愿诸位心境四季如春!
(点点关注不迷路~)
引言
依据网络安全等级保护《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》(以下简称“测评要求”)及T/ISEAA《网络安全等级保护测评高风险判例指引》(以下简称“高风险判例指引”),从网络安全等级保护安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心层面整理此篇总结文档,旨在为技术人员在信息系统建设期或整改阶段提供技术支持(下文主要从二、三级系统入手,其他级别不涉及)。
使用指南:文中标明“测评要求”的表单,意味着表单中内容是根据测评要求中表明等保涉及到的设备/产品;文中标明“高风险判例”的表单,意味着表单中内容是根据高风险判例指引中涉及到高风险问题,必须要满足的设备/产品;
也就是说,参考相应等级下“依据高风险判例”的表单,即可做到在设备/产品层面上,最小化的满足等保要求。
话不多说,先上结果,详情可在后文进行查阅。
二级系统设备/产品-测评要求
|
序号 |
涉及设备 |
设备要求 |
|
1 |
电子门禁系统 |
可控制、鉴别、记录进出的人员,记录可查询 |
|
2 |
机房自动消防系统 |
气体灭火体系,实现自动检测火情、自动报警、自动灭火。 |
|
3 |
机房专用精密空调 |
可对机房温湿度进行控制 |
|
4 |
UPS等短期电力供应设备 |
可满足机房内重要计算设备(客户单位认定)在断电情况下的短期运行(客户单位规定)要求 |
|
5 |
可管理的交换机等网络设备 |
可实现VLAN划分 |
|
6 |
防火墙/网闸等访问控制设备 |
可实现访问控制/边界隔离功能、可配置指定端口进行跨越边界的网络通信、可配置访问控制策略规则、可拒绝除受控接口外所有通信;对数据包的源地址、目的地址、源端口、目的端口和协议等进行检查,允许符合策略的数据包进出,拒绝不符合策略要求的数据包;可对会话状态信息进行检测 |
|
7 |
入侵检测类设备 |
对网络中的攻击行为进行检测 |
|
8 |
防病毒网关或具备恶意代码防范功能的防火墙 |
可对网络中的恶意代码进行检测和清除 |
|
9 |
综合安全审计系统/日志审计设备 |
可对网络边界、重要网络节点的重要用户行为和重要安全事件进行审计;仅允许审计管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计 |
|
10 |
漏洞扫描设备或漏洞扫描服务 |
定期对系统范围内资产进行漏洞扫描并根据漏洞扫描报告进行漏洞修复或在防火墙等设备上进行补偿策略配置 |
|
11 |
恶意代码防范软件 |
系统范围内服务器、终端设备应安装恶意代码软件,以防范主机层恶意代码,并及时更新防恶意代码库 |
|
12 |
存储备份设备 |
定期对系统的重要数据进行手动/自动备份 |
|
13 |
异地灾备措施 |
35KM以上的异地灾备措施,对重要数据进行手动/自动备份 |
|
14 |
提供集中管理的系统/堡垒机 |
仅允许系统管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计 |
三级系统设备/产品-测评要求
|
序号 |
涉及设备 |
设备要求 |
|
1 |
电子门禁系统 |
可控制、鉴别、记录进出的人员,记录可查询 |
|
2 |
防盗报警系统/视频监控系统 |
防止盗窃或破坏行为 |
|
3 |
机房自动消防系统 |
气体灭火体系,实现自动检测火情、自动报警、自动灭火。 |
|
4 |
机房专用精密空调 |
可对机房温湿度进行控制 |
|
5 |
UPS等短期电力供应设备 |
可满足机房内重要计算设备(客户单位认定)在断电情况下的短期运行(客户单位规定)要求 |
|
6 |
双路市电接入 |
冗余并行供电线路 |
|
7 |
电磁屏蔽装置(电磁屏蔽机柜等 |
可防止电子通信设备信息泄漏、隔离外界电磁干扰等 |
|
8 |
可管理的交换机等网络设备 |
可实现VLAN划分 |
|
9 |
下一代防火墙 |
可配置指定端口进行跨越边界的网络通信、可配置访问控制策略规则、可拒绝除受控接口外所有通信;对数据包的源地址、目的地址、源端口、目的端口和协议等进行检查,允许符合策略的数据包进出,拒绝不符合策略要求的数据包;可对会话状态信息进行检测;应对进出网络的数据流实现基于应用协议和应用内容的访问控制;对网络中的恶意代码进行检测和清除;对网络中的垃圾邮件进行检测和清除 |
|
10 |
终端管理系统 |
对非授权内联和外联行为进行检查和限制 |
|
11 |
入侵防御类设备 |
对内外部发起的攻击行为进行检测、防止或限制 |
|
12 |
抗APT攻击系统或其他可实现对新型网络攻击行为进行分析的设备 |
可对新型网络攻击行为进行分析 |
|
13 |
综合安全审计系统/日志审计设备 |
