作者:Wei0ne [已获作者授权转载]
来源:https://www.t00ls.net/thread-52346-1-1.html
最近我在把自己做过的一些工作笔记进行了整理,也是对曾经工作的一个总结,也结合了当前等保2.0的一些标准进行总结,对于等保测评中容易丢分的方面做出了讲解; 如有不正确的地方,请前辈们进行多多指教;
0x00 前言
网络安全是一个国家继海陆空安全的另外一个领域的安全,现在被各个国家重视起来并且颁布了相应的法律法规;
中央高度重视网络安全工作, 网络安全和信息化同步推进, 树立正确的网络安全观,核心技术是国之利益;
根据《网络安全法》规定“国家实行网络安全等级保护制度”,把网络安全等级保护制度提升到法律保障层面。等级保护2.0时代行业单位未落实网络安全等级保护义务将有可能面临被有关部门责令整改、行政处罚、暂停注册、暂停运营的风险。
等级保护条例: 转变从信息系统等级保护条例
转变到信息安全等级保护条例
然后转变到现在的网络安全等级保护条例
.
合规检查大概分为两类
- 关键信息基础设施安全保护-网信办(加强国家关键信息基础设施防护)
- 网络安全等级保护-公安机关(从法规层推进实施国家网络安全等级保护制度)
<br>
关键信息基础设施和网络安全等级保护的关系: 关键信息基础设施在等级保护第三级(包括第三级)以上的保护对象中确定,以保护国家关键信息基础设施为重点;
网络安全等级保护制度1.0与2.0差异:
- 等保1.0
- 定级:确定信息系统边界,依据重要性和受到破坏后的危害程度确定;
- 备案:二级以上信息系统到公安机关办理备案手续;
- 等级测评:测评机构按照有关管理规范和计算标准,对非涉及工具秘密信息系统安全状况进行检测评估的活动;
- 安全整改建设:根据国家标准开展落实信息系统安全保护责任,在开展信息系统安全管理制度建设和技术措施建设
- 监督检测:网络运营者开展网络自查,以及公安和有关主管部门检查;
- 等保2.0
- 法律层面:网络安全法颁布实施确认基础制度和法律
- 保护对象:定级对象随则信息技术发展变化,有信息系统转变变更为网络保护对象全覆盖,领域全覆盖;
- 保护措施:从定级备案的五个规范性动作到进一步加强具体安全保护措施的落实,保护要求不断增强。
- 技术标准:基本要求、测评要求、安全设计要求、2.0追加了安全通用与安全扩展要求。
- 工作机制:监管工作机制、协调联动机制、通报预警机制和应急处理机制等全面升级。
Q:等级保护2.0对比1.0的变化有哪些?:
- 等级保护2.0法律地位明显提升;
- 注重全方位主动防御、安全可信、动态感知和全面审计
- 监管对象范围更加广泛将重要网络基础设施(电信网、广电网、移动互联网)、重要信息系统、云计算平台、物联网、工控系统、智能设备设施、大数据平台、公众服务平台、重要行业的核心业务系统等全部纳入等级保护监管对象,并将互联网企业纳入等级保护管理。
- 《根据网络安全等级保护条例(征求意见稿)》要求,第二级以上网络运营者应当在网络的安全保护等级确定后 10 个工作日内,到县级(之前是市级)以上公安机关备案。
<hr>
0x01 等保2.0基本要求
(1) 等保2.0 : 网络安全等级保护标准 网络安全等级保护制度2.0国家标准在1.0的基础上,根据信息技术发展应用和网络安全态势,实现对新技术、新应用安全保护对象和安全保护领域的全覆盖,更加突出技术思维和立体防范,注重全方位主动防御、动态防御、整体防控和精准防护,强化一个中心,三重防护
的安全保护体系,把云计算、物联网、移动互联、工业控制系统、大数据(大云物移智
)等相关新技术新应用全部纳入保护范畴。
Q:等保2.0有关具体措施调整
- 定级方面:针对定级不准情况下,增加二级以上定级评审要求;
- 备案方面:备案受理单位调整为县级以上公安机关;
- 测评方法:三级以上系统上线测评以及四级系统调整为每年一次;
- 监督检测方面:强化执法检测、通报预警、事件调查和约谈等工作措施;
网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构,等保2.0由单一的标准编变成了一个系列标准;
- 原来(1.0)的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全;
- 技术部分:安全物理环境、安全通行网络、安全区域边界、安全计算环境、安全管理中心
- 管理部分:安全管理、安全管理机构、安全管理人员、安全建设管理、安全运维管理;
安全控制域划分上有较大的变化,原有十个安全域整合成为八个: WeiyiGeek.通用要求解析
技术要求“从面到点”提出安全要求,“物理和环境安全”主要对机房设施提出要求,“网络和通信安全”主要对网络整体提出要求,“设备和计算安全”主要对构成节点(包括网络设备、安全设备、操作系统、数据库、中间件等)提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
