等級保護認證作為我國最權(quán)威的網(wǎng)絡(luò)安全等級資格認證��,自《中華人民共和國網(wǎng)絡(luò)安全法》正式實施后����,已成為我國網(wǎng)安領(lǐng)域的基本國策、基本制度和基本要求����。
在之前的推送中,中科三方為大家介紹了等保2.0的政策背景����,以及等保2.0相較于1.0的異同點。(科普|網(wǎng)絡(luò)安全等級保護2.0大揭秘)
今天三方以等保三級為標準�,為您介紹認證等保三級不可不知的7個基本要求。
等保三級有多嚴格���?
等保三級是國家對非銀行機構(gòu)的最高級認證�����,是安全標記保護級���,屬“監(jiān)管級別”�,由國家信息安全監(jiān)管部門進行監(jiān)督�、檢查等保三級,認證����。
測評內(nèi)容涵蓋了5個等級保護安全技術(shù)要求和5個安全管理要求,具體包含信息保護����、安全審計、通信保密等近300項要求�,涉及73類測評分類,要求十分嚴格����。
中科三方于2017年就已通過公安部的等保三級測評認證,作為深耕行業(yè)20年的老牌互聯(lián)網(wǎng)基建服務(wù)商���,三方在等保認證和網(wǎng)絡(luò)安全方面擁有豐富的實戰(zhàn)經(jīng)驗�����,多次在“兩會“��、“一帶一路峰會“等國家重大會議承擔重保工作���。
等保三級 之 6大關(guān)鍵點
1.身份驗證
身份驗證需保證所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備�、重要服務(wù)器、數(shù)據(jù)庫服務(wù)器���、應(yīng)用業(yè)務(wù)系統(tǒng)等這些關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令���、空口令賬戶登錄情況。
在確保無弱口令和空口令的前提下����,所有重要設(shè)備都需采用雙因子認證方式登錄,尤其是針對核心業(yè)務(wù)應(yīng)用系統(tǒng)�����,不能只采用基本的用戶名/口令�����。比較常用的做法是采用令牌�����、智能卡、生物指紋���、虹膜識別����、人臉識別等高階認證技術(shù)��。
對于遠程管理維護的操作���,一般建議通過部署堡壘機實現(xiàn)雙因子認證和傳輸信息的加密�����。
2. 訪問控制
對于業(yè)務(wù)應(yīng)用系統(tǒng)�����,有很多未達到等保訪問控制基本要求的常見缺陷����,如越權(quán)訪問系統(tǒng)功能模塊或查看���、操作其他用戶的數(shù)據(jù)等�。
針對此類問題,建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進行單獨區(qū)域劃分���,部署第二代防火墻類設(shè)備進行邊界隔離,深層次過濾訪問行為�。同時需有明確的管理制度不允許本地操作,或者對本地的操作進行訪問控制����。
針對遠程操作進行訪問控制策略控制,部署堡壘機對用戶行為進行訪問控制��。
對于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備���、主機設(shè)備�、服務(wù)器設(shè)備等只需要進行默認賬戶刪除����、修改默認口令、無法通過默認賬戶以及默認口令登錄就可以滿足最基本的要求�����。
3. 安全審計
安全審計主要指對日志進行記錄與審計。若缺失對重要的用戶行為和重要安全事件的審計��,肯定無法通過等保測評��。
建議在網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、主機/服務(wù)器操作系統(tǒng)���、數(shù)據(jù)庫系統(tǒng)�、業(yè)務(wù)應(yīng)用系統(tǒng)性能允許的前提下����,開啟用戶操作類和安全事件類審計策略。
通常使用第三方日志審計系統(tǒng)�,除進行常規(guī)的日志記錄收集外,對日志進行關(guān)聯(lián)分析�,篩查可能存在的安全風(fēng)險。
4. 入侵防范
關(guān)閉不需要的系統(tǒng)服務(wù)�、默認共享和高危端口。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備����、安全設(shè)備��、主機/服務(wù)器操作系統(tǒng)���、數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的多余系統(tǒng)服務(wù)/默認共享/高危端口必須要關(guān)閉。
同時建議在既有業(yè)務(wù)中使用默認共享服務(wù)的���,盡量切換到其他服務(wù)����。
此外還需要對遠程管理的用戶以及管理維護所使用的終端進行管控����,一般采用堡壘機類產(chǎn)品進行管控�����。
對于一些互聯(lián)網(wǎng)直接能夠訪問到的設(shè)備及系統(tǒng)����,須盡快修補已在公開渠道披露的重大漏洞。尤其是業(yè)務(wù)應(yīng)用系統(tǒng)�����,現(xiàn)階段針對應(yīng)用系統(tǒng)的SQL注入、跨站腳本等均為高風(fēng)險漏洞����,都會對業(yè)務(wù)應(yīng)用系統(tǒng)正常運行造成嚴重后果。
5. 惡意代碼防范
安裝反病毒軟件����,同時反病毒軟件需及時更新病毒庫。如果是相對封閉的網(wǎng)絡(luò)����,如工業(yè)控制系統(tǒng),需安裝白名單類軟件進行惡意代碼防范��。
6. 數(shù)據(jù)完整性及保密性
數(shù)據(jù)的完整性與保密性主要包含存儲數(shù)據(jù)的完整性與保密性���,以及傳輸數(shù)據(jù)的完整性和保密性����。
