据的保密性 |
这一项和上一项类似都是对数据创数过程中进行做的防护,这个是对数据传输过程中的保密性进行做了要求,这个一般采用的SSL加密方式进行传输基本上就可以满足,比如不用http协议,采用https协议传输等等 |
这一项测评公司会写:对数据传输过程中数据进行加密,采用SSL加密的方式进行传输 |
可信验证
要求项 |
攻略 |
测评结果 |
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
这一项是针对可信性做的要求,这个解释起来比较繁琐并且不太容易让人理解,说简单点就是你的通信设备要具有可信性的芯片或者硬件,这个一般测评公司都看可信性报告,来评判是否符合 |
测评公司一般会写:通信设备具有可信性报告,并且可以对可信性进行验证 |
安全区域边界
安全区域边界主要是针对网络边界做的一项防护要求,比如说在区域边界有没有安装访问控制设备、防火墙设备等等
边界防护
要求项 |
攻略 |
测评结果 |
应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 |
这一项主要是会检查是否有技术手段对不受控的接口进行限制或者控制,当然在这一块也会检查我们的拓扑图与实际的链路情况是否相符 |
这一项一般测评公司会写:采用技术手段对不受控的接口进行限制,所提供的拓扑图与实际链路相符 |
应能够对非授权设备私自联到内部网络的行为进行检查或限制 |
这一项是针对非授权的设备接入的区域网络当中做的限制,这一项测评公司会检查设备的一些接口信息看看是不是有与拓扑不一致的地方,如果有则被认为非授权的设备接入 |
这一项一般测评公司会写:非授权设备无法接入到局域网络中,并做了相应的限制和控制 |
应能够对内部用户非授权联到外部网络的行为进行检查或限制 |
这一项是针对内部用户未通过授权非法接入到外部网络做的限制,比如说有员工开启手机热点,网络设备通过连接手机热点进行访问互联网等操作,要对这一类行为进行限制 |
这一项一般测评公司会写:封堵了未正在使用的USB接口、网口等等,可以有效防止对内部用户非授权连接外部网络 |
应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络 |
这一项基本上大家都可以满足的,这个是说的机房内的设备不能随意连接无线网络,如果连接了无线网络就要对无线网络进行做访问限制 |
这一项一般测评公司会写:机房内未安装无线网络,所有设备通过有线网络进行通信 |
防问控制
要求项 |
攻略 |
测评结果 |
应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信 |
这一项说的是你要在网络边界处设置访问控制设备,并且设备内要有相应的访问控制策略,对不受控的访问进行限制访问,比如路由器上有没有做ACL访问控制,防火墙上有没有开启路由策略和ACL等 |
这一项一般测评公司会写:在网络边界安装有防火墙或路由器,并且开启了访问控制策略 |
应删除多余或无效的访间控制规则,优化访问控制列表,并保证访问控制规则数量最小化 |
这一项是说的不要做一些没有意义的访问控制策略,别入说我允许了这个网段的访问,我又单独写了一条允许这个网段中某个地址的访问限制,这个一般建议设置针对地址的限制 |
这一项一般测评公司会写:边界设备中没有无效的或多余的访问控制规则 |
应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出 |
这一项是要求做访问限制的时候要做到细粒度的访问控制,比如说设置高级ACL或者自定义ACL这种的,这个一般也都可以满足现在基本上网络设备都可以满足这种细粒度访问控制 |
这一项一般测评公司会写:边界设备中对访问控制做了细粒度的限制,选择允许或拒绝数据包的进出流量 |
应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问能力 |
这一项是针对有会话状态的访问做了限制要求,边界设备要可以根据会话状态进行限制,这个一般测评公司会检查边界设备上有没有做源地址、目的地址、源端口、目的端口等限制 |
这一项一般测评公司会写:边界设备上对会话状态进行细粒度限制 |
应对进出网络的数据流实现基于应用协议和应用内容的访问控制 |
这一项基本上就检查一个网络边界是不是部署了访问控制设备,另外就是检查边界访问控制设备上有没有针对协议或者内容做的一些访问控制,策略是否生效了 |
这一项一般测评公司会写:在区域边界安装有防火墙,防火墙内配置有针对协议的访问限制 |
入侵防范
要求项 |
攻略 |
测评结果 |
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 |
这一项主要是针对网络攻击做的一个防护,主要检查是否具备检查或者阻止外部发起的网络攻击行为的这样的能力,这个安全设备当中是否配置了针对全局的网络安全策略 |
