售前電話
135-3656-7657
售前電話 : 135-3656-7657
等級(jí)保護(hù)認(rèn)證作為我國(guó)最權(quán)威的網(wǎng)絡(luò)安全等級(jí)資格認(rèn)證,自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施后,已成為我國(guó)網(wǎng)安領(lǐng)域的基本國(guó)策、基本制度和基本要求。
在之前的推送中,中科三方為大家介紹了等保2.0的政策背景,以及等保2.0相較于1.0的異同點(diǎn)。(科普|網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0大揭秘)
今天三方以等保三級(jí)為標(biāo)準(zhǔn),為您介紹認(rèn)證等保三級(jí)不可不知的7個(gè)基本要求。
等保三級(jí)有多嚴(yán)格?
等保三級(jí)是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)認(rèn)證,是安全標(biāo)記保護(hù)級(jí),屬“監(jiān)管級(jí)別”,由國(guó)家信息安全監(jiān)管部門進(jìn)行監(jiān)督、檢查等保三級(jí),認(rèn)證。
測(cè)評(píng)內(nèi)容涵蓋了5個(gè)等級(jí)保護(hù)安全技術(shù)要求和5個(gè)安全管理要求,具體包含信息保護(hù)、安全審計(jì)、通信保密等近300項(xiàng)要求,涉及73類測(cè)評(píng)分類,要求十分嚴(yán)格。
中科三方于2017年就已通過(guò)公安部的等保三級(jí)測(cè)評(píng)認(rèn)證,作為深耕行業(yè)20年的老牌互聯(lián)網(wǎng)基建服務(wù)商,三方在等保認(rèn)證和網(wǎng)絡(luò)安全方面擁有豐富的實(shí)戰(zhàn)經(jīng)驗(yàn),多次在“兩會(huì)“、“一帶一路峰會(huì)“等國(guó)家重大會(huì)議承擔(dān)重保工作。
等保三級(jí) 之 6大關(guān)鍵點(diǎn)
1.身份驗(yàn)證
身份驗(yàn)證需保證所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用業(yè)務(wù)系統(tǒng)等這些關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令、空口令賬戶登錄情況。
在確保無(wú)弱口令和空口令的前提下,所有重要設(shè)備都需采用雙因子認(rèn)證方式登錄,尤其是針對(duì)核心業(yè)務(wù)應(yīng)用系統(tǒng),不能只采用基本的用戶名/口令。比較常用的做法是采用令牌、智能卡、生物指紋、虹膜識(shí)別、人臉識(shí)別等高階認(rèn)證技術(shù)。
對(duì)于遠(yuǎn)程管理維護(hù)的操作,一般建議通過(guò)部署堡壘機(jī)實(shí)現(xiàn)雙因子認(rèn)證和傳輸信息的加密。
2. 訪問(wèn)控制
對(duì)于業(yè)務(wù)應(yīng)用系統(tǒng),有很多未達(dá)到等保訪問(wèn)控制基本要求的常見缺陷,如越權(quán)訪問(wèn)系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)等。
針對(duì)此類問(wèn)題,建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行單獨(dú)區(qū)域劃分,部署第二代防火墻類設(shè)備進(jìn)行邊界隔離,深層次過(guò)濾訪問(wèn)行為。同時(shí)需有明確的管理制度不允許本地操作,或者對(duì)本地的操作進(jìn)行訪問(wèn)控制。
針對(duì)遠(yuǎn)程操作進(jìn)行訪問(wèn)控制策略控制,部署堡壘機(jī)對(duì)用戶行為進(jìn)行訪問(wèn)控制。
對(duì)于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、服務(wù)器設(shè)備等只需要進(jìn)行默認(rèn)賬戶刪除、修改默認(rèn)口令、無(wú)法通過(guò)默認(rèn)賬戶以及默認(rèn)口令登錄就可以滿足最基本的要求。
3. 安全審計(jì)
安全審計(jì)主要指對(duì)日志進(jìn)行記錄與審計(jì)。若缺失對(duì)重要的用戶行為和重要安全事件的審計(jì),肯定無(wú)法通過(guò)等保測(cè)評(píng)。
建議在網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)/服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)性能允許的前提下,開啟用戶操作類和安全事件類審計(jì)策略。
通常使用第三方日志審計(jì)系統(tǒng),除進(jìn)行常規(guī)的日志記錄收集外,對(duì)日志進(jìn)行關(guān)聯(lián)分析,篩查可能存在的安全風(fēng)險(xiǎn)。
4. 入侵防范
關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)/服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口必須要關(guān)閉。
同時(shí)建議在既有業(yè)務(wù)中使用默認(rèn)共享服務(wù)的,盡量切換到其他服務(wù)。
此外還需要對(duì)遠(yuǎn)程管理的用戶以及管理維護(hù)所使用的終端進(jìn)行管控,一般采用堡壘機(jī)類產(chǎn)品進(jìn)行管控。
對(duì)于一些互聯(lián)網(wǎng)直接能夠訪問(wèn)到的設(shè)備及系統(tǒng),須盡快修補(bǔ)已在公開渠道披露的重大漏洞。尤其是業(yè)務(wù)應(yīng)用系統(tǒng),現(xiàn)階段針對(duì)應(yīng)用系統(tǒng)的SQL注入、跨站腳本等均為高風(fēng)險(xiǎn)漏洞,都會(huì)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行造成嚴(yán)重后果。
5. 惡意代碼防范
安裝反病毒軟件,同時(shí)反病毒軟件需及時(shí)更新病毒庫(kù)。如果是相對(duì)封閉的網(wǎng)絡(luò),如工業(yè)控制系統(tǒng),需安裝白名單類軟件進(jìn)行惡意代碼防范。
6. 數(shù)據(jù)完整性及保密性
數(shù)據(jù)的完整性與保密性主要包含存儲(chǔ)數(shù)據(jù)的完整性與保密性,以及傳輸數(shù)據(jù)的完整性和保密性。