導(dǎo)讀:等保三級認(rèn)證,需要注意的7個基本要求和等保三級建設(shè)6大關(guān)鍵點,看看這些內(nèi)容��,會對你開展等級保護(hù)建設(shè)工作有所幫助����。
原文標(biāo)題:做到這6步,等保三級沒那么難 轉(zhuǎn)自中科三方
等級保護(hù)認(rèn)證作為我國最權(quán)威的網(wǎng)絡(luò)安全等級資格認(rèn)證����,自《中華人民共和國網(wǎng)絡(luò)安全法》正式實施后,已成為我國網(wǎng)安領(lǐng)域的基本國策����、基本制度和基本要求。
認(rèn)證等保三級不可不知的7個基本要求����。
等保三級有多嚴(yán)格?
等保三級是國家對非銀行機(jī)構(gòu)的最高級認(rèn)證,是安全標(biāo)記保護(hù)級��,屬“監(jiān)管級別”��,由國家信息安全監(jiān)管部門進(jìn)行監(jiān)督����、檢查��,認(rèn)證�。
測評內(nèi)容涵蓋了5個等級保護(hù)安全技術(shù)要求和5個安全管理要求�����,具體包含信息保護(hù)�、安全審計、通信保密等近300項要求��,涉及73類測評分類��,要求十分嚴(yán)格�����。
等保三級之6大關(guān)鍵點
1.身份驗證
身份驗證需保證所有網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備����、重要服務(wù)器、數(shù)據(jù)庫服務(wù)器�、應(yīng)用業(yè)務(wù)系統(tǒng)等這些關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令、空口令賬戶登錄情況���。
在確保無弱口令和空口令的前提下���,所有重要設(shè)備都需采用雙因子認(rèn)證方式登錄,尤其是針對核心業(yè)務(wù)應(yīng)用系統(tǒng)��,不能只采用基本的用戶名/口令�����。比較常用的做法是采用令牌�、智能卡、生物指紋����、虹膜識別、人臉識別等高階認(rèn)證技術(shù)���。
對于遠(yuǎn)程管理維護(hù)的操作����,一般建議通過部署堡壘機(jī)實現(xiàn)雙因子認(rèn)證和傳輸信息的加密。
2. 訪問控制
對于業(yè)務(wù)應(yīng)用系統(tǒng)���,有很多未達(dá)到等保訪問控制基本要求的常見缺陷��,如越權(quán)訪問系統(tǒng)功能模塊或查看��、操作其他用戶的數(shù)據(jù)等��。
針對此類問題�����,建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行單獨區(qū)域劃分���,部署第二代防火墻類設(shè)備進(jìn)行邊界隔離,深層次過濾訪問行為����。同時需有明確的管理制度不允許本地操作,或者對本地的操作進(jìn)行訪問控制���。
針對遠(yuǎn)程操作進(jìn)行訪問控制策略控制�����,部署堡壘機(jī)對用戶行為進(jìn)行訪問控制����。
對于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備���、主機(jī)設(shè)備���、服務(wù)器設(shè)備等只需要進(jìn)行默認(rèn)賬戶刪除、修改默認(rèn)口令�、無法通過默認(rèn)賬戶以及默認(rèn)口令登錄就可以滿足最基本的要求。
3. 安全審計
安全審計主要指對日志進(jìn)行記錄與審計���。若缺失對重要的用戶行為和重要安全事件的審計�,肯定無法通過等保測評����。
建議在網(wǎng)絡(luò)設(shè)備、安全設(shè)備����、主機(jī)/服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)��、業(yè)務(wù)應(yīng)用系統(tǒng)性能允許的前提下,開啟用戶操作類和安全事件類審計策略�。
通常使用第三方日志審計系統(tǒng),除進(jìn)行常規(guī)的日志記錄收集外�,對日志進(jìn)行關(guān)聯(lián)分析,篩查可能存在的安全風(fēng)險�����。
4. 入侵防范
關(guān)閉不需要的系統(tǒng)服務(wù)��、默認(rèn)共享和高危端口�����。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備��、安全設(shè)備�、主機(jī)/服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口必須要關(guān)閉����。