为解决新技术、应用的安全问题等级保护进行修订并新加入了云计算、移动互联、物联网、工业控制系统、大数据安全等几方面的安全扩展要求。
关于集中管控: 特定的管理区域,管理数据的安全传输,全面的集中监控,日志的集中分析,恶意代码补丁升级等安全相关事项中的集中管理,各类安全事件进行识别/报警和分析,所有的记录统一时间源;
关于”安全管理中心”
- 从二级以上技术开始增加了”安全管理中心”要求,包含系统管理和审计管理
- 三级以上需要完整的
系统管理
,审计管理和安全管理(身份鉴别-安全运维审计)
,并且实现集中管控;
如等保基本要求修订:
- GB/T22239.1-XXXX 安全通用要求
- GB/T22239.2-XXXX 云计算安全扩展要求
- GB/T22239.3-XXXX 移动互联安全扩展要求
- GB/T22239.4-XXXX 物联网安全扩展要求
- GB/T22239.5-XXXX 工业控制安全扩展要求
-
#等级2.0-关键信息基础设施标准
- 关键~设施 保护条例
- 关键~设施 安全保护要求
- 关键~设施 安全控制要求
- 关键~设施 安全控制评估方法
(2)与计算安全扩展要求 针对云计算的特点提出特殊保护要求,对云计算环境主要增加的内容包括”基础设施的位置”,虚拟化安全保护/镜像和快照保护,云服务闪选择和云计算机环境管理等等方面
<br>
0x02 等保定级
定级方法流程以及定级工作一般流程,基于GB/T 22240-2008 <信息系统安全等级保护定级指南> ;
(1) 定级对象 等级保护2.0定级对象分为基础信息网络,信息系统和其他信息系统,其中信息系统又划分为
- 工业控制系统
- 物联网
- 大数据
- 移动互联
- 云计算平台
<br>
其他信息系统作为定级对象的其他信息系统应具有如下基本特征:
- 具有确定的主要责任单位;
- 承载相对独立的业务应用;
- 具有信息系统的基本要素;
<br>
2. 定级比较
(1) 定级要素与等级的关系 第三级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害或者对国家安全造成伤害;
注意:等保2.0要求三级以上系统每年做一次,合规标准为75分。
(2) 不同级别的安全保护能力 不同等级的等级保护对象应具备的基本安全保护能力如下:
(3) 二级 VS 三级等级保护要求比较: 网络安全等级保护措施进一步完善:将风险评估、安全监测、预警通报、应急演练、自主可控、供应链安全等重点措施纳入等级保护制度实施。 注:二级系统具有56个管理测评点和79个技术测评点,三级系统具有154个管理测评点和136个技术测评点
3. 定级通用要求
(1)物理和环境安全
关键项 |
---|
a) 机房出入口应配,电子门禁系统,控制、鉴别和记录进入的人员 |
b) 机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施 |
c) 应设置机房防盗系统或者设置专人值守的视频监控系统 |
<br>
(2)网络和通讯安全
关键项 |
---|
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信端口 |
b) 应删除多余或无效的访问控制规则,优化访问控制列表并保证访问控制规则数量最小化 |
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许和拒绝数据包进出 |
d) 应提供通信线路、关键网络设备的硬件冗余,保证系统可用性 |
e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性 |
f) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析 |
—- |
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信 |
b) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络 |
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络玫击的检测和分析 |
d) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新 |
e) 应在关键网络节点处对恶意代码进行检查和清理,并维护恶意代码防御机制的升级和更新 |
—- |
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控 |
b) 应能够建立一条安全的信息传输路径,对分布在网络中的安全设备或安全组件管理 |
c) 应对网络链路、安全设备、网络设备和服务器等运行状况进行集中监测 |
