一、前言
随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。
二、测评项
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应对审计进程进行保护,防止未经授权的中断。
三、测评项a
3.1.测评项a要求1
应启用安全审计功能
华为路由器登录特权模式下输入命令display logbuffer,如下图所示:
华为路由器
查看参数“Logging buffer configuration and contents”为“enabled”开启状态,说明启用了安全审计功能。
华三路由器在特权模式下输入命令dis log,如下图所示:
华三路由器
查看参数“Log buffer”的值为“Enabled”,说明启用了安全审计功能。
3.2.测评项a要求2
审计覆盖到每个用户
查看审计内容是否包含所有用户的审计数据。
3.3.测评项a要求3
对重要的用户行为和重要安全事件进行审计
查看审计内容,是否包含重要用户(系统管理员、安全管理员和审计管理员等)的审计内容以及重要安全事件(登录设备、增加、删除、修改设备配置)的内容。
四、测评项b
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
查看上图红框内的内容,路由器部分审计内容,包括日期和时间、用户、事件类型、事件是否成功等内容,如下图所示:
华为路由器日志内容
华三路由器日志内容
五. 测评项c
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
5.1.测评项c要求1
应对审计记录进行保护
我查询了一下,没有找到关闭审计功能的方法,路由器审计功能应该和路由器主功能一起启动无法关闭。
5.2.测评项c要求2
定期备份
访谈管理员是否对设备重要日志文件进行了定期备份。
5.3.测评项c要求3
避免受到未预期的删除、修改或覆盖等
查看下图红框内配置,参数Dropped messages(减少的消息)和Overwritten messages(覆盖的消息)的值都为0,说明路由器日志文件没有被删除、修改和覆盖。
华为路由器
华三路由器
六. 测评项d
d)应对审计进程进行保护,防止未经授权的中断。
我查询了一下,没有找到关闭审计功能的方法,路由器审计功能应该和路由器主功能一起启动无法关闭。
结束语
以上就是等保测评2.0解读——路由器安全审计的所有内容,希望对大家有所帮助。
原文始发于微信公众号(安全帮):一项一项教你测等保2.0——路由器安全审计
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论