等級保護測評主要爲【技術】和【管理】兩大類測評
管理方面的要求
參考標準文件的要求即可:
《信息系統安全管理要求》GB/T 20269-2006
《信息系統安全工程管理要求》GB/T 20282-2006
技術方面的要求:
技術方面的要求分爲:物理安全,網路安全,主機安全,應用安全,數據安全以及備份恢復。
物理安全:主要涉及機房安全,機房位置,機房其他配套和弱電防盜防雷防電磁設施。
網絡安全:機房網絡設備、安全設備,以及網絡設備的相關配置。
主機安全:應用所在操作系統安全,主要是操作系統基線配置。
應用安全:業務應用安全相關措施,主要還是B/S或C/S模式爲主(即瀏覽器-服務器 客戶端-服務器)。
數據安全以及備份恢復:是否有異地備份,備份線路以及備份還原數據是否可靠等。
等級保護測評技術部分詳細條目
1:對機房建設有一定了解,熟悉一些機房建設標準。
2:熟悉2-3個速通廠家網絡設備配置,以及2-3安全廠家網絡設備配置。
3:熟悉至少2種操作系統基線配置,centos(redhat)、debian、freebsd、solaris、windows server4:懂的應用抓包 burp suite 或wireshark之類工具以及基本使用。
5:瞭解一些主流軟件開發語言以及中間件(apache iis nginx ) 數據庫(mssql mysql oracle)等
物理安全 技術要求:
物理位置的選擇
a)機房和辦公場地應選擇在具有防震、防風和防雨等能力的建築內; 目前機房是否具備防震,防風和防雨是否在建築內。
b)機房場地應避免設在建築物的高層或地下室,以及用水設備的下層或隔壁。 字面意思,機房位置不建議超過5層,這就是普遍雲計算數據中心等,樓房一般不會太高的原因,怕震。注意防滲水。 三級要求
物理訪問控制
a)機房出入口應安排專人值守,控制、鑑別和記錄進入的人員 字面意思,進出機房有專人值守,識別如指紋密碼識別等,進出機房需登記,一般爲紙質記錄 一般都合格,很多單位缺失可能是文檔記錄和門禁建議補充。
b)需進入機房的來訪人員應經過申請和審批流程,並限制和監控其活動範圍; 外人來訪需要有審批流程,如進出入介紹信,身份證登記等,進入機房需有人陪同,和規範作業範圍 一般情況不符合,主要是沒人約束具體行爲,或沒有審批文檔,確認身份流程。
c)應對機房劃分區域進行管理,區域和區域之間設置物理隔離裝置,在重要區域前設置交付或安裝等過渡區域; 機房要求有過度區域,服務器區域,託管區域,有存在物理上劃分區域即爲符合,到其他區域最好有門禁。
d)重要區域應配置電子門禁系統,控制、鑑別和記錄進入的人員。 需要有門禁系統,並對進入門禁系統的人員進行識別、控制和記錄的功能。
防盜竊和防破壞
a)應將主要設備放置在機房內; 字面意思,主要服務器,網絡設備在機房範圍內。
b)應將設備或主要部件進行固定,並設置明顯的不易除去的標記; 標識設備,如網絡設備、網線、服務器IP,名稱,業務用途,負責人聯繫方式等。
c)應將通信線纜鋪設在隱蔽處,可鋪設在地下或管道中; 如網絡線纜走橋架(高空),電力線纜走地板下。線纜不暴露在地板上。
d)應對介質分類標識,存儲在介質庫或檔案室中; 如不使用存儲介質爲不適用項目,少數機房會使用U盤,光盤等需要固定地點存檔和標識。
e)應利用光、電等技術設置機房防盜報警系統; 需要光感,電感防盜報警,(如電磁防盜門 光感報警照相等)具體瞭解安防設備,不贅述。 一般情況爲不符合,可能有監控,門禁。
f)應對機房設置監控報警系統。 當機房有人出入時,有自動記錄、拍照報警等。
防雷擊
a)機房建築應設置避雷裝置; 機房建築是否有避雷針,或其他避雷措施。
b)應設置防雷保安器,防止感應雷; 防雷安保器,感應雷其實講的是非雷電直接擊中設備造成的其他影響。
c)機房應設置交流電源地線。 確認設備機櫃是否有接地線,以及是否有設備漏電的情況,機房電源是否有接地線。
防火
a)機房應設置火災自動消防系統,能夠自動檢測火情、自動報警,並自動滅火; 火感,煙感設備,是否有自動滅火系統,是否有配備滅火器,滅火器氣壓是否正常。
b)機房及相關的工作房間和輔助房應採用具有耐火等級的建築材料; 機房需採用防火靜電地板,防火門等。
c)機房應採取區域隔離防火措施,將重要設備與其他設備隔離開。
防水和防潮
a)水管安裝,不得穿過機房屋頂和活動地板下; 不能有水管或者滲水通過機房。
b)應採取措施防止雨水通過機房窗戶、屋頂和牆壁***; 機房牆壁,機櫃,窗戶,地板不能有潮溼,滲水情況。
