等級保護認證作為我國最權威的網(wǎng)絡安全等級資格認證��,自《中華人民共和國網(wǎng)絡安全法》正式實施后����,已成為我國網(wǎng)安領域的基本國策、基本制度和基本要求���。
在之前的推送中��,中科三方為大家介紹了等保2.0的政策背景�����,以及等保2.0相較于1.0的異同點�����。(科普|網(wǎng)絡安全等級保護2.0大揭秘)
今天三方以等保三級為標準�����,為您介紹認證等保三級不可不知的7個基本要求�����。
等保三級有多嚴格����?
等保三級是國家對非銀行機構(gòu)的最高級認證����,是安全標記保護級,屬“監(jiān)管級別”���,由國家信息安全監(jiān)管部門進行監(jiān)督�、檢查等保三級����,認證��。
測評內(nèi)容涵蓋了5個等級保護安全技術要求和5個安全管理要求���,具體包含信息保護、安全審計����、通信保密等近300項要求,涉及73類測評分類��,要求十分嚴格���。
中科三方于2017年就已通過公安部的等保三級測評認證,作為深耕行業(yè)20年的老牌互聯(lián)網(wǎng)基建服務商����,三方在等保認證和網(wǎng)絡安全方面擁有豐富的實戰(zhàn)經(jīng)驗,多次在“兩會“���、“一帶一路峰會“等國家重大會議承擔重保工作�。
等保三級 之 6大關鍵點
1.身份驗證
身份驗證需保證所有網(wǎng)絡設備、安全設備�、重要服務器、數(shù)據(jù)庫服務器�、應用業(yè)務系統(tǒng)等這些關鍵設備和業(yè)務系統(tǒng)不存在弱口令、空口令賬戶登錄情況�����。
在確保無弱口令和空口令的前提下�,所有重要設備都需采用雙因子認證方式登錄�����,尤其是針對核心業(yè)務應用系統(tǒng)��,不能只采用基本的用戶名/口令�。比較常用的做法是采用令牌、智能卡��、生物指紋�����、虹膜識別��、人臉識別等高階認證技術。
對于遠程管理維護的操作�,一般建議通過部署堡壘機實現(xiàn)雙因子認證和傳輸信息的加密。
2. 訪問控制
對于業(yè)務應用系統(tǒng)��,有很多未達到等保訪問控制基本要求的常見缺陷�����,如越權訪問系統(tǒng)功能模塊或查看�����、操作其他用戶的數(shù)據(jù)等����。
針對此類問題,建議將承載關鍵業(yè)務系統(tǒng)的服務器進行單獨區(qū)域劃分���,部署第二代防火墻類設備進行邊界隔離��,深層次過濾訪問行為���。同時需有明確的管理制度不允許本地操作,或者對本地的操作進行訪問控制���。
針對遠程操作進行訪問控制策略控制��,部署堡壘機對用戶行為進行訪問控制�。
對于非業(yè)務系統(tǒng)的網(wǎng)絡設備�、主機設備、服務器設備等只需要進行默認賬戶刪除���、修改默認口令���、無法通過默認賬戶以及默認口令登錄就可以滿足最基本的要求�����。
3. 安全審計
安全審計主要指對日志進行記錄與審計��。若缺失對重要的用戶行為和重要安全事件的審計�����,肯定無法通過等保測評�。
建議在網(wǎng)絡設備、安全設備����、主機/服務器操作系統(tǒng)��、數(shù)據(jù)庫系統(tǒng)��、業(yè)務應用系統(tǒng)性能允許的前提下,開啟用戶操作類和安全事件類審計策略�。
通常使用第三方日志審計系統(tǒng),除進行常規(guī)的日志記錄收集外����,對日志進行關聯(lián)分析,篩查可能存在的安全風險���。
4. 入侵防范
關閉不需要的系統(tǒng)服務�、默認共享和高危端口����。網(wǎng)絡中的網(wǎng)絡設備、安全設備���、主機/服務器操作系統(tǒng)����、數(shù)據(jù)庫系統(tǒng)和業(yè)務應用系統(tǒng)等存在的多余系統(tǒng)服務/默認共享/高危端口必須要關閉。
同時建議在既有業(yè)務中使用默認共享服務的����,盡量切換到其他服務。
此外還需要對遠程管理的用戶以及管理維護所使用的終端進行管控�����,一般采用堡壘機類產(chǎn)品進行管控��。
對于一些互聯(lián)網(wǎng)直接能夠訪問到的設備及系統(tǒng)���,須盡快修補已在公開渠道披露的重大漏洞��。尤其是業(yè)務應用系統(tǒng)���,現(xiàn)階段針對應用系統(tǒng)的SQL注入���、跨站腳本等均為高風險漏洞��,都會對業(yè)務應用系統(tǒng)正常運行造成嚴重后果�。
5. 惡意代碼防范
安裝反病毒軟件��,同時反病毒軟件需及時更新病毒庫。如果是相對封閉的網(wǎng)絡�,如工業(yè)控制系統(tǒng),需安裝白名單類軟件進行惡意代碼防范�����。
6. 數(shù)據(jù)完整性及保密性
數(shù)據(jù)的完整性與保密性主要包含存儲數(shù)據(jù)的完整性與保密性�����,以及傳輸數(shù)據(jù)的完整性和保密性�。