同時建議在既有業(yè)務(wù)中使用默認(rèn)共享服務(wù)的,盡量切換到其他服務(wù)���。
此外還需要對遠(yuǎn)程管理的用戶以及管理維護(hù)所使用的終端進(jìn)行管控����,一般采用堡壘機(jī)類產(chǎn)品進(jìn)行管控。
對于一些互聯(lián)網(wǎng)直接能夠訪問到的設(shè)備及系統(tǒng)�����,須盡快修補(bǔ)已在公開渠道披露的重大漏洞�����。尤其是業(yè)務(wù)應(yīng)用系統(tǒng)�,現(xiàn)階段針對應(yīng)用系統(tǒng)的SQL注入�、跨站腳本等均為高風(fēng)險漏洞,都會對業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行造成嚴(yán)重后果����。
5. 惡意代碼防范
安裝反病毒軟件,同時反病毒軟件需及時更新病毒庫����。如果是相對封閉的網(wǎng)絡(luò),如工業(yè)控制系統(tǒng)�,需安裝白名單類軟件進(jìn)行惡意代碼防范。
6. 數(shù)據(jù)完整性及保密性
數(shù)據(jù)的完整性與保密性主要包含存儲數(shù)據(jù)的完整性與保密性��,以及傳輸數(shù)據(jù)的完整性和保密性。
對于新上線的應(yīng)用業(yè)務(wù)系統(tǒng)�����,建議在采購前對供應(yīng)商提供應(yīng)用系統(tǒng)的數(shù)據(jù)完整性����、保密性進(jìn)行嚴(yán)格要求,對數(shù)據(jù)傳輸?shù)耐暾院捅C苄赃M(jìn)行嚴(yán)格要求����。
建議應(yīng)用業(yè)務(wù)系統(tǒng)通過密碼技術(shù)確保傳輸數(shù)據(jù)的完整性,并在服務(wù)器端對數(shù)據(jù)有效性進(jìn)行校驗����,確保只處理未經(jīng)修改的數(shù)據(jù),同時采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性���。
對于既有存量的應(yīng)用業(yè)務(wù)系統(tǒng)�����,建議在廣域網(wǎng)或多個不同局域網(wǎng)進(jìn)行數(shù)據(jù)傳輸時采用VPN的方式對傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)��。
同時需對所有應(yīng)用業(yè)務(wù)系統(tǒng)產(chǎn)生的重要數(shù)據(jù)都要在本地進(jìn)行備份���,對于一些特殊的領(lǐng)域�,如金融��、交通等需要進(jìn)行異地備份�,原則上同城異地機(jī)房直接距離不低于為30公里,跨省市異地機(jī)房直線距離不低于100公里�。
等保不僅是企業(yè)可持續(xù)發(fā)展的重要保障����,更是我國成為網(wǎng)絡(luò)強(qiáng)國在新時代、新態(tài)勢下網(wǎng)絡(luò)安全“風(fēng)向標(biāo)”�����。
“沒有網(wǎng)絡(luò)安全就沒有國家安全”不僅只是一個理念����,更是國家、企業(yè)��、組織落實網(wǎng)安標(biāo)準(zhǔn)的基本原則��。目前已經(jīng)下發(fā)行業(yè)等保要求文件的有:金融����、電力���、廣電、醫(yī)療��、教育等行業(yè)等��。
滿足等級保護(hù)建設(shè)的要求也并不是一味的累加產(chǎn)品��,更多的是對網(wǎng)絡(luò)����、業(yè)務(wù)系統(tǒng)的梳理,只有符合企業(yè)網(wǎng)絡(luò)特點�����、業(yè)務(wù)特點的方案設(shè)計才是合適的等級保護(hù)解決方案����。
小編有話說:上述內(nèi)容轉(zhuǎn)自中科三方百家號,版權(quán)歸作者所有���,僅供大家參考����,不代表本站立場。開展等級保護(hù)工作��,還是需要結(jié)合具體情況���,依據(jù)當(dāng)?shù)乇O(jiān)管部門的要求����,以及等保2.0標(biāo)準(zhǔn)系列和行業(yè)標(biāo)準(zhǔn)來開展�����。其外�,開展三級等級保護(hù)工作�����,聽取評審專家意見和等級保護(hù)測評機(jī)構(gòu)的專業(yè)指導(dǎo)是非常關(guān)鍵的����。
等保測評咨詢
