等保2.0建設基本要求(技術部分)解讀(下)
作者:啟明星辰
2020-08-26
對等保2.0基本要求技術部分�����,以四級為例�,對安全計算環境��、安全管理中心的控制點逐項解讀內容如下:
1.安全計算環境
1.1 身份鑒別
a) 應對登錄的用戶進行身份標識和鑒別�,身份標識具有唯一性�,身份鑒別信息具有復雜度要求并定期更換�;
b) 應具有登錄失敗處理功能���,應配置并啟用結束會話��、限制非法登錄次數和當登錄連接超時自動退出等相關措施�����;
c) 當進行遠程管理時����,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽���;
d) 應采用口令���、密碼技術��、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別��,且其中一種鑒別技術至少應使用密碼技術來實現����。
解讀:這里的身份鑒別一般指終端和服務等設備中的操作系統(包括宿主機和虛擬機操作系統)��、網絡設備(包括虛擬網絡設備)�、安全設備(包括虛擬安全設備)���、移動終端及其管理系統�、移動終端管理客戶端��、感知節點設備�、網關節點設備����、控制設備��、業務應用系統�、數據庫管理系統����、中間件和系統管理軟件等內置的身份鑒別功能或身份鑒別措施����。要求上述設備或系統應具備用戶登錄時的身份鑒別措施�。如果不具備����,或需要實行內網統一身份鑒別��,可在內網部署4A統一安全管控系統��,可實現全網統一的用戶身份標識和鑒別���,且身份標識具有唯一性�����。通過內置功能設置����,可設置用戶口令復雜度要求和更換周期��。對于鑒別失敗和重鑒別���,分別按照重試5次即為鑒別失敗�����,啟用結束會話�,并設置冷卻時間���,同時生成審計和告警信息���。對于連續無操作達到10分鐘��,系統自動退出登錄狀態�,需重新鑒別后再次登錄�。
當進行遠程管理時��,4A系統自帶的數據加密技術可確保鑒別信息等重要數據在傳輸中的安全�。對于雙因子鑒別方式��,系統支持多種雙因子方式且支持密碼技術�,可依據需求選擇����,列舉如下:
? 靜態密碼:靜態密碼認證功能
? AD域認證:主帳號AD域認證接口
? Radius認證:Radius認證接口
? 密碼+令牌認證:強認證���,靜態密碼+動態令牌認證組合
? 密碼+短信認證:強認證��,靜態密碼+短信認證組合��,短信認證接口包括短信生成和短信校驗功能
? 密碼+郵件認證:強認證�����,靜態密碼+郵件認證組合
? AD域+短信認證:強認證�,AD域密碼+短信認證組合
? AD域+短信認證:強認證���,AD域密碼+動態令牌認證組合
? 智能卡認證:提供智能卡認證接口
? 證書認證:提供證書認證接口
對于終端雙因子鑒別���,可使用USBKey+PIN碼方式鑒別用戶身份���。
1.2 訪問控制
a) 應對登錄的用戶分配賬戶和權限��;
b) 應重命名或刪除默認賬戶���,修改默認賬戶的默認口令�;
c) 應及時刪除或停用多余的����、過期的賬戶����,避免共享賬戶的存在�;
d) 應授予管理用戶所需的最小權限�����,實現管理用戶的權限分離��;
e) 應由授權主體配置訪問控制策略����,訪問控制策略規定主體對客體的訪問規則�����;
f) 訪問控制的粒度應達到主體為用戶級或進程級���,客體為文件�、數據庫表級�;
g) 應對主體���、客體設置安全標記�,并依據安全標記和強制訪問控制規則確定主體對客體的訪問�。
解讀:應在終端和服務等設備中的操作系統(包括宿主機和虛擬機操作系統)�����、網絡設備(包括虛擬網絡設備)�����、安全設備(包括虛擬安全設備)��、移動終端及其管理系統���、移動終端管理客戶端���、感知節點設備�����、網關節點設備�����、控制設備�����、業務應用系統���、數據庫管理系統����、中間件和系統管理軟件等設備或系統中�,對登錄的用戶分配賬戶及相應操作權限��。對于需要統一分配賬號及權限的需求����,可部署4A系統為各類系統操作員�����,分配終端和應用系統的賬戶和權限�����。終端的默認賬戶應刪除或重命名���,對于無法重命名的賬戶或各類設備的內置三員賬戶等特殊賬戶����,應該修改默認口令���,修改后的口令滿足等保四級復雜度要求(字母大小寫����、數字�����、符號兩種及以上混合�����,最小口令長度10位)��。