c)應採取措施防止機房內水蒸氣結露和地下積水的轉移與***; 最好有控制溼度或乾燥設備等。
d)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。 有針對出現水***情況,進行檢測報警的相關設備。
防靜電
基本要求 解讀 備註 a)主要設備應採用必要的接地防靜電措施; 機櫃是否爲防靜電,設備是否有接地線 。
b)機房應採用防靜電地板。 字面意思,機房不能直接在瓷磚、木地板上,最好有防靜電地板。
溫溼度控制
基本要求 解讀 備註 機房應設置溫、溼度自動調節設施,使機房溫、溼度的變化在設備運行所允許的範圍之內。
機房標準有A、B、C三類機房。針對溫溼度:
A類和B類機房要求一樣,溫度都是23±1℃,溼度爲40%~55% 。
C類機房的溫度爲18~28℃,溼度35%~75%。。
電力供應
a)應在機房供電線路上配置穩壓器和過電壓防護設備; 需要有UPS設備,過壓防護設備。
b)應提供短期的備用電力供應,至少滿足主要設備在斷電情況下的正常運行要求; 斷電後UPS至少能工作一小時以上,或保證機房設備能有備用發電設備也可。
c)應設置冗餘或並行的電力電纜線路爲計算機系統供電; 至少兩種市級供電線路,斷電自動切換(毫秒級)。
d)應建立備用供電系統。 除UPS電池之外,還需要有備用發電機發電。
電磁防護
a)應採用接地方式防止外界電磁干擾和設備寄生耦合干擾; 有防電磁干擾和寄生耦合干擾措施,各種供電線路和通信線纜 和服務器相關設備不能太近。
b)電源線和通信線纜應隔離鋪設,避免互相干擾; 供電線路和通信線纜分開鋪設,如橋架(高空)走通信線纜 地板下走供電線路。
c)應對關鍵設備和磁介質實施電磁屏蔽。
網絡安全 技術要求:
PS:是等級保護重要的權重部分,也是可以較多整改的部分。本部分涉及到很多設備配置查看和識別以下會簡稱爲(參考設備配置手冊)
結構安全
a)應保證主要網絡設備的業務處理能力具備冗餘空間,滿足業務高峯期需要; 看網絡設備負載冗餘,一般情況80%利用率以下爲符合 。
b)應保證網絡各個部分的帶寬滿足業務高峯期需要; 寬帶冗餘。
c)應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑; 採用靜態路由。
d)應繪製與當前運行情況相符的網絡拓撲結構圖; 字面。意思,需要有當前網絡佈局的拓撲圖,並根據實際情況更新。
e)應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素,劃分不同的子網或網段,並按照方便管理和控制的原則爲各子網、網段分配地址段; 訪談網絡管理員,是否依據部門的工作職能、重要性和應用系統的級別劃分了不同的VLAN或子網。
f)應避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間採取可靠的技術隔離手段; 各個網段VLAN 之間三層設備是否配置ACL 來控制訪問。
g)應按照對業務服務的重要次序來指定帶寬分配優先級別,保證在網絡發生擁堵的時候優先保護重要主機。
訪問控制
a)應在網絡邊界部署訪問控制設備,啓用訪問控制功能; 網絡邊界的防護設備,如防火牆之類。
b)應能根據會話狀態信息爲數據流提供明確的允許/拒絕訪問的能力,控制粒度爲端口級; 策略精細控制到端口級。
c)應對進出網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制; 對HTTP、FTP、TELNET等協議的通信默認端口進行限制即可,稍微好一些的下一代的防火牆可以只禁止協議訪問。
d)應在會話處於非活躍一定時間或會話結束後終止網絡連接; 字面意思,講的其實是網絡連接上的超時時間,當網絡連接不活躍時有自動斷開連接的功能,也包括登陸網絡設備不操作的超時時間。
e)應限制網絡最大流量數及網絡連接數; 兩個方面,最大流量上下行限制,以及網絡最大併發鏈接數限制。
f)重要網段應採取技術手段防止地址欺騙; 其實就是MAC 綁定IP的操作,防止ARP地址欺騙。省事的辦法還有防ARP的防火牆。
g)應按用戶和系統之間的允許訪問規則,決定允許或拒絕用戶對受控系統進行資源訪問,控制粒度爲單個用戶;
1:對於遠程撥號用戶,需要有用戶認證功能。(校園網撥號上網)
2:對於直接插網線能上網用戶,簡單方式用上網行爲管理。
h)應限制具有撥號訪問權限的用戶數量。
1:遠程撥號用戶是否有最大用戶數量限制。
