等級(jí)保護(hù)認(rèn)證作為我國(guó)最權(quán)威的網(wǎng)絡(luò)安全等級(jí)資格認(rèn)證�,自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施后����,已成為我國(guó)網(wǎng)安領(lǐng)域的基本國(guó)策、基本制度和基本要求。
在之前的推送中��,中科三方為大家介紹了等保2.0的政策背景����,以及等保2.0相較于1.0的異同點(diǎn)。(科普|網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0大揭秘)
今天三方以等保三級(jí)為標(biāo)準(zhǔn)�,為您介紹認(rèn)證等保三級(jí)不可不知的7個(gè)基本要求。
等保三級(jí)有多嚴(yán)格�����?
等保三級(jí)是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)認(rèn)證��,是安全標(biāo)記保護(hù)級(jí)����,屬“監(jiān)管級(jí)別”,由國(guó)家信息安全監(jiān)管部門進(jìn)行監(jiān)督����、檢查等保三級(jí),認(rèn)證�。
測(cè)評(píng)內(nèi)容涵蓋了5個(gè)等級(jí)保護(hù)安全技術(shù)要求和5個(gè)安全管理要求,具體包含信息保護(hù)��、安全審計(jì)、通信保密等近300項(xiàng)要求�����,涉及73類測(cè)評(píng)分類���,要求十分嚴(yán)格��。
中科三方于2017年就已通過(guò)公安部的等保三級(jí)測(cè)評(píng)認(rèn)證��,作為深耕行業(yè)20年的老牌互聯(lián)網(wǎng)基建服務(wù)商�,三方在等保認(rèn)證和網(wǎng)絡(luò)安全方面擁有豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)���,多次在“兩會(huì)“�����、“一帶一路峰會(huì)“等國(guó)家重大會(huì)議承擔(dān)重保工作。
等保三級(jí) 之 6大關(guān)鍵點(diǎn)
1.身份驗(yàn)證
身份驗(yàn)證需保證所有網(wǎng)絡(luò)設(shè)備���、安全設(shè)備�、重要服務(wù)器��、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用業(yè)務(wù)系統(tǒng)等這些關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令����、空口令賬戶登錄情況。
在確保無(wú)弱口令和空口令的前提下�����,所有重要設(shè)備都需采用雙因子認(rèn)證方式登錄�����,尤其是針對(duì)核心業(yè)務(wù)應(yīng)用系統(tǒng)�,不能只采用基本的用戶名/口令。比較常用的做法是采用令牌��、智能卡����、生物指紋、虹膜識(shí)別��、人臉識(shí)別等高階認(rèn)證技術(shù)����。
對(duì)于遠(yuǎn)程管理維護(hù)的操作��,一般建議通過(guò)部署堡壘機(jī)實(shí)現(xiàn)雙因子認(rèn)證和傳輸信息的加密�。
2. 訪問(wèn)控制
對(duì)于業(yè)務(wù)應(yīng)用系統(tǒng)�����,有很多未達(dá)到等保訪問(wèn)控制基本要求的常見缺陷��,如越權(quán)訪問(wèn)系統(tǒng)功能模塊或查看��、操作其他用戶的數(shù)據(jù)等�����。
針對(duì)此類問(wèn)題�����,建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行單獨(dú)區(qū)域劃分�����,部署第二代防火墻類設(shè)備進(jìn)行邊界隔離�,深層次過(guò)濾訪問(wèn)行為����。同時(shí)需有明確的管理制度不允許本地操作��,或者對(duì)本地的操作進(jìn)行訪問(wèn)控制�����。
針對(duì)遠(yuǎn)程操作進(jìn)行訪問(wèn)控制策略控制����,部署堡壘機(jī)對(duì)用戶行為進(jìn)行訪問(wèn)控制�。
對(duì)于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備�、服務(wù)器設(shè)備等只需要進(jìn)行默認(rèn)賬戶刪除、修改默認(rèn)口令�、無(wú)法通過(guò)默認(rèn)賬戶以及默認(rèn)口令登錄就可以滿足最基本的要求。
3. 安全審計(jì)
安全審計(jì)主要指對(duì)日志進(jìn)行記錄與審計(jì)���。若缺失對(duì)重要的用戶行為和重要安全事件的審計(jì)����,肯定無(wú)法通過(guò)等保測(cè)評(píng)���。
建議在網(wǎng)絡(luò)設(shè)備���、安全設(shè)備���、主機(jī)/服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)�、業(yè)務(wù)應(yīng)用系統(tǒng)性能允許的前提下,開啟用戶操作類和安全事件類審計(jì)策略�。
通常使用第三方日志審計(jì)系統(tǒng),除進(jìn)行常規(guī)的日志記錄收集外�,對(duì)日志進(jìn)行關(guān)聯(lián)分析,篩查可能存在的安全風(fēng)險(xiǎn)����。
4. 入侵防范
關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口�。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備���、主機(jī)/服務(wù)器操作系統(tǒng)���、數(shù)據(jù)庫(kù)系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口必須要關(guān)閉。
同時(shí)建議在既有業(yè)務(wù)中使用默認(rèn)共享服務(wù)的��,盡量切換到其他服務(wù)。
此外還需要對(duì)遠(yuǎn)程管理的用戶以及管理維護(hù)所使用的終端進(jìn)行管控��,一般采用堡壘機(jī)類產(chǎn)品進(jìn)行管控��。
對(duì)于一些互聯(lián)網(wǎng)直接能夠訪問(wèn)到的設(shè)備及系統(tǒng)�,須盡快修補(bǔ)已在公開渠道披露的重大漏洞�。尤其是業(yè)務(wù)應(yīng)用系統(tǒng),現(xiàn)階段針對(duì)應(yīng)用系統(tǒng)的SQL注入�、跨站腳本等均為高風(fēng)險(xiǎn)漏洞,都會(huì)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行造成嚴(yán)重后果��。
5. 惡意代碼防范
安裝反病毒軟件��,同時(shí)反病毒軟件需及時(shí)更新病毒庫(kù)�����。如果是相對(duì)封閉的網(wǎng)絡(luò)����,如工業(yè)控制系統(tǒng),需安裝白名單類軟件進(jìn)行惡意代碼防范�。
6. 數(shù)據(jù)完整性及保密性
數(shù)據(jù)的完整性與保密性主要包含存儲(chǔ)數(shù)據(jù)的完整性與保密性,以及傳輸數(shù)據(jù)的完整性和保密性��。