可对网络边界、重要网络节点的重要用户行为和重要安全事件进行审计;仅允许审计管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计 |
|
14 |
上网行为管理系统 |
可对远程访问内部、内部访问互联网的用户行为进行单独审计 |
|
15 |
漏洞扫描设备或漏洞扫描服务 |
定期对系统范围内资产进行漏洞扫描并根据漏洞扫描报告进行漏洞修复或在防火墙等设备上进行补偿策略配置 |
|
16 |
恶意代码防范等安全软件 |
系统范围内服务器、终端设备应安装可对攻击行为、恶意代码进行检测、阻断的安全软件 |
|
17 |
存储备份设备 |
定期对系统的重要数据进行手动/自动备份 |
|
18 |
异地灾备措施 |
35KM以上的异地灾备措施,对重要数据进行手动/自动备份 |
|
19 |
冗余 |
关键计算设备冗余部署 |
|
20 |
提供集中管理的系统/堡垒机 |
仅允许系统管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计 |
|
21 |
安全管理平台 |
仅允许安全管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计;对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;应能对网络中发生的各类安全事件进行识别、报警和分析 |
|
22 |
集中监测设备 |
集中化展示系统中各个设备、网络链路的运行状态(CPU、内存等) |
二级系统设备/产品-高风险判例
|
序号 |
涉及设备 |
设备要求 |
对应高风险项 |
|
1 |
电子门禁系统 |
可控制、鉴别、记录进出的人员,记录可查询 |
机房出入口访问控制措施缺失 |
|
2 |
机房自动消防系统 |
气体灭火体系,实现自动检测火情、自动报警、自动灭火。 |
机房防火措施缺失 |
|
3 |
UPS等短期电力供应设备 |
可满足机房内重要计算设备(客户单位认定)在断电情况下的短期运行(客户单位规定)要求 |
机房短期备用电力供应措施缺失 |
|
4 |
下一代防火墙 |
具备管理权限;可实现边界隔离、访问控制功能;重要区域同其他区域间需实现访问控制及隔离要求;按照实际需求配置访问控制规则;网络层或主机层需具备恶意代码防范功能 |
网络边界访问控制设备不可控、重要网络区域边界访问控制措施缺失、重要网络区域边界访问控制配置不当、恶意代码防范措施缺失 |
|
5 |
入侵防御系统 |
对外部网络攻击行为进行检查、限制、防止 |
外部网络攻击防御措施缺失 |
|
6 |
综合安全审计系统/日志审计系统 |
对网络边界、关键网络节点的重要用户行为及安全事件进行审计 |
网络安全审计措施缺失 |
|
7 |
漏洞扫描设备/服务 |
可对系统资产进行漏洞识别 |
互联网设备存在已知高危漏洞;内网设备存在可被利用的高危漏洞 |
|
8 |
恶意代码防范软件 |
需具备恶意代码防范功能 |
恶意代码防范措施缺失 |
三级系统设备/产品-高风险判例
|
序号 |
涉及设备 |
设备要求 |
对应高风险项 |
|
1 |
电子门禁系统 |
可控制、鉴别、记录进出的人员,记录可查询 |
机房出入口访问控制措施缺失 |
|
2 |
防盗报警系统/视频监控系统 |
对盗窃事件进行报警或对机房内实时现状进行7*24小时视频监控 |
机房防盗措施缺失 |
|
3 |
机房自动消防系统 |
气体灭火体系,实现自动检测火情、自动报警、自动灭火 |
机房防火措施缺失 |
|
4 |
UPS等短期电力供应设备 |
可满足机房内重要计算设备(客户单位认定)在断电情况下的短期运行(客户单位规定)要求 |
机房短期备用电力供应措施缺失 |
|
5 |
下一代防火墙 |
具备管理权限;可实现边界隔离、访问控制功能;重要区域同其他区域间需实现访问控制及隔离要求;内部网络同无线网络互联时需经过访问控制设备;按照实际需求配置访问控制规则;具备恶意代码防范功能 |
网络边界访问控制设备不可控、重要网络区域边界访问控制措施缺失;无线网络管控措施缺失;重要网络区域边界访问控制配置不当;恶意代码防范措施缺失 |
|
6 |
-(高可用性系统:可用性大于或等于99.9%,年度停机时间小于或等于8.8 h的系统) |
关键线路及设备冗余 |
关键线路和设备冗余措施缺失 |
|
7 |
入侵防御系统 |
对外部网络攻击行为进行检查、限制、防止 |
外部网络攻击防御措施缺失;内部网络攻击防御措施缺失 |
|
8 |
综合安全审计系统/日志审计系统 |
对网络边界、关键网络节点的重要用户行为及安全事件进行审计;对分散在各个设备上的审计数据进行集中收集分析且留存时间大于6个月 |
网络安全审计措施缺失;审计记录存储时间不满足要求 |
|
9 |
漏洞扫描设备/服务 |
可对系统资产进行漏洞识别 |
互联网设备存在已知高危漏洞;内网设备存在可被利用的高危漏洞 |