d) 应对分散在各个设备上审计数据进行收集汇总和集中分析 |
e) 应对安全策略,恶意代码,补丁升级等安全相关事项进行集中管理 |
f) 应能对网络中发生的各类安全事件进行识别报警和分析 |
<br>
(3) 设备和计算安全
关键项 |
---|
a) 应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统应用的信任链,实现系统运行过程中重要程序或者文件完整性检测,并检测到破坏后进行恢复 |
b) 应能发现可能会存在的漏洞,并经过充分的测试评估后及时的修补漏洞 |
c) 应通过设定终端的接入方式或网络地址范围通过网络进行管理的终端进行限制 |
d) 审计记录产生时间有系统范围内唯一确定的时钟产生,以确保审计分析的正确性 |
e) 访问控制的粒度达到主体或者进程级、客体为文件,数据库表级 |
— |
a) 应提供重要节点设备的硬件冗余,保证系统的可用性 |
b) 应对重要节点进行监视,包括监视 CPU 、硬盘、内存等资源的使用情况 |
c) 应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警 |
d) 设备的用户名密码复杂度策略应满足最小8位且包含大小写数字特殊字符 |
e) 应能登录访问失败处理机制、用户角色和权限控制等 |
<br>
(4) 应用和数据安全
关键项 |
---|
a) 应仅采集和保存业务必需的用户个人信息,并且应禁止未授权访问和使用用户个人信息 |
b) 在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施 |
c) 应强制用户首次登录时修改初始口令 |
d) 应重命名默认账号或修改这些账号的默认口令 |
e) 应及时删除或停用多余的、过期的账号,避免共享账号的存在 |
f) 审计记录产生的世界应由系统范围内确定的时钟产生,以确保审计分析的正确性 |
<br>
(5) 安全管理中心
关键项 |
---|
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计 |
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源分配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复 |
— |
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等 |
— |
a) 应划分出特定的管理区城.对分布在网络中的安全设备或安全组件进行管控 |
b) 应能够建立一条安全的信息传翰路径,对网络中的安全设备或安全组件进行管理 |
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测 |
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,井保证审计记录的留存时间符合法律法规要求 |
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理 |
f) 应能对网络中发生的各类安全事件进行识别、报警和分析 |
<br>
(6) 安全管理制度
关键项 |
---|
a) 应对安全管理活动中的注意管理内容建立安全管理制度 |
b) 应对管理人员或操作人员执行的日常管理操作建立操作规程 |
c) 应指定或授权专门的部门或人员负责安全管理制度的制定 |
d) 应形成由安全策略、管理制度、操作规程、记录表单等构成的安全管理制度体系 |
<br>
(7) 安全管理机构和人员
关键项 |
---|
a) 应确保在外部人员接入网络访问系统前先提出书面申请,批准后由专人开设账号、分配权限并登记备案 |
b) 外部人员离场后应及时清除其所有的访问权限 |
c) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄尽任何敏感信息 |
<br>
(8) 安全建设管理
关键项 |
---|
a) 应通过第三方工程监理控制项目的实施过程 |
b) 应定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制 |
e) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测 |
g) 应确保开发人员为专职人员,且开发人员的开发活动受到控制、监视和审核 |
c) 应进行上线前的安全性测试并出具相应的安全测试报告 |
<br>
(9) 安全运维管理
关键项 |
---|
a) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补 |
b) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题 |
— |
a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等 |
b) 应将基本配置信息改变纳入变更范畴.实施对配置信息改变的控制,并及时更新基本配置信息库 |
— |
a) 应确保外包运维服务商的选择符合国家的有关规定 |
b) 应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容 |
c) 应确保选择的外包运维服务商在技术和管理方面均具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确 |
d) 应在与外包运维服务商签订的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对IT基础设施中断服务的应急保障要求等 |
e) 应指定专门的部门或人员进行账号管理,对申请账号、建立账号、删除账号等进行控制 |
f) 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库 |
g) 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据 |
h) 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道 |
i) 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用 |
<br>
体系框架和保障思路的变化 采取一个中心,三重防护的安全体系:
- (1) 中心:安全管理中心进行统一监管集中管控;
- (2) 第一重:安全计算环境:
- 主机加固/数据库审计/主机防病毒/主机安全审计/剩余信息保护/抗抵赖技术
- 身份鉴别/权限管理/应用系统安全/资源控制/数据备份与恢复
- (3) 第二重:安全区域边界,边界隔离/边界入侵防范/边界完整性保护 ,边界访问控制/恶意代码过滤/边界安全审计;
- (4) 第三重:安全通信网络,通信完整性和保密性,以及流量管控审计;
由1.0防御审计的被动保障向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。 所谓“一个中心,三重防护”,就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计:
- 建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障
- 以安全管理中心为核心的信息安全整体保障体系
0x03 合规流程
笔者我曾经也做过半年的安全服务(乙方)可以说是开mo开pa心gun心da,下面是以我做安全服务总结得出流程是(如有不对请多多指教):
流程 | 分类 |
---|---|
等保系统定级 | 根据现有的业务进行定级确认填写相应备案资料,向公安机关进行备案(查看前面定级流程) |
安全服务公司 | 为了保证等保系统定级成功和企业内部的系统业务安全,建议进行投标找由资格的安全服务公司进行服务(对于企业有专门的安全部门可忽略) |
物理安全 | 机房物理安全实施建设、机房动环系统的建设 |
安全设备 | 根据现有的网络环境实施加入安全设备和容灾备份设备 |
管理差距分析 | 安全管理机构、安全管理制度、人员安全管理、安全建设管理、安全运维管理等制度方面进行 |
技术差距分析 | 网络与通信安全、物理与环境安全、设备与计算机安全、应用与数据安全(备份恢复)等技术可行性方面进行 |
安全风险评估 | 从的网络拓扑架构、安全域规划、边界防护、安全防护措施、核心设备安全配置、设备脆弱性等,从而全面评估网络的安全现状,查找安全隐患。并利用漏洞扫描工具对业务区域进行扫描,得出报告并根据相应的进行整改 |
合规配置检查 | 利用配置核查工具进行对计算机进行安全配置核查,并进行相应的系统加固与整改 |
渗透测试 | 对业务区域和公司/甲方进行新一轮的模拟入侵并报告给出修复建议文档,并进行相应的整改 |
等保测评 | 向由公安部信息安全等级保护评估中心认证授权的机构进行申请等保测评,满足要求则出具相应网络安全等级测评报告 |
系统备案 | 向所在区域的网安部门提交网络安全等级测评报告、网络拓扑图、安全管理制度、系统安全等级保护定级报告、安全责任书等报告(随时等待公安机关的检查) |
安全巡检 | 日常进行安全巡检包括物理机器、业务日志、安全设备(日志查看与升级、并根据威胁进行调整)、安全管理规章制度是否落实 |
安全培训 | 对公司/机构的各类人员进行信息安全意识教育、岗位技能培训和相关安全技术培训 |
应急演练 | 制定应急演练方案和现场演示防止突发的网络安全事件,并记录应急演练资料方便公安机关检查 |