2:直接上網用戶在網關是否有最大IP/鏈接限制。
安全審計
a)應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行爲等進行日誌記錄; 網絡設備需要啓用日誌功能,輸出日誌到其他地方也好,單機保存。
b)審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息; 網絡設備的日誌審計內容需要記錄時間、類型、用戶、事件類型、事件是否成功失敗等。
c)應能夠根據記錄數據進行分析,並生成審計報表;
能夠將日誌導出,分析,形成報告。寬鬆點的評測你其他方式導出也行。
d)應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。
一般管理賬戶或普通用戶不能修改,刪除,覆蓋相關日誌,僅超級管理權限可以修改。嚴格的要求是任何賬戶不可修改。
邊界完整性檢查
a)應能夠對非授權設備私自聯到內部網絡的行爲進行檢查, 準確定出位置,並對其進行有效阻斷。
b) 應能夠對內部網絡用戶私自聯到外部網絡的行爲進行檢查,準確定出位置,並對其進行有效阻斷。
***防範
a)應在網絡邊界處監視以下***行爲:端口掃描、強力***、***後門***、拒絕服務***、緩衝區溢出***、IP碎片***和網絡蠕蟲***等; 針對這幾種類型***需要有***檢測設備,一般有IPS就可以滿足,也有帶有IPS功能下一代防火牆,下一代防火牆跟單獨IPS相比,一般情況IPS單口可走網絡流量較高。
b)當檢測到***行爲時,記錄***源IP、***類型、***目的、***時間,在發生嚴重***事件時應提供報警。 IPS上的一個日誌和告警功能,能夠記錄“***源IP、***類型、***目的、***時間”跟網絡安全層面的日誌要求類似。。
惡意代碼防範
a)應在網絡邊界處對惡意代碼進行檢測和清除;
惡意代碼有兩種,傳統主機病毒 可執行類病毒。如後綴爲EXE 、BAT、VBS、VBE、JS、JSE、WSH、WSF等 這類需要在網絡邊界部署防毒牆。
還有一種是腳本病毒一般所說的WEBSHELL類型 上傳ASPX.PHP.JSP 的腳本類型。這類需要在網絡邊界部署web防火牆 (也稱爲:網站應用級***防禦系統。英文:Web Application Firewall,簡稱: WAF)。 b)應維護惡意代碼庫的升級和檢測系統的更新。
同上解釋,病毒牆和WAF需要定期升級特徵庫。
身份訪問控制
a)應對登錄網絡設備的用戶進行身份鑑別; 網絡設備口至少兩種密碼:一種是網絡訪問(SSH TELNET HTTPS)的密碼,另一種是直接接consle口的密碼,密碼不能爲默認。
b)應對網絡設備的管理員登錄地址進行限制; 登陸訪問網絡設備的來源IP進行限制。如管理IP192.168.1.100. 那麼網絡設備只准許這個IP登陸,其他IP則直接拒絕登陸。
c)網絡設備用戶的標識應唯一; 用戶名唯一性,不存在重複的用戶名。不能出現一個賬戶多人使用的情況。每個管理人員有自己唯一專屬的賬號。
d)主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑑別技術來進行身份鑑別;一般說的雙因子認證,就是除了賬戶密碼之外 需要有加密狗或短信驗證或指紋類生物識別等其他驗證方式來確定使用者身份的認證方式。
e)身份鑑別信息應具有不易被冒用的特點,口令應有複雜度要求並定期更換;
1:口令複雜度 大小寫數字特殊符號的組合密碼8位以上
2:定期更換 2個月 3個月更換一次比較常見。
f)應具有登錄失敗處理功能,可採取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施; 如賬戶密碼輸入錯誤 連續5次 鎖定賬戶 或IP地址 20分鐘 。防止暴力破解。
g)當對網絡設備進行遠程管理時,應採取必要措施防止鑑別信息在網絡傳輸過程中被竊聽; 網絡設備訪問方式 基本就以下這些
加密:https ssh
明文:telnet consle aux http
特殊:gui 或其他客戶端模式
要求是隻是用加密的訪問方式,https ssh
不加密的方式禁用掉,特殊的登陸方式有些加密有些不加密,需要用wireshark 抓包進行觀察。
h)應實現設備特權用戶的權限分離。
將一個超級用戶權限拆分成幾個用戶,每個用戶權限獨立互不干涉。按照要求一般需要三種賬戶:普通賬戶,審計/備份賬戶,配置更改賬戶。
掃一掃上面二維碼圖案,加我微信瞭解更多