- 等保发展过程
- 1994年,国务院颁布了《中华人民共和国计算机信息系统安全保护条例》
- ——公安部门会同有关部门制定计算机信息系统的安全等级保护、安全等级划分标准和具体措施。
- 2003年 《关于加强信息安全保障的意见》
- ——要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
- 2007年 《信息安全等级保护管理办法》
- ——明确信息安全等级保护的具体要求,履行信息安全等级保护的义务和责任。
- 2008年《信息安全等级保护基本要求》
- 2017年 《中华人民共和国网络安全法》
- 立法背景
- 外因:
- 网络已成为第五度空间(海、陆、空天网)。针对网络的渗透、刺探和攻击,各国都将网络安全作为国家安全的重要组成部分。
- 内因:
- 国内网络安全事件层出不穷。它不仅是页面篡改和技术炫耀,也是影响舆论、公共事件传播、个人、集体和国家安全的因素。
- 国外:
- 已经建立了安全法,强制网络信息安全。(日、美、欧盟)
- 国内:
- 技术与决策层分离,安全意识淡薄,技术部门意见不重视,技术能力不提高,建设资金短缺。—— 铁也不硬。
- 外因:
- 主要内容
- 重要条文
- 第二十一条
- 国家实行网络安全等级保护制度。网络运营商应按照网络安全等级保护制度的要求履行以下安全保护义务,确保网络免受干扰、损坏或未经授权访问,防止网络数据泄露、盗窃、篡改。
- (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
- (二)采取技术措施,防止计算机病毒、网络攻击、网络入侵等危害网络安全的行为;
- (3)采取监控和记录网络运行状态和网络安全事件的技术措施,并按规定保留不少于6个月的相关网络日志;
- (四)采取数据分类、重要数据备份和加密等措施;
- 第三十一条
- 国家对网络安全等级保护制度的基础上,对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他可能严重危害国家安全、国计民生和公共利益的关键信息基础设施实施重点保护。关键信息基础设施的具体范围和安全保护措施由国务院制定。
- 第三十四条
- 除本法第二十一条规定外,关键信息基础设施的经营者还应当履行下列安全保护义务:
- (一)设立专门的安全管理机构和安全管理负责人,审查负责人和关键岗位人员的安全背景;
- (二)定期对员工进行网络安全教育、技术培训和技能考核;
- (三)备份重要系统和数据库容灾;
- (四)制定网络安全事件应急预案,定期演练;
- 第三十六条
- 采购网络产品和服务的关键信息基础设施运营商,应当按照规定与提供商签订安全保密协议,明确安全保密的义务和责任。
- 第三十七条
- 关键信息基础设施的经营者在中华人民共和国境内经营中收集和生成的个人信息和重要数据,应当存储在中国。因业务需要国外提供的,应当按照国家网络信息部门和国务院有关部门制定的方法进行安全评价;法律、行政法规另有规定的,依照其规定。
- 第二十一条
- 网络安全等级保护
- 国家通过制定统一的安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
- 等级划分
- 安全保护等级划分:
- 一级保护对象受损后,会损害公民、法人等组织的合法权益,但不损害国家安全、社会秩序和公共利益。
- 二级保护对象受损后,将严重损害公民、法人和其他组织的合法权益,或损害社会秩序和公共利益,但不损害国家安全。
- 第三级,等级保护对象受损后,会对公民、法人和其他组织的合法权益、社会秩序和公共利益、国家安全造成特别严重的损害。
- 第四级,等级保护对象受损后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重的损害。
- 第五级,等级保护对象受损后,会对国家安全造成特别严重的损害。
- 安全保护等级划分:
- 定级要素
- 侵权对象。
- (一)公民、法人等组织的合法权益;
- (二)社会秩序、公共利益;
- (3)国家安全。
- 侵害对象的程度。
- 一般损害:
- 工作影响工作职能,降低业务能力,但不影响主要功能的执行。
- 严重损害:
- 工作职能受到严重影响,业务能力明显下降,主要功能的执行受到严重影响。
- 特别严重的损害:
- 工作职能受到特别严重影响或丧失行使能力,业务能力严重下降或无法执行。
- 一般损害:
- 侵权对象。
- 分级要素与保护等级的关系
- 等级保护对象
- 等级保护对象通常是指由计算机或其他信息终端和相关设备组成的系统,按照一定的规则和程序收集、存储、传输、交换和处理信息。
- 主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和移动互联网技术系统。
- 确定定级对象
- 分级对象的基本特征:
- 确定主要安全责任主体
- 承载相对独立的业务应用
- 包含多个相互关联的资源
- 主要安全责任主体:企业、机关、事业单位等法人,以及不具备法人资格的社会组织。
- 避免以服务器、终端或网络设备等单一系统组件为定级对象。