|
10 |
恶意代码防范软件 |
需具备恶意代码防范功能 |
恶意代码防范措施缺失 |
|
11 |
集中监控设备 |
(高可用系统)集中化展示系统中各个设备、网络链路的运行状态(CPU、内存等) |
运行监控措施缺失 |
一、设备/产品-测评要求
|——
1.1安全物理环境
1.1.1二级系统
安全物理环境层面安全控制点主要涉及物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
01
总的来讲:
机房建筑物要求应具备防震、防风、防雨的能力且机房位置设置应避免处于建筑物顶层或地下室(否则加强防水措施);
出入口应有专人值守或部署电子门禁系统;
通信线缆需隐蔽部署(例如部署于防静电地板下方的走线架、机柜上方桥架等)且需同电源线隔离铺设,避免电磁干扰;
各设备需在机柜中固定并粘贴设备标识且需要安全接地;
机房内应部署火灾自动消防系统且工作房间及辅助房间应采用具备耐火等级的建筑材料;
机房应具备防水措施(屋顶、墙壁、窗户等)及具备相应措施防止水蒸气结露、地下积水转移并部署机房专用精密空调;
地面铺设防静电地板或防静电瓷砖或涂装防静电涂层;
供电线路中配置稳压器或过压防护设备;配备UPS或其他可提供短期电力供应的设备。
02
其中涉及到硬件设备的测评项如下:
物理访问控制-机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进出的人员;
涉及设备:电子门禁系统
设备要求:可控制、鉴别、记录进出的人员,记录可查询。
防火-机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
涉及设备:机房自动消防系统
设备要求:气体灭火体系,实现自动检测火情、自动报警、自动灭火。
温湿度控制-应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内;
涉及设备:机房专用精密空调
设备要求:可对机房温湿度进行控制。
电力供应-应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
涉及设备:UPS等短期电力供应设备
设备要求:可满足机房内重要计算设备(客户单位认定)在断电情况下的短期运行(客户单位规定)要求。
1.1.2三级系统
安全物理环境层面安全控制点主要涉及物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
01
总的来讲:
安全物理环境主要要求机房所在的物理环境需具备防震、防风、防雨且不处于建筑物的地下室或顶层;
要求机场出入口应当具备电子门禁系统;
机房内各个设备应固定在机柜中并张贴不宜去除的标签且机柜及设备应安全接地;
通信线缆与电缆应隔离铺设且铺设于隐蔽安全处;
机房应设置防盗报警系统或视频监控系统;
机房进电应采取防雷措施;
机房应具备防火措施,例如机房内分区隔离,采用防火/具备耐火等级的材料进行建设,设备火灾自动报警及消防系统;
应具备防水措施,部署防水检测装置等;
应具备防静电措施,例如铺设防静电地板,运维时戴防静电手环等;
部署机房专用精密空调对温湿度进行调节;
部署UPS实现短期电力供应,进电采用双路市电;
对关键设备采用电磁屏蔽机柜等进行部署。
02
其中涉及到硬件设备的测评项如下:
物理访问控制-机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进出的人员;
涉及设备:电子门禁系统
设备要求:可控制、鉴别、记录进出的人员,记录可查询。
防盗窃和防破坏-应设置机房防盗报警系统或设置有专人值守的视频监控系统;
涉及设备:防盗报警系统/视频监控系统
设备要求:防止盗窃或破坏行为
防火-机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
涉及设备:机房自动消防系统
设备要求:气体灭火体系,实现自动检测火情、自动报警、自动灭火。
温湿度控制-应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内;
涉及设备:机房专用精密空调
设备要求:可对机房温湿度进行控制
电力供应-应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
涉及设备:UPS等短期电力供应设备
设备要求:可满足机房内重要计算设备(客户单位认定)在断电情况下的短期运行(客户单位规定)要求
电力供应-应设置冗余或并行的电力电缆线路为计算机系统供电
涉及设备:双路市电接入
设备要求:冗余并行供电线路
电磁防护-应对关键设备实施电磁屏蔽
涉及设备:电磁屏蔽装置(电磁屏蔽机柜等)
设备要求:可防止电子通信设备信息泄漏、隔离外界电磁干扰等
1.2安全通信网络
1.2.1二级系统