应急响应 | 在业务遭受攻击时(第一时间向网安部门报备),并组织安全专家(安全服务公司)对入侵事件进行分析、检测、抑制、处理,查找入侵来源并恢复系统正常运行。 |
当前网络环境态势导致网络安全不再是单一的,而是一个整体的我们需要从横纵方面进行防护,并且企业需要做到安全预警(防范于未然)以保证自身业务及系统安全;
<br>
0x04 网络安全工作建议
(1)抓好网络安全统筹规划和组织领导
- 统筹规划:信息化建设和安全通用规则、网络安全规划方案、人财物保障
- 督促指导:组织领导检查、网络安全考核
- 明确责任:信息系统建设和应用、安全保护的边界和责任
- 规范和标准:国家要求和行业要求、内部安全管理规范
(2)贯彻落实等级保护制度
- 梳理网络和系统底数:信息系统底数、网站、数据资源
- 加强安全防护:等级保护2.0标准、技术防护、动态防护、整体防护、数据保护
- 安全监测:等级测评、渗透测试、风险评估、实战演示
- 加强安全管理:管人管单位、管网络、管系统/制度措施
(3) 抓好网络安全监测、值守和应急处理工作
- 动态监测:全天态势感知,多渠道多方位安全监测
- 值班值守:单位和支撑单位驻场值守、日常运维保障、第三方服务管控
- 技术管网:技术手段建设和应用、与公安机关技术对接
- 应急处置:应急方案和演练、实战化应急处置
<br>
0x05 2.0 判定指引
等保2.0技术部分高危风险汇总 《网络安全等级保护测评高风险判定指引》(简称“判定指引”)。
切勿死搬硬套,需要切合实际; (我以三级系统为主)
- 安全物理环境高危风险
- 动环系统:门禁 / 防盗警报 / 视频监控 / 温湿度调节
- 电力供应:UPS不间断电源 / 备用电 / 冗余或者并行电
- 电磁防护
2)安全通信网络高危风险
- 网络架构:负载均衡 / 可用性 / 网络区域隔离 / 特殊设备访问控制 / 边界划分/ 主备冗余
- 通信传输:加密传输HTTPS/AES / 业务前后端加密
3)安全区域边界高危风险
- 边界防护: 访问控制 / 网络接入控制(交换机/路由器/WIFI)
- 访问控制:防火墙 / 网闸
- 入侵防护:内部/外部攻击监测
- 安全审计:网络设备日志审计
4)安全计算环境高危风险
- 身份鉴别:强口令 / 登录策略 / 登录失败处理 / 双因子认证
- 安全审计:安全设备日志审计 / 态势感知 / 恶意代码和垃圾邮件防护(邮件过滤,杀毒软件)
- 数据保护:敏感信息过滤
- 数据容灾:同城异地 / 差备 / 全备
5)安全区域边界(集中管理中心)高危风险
- 集中管控(一个中心,三重防护) : 运维监控 / 日志收集 / 威胁情报
WeiyiGeek.安全物理环境高危风险(https://weiyigeek-1251733653.cos.ap-chengdu.myqcloud.com/2019/20190719175616.png)
WeiyiGeek.安全通信网络高危风险(https://weiyigeek-1251733653.cos.ap-chengdu.myqcloud.com/2019/20190719175625.png)
WeiyiGeek.安全区域边界高危风险](https://weiyigeek-1251733653.cos.ap-chengdu.myqcloud.com/2019/20190719175711.png)
WeiyiGeek.安全计算环境高危风险](https://weiyigeek-1251733653.cos.ap-chengdu.myqcloud.com/2019/20190719175725.png)
WeiyiGeek.安全区域边界(集中管理中心)高危风险](https://weiyigeek-1251733653.cos.ap-chengdu.myqcloud.com/2019/20190719175743.png)
以上高危风险项目大家可以各自进行对照,避免自己的系统有以上的风险,高危风险在等保测评中是拥有一票否决权的,即使其他方面做得很好,一旦出现高危风险,则测评结论将直接从不符合(差)开始。 <br>
0x06 附录
备注:网络安全等级保护备案下载( http://gaj.cq.gov.cn/wlaq/djbf/ )-2019-07-02更新
重庆测评机构:
(渝)-001 重庆信安网络安全等级测评有限公司 重庆市江北区五江路8号 王茂忠 13618363516
(渝)-002 重庆若可网络安全测评技术有限公司 重庆市北部新区黄山大道中段水星科技大厦中后楼3-8 周非 13002392319
(渝)-003 重庆巽诺科技有限公司 重庆市北部新区黄山大道中段70号2栋7-1 饶健 17783855882
(渝)-004 重庆市信息通信咨询设计院有限公司 重庆市九龙坡区科园四路257号电信实业大厦 韦龙飞 18996193318