- I.以支持和传输的信息网络为分级对象(特殊网络、内部网络、外部网络和网络管理系统)。然而,整个网络不是一个分级对象,而是从安全管理和安全责任的角度将基本信息网络分为几个最小的安全区域。
- 安全域:
- 根据同一系统中的信息性质、使用主体、安全目标和策略等元素来划分的不同的逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,相同的网络安全域共享同样的安全策略。
- 安全域:
- 二、对用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备作为定级对象的条件。
- 三、将各单位网站作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统也作为独立的定级对象。
- 四、确认负责定级的单位是否对其所定级的系统负有业务主管责任。即业务部门主导对业务信息系统定级,运维部门可以协助定级并展开后续的安保工作。
- 五、定级的对象具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的配套设备、设施按照一定的应用目标和规则组合而成的有形实体。避免将单一的系统组件(服务器、终端、网络设备)作为定级对象。
- I.以支持和传输的信息网络为分级对象(特殊网络、内部网络、外部网络和网络管理系统)。然而,整个网络不是一个分级对象,而是从安全管理和安全责任的角度将基本信息网络分为几个最小的安全区域。
- 基础信息网络
- 对于电信网、广播电视传输网、互联网等基础信息网络,应依据服务类型、服务地域、安全责任主体等因素划分为不同的定级对象。
- 信息系统
- 工业控制系统
- 工控系统主要由生产管理层、现场设备层、现场控制层、过程监控层组成。生产管理层单独定级,现场设备层、现场控制层、过程监控层作为一个整体对象定级,各层次要素不单独定级。
- 云计算平台
- 云服务方的云计算平台单独作为定级对象定级,云租户方的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助系统划分为不同的定级对象。
- 物联网
- 物联网主要包括感知层、网络传输层、处理应用层等要素,各要素不单独定级,物联网作为一个整体对象定级。
- 移动互联网
- 采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统。
- 大数据
- 将具有统一安全责任主体的大数据平台作为一个整体对象定级。当安全责任主体不同时,大数据应独立定级
- 工业控制系统
- 分级对象的基本特征:
- 确定网络安全保护等级
- 等级保护对象的安全主要包括业务信息安全和系统服务安全。与之相关的受侵害客体和对客体的侵害程度可能不同,因此定级应由业务信息安全和系统服务安全两方面确定。
- 定级的方法:
- (1)确定受到破坏时所侵害的客体
- 1)确定业务信息受到破坏时所侵害的客体。
- 2)确定系统服务受到破坏时所侵害的客体。
- (2)确定对客体的侵害程度
- 1)评定业务信息安全被破坏对客体的侵害程度。
- 2)评定系统服务安全被破坏对客体的侵害程度。
- (3)确定安全保护等级
- 两者保护等级较高者为定级对象的安全保护等级。
- (1)确定受到破坏时所侵害的客体
- 定级矩阵表
- 对于大数据等定级对象,应综合考虑数据规模、数据价值、重要程度,以及数据资源受到破坏后对国家安全、社会秩序、公共利益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上。
- 对于基础信息网络、云计算平台等定级对象,应根据承载对象的重要程度确定其安全保护等级,原则上不低于其承载对象的安保等级。国家关键信息基础设施的安全保护等级应不低于第三级。
- 定级流程
- 物理安全和环境安全
- 安全风险:
- 物理安全和环境安全风险主要来源于自然环境灾害、人员访问控制失效、机房基础设施缺失导致的火灾、漏水、雷击和静电对设备电路的破坏、设备失窃等安全事件,影响网络、主机和业务的连续性,甚至导致业务数据的丢失。
- 安全目标:
- 为机房选择一个合理的物理位置,配置完善的基础设施,降低设备故障的概率,保障信息系统业务的连续性。
- 安全风险:
- 物理安全要求
- 物理位置选择要求:
- 机房场地应选择在具有防震、防风、防雨等能力的建筑内;
- 机房场地应避免设在建筑物的顶层或地下室。
- 物理访问控制要求:
- 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。电子门禁系统另一个重要用途在于对进入的人员进行记录,一旦发生网络安全事件,可以进行事件追溯,其日志记录应保存6个月以上。
- 防盗和防破坏要求:
- 应将设备或主要部件进行固定,并设置明显的不易除去的标识。
- 应将通信线缆铺设在隐蔽安全处,可铺设于地下或管道中。
- 应设置机房防盗报警系统或设置有专人值守的视频监控系统。视频文件保存6个月以上。
- 防雷击要求:
- 应将各类机柜、设施和设备等通过接地系统安全接地。
- 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