安全通信网络层面安全控制点主要涉及网络架构、通信传输和可信验证。
01
总的来讲:
安全通信网络层面要求系统所在网络架构应划分不同的网络区域并为各网络区域分配地址;
避免重要网络区域部署再网络边界处,重要区域应与其他区域间采取可靠的技术隔离手段;
采用校验技术确保网络中数据传输的完整性。
02
其中涉及到硬件设备的测评项如下:
网络架构-应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
涉及设备:可管理的交换机等网络设备
设备要求:可实现VLAN划分
网络架构-应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
涉及设备:防火墙/网闸等访问控制设备
设备要求:可实现访问控制/边界隔离功能
1.2.2三级系统
安全通信网络层面安全控制点涉及网络架构、通信传输和可信验证。
01
总的来讲:
安全通信网络层面要求系统网络架构中网络设备的业务处理能力、各部分带宽满足业务高峰期需求;根据业务情况划分不同的网络区域并为其配置地址;
重要网络区域同其他网路区域间应部署访问控制或隔离设备,通信线路、关键网络设备、关键计算设备应冗余部署;
采取相应措施保障重要数据在网络传输过程中的完整性及保密性。
02
其中涉及到硬件设备的测评项如下:
网络架构-应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
涉及设备:可管理的交换机等网络设备
设备要求:可实现VLAN划分
网络架构-应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
涉及设备:防火墙/网闸等访问控制设备
设备要求:可实现访问控制/边界隔离功能
网络架构-应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性;
涉及设备:-
设备要求:主链路、关键设备冗余
1.3安全区域边界
1.3.1二级系统
安全区域边界层面安全控制点主要涉及边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证。
01
总的来讲:
安全区域边界层面要求系统边界处需部署访问控制设备配置访问控制策略(最后一条需默认禁止所有网络通信)且要求访问控制策略最小化、逻辑顺序合理并禁止未受控端口进行跨越边界的网络通信;访问控制设备可对源地址、目的地址、源端口、目的端口和协议等进行检查,并根据会话状态信息为进出数据流提供明确的允许或拒绝访问的能力;可对攻击行为进行检测,对恶意代码进行防护、检测、清除;对网络中的重要用户行为和安全事件进行审计,且审计记录定期备份。
02
其中涉及到硬件设备的测评项如下:
边界防护-应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
涉及设备:防火墙/网闸等访问控制设备
设备要求:可配置指定端口进行跨越边界的网络通信
访问控制-应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
涉及设备:防火墙/网闸等访问控制设备
设备要求:可配置访问控制策略规则、可拒绝除受控接口外所有通信;对数据包的源地址、目的地址、源端口、目的端口和协议等进行检查,允许符合策略的数据包进出,拒绝不符合策略要求的数据包;可对会话状态信息进行检测
入侵防范-应在关键网络节点处监视网络攻击行为;
涉及设备:入侵检测类设备
设备要求:对网络中的攻击行为进行检测
恶意代码防范-应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
涉及设备:防病毒网关或具备恶意代码防范功能的防火墙
设备要求:可对网络中的恶意代码进行检测和清除
安全审计-应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
涉及设备:综合安全审计系统/日志审计设备
设备要求:可对网络边界、重要网络节点的重要用户行为和重要安全事件进行审计。
1.3.2三级系统
安全区域边界安全控制点涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计及可信验证。
01
总的来讲:
安全区域边界要求网络边界处的访问和数据流应通过受控接口进行通信;可对非授权内联和外联行为进行检查或限制;可对无线网络进行限制及控制;
访问控制设备需根据实际情况对访问控制规则进行配置并保证访问控制规则的最小化,默认情况下除允许的受控接口外拒绝所有通信;
对内部及外部发起的网络攻击行为进行检测和限制,并记录攻击行为发起的IP、目的IP、详情等,在发现入侵行为时提供报警;
在网络的关键节点处对恶意代码和垃圾邮件进行检测和限制,并维护相应代码库的更新;