應及時刪除或停用多余的�、過期的賬戶��,避免共享賬戶的存在����。對管理用戶授權����,遵循必要的最小權限原則����,管理用戶負責管理�,不能參與日常業務數據錄入等操作員權限的操作�。
1.3 安全審計
a) 應啟用安全審計功能����,審計覆蓋到每個用戶����,對重要的用戶行為和重要安全事件進行審計�;
b) 審計記錄應包括事件的日期和時間��、事件類型��、主體標識����、客體標識和結果等���;
c) 應對審計記錄進行保護���,定期備份��,避免受到未預期的刪除����、修改或覆蓋等���;
d) 應對審計進程進行保護����,防止未經授權的中斷���。
解讀:應在終端和服務等設備中的操作系統(包括宿主機和虛擬機操作系統)�����、網絡設備(包括虛擬網絡設備)��、安全設備(包括虛擬安全設備)�、移動終端及其管理系統����、移動終端管理客戶端����、感知節點設備���、網關節點設備��、控制設備�、業務應用系統���、數據庫管理系統����、中間件和系統管理軟件等設備和系統上啟用安全審計功能����。對于終端側�����,可在終端和主機上安裝部署“內網安全管理系統”�����,可實現基于主機側的安全審計功能�����。審計功能非常全面����,包括:打印審計�、網站審計���、FTP審計�、windows事件日志審計�、應用程序審計����、主機名及IP和MAC變更審計���、終端Windows登錄審計�����、終端開關機審計��、ISM客戶端運行審計�、終端使用USB設備歷史審計����、移動存儲設備審計���、文件審計等�。確保審計覆蓋到每個用戶�����,對重要的用戶行為和重要安全事件進行審計�����。
對于審計記錄保護����,產品自身功能可以滿足���。也可以通過部署綜合日志審計系統��,通過對各類日志集中搜集�,起到匯總分析兼日志備份的功能�����,避免受到未預期的破壞���。對于審計進程保護�,通過產品自身進程保護功能實現��,避免惡意終止審計進程等破壞審計的行為����。
1.4 入侵防范
a) 應遵循最小安裝的原則��,僅安裝需要的組件和應用程序�;
b) 應關閉不需要的系統服務�、默認共享和高危端口���;
c) 應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制�����;
d) 應提供數據有效性檢驗功能����,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求��;
e) 應能發現可能存在的已知漏洞��,并在經過充分測試評估后��,及時修補漏洞��;
f) 應能夠檢測到對重要節點進行入侵的行為��,并在發生嚴重入侵事件時提供報警��。
解讀:應對終端和服務等設備中的操作系統(包括宿主機和虛擬機操作系統)��、網絡設備(包括虛擬網絡設備)����、安全設備(包括虛擬安全設備)����、移動終端及其管理系統��、移動終端管理客戶端�、感知節點設備���、網關節點設備����、控制設備����、業務應用系統��、數據庫管理系統��、中間件和系統管理軟件等遵循最小化安裝原則��,只安裝必要的組件和應用程序����。此外����,還需對上述設備和系統關閉非必要的系統服務和默認共享�����,關閉非必要的高危端口���。針對主機終端側��,依據最小化組件和應用程序清單��,通過主機加固操作�,僅安裝需要的組件和應用程序����,關閉不需要的系統服務�、默認共享和高危端口�����。對網絡設備和安全產品運維管理���,應通過運維安全網關(堡壘機)進行�����,由指定終端管理�����。
應用系統前端部署Web防火墻(WAF)�����,保護并阻止因轉義字符解析等由于Web應用開發未對數據做有效性檢驗的攻擊���,如SQL注入攻擊等��。其他通過網絡通信接口輸入的內容有效性教研應通過網絡主干鏈路上部署的IPS進行過濾和保護���。
針對內網的各類已知漏洞���,應部署漏洞掃描系統(有Web應用的場景�����,建議重點關注OWASP組織最具權威的"十大安全漏洞列表OWASP Top 10"���。這個列表總結了Web應用程序最可能��、最常見�����、最危險的十大漏洞)�����,及時更新漏洞庫��,對全網定期(一個月)執行漏洞掃描��。匯總全網漏洞與資產信息�����,按照資產和業務重要優先原則���,對更新的補丁進行充分測試評估后�����,及時修補漏洞�。檢查高風險漏洞還可通過滲透測試等方式做進一步完善����。
內網通過部署的IPS��、IDS�����、APT聯動DAC(威脅情報中心)等�����,檢測是否存在對重要節點進行入侵的行為��,并在發生嚴重入侵事件時提供報警�����。上述報警信息通過綜合日志審計匯總后上報SOC統一處置��。