- 防火要求:
- 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
- 机房及相关工作房间和辅助房间应采用具有耐火等级的建筑材料。
- 机房应进行划区域管理,区域与区域之间设置隔离防火措施。
- 防水防潮要求:
- 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
- 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
- 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
- 防静电要求:
- 应采用防静电地板或地面并采用必要的接地防静电措施。
- 应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
- 温、湿度控制要求:
- 应设置温、湿度自动调节措施,使机房温湿度的变化在设备运行所允许的范围之内。按照GB50174-2017《数据中心设计规范》执行。
- 电力供应要求:
- 应在机房供电线路上配置稳压器和过电压防护设备。
- 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
- 应设置冗余或并行的电力电缆线路为计算机系统供电。
- 物理位置选择要求:
- 网络和通信安全
- 安全风险:
- 网络和通信安全风险的来源主要从设备硬件、软件以及网络通信协议三个方面来识别。
- 设备硬件:
- 硬件性能、可靠性决定数据传输的效率。(延迟、稳定性差、ddos)
- 软件:
- 操作系统、数据库、应用系统本身的设计缺陷和漏洞。
- 网络通信协议:
- 协议层的设计缺陷(安全漏洞、认证问题、缺乏保密机制)
- 安全目标:
- 信息系统网络建设以维护网络活动的保密性、数据传输的完整性和应用系统的可用性为基本目标。
- 架构层面:划分安全域,考虑高峰流量;
- 传输层面:加密、CRC;
- 边界防护:保证跨边界访问和数据流通受控;
- 设备层面:对非授权用户访问进行阻断;
- 入侵防范:防止入侵造成的系统破坏;
- 安全审计:对非法访问事件做跟踪记录、保存日志;
- 安全风险:
- 通信安全要求
- 网络架构要求:
- 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
- 应保证网络各个部分的带宽满足业务高峰期需要;
- 应划分不同的网络区域,为各区域分配地址(按不同区域、不同功能的安全要求,划分不同的安全域,实施不同的安全策略);
- 应避免将重要网络区域部署在网络边界处,且没有边界防护措施(部署入侵监测/防御系统、网络防病毒系统、安全审计系统等) ;
- 应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性(采用不同电信运营商的通信线路,互相备份;设计冗余线路、部署冗余路由和交换设备,部署负载均衡系统)。
- 通信传输要求:
- 应采用校验码或加解密技术保证通信过程中数据的完整性;
- 应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性(初始化验证、通信过程加密)。
- 除加密外,更主要的是在通信层面建立起安全的传输通路,如虚拟专用网络VPN。
- 虚拟专用网VPN技术
- VPN概念与结构:
- 虚拟专用网(VPN)是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道。
- “虚拟”是指用户无需建立各自专用的物理线路,而利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能。
- “专用网络”是指虚拟的网络并非任何连接在公共网络上的用户都能使用,只有经过授权用户才可使用。
- 通道内传输数据经过加密和认证,可保证传输内容的完整性和机密性。IETF对基于IP网络的定义的VPN为:利用IP机制模拟的一个专用广域网。VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路。
- VPN概念与结构:
- VPN的实现技术:
- VPN是在Internet等公共网络基础上,综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。
- 隧道技术
- 隧道技术是VPN的核心技术,为一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式,在隧道(虚拟通道)一端将数据进行封装,然后通过已建立的隧道进行传输。在隧道另一端,进行解封装并将还原的原始数据交给端设备。
- 加解密技术
- VPN采用了加密机制。常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用,利用非对称加密技术进行密钥协商和交换,利用对称加密技术进行数据加密。
- 密钥管理技术