在关键节点、网络重要边界处对重要用户行为和安全事件进行审计并对审计记录进行备份,实现对远程访问用户的单独审计分析。
02
其中涉及到硬件设备的测评项如下:
边界防护-应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
涉及设备:防火墙/网闸等访问控制设备
设备要求:可配置指定端口进行跨越边界的网络通信
边界防护-应能够对非授权设备私自联到内部网络的行为进行检查或限制;应能够对内部用户非授权联到外部网络的行为进行检查或限制;
涉及设备:终端管理系统
设备要求:对非授权内联和外联行为进行检查和限制
访问控制-应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;应对进出网络的数据流实现基于应用协议和应用内容的访问控制
涉及设备:下一代防火墙
设备要求:可配置访问控制策略规则、可拒绝除受控接口外所有通信;对数据包的源地址、目的地址、源端口、目的端口和协议等进行检查,允许符合策略的数据包进出,拒绝不符合策略要求的数据包;可对会话状态信息进行检测;实现基于应用协议和应用内容的访问控制
入侵防范-应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
涉及设备:入侵防御类设备
设备要求:对内外部发起的攻击行为进行检测、防止或限制
入侵防范-应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
涉及设备:抗APT攻击系统或其他可实现对新型网络攻击行为进行分析的设备
设备要求:可对新型网络攻击行为进行分析
恶意代码和垃圾邮件防范-应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
涉及设备:防恶意代码网关或带有恶意代码防范模块的防火墙设备
设备要求:对网络中的恶意代码进行检测和清除
恶意代码和垃圾邮件防范-应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新;
涉及设备:防垃圾邮件网关或带有垃圾邮件防范模块的防火墙设备
设备要求:对网络中的垃圾邮件进行检测和清除
安全审计-应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
涉及设备:综合安全审计系统/日志审计设备
设备要求:可对网络边界、重要网络节点的重要用户行为和重要安全事件进行审计
安全审计-应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析;
涉及设备:上网行为管理系统
设备要求:可对远程访问内部、内部访问互联网的用户行为进行单独审计。
1.4安全计算环境
1.4.1二级系统
安全计算环境层面安全控制点主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护及个人信息保护。
01
总的来讲:
安全计算环境层面要求设备/应用/管理软件等需具备身份鉴别信息加密传输、口令强度和使用时间配置、登陆失败处理策略配置、登录超时时间设备功能;可对登录的用户进行权限(最小使用权限)和账户(非默认账户)配置;可对用户的操作行为或设备/应用/管理软件等本身的运行情况进行日志记录及审计,并定期对日志进行备份;关闭不需要的端口/服务,仅保留必要端口/服务,避免高危端口/服务的暴露;对远程管理设备/应用/管理软件的终端地址范围进行限定;需提供有效性校验功能,保证人机接口进行交互的数据合法性;定期开展漏洞扫描并根据漏扫报告对漏洞进行修复或采取补偿措施;安装防恶意代码软件,并定期升级防恶意代码库;保障重要数据传输的完整性并对重要数据进行定期备份甚至是异地备份;对设备/应用/管理软件等的剩余信息和涉及到的个人信息采取保护措施,避免非授权访问和过度采集。
02
其中涉及到硬件设备的测评项如下:
入侵防范-应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
涉及设备:漏洞扫描设备或漏洞扫描服务
设备要求:定期对系统范围内资产进行漏洞扫描并根据漏洞扫描报告进行漏洞修复或在防火墙等设备上进行补偿策略配置
恶意代码防范-应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库;
涉及设备:恶意代码防范软件
设备要求:系统范围内服务器、终端设备应安装恶意代码软件,以防范主机层恶意代码,并及时更新防恶意代码库
数据备份恢复-应提供重要数据的本地数据备份与恢复功能;
涉及设备:存储备份设备
设备要求:定期对系统的重要数据进行手动/自动备份
数据备份恢复-应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地;
涉及设备:异地灾备措施
设备要求:35KM以上的异地灾备措施,对重要数据进行手动/自动备份。