1.5 惡意代碼防范
應采用主動免疫可信驗證機制及時識別入侵和病毒行為���,并將其有效阻斷�。
解讀:通過部署主動免疫產品或使用終端防病毒系統識別惡意代碼���,并有效阻斷��。
1.6 可信驗證
可基于可信根對計算設備的系統引導程序��、系統程序��、重要配置參數和應用程序等進行可信驗證����,并在應用程序的所有執行環節進行動態可信驗證����,在檢測到其可信性受到破壞后進行報警�,并將驗證結果形成審計記錄送至安全管理中心����,并進行動態關聯感知���。
解讀:可信驗證為可選項�����。
1.7 數據完整性
a) 應采用密碼技術保證重要數據在傳輸過程中的完整性�����,包括但不限于鑒別數據����、重要業務數據��、重要審計數據�����、重要配置數據�、重要視頻數據和重要個人信息等��;
b) 應采用密碼技術保證重要數據在存儲過程中的完整性����,包括但不限于鑒別數據���、重要業務數據���、重要審計數據�、重要配置數據�����、重要視頻數據和重要個人信息等����;
c) 在可能涉及法律責任認定的應用中���,應采用密碼技術提供數據原發證據和數據接收證據��,實現數據原發行為的抗抵賴和數據接收行為的抗抵賴�。
解讀:當數據通過不可控區域時�����,可通過部署加密機實現數據傳輸中的完整性和保密性�。包括但不限于鑒別數據��、重要業務數據���、重要審計數據�����、重要配置數據�����、重要視頻數據和重要個人信息等���。
數據存儲應采用加密存儲�����,可采用獨立的服務器密碼機來實現��。服務器密碼機屬于單獨的嵌入式專門加密設備�,需要連接在存儲和交換機之間����。一對一連接到存儲上�����,對主機性能影響小���,設備本身提供加密功能����,同主機和存儲無關�。支持異構存儲����。對于加密存儲也可以使用基于存儲固件提供的加密功能��。
如果本單位涉及對互聯網提供業務服務�����,還需要部署業務審計系統�����,對應用系統收發數據進行審計�。業務審計系統的數據發給綜合日志審計系統��,并單獨保存�����,服務器密碼機配合加密后實時存儲�。當出現可能涉及法律責任認定時���,實現數據原發行為的抗抵賴和數據接收行為的抗抵賴����。存儲加密可能存在無法調取原生數據的風險�����,如有更好方法可后續補充�。
1.8 數據保密性
a) 應采用密碼技術保證重要數據在傳輸過程中的保密性�,包括但不限于鑒別數據�����、重要業務數據和重要個人信息等�;
b) 應采用密碼技術保證重要數據在存儲過程中的保密性��,包括但不限于鑒別數據�、重要業務數據和重要個人信息等��。
解讀:數據傳輸過程保密性通過部署VPN加密機實現��,存儲過程保密性通過部署服務器加密機實現�����。
1.9 數據備份恢復
a) 應提供重要數據的本地數據備份與恢復功能����;
b) 應提供異地實時備份功能�����,利用通信網絡將重要數據實時備份至備份場地�;
c) 應提供重要數據處理系統的熱冗余�����,保證系統的高可用性�����;
d) 應建立異地災難備份中心����,提供業務應用的實時切換��。
解讀:數據備份應采用在不同建筑物內(或者同城異地等)部署數據備份一體機(或備份恢復軟件+磁盤陣列或虛擬磁帶庫)���,實現重要數據實時備份和恢復功能����。建設中還需要配套光纖交換機及光纖�。確保重要數據通過網絡實時備份�����。
對于重要的業務處理服務器���,可采用雙機熱備方式部署�����,提高業務系統可用性�����。此外���,重要的數據處理系統�����,如邊界路由器�����、邊界防火墻��、核心交換機�、應用服務器和數據庫服務器采用熱冗余方式部署��。系統中部署CDP(連續數據保護系統)��,當其中一臺服務器出現故障時�����,從軟件到硬件做到業務實時切換��。通過不同建筑物內的數據備份恢復一體機的數據保護���,可以做到數據出現故障時�����,手工或半自動方式恢復最近一次或其他備份記錄里的備份數據����。
1.10 剩余信息保護
a) 應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除���;
b) 應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除��。
解讀:因實施剩余信息保護可能會造成數據磁盤的過早報廢�,本項目處于可靠性及成本考慮���,暫未啟用剩余信息保護�����。
1.11 個人信息保護