- 密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。手工配置要求密钥更新不宜频繁,否则增加大量管理工作量,只适合简单网络。软件方式动态生成密钥可用于密钥交换协议,以保证密钥在公共网络上安全传输,适合于复杂网络,且密钥可快速更新,极大提高VPN应用安全。
- 身份认证技术
- 在VPN实际应用中,身份认证技术包括信息认证和用户身份认证。信息认证( PKI )用于保证信息的完整性和通信双方的不可抵赖性,用户身份认证(非PKI )用于鉴别用户身份真实性。PKI体系通过数字证书认证中心CA,采用数字签名和哈希函数保证信息的可靠性和完整性。如SSL VPN是利用PKI支持的SSL协议实现应用层VPN安全通信。非PKI体系一般采用“用户名+口令”的模式, VPN采用的非PKI体系认证方式有6种。
- 虚拟专用网VPN技术
- 边界防护要求:
- 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;
- 应能够对非授权设备私自连接到内部网络或内部非授权用户连接到外部网络的行为进行限制或检查;
- 应限制无线网络的使用,确保无线网络通过受控的边界防护设备进入内部网络。
- 阻断非授权设备连入内网;
- P/MAC/PORT地址绑定,从物理通道上隔离盗用者;
- 网络接入控制;
- 关闭网络设备端口。
- 阻断内部用户私自连接到外网,关闭红外、USB接口、蓝牙等可以外接的功能,在内网服务器端和客户端安装监控软件对终端计算机非法外连实施监控、报警和处置;
- 一般采用用户密码验证、扩频、加密、端口访问控制技术等来提高无线网络的安全性。
- 访问控制要求:
- 应在网络边界或区域之间设置访问控制规则,默认情况下除允许通信之外,受控接口拒绝所有通信;
- 应优化访问控制列表,保证访问控制规则数量最小化;
- 应对源地址、目的地址、源端口、目的端口和协议进行检查,以允许/拒绝数据包进出;
- 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的功能,控制粒度为端口级。
- 应在网络关键节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
- 访问控制安全策略总体概括为:允许高级别的安全域访问低级别的安全域,限制低级别的安全域访问高级别的安全域。策略原则集中在主体、客体和安全控制规则三者之间的关系。
- 最小特权原则:
- 按照主体所需最小权力原则授权给主体;
- 最小泄露原则:
- 主体执行任务时,按其所需最小信息进行权限分配,以防信息泄密;
- 多级安全策略:
- 主客体之间的数据流向和权限控制,按照安全级别来划分,避免敏感信息扩散。
- 最小特权原则:
- 访问控制安全策略:
- 基于身份的安全策略:
- 过滤主体对数据或资源的访问,只有通过认证的主体才可以使用客体的资源;
- 基于规则的安全策略:
- 比较用户和客体资源的安全级别,判断是否运行用户进行访问;
- 综合访问控制策略:
- 入网访问控制、网络权限限制、目录级安全控制、属性控制、网络监测和锁定控制等。
- 入侵防范要求:
- 应在网络关键节点处检测、防止或限制从外/内部发起的网络攻击行为;
- 应采取技术措施对网络行为进行分析,实现对网络攻击的检测和分析;
- 当检测到攻击行为时,记录攻击源IP,攻击类型、目的、时间,在发生严重入侵事件时应提供报警;
- 入侵防范系统(IDS)是防火墙的合理补充,通过对数据的采集分析,实现对入侵行为的检测。
- 基于主机的入侵防范系统
- HIDS监视与分析系统、事件和安全记录。对关键的系统文件和可执行文件定期检查和校验,并监听端口活动。
- 基于网络的入侵防范系统
- NIDS实时接收和分析网络中流动的数据包,检测是否存在入侵行为。
- 性能指标
- 漏报率、误报率、丢包率。
- 功能指标
- 事件数量、事件库更新、资源占有率、抵御能力。
- 恶意代码防范要求:
- 应在网络关键节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
- 应在网络关键节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新;
- 恶意代码检测:
- 特征码扫描:病毒特征串匹配的过程
- 沙箱技术:运行在可控的虚拟环境中
- 行为检测:典型行为的特征分析
- 恶意代码分析:
- 静态分析
- 动态分析
- 安全审计要求:
- 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和安全事件进行审计;
- 审计记录应包括事件的日期、用户、事件类型、事件成功与否及其他相关信息;
- 应对审计记录进行保护、定期备份,避免受到未预期的删除、修改或覆盖。
- 审计记录产生的时间应由系统范围内唯一确定的时钟产生。
- 应能对远程访问的用户行为,访问互联网的用户行为等单独进行审计和数据分析。
- 集中管控要求:
- 应划分出特定的管理区域,对分布在网络中的安全设备或组件进行管控;
- 应能建立一条安全的信息传输路径,对网络中的安全设备或组件进行管理;