1.4.2三级系统
安全计算环境层面安全控制点主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护及个人信息保护。
01
总的来讲:
安全计算环境要求设备/应用/管理软件等具备口令复杂度配置、登录超时退出、登录失败处理、口令有效期、口令远程管理加密传输、双因素认证等身份鉴别要求;并且在访问控制方面要求其具备对用户进行账号和权限配置的能力,配置合适的访问控制策略和访问控制粒度;开启安全审计功能,可对重要用户及重要事件进行记录审计、并对审计记录进行备份;
设备/应用/管理软件等需关闭不需要的端口及服务,确保端口服务的最小化,对管理终端的终端地址范围进行限制,防止非授权的访问和连接;
进行有效性校验,确保通过人机接口的交互信息符合系统设定程序,定期开展漏洞扫描并根据漏扫结果进行漏洞修补或其他补偿措施;
可在受到攻击时进行报警,可对恶意代码及病毒等进行防范和识别;
重要数据在传输及存储过程中应确保完整性及保密性;
应提供本地数据备份、异地数据备份和重要数据处理系统的冗余功能;
对剩余信息和个人信息进行保护。
02
其中涉及到硬件设备的测评项如下:
入侵防范-应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
涉及设备:漏洞扫描设备或漏洞扫描服务
设备要求:定期对系统范围内资产进行漏洞扫描并根据漏洞扫描报告进行漏洞修复或在防火墙等设备上进行补偿策略配置
入侵防范-应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
恶意代码防范-应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
涉及设备:恶意代码防范等安全软件
设备要求:可对攻击行为、恶意代码进行检测、阻断
数据备份恢复-应提供重要数据的本地数据备份与恢复功能;
涉及设备:存储备份设备
设备要求:定期对系统的重要数据进行手动/自动备份
数据备份恢复-应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地;
涉及设备:异地灾备措施
设备要求:35KM以上的异地灾备措施,对重要数据进行手动/自动备份
数据备份回复-应提供重要数据处理系统的热冗余,保证系统的高可用性
涉及设备:-
设备要求:关键计算设备冗余。
1.5安全管理中心
1.5.1二级系统
安全管理中心层面安全控制点主要涉及系统管理及审计管理。
01
总的来讲:
安全管理中心要求系统的管理人员应当使用特定的管理账号采用特定的管理渠道(特定的命令或操作页面,一般堡垒机)对系统进行系统管理及审计管理,管理方面包括安全计算环境中所有控制点要求。
02
其中涉及到硬件设备的测评项如下:
系统管理-应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
涉及设备:提供集中管理的系统/堡垒机
设备要求:仅允许系统管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计
审计管理-应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
涉及设备:综合安全审计系统/日志审计等提供集中审计的系统
设备要求:仅允许审计管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计。
1.5.2三级系统
安全管理中心层面安全控制点主要涉及系统管理、审计管理、安全管理和集中管控。
01
总的来讲:
安全管理中心要求系统中的系统管理员、审计管理员、安全管理员通过特定的管理界面对系统开展系统、审计、安全管理;并建立安全的信息传输路径,对安全设备或安全组件进行管理;
需对分散在各个设备中的审计数据进行汇总和分析并对各个设备的运行状态进行监测;
可对系统中的安全策略、恶意代码、补丁升级等安全相关行为进行集中管理并对网络中发生的各类安全事件进行识别、报警和分析。
02
其中涉及到硬件设备的测评项如下:
系统管理-应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
涉及设备:提供集中管理的系统/堡垒机
设备要求:仅允许系统管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计
审计管理-应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
涉及设备:综合安全审计系统/日志审计等提供集中审计的系统
设备要求:仅允许审计管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计
安全管理-应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