a) 應僅采集和保存業務必需的用戶個人信息��;
b) 應禁止未授權訪問和非法使用用戶個人信息��。
解讀:如有個人信息搜集業務��,應制定有關用戶個人信息保護的管理制度和工作流程�����。需梳理需搜集用戶信息類別清單����,并從業務系統角度���,嚴格按角色設置數據訪問權限�����。配合數據庫審計系統��、數據防泄露(DLP)系統�����、業務審計系統��、4A權限控制系統����、運維審計系統���、ISM系統�、光盤刻錄打印審計系統綜合控制業務崗位對數據的非法使用和未授權訪問��。
2.安全管理中心
2.1 系統管理
可通過系統管理員對系統的資源和運行進行配置���、控制和可信管理��,包括用戶身份��、可信證書����、可信基準庫���、系統資源配置�、系統加載和啟動�、系統運行的異常處理����、數據和設備的備份與恢復等��。
a) 應對系統管理員進行身份鑒別�����,只允許其通過特定的命令或操作界面進行系統管理操作�����,并對這些操作進行審計��;
b) 應通過系統管理員對系統的資源和運行進行配置�����、控制和管理����,包括用戶身份�����、系統資源配置���、系統加載和啟動�、系統運行的異常處理���、數據和設備的備份與恢復等��。
解讀:使用SOC系統���,配合4A系統以及運維審計系統(堡壘機)��,對系統管理員進行身份鑒別和操作審計���。
使用SOC系統配置功能�����,對系統管理員對系統的資源和運行進行配置���、控制和管理���,包括用戶身份�、系統資源配置��、系統加載和啟動���、系統運行的異常處理�����、數據和設備的備份與恢復等��。
2.2 審計管理
a) 應對審計管理員進行身份鑒別����,只允許其通過特定的命令或操作界面進行安全審計操作�,并對這些操作進行審計�����;
b) 應通過審計管理員對審計記錄應進行分析���,并根據分析結果進行處理����,包括根據安全審計策略對審計記錄進行存儲��、管理和查詢等�����。
解讀:依托SOC自身功能實現審計管理��。如對審計管理員進行身份鑒別及操作審計��。審計管理員可通過SOC的日志管理功能對審計記錄做分析�、存儲��、管理�����、查詢等操作�。
2.3 安全管理
a) 應對安全管理員進行身份鑒別��,只允許其通過特定的命令或操作界面進行安全管理操作�,并對這些操作進行審計����;
b) 應通過安全管理員對系統中的安全策略進行配置��,包括安全參數的設置���,主體����、客體進行統一安全標記���,對主體進行授權�,配置可信驗證策略等����。
解讀:借助SOC和4A聯動�����,結合運維安全網關的操作控制�����,可對安全管理員進行身份鑒別�,并確保操作過程在特定的操作界面進行���,操作過程全程可審計����。
安全管理員負責對系統中各類設備按照安全策略進行設置和配置�����,啟用功能并設置必要的運行參數�����。內網未使用安全標記及可信技術或可信產品���。
2.4 集中管控
a) 應劃分出特定的管理區域�,對分布在網絡中的安全設備或安全組件進行管控���;
b) 應能夠建立一條安全的信息傳輸路徑���,對網絡中的安全設備或安全組件進行管理����;
c) 應對網絡鏈路��、安全設備��、網絡設備和服務器等的運行狀況進行集中監測����;
d) 應對分散在各個設備上的審計數據進行收集匯總和集中分析���,并保證審計記錄的留存時間符合法律法規要求����;
e) 應對安全策略���、惡意代碼���、補丁升級等安全相關事項進行集中管理����;
f) 應能對網絡中發生的各類安全事件進行識別����、報警和分析�;
g) 應保證系統范圍內的時間由唯一確定的時鐘產生�����,以保證各種數據的管理和分析在時間上的一致性�。
解讀:內網安全域中有專為安全設備和安全組件劃分的安全管理安全域�����,SOC的運維使用在指定運維辦公室�����。為確保各種數據的管理和分析在時間上的一致性�,內網中的SOC系統使用唯一的系統時鐘服務器產生標準時間����,并且使用帶外連接�����,管理分布在網絡中的安全設備或安全組件進行管控��。同時����,可對網絡鏈路��、安全設備�、網絡設備和服務器等的運行狀況進行集中監測���。對從綜合日志審計系統上搜集的各類審計日志進行收集匯總和集中分析�,按照《網絡安全法》要求日志留存為六個月(如有行業標準����,通常比六個月時間更長�,可按更長的標準執行日志留存時間)����。SOC支持對安全策略���、惡意代碼�����、補丁升級等安全相關事項進行集中管理����。
京公網安備11010802024551號