- 应对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测。
- 应对各设备的审计数据进行汇总和集中分析。
- 应对安全策略、恶意代码、补丁升级等安全事项进行集中管理;
- 应能对网络中发生的各类安全事件进行识别、报警和分析。
- 网络架构要求:
- 设备和计算安全
- 安全风险:
- 设备和计算安全,通常指主机设备、网络设备、终端设备等节点设备自身的安全保护能力。一般通过启用操作系统、数据库、防护软件的相关安全配置来实现。
- 面临的安全风险主要来自于以下四个方面:
- 自身缺陷造成的安全风险。(代码不完善、各类漏洞)
- 外部威胁造成的安全风险。(木马后门、病毒攻击、口令猜测、非法访问)
- 内部威胁造成的安全风险。(威胁较大、难以防范)
- 云环境下的网络安全风险。(用户对云计算自身安全隐患不可控)
- 安全风险:
- 安全要求与措施
- 身份鉴别:
- 应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并定期更换;
- 应具有登录失败处理功能,配置并启用结束会话、限制非法登录次数和登录超时自动退出等相关措施;
- 当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
- 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。
- 在设备和计算安全层面,身份鉴别安全措施主要对主机操作系统配置符合安全要求的身份鉴别措施,确保设备和计算合法访问操作
- 主机采用屏保密码,设置由数字、字母、特殊字符组成的登录口令,长度至少8位并定期更换。
- 为防止恶意猜测密码口令,应配置用户登录账号锁定、口令失败次数、登录连接超时自动退出等相关安全措施。
- 应采用双因素身份鉴别机制,也就是两种或两种以上组合的鉴别技术对用户进行身份鉴别。一般除了账号口令外还可以通过增加密钥、指纹等方式实现。
- 访问控制:
- 应对登录的用户分配账号和权限;
- 应重命名默认账号或修改默认口令;
- 应及时删除或停用多余的、过期的账号,避免共享账号的存在;
- 应授予管理用户所需的最小权限,实现管理用户的权限分离;
- 应由授权主体配置访问控制策略,策略规定主体对客体的访问规则;
- 访问控制的粒度应达到主体为用户级或进程级,客体为文件、表级;
- 应对敏感信息资源设置安全标记,并控制主体对有安全标记的信息资源的访问。
- 在等级保护安全体系规划中,访问控制的要求贯穿了各个层级,可以说网络安全的防护就是要对访问控制进行安全防护。相比物理层、网络层通过部署有关安全产品实现,满足要求,在设备和计算安全中主要就是通过对设备的进行安全配置,合理加强安全措施,防止内、外非法用户攻击,保障安全。
- 应对登录和的用户分配不同的账号和应用权限;权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在他们之间形成相互制约的关系。
- 应查找是否禁用默认账户并重命名默认账号或修改默认口令;管理员登录账号权限较高,如未及时更改主机默认管理员登录账号,则可能被恶意用户轻易破解登录口令后以较高权限登录系统,造成重大损失。
- 应及时删除或停用多余的、过期的账号,避免共享账号的存在;应设置超过60天未修改口令的账号为默认过期账号,并及时删除;应屏蔽上次登录用户信息,如没有配置此项安全策略,则登录时显示上次登录用户的用户名,造成信息泄露。
- 应采用分权管理的机制,规避系统管理员权限过高成为超级管理员的风险,将管理员权限分散为安全管理员、审计管理员和系统管理员,三个权限各司其职,相互制约。实现最小权限,不仅保证了系统安全性,同时也符合国家相关信息安全标准规范。
- 访问控制主要用于防止非法主体访问受保护的资源,或防止合法主体访问未授权的资源。应由授权主体配置访问控制策略,并规定主体对客体的访问规则。
- 访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。控制的粒度应达到主体为用户级或级,客体为文件、表级。
- 对重要系统文件进行敏感标记,设置强制访问控制机制。根据管理用户的角色分配权限,并做细致划分,仅授予管理用户最小权限,并对用户及用户程序进行限制,从而达到更高的安全级别。
- 安全审计:
- 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
- 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
- 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
- 应对审计进程进行保护,防止未经授权的中断;
- 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。
- 设备安全审计一般由堡垒机等专业安全监控、审计软硬件实现,主要覆盖了移动介质、软件资源的使用控制,网络资源的访问控制、端口设备的使用管理、非法外连告警、敏感信息监测、文件共享/打印控制、准入控制等功能。