集中管控-应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;应能对网络中发生的各类安全事件进行识别、报警和分析
涉及设备:安全管理平台
设备要求:仅允许安全管理员通过此设备认证后,通过特定的操作界面对系统进行管理操作并对操作进行审计;对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;应能对网络中发生的各类安全事件进行识别、报警和分析
集中管控-应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
涉及设备:集中监测设备
设备要求:集中化展示系统中各个设备、网络链路的运行状态(CPU、内存等)。
二、设备/产品-高风险判例
|——
以下内容主要根据高风险判例指引中涉及到设备/产品方面进行整理,其余高风险项不在赘述。
2.1安全物理环境
具体高风险项及要求等细节如下:
高风险项:机房出入口访问控制措施缺失
标准要求:机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员
适用范围:二级及以上系统
判例场景:机房出入口无任何访问控制措施,例如未安装电子或机械门锁(包括机房大门处于未上锁状态)、无专人值守等
补偿因素:机房所处位置属于受控区域,非授权人员无法随意进出机房,可根据实际措施效果,酌情判定风险等级
高风险项:机房防盗措施缺失
标准要求:应设置机房防盗报警系统或有专人值守的视频监控系统
适用范围:三级及以上系统
判例场景:机房或机房所在区域无防盗报警系统,无法对盗窃事件进行告警,追溯;且未设置专人值守的视频监控系统
补偿因素:机房出入口或机房所在区域有其他控制措施,例如机房出入口设有专人值守,机房所在位置处于受控区域等,非授权人员无法进入该区域,可根据实际措施效果,酌情判定风险等级
高风险项:机房防火措施缺失
标准要求:机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火
适用范围:二级及以上系统
判例场景:机房无任何有效消防措施,例如无检测火情、感应报警设施,手提式灭火器等灭火设施,消防设备未进行年检或已失效无法正常使用等情况;或机房所采取的灭火系统或设备不符合国家的相关规定
补偿因素:机房安排专人值守或设置了专人值守的视频监控系统,并且机房附近有符合国家消防标准的灭火设备,一旦发生火灾,能及时进行灭火,可根据实际措施效果,酌情判定风险等级
高风险项:机房短期备用电力供应措施缺失
标准要求:应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
适用范围:二级及以上系统
判例场景:机房无短期备用电力供应设备,例如UPS、柴油发电机、应急供电车等或机房现有备用电力供应无法满足定级对象短期正常运行
补偿因素:对于机房配备多路供电的情况,可从供电方同时断电发生概率等角度进行综合风险分析,根据分析结果,酌情判定风险等级
2.2安全通信网络
具体高风险项及要求等细节如下:
高风险项:网络边界访问控制设备不可控
标准要求:应避免将重要网络边界部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
适用范围:二级及以上系统
判例场景:网络边界访问控制设备无管理权限、未采取其他任何有效的访问控制措施,例如服务器自带防火墙未配置访问控制策略等、无法根据业务需要或所发生的安全事件及时调整访问控制策略
补偿因素:网络边界访问控制和措施由云服务商提供或由集团公司统一管理,管理方能够根据系统的业务及安全需求及时调整访问控制策略,可从策略更改响应事件、策略有效性、执行效果等角度进行综合风险分析,根据分析结果,酌情判定风险等级
高风险项:重要网络区域边界访问控制措施缺失
标准要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段
适用范围:二级及以上系统
判例场景:在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等
补偿因素:无
高风险项:关键线路和设备冗余措施缺失
标准要求:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性
适用范围:高可用性(年度停机事件小于或等于8.8h的系统,银行、证券、非银行支付机构、互联网金融交易类系统,提供公共服务的民生类系统,工业控制类系统,云计算平台等)的三级及以上系统
判例场景:核心通信线路、关键网络设备和关键计算设备无冗余涉及,一旦出现线路或设备故障,就可能导致服务中断