这一项一般测评公司会写:局域网内部署有防火墙或者IPS、IDS等设备,可以有效阻止和检测外部发起的网络攻击行为 |
应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为 |
上面一条和这一条不太一样哈,一个是从外部发起的网络攻击行为,一个是从内部发起的网络攻击行为,这个一般也是检查网络安全设备是否具备这种能力,一般有防火墙或者IPS、IDS等设备并且做了安全策略就可以满足的 |
这一项一般测评公司会写:局域网内部署有防火墙或者IPS、IDS等设备,可以有效阻止和检测内部发起的网络攻击行为 |
应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析 |
这一项主要检查是否部署回溯系统或抗APT攻击系统,实现对新型网络攻击行为进行检测和分析,这个其实也很简单的一般防火墙都有这种功能,也就是只要有防火墙基本满足的 |
这一项一般测评公司会写:部署有防火墙设备,可以对网络行为进行分析 |
当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警 |
这个一般就是检查你有没有安装这种入侵行为检测的这样设备,设备是否开启了安全策略,并且是否可以有效的记录攻击信息,也就是说发生攻击行为了你要能预警和记录详细的攻击情况 |
这一项一般测评公司会写:部署有IPS/IDS设备,可以试试检测攻击行为,并且对攻击行为进行详细记录 |
恶意代码和垃圾邮件防范
要求项 |
攻略 |
测评结果 |
应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新 |
这一项一般就是看看有没有防恶意代码的产品,部署了产品是不是对恶意代码开启了检测和攻击记录,测评公司可能会验证设备的可用性 |
这一项一般测评公司会写:部署了恶意代码防范产品,可以对恶意代码进行检测和清楚,并且可以实时记录攻击行为 |
应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新 |
这一项类似于上面一条,就是看看你又没不俗防垃圾邮件的这种防护机制或者设备,能不能对垃圾邮件进行检测和防护 |
这一项一般测评公司会写:部署了防垃圾邮件的相关设备,可以有效对垃圾邮件进行实时监测和防护,开启了垃圾邮件防护机制自动省级和更新 |
安全审计
要求项 |
攻略 |
测评结果 |
应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 |
这个就是检查看看是不是具备类似于堡垒机的这样一个产品,对所有的网络设备或者服务器能不能进行审计,一方面是要对所有的用户进行行为审计,另一方面就是要对所有用户行为进行记录 |
这一项一般测评公司会写:部署了安全审计系统,可以对网络边界、重要网络节点以及所有用户进行审计,对用户行为进行记录 |
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 |
这一项是规定了审计记录所包含的内容,审计记录必须包含时间、用户、事件类型、是否成功这些信息,也就是说一定要有这个用户什么时间点对哪个设备或者对象做了什么样的事情,这个事情是否做成功了,这些都要进行记录 |
这一项一般测评公司会写:部署有安全审计系统,审计记录可以对日期和事件、用户、事件类型、事件是否成功等内容 |
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等 |
这一项是针对审计记录做的防护,要对审计记录进行定期备份,一般审计记录要求要保留半年才能删除,必须要设置相应的策略才可以 |
这一项一般测评公司会写:部署有安全审计系统,审计系统对审计日志保留时间做了策略,保留6个月或更长时间,并且对审计记录进行订是备份 |
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析 |
这一项主要是针对远程防护或者互联网用户的行为进行做了限制,核查是否对远程访问用户及互联风访问用户行为单独进行审计分析,并核查审计分析的记录是否包含了用于管理远程访同行为、访问互联网用户行为必要的信息 |
这一项一般测评公司会写:可以对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析 |
可信验证
要求项 |
攻略 |
测评结果 |
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心 |
这一项和前面写的一样都是对可信性做的防范 |
测评公司一般会写:通信设备具有可信性报告,并且可以对可信性进行验证 |
以上就是关于安全通信网络和安全区域边界的攻略,大家有没有发现越往后检查项越是类似的,基本上都是从架构-访问控制-入侵检测-审计-可信验证,这几方面来说的,往后除了机房管理条例之外,剩下的都大差不差的了