- 堡垒机通常在一个特定的网络环境中,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用技术手段实时收集并监控网络中个组成部分的运行状态、安全事件、网络活动,以便形成日志,集中分析并能提供监控报警,及时处理以及审计追责。
- 入侵防范:
- 应遵循最小安装的原则,仅安装需要的组件和应用程序;
- 应关闭不需要的系统服务、默认共享和高危端口;
- 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
- 应能发现可能存在的,并在经过充分测试评估后,及时修补;
- 应能够检测到对重要节点进行的行为,并在发生严重事件时提供报警。
- 网络边界处一般会部署防火墙、入侵检测(IDS)、入侵防御(IPS)等设备,用于应对端口扫描、拒绝服务攻击和网络蠕虫攻击等各类攻击手段;结合防病毒工具,能及早发现入侵行为并采取相应的应对措施,减少发生网络安全事件的可能。
- 网络安全设备仅能对通过该设备传输的数据进行安全检查,防止由外向内或由内向外的攻击行为的发生,而对区域内部发起的横向攻击无能为力。因此,需要在操作系统端进行安全加固,并部署主机入侵检测(HIDS)或主机入侵防御系统(HIPS)。
- 操作系统的安装应遵循最小安装原则,仅开启需要的服务,可以明显降低系统遭受攻击的可能性。同时及时更新系统补丁,可以避免由操作系统带来的风险。
- 关闭137、139、445、593、1025端口,UDP 135、137、138、445端口,以及服务访问端口3389等。
- 对指定接口所连接的IP和MAC地址绑定,可以防止IP盗用,并对非法IP 的访问提供详细的记录;同时在路由器上进行重要主机的IP/MAC绑定,可以进一步保证的安全。
- 定期检查的补丁是否及时更新,对已知漏洞是否进行了修复,对于实际生产环境的主机,由管理员选择是否安装更新,防止自动更新补丁对实际生产环境造成影响。
- 在主机上部署入侵检测或入侵防御系统,及时检测到对重要节点的入侵行为,并在发生严重事件时提供自动告警功能。
- 恶意代码防范:
- 应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。
- 恶意代码一般通过网络和主机两个层面进行破坏,所以应在网络和设备处同时防范。一般在和终端设备安装网络版防软件并及时更新病毒库进行有效防护控制,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后通过备份进行恢复。
- 资源控制:
- 应限制单个用户或进程对系统资源的最大使用限度;
- 应提供重要节点设备的硬件冗余,保证系统的可用性;
- 应对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况;
- 应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。
- 身份鉴别:
- 应用和数据安全
- 应用安全风险:
- 是指信息系统在应用层面存在脆弱性进而受到内外部威胁影响的可能性。主要包括:病毒蠕虫、木马后门、口令猜测/暴力破解、拒绝服务攻击、代码注入、SQL注入…等等。
- 应用安全目标:
- 是从系统建设的全生命周期入手,通过安全需求、安全设计、安全开发、安全测试以及系统上线以后的安全加固,尽量减少应用系统安全漏洞和风险暴露面,从而实现系统安全、可靠、稳定运行。
- 数据安全风险:
- 是指信息系统在数据层面存在脆弱性进而受到内外部威胁影响的可能性。最主要的数据安全风险是数据或信息被非法授权访问、泄露、修改或删除。具体可分为管理风险和技术风险,其中管理风险主要涉及人的因素,包括:操作失误、故意泄露、人为破坏等。
- 数据安全目标:
- 在系统自身安全防护标准的基础上,实现数据生命周期的安全管理保证数据和信息不被非法授权访问、篡改、破坏,从而确保数据的保密性、完整性、可用性。
- 应用安全风险:
- 安全要求与措施
- 身份鉴别要求:
- 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
- 应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
- 用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全;
- 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
- 访问控制:
- 要求与设备和计算安全的要求类似,略。
- 对于人员流动、功能测试等原因产生的多余或过期的账号,必须删除或停用,并避免出现多人使用同一账号的情况发生。
- 应考虑最小权限原则,仅分配给主体完成工作所需的最小权限,并注意不同角色之间权限的制衡,防止发生共谋等情况。
- 基于角色的访问控制,支持三条安全准则:最小特权、职责分离和数据抽象。
- 对于特别重要的系统,可以在角色访问控制的基础上,配置强制访问控制功能,系统通过比较主体和客体的访问标签来决定一个主体是否可以访问某个客体。
- 安全审计:
- 要求与设备和计算安全的要求类似,略。