补偿因素:①对于采用多数据中心方式部署,且通过技术手段实现应用级灾备,能降低生产环境设备故障所带来的可用性方面影响的情况,可从影响程度、RTO(衡量在灾难或紧急事件发生后,IT系统从崩溃到恢复运营所需的时间段。具体来说,它指的是从IT系统宕机导致业务停顿的时刻开始,到系统恢复至可以支持各部门运作,业务恢复运营的时刻结束,这段时间被称为RTO)等角度进行综合风险分析,根据分析结果,酌情判定风险等级;②对于关键计算设备采用虚拟化技术的情况,可从虚拟化环境的硬件冗余和虚拟化计算设备(如虚拟机、虚拟网络设备等)冗余等角度进行综合风险分析,根据分析结果,酌情判定风险等级
2.3安全区域边界
具体高风险项及要求等细节如下:
高风险项:无线网络管控措施缺失
标准要求:应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
适用范围:三级及以上系统
判例场景:内部重要网络与无线网络互联,且不通过任何受控的边界设备,或边界设备控制策略设置不当,一旦非授权接入无线网络即可访问内部重要资源
补偿措施:对于必须使用无线网络的场景,可从无线接入设备的管控和身份认证措施、非授权接入的可能性等角度进行风险分析,根据分析结果,酌情判定风险等级
高风险项:重要网络区域边界访问控制配置不当
标准要求:应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信
适用范围:二级及以上系统
判例场景:重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)访问控制设备配置不当或控制措施失效,存在较大安全隐患。例如办公网络任意网络终端均可访问核心生产服务器和网络设备;无线网终接入区终端可直接访问生产网终设备等
补偿措施:无
高风险项:外部网络攻击防御措施缺失
标准要求:应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
适用范围:二级及以上系统
判例场景(任意):①二级系统关键网络节点无任何网络攻击行为检测手段,例如未部署入侵检测系统;位三级及以上系统关键网络节点对外部发起的攻击行为无任何防护手段,例如未部署 IPS入侵防御设备、应用防火墙、反垃圾邮件、态势感知系统或抗 DDoS 设备等;③网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求
补偿措施:主机设备部署入侵防范产品,且策略库、规则库更新及时,能够对攻击行为进行检测、阻断或限制,可根据实际措施效果,酌情判定风险等级。 注1:策略库、规则库的更新周期可根据部署环境、行业或设备特性缩短或延长。 注2:所列举的防护设备仅为举例使用。测评过程中,应分析定级对象所面临的威胁、风险以及安全防护需求,并以此为依据检查是否合理配备了对应的防护设备
高风险项:内部网络攻击防御措施缺失
标准要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
适用范围:三级及以上系统
判例场景(任意):①关键网络节点对内部发起的攻击行为无任何检测、防护手段,例如未部署IDS入侵检测系统、IPS入侵防御设备、态势感知系统等;②网络攻击/防护检测措施的策略库、规则库半年及以上未更新,无法满足防护需求。
补偿措施:①对于主机设备部署入侵防范产品,可从策略库、规则库更新情况、对攻击行为的防护能力等角度进行综合分析,根据分析结果,酌情判定风险等级; ②对于重要网络区域与其他内部网络之间部署防火墙等访问控制设备,且对访问的目标地址、目标端口、源地址、源端口、访问协议等有严格限制,可从现有措施能否对内部网络攻击起到限制作用等角度进行综合风险分析,根据分析结果,酌情判定风险等级; ③对于与互联网完全物理隔离或强逻辑隔离的系统,可从网络、终端采取的管控,攻击源进入内部网络的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级。
高风险项:恶意代码防范措施缺失
标准要求:应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的更新
适用范围:二级及以上系统
判例场景:主机层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新且网络层无恶意代码检测和清除措施,或恶意代码库一个月以上未更新
补偿措施:①对于使用Linux、Unix、Solaris、CentOS、AIX、Mac等非Windows操作系统的二级系统,主机和网络层均未部署恶意代码检测和清除产品,可从总体防御措施、恶意代码入侵的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级;②与互联网完全物理隔离或强逻辑隔离的系统,其网络环境可控,并采取USB介质管控、部署主机防护软件、软件白名单等技术措施,能有效防范恶意代码进入被测主机/网络,可根据实际措施效果,酌情判定风险等级; ③主机