- 软件容错:
- 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
- 在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施。
- 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
- 应用系统应具备一定的容错功能,首先需要对用户输入数据的有效性进行校验,确保用户按照系统规定的格式提交数据,对于非法的或可能损害系统的字符、语句,可以选择过滤、转义或拒绝。应用系统各功能模块对资源的需求等应做到相对独立,当资源出现抢占或发生其他不可预料的错误发生时,可以将影响范围尽量缩小。如果故障不可避免,应用系统应自动保存故障发生时的系统、数据、业务等状态,保证系统可以快速恢复到正常运行的状态。
- 资源控制:
- 当通信双方中的一方在一段时间内未做任何响应,另一方应能够自动结束会话。
- 应能够对系统的最大并发会话连接数进行限制。
- 应能够对单个账号的多重并发会话进行限制。
- 应能够对并发进程的每个进程占用的资源分配最大限额。
- 数据完整性要求:
- 应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性。
- 应采用校验码技术或加解密技术保证重要数据在存储过程中的完整性。
- 应用系统中通信双方应利用密码算法/CRC对数据进行完整性校验,保证数据在传输过程中不被替换、修改或破坏,对完整性检验错误的数据,应予以丢弃,并触发重发机制,恢复出正确的通信数据并重新发送。同时还应当保证数据在存储过程中不被替换、修改或破坏。
- 数据保密性要求:
- 应采用加解密技术保证重要数据在传输过程中的保密性。
- 应采用加解密技术保证重要数据在存储过程中的保密性。
- 应用系统中通信双方应利用密码(例如数字信封技术)对传输的数据加密传输,保证数据在传输过程中的保密性。同时还应对重要数据和文件设置严格的访问控制策略防止未授权访问,并在数据库管理系统中利用扩展存储过程实现数据在存储过程中的加密和解密。
- 数据备份恢复要求:
- 应提供重要数据的本地数据备份与恢复功能。
- 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
- 应提供重要数据处理系统的热冗余,保证系统的高可用性。
- 重要数据应根据需要定期备份。备份方式采取实时备份与异步备份或完全备份与增量备份相结合的方式,根据系统和数据重要程度决定备份周期,在两次完全备份之间合理安排多次增量备份,确保系统恢复点目标(RPO)满足设计要求。
- 剩余信息保护要求:
- 应保证鉴别信息所在的存储空间被释放或重新分配之前得到完全清除。
- 应保证存有敏感数据所在的存储空间被释放或重新分配之前得到完全清除。
- 应用系统、操作系统和数据库应具备剩余信息保护的功能,剩余信息是指当前用户在登出后仍然留存在系统内存、磁盘中的身份标识、鉴别信息或其他形式的登录凭证,以及敏感数据。系统应确保存有登录凭证或敏感数据的存储空间在重新分配给其他用户前被完全清除,防止信息泄露。
- 个人信息保护要求:
- 应仅采集和保存业务必需的个人用户信息。
- 应禁止未授权访问和使用用户个人信息。
- 作为网络运营者,收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用信息的规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止、毁损、丢失;未经被收集者同意,不得向他人提供;对于发生或可能发生信息泄露的情况,应按规定及时向用户和主管部门报告。
- 数据库安全:
- 数据库安全的目标是在做好数据库系统安全加固和日常维护的基础上,尽量避免数据库安全风险隐患,同时建立完善的日志审计和应急恢复机制,保持数据库系统安全稳定运行,从而保障信息系统数据安全和业务连续性。
- 对数据库进行安全策略配置和加固,使用安全的密码和账号策略。
- 做好日常运维,通过数据库漏扫技术,有效监测数据库自身漏洞和安全隐患,并进行有针对性的修复。
- 采用加密、三权分立的权限管理机制、脱敏技术。
- 建立完善的数据库日志审计机制。
- 做好数据备份和应急管理。
- 数据库安全的目标是在做好数据库系统安全加固和日常维护的基础上,尽量避免数据库安全风险隐患,同时建立完善的日志审计和应急恢复机制,保持数据库系统安全稳定运行,从而保障信息系统数据安全和业务连续性。
- Web应用面临的主要风险和漏洞
- DDoS:
- 借助于客户/技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高的能力。
- 缺乏认证机制或配置不当:
- 在Web应用程序中权限设置不正确、不完整或甚至缺少授权检查,可能会允许攻击者访问敏感信息或未授权访问登录用户的信息。
- 敏感数据泄露:
- 大多数Web应用程序没有正确地保护敏感数据,例如认证证书等,攻击者可以窃取或修改这些数据,可能会导致敏感数据泄漏、源码泄露、目录遍历。
- 源码泄露:
- 使攻击者能够通过读取和检查逻辑缺陷,以及查看硬编码的用户名/密码对或者API密钥来发现这个应用程序的不足以及漏洞。
- 目录遍历:
- 文件名和路径公开相关的是Web中的目录显示功能,此功能在Web上默认提供。当没有默认网页时,在网站上显示Web用户列表中的文件和目录。
- 防止信息泄露应注意的事项:
- 确保Web服务器不发送显示有关后端技术类型或版本信息的响应头。
- 确保所有目录的访问权限正确。
- 避免将账户密码编写到代码中去。
- 检查每个请求是否具有适当的访问控制,防止越权访问。
- 配置Web服务器,禁止遍历目录。
- 检查每个请求是否具有适当的访问控制,防止越权访问。
- 确保Web应用程序正确处理用户输入,并且始终为所有不存在/不允许的资源返回通用响应,以便混淆攻击者。
- DDoS:
- Web应用安全防护关键点分析:
- 身份鉴别分析
- 主要采用两种或两种以上组合的鉴别方式,实行多重的身份认证,强化身份认证功能。
- Web应用程序应建立安全策略配置功能,可以建立统一的Web用户安全策略配置,也可以针对每个账户进行单独的安全策略配置
- 访问控制分析
- 对于权限进行细粒度的控制,例如通过控制模块及数据展示可以实现更加细粒度的权限控制要求,角户如果具有模块级权限,就可以看到该模块页面。
- 基于角色访问控制的基础上,为应用系统的功能菜单和操作分配安全标记,安全标记由级别和范畴集组成。
- 通信保密性分析
- Web应用安全一般要保证通信过程完整性,需要使用https协议来实现,一般Web服务器具有此类型的证书。
- SSL 要求客户端与服务器之间的所有发送的数据都被发送端加密、接收端解密,同时还应检查数据的完整性。
- 身份鉴别分析
- 身份鉴别要求:
- 安全建设管理
- 安全建设管理风险:
- 风险来源于因信息系统安全管理体系的不健全,以及相关控制措施的缺失而导致的系统在安全功能以及相关控制措施方面的缺陷,为系统运维埋下隐患。
- 安全建设管理目标:
- 通过建立信息系统及信息工程规划设计、软件开发、工程实施、测试验收以及交付等阶段的控制措施,确保信息系统在规划、开发、实施、测试验收等各个阶段的工作内容和工作流程全面、规范、符合项目管理要求。
- 安全建设管理风险:
- 要求与措施
- 定级备案
- 应以书面的形式说明保护对象的边界、安全保护等级及确定等级的方法和理由。
- 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。
- 应确保定级结果经过相关部门的批准。
- 应将备案材料报主管部门和相应公安机关备案。
- 安全方案设计
- 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
- 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件。
- 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
- 产品采购和使用
- 应确保信息安全产品采购和使用符合国家的有关规定。
- 应确保密码产品采购和使用符合国家密码主管部门的要求。
- 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
- 建立产品采购相关的制度,控制产品采购的过程,不同类型产品必须满足的资质级别要求。采购产品之前预先对产品的性能和功能进行测试,确保产品不存在性能虚标,产品本身的安全防护能力可以达到信息系统相同等级保护级别的要求。
- 自行软件开发
- 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制。
- 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
- 应确保对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制。
- 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查
- 软件源代码、测试数据和测试结果作为组织的重要资产,一旦泄露会导致非常严重的后果,因此必须建立软件开发相关的管理制度,明确开发环境的安全性要求,例如开发和测试环境要和生产环境物理隔离,从生产环境抽取的测试数据必须进行必要的脱敏工作;明确开发过程安全,并注意权限职责的分离。
- 外包软件
- 应在软件交付前检测软件质量和其中可能存在的恶意代码。
- 应要求开发单位提供软件设计文档和使用指南。
- 应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
- 外包软件的开发过程不在组织的掌控之下,因此必须对软件质量和文档提出相关要求。例如要求开发商提供软件的源代码,进行代码安全审计,发现代码存在的方法误用、授权验证、数据验证、异常处理、密码加密等方面的代码问题,以及可能存在的软件后门。
- 工程实施
- 应指定或授权专门的部门或人员负责工程实施过程的管理。
- 应制订工程实施方案控制安全工程实施过程。
- 应通过第三方工程监理控制项目的实施过程。
- 测试验收
- 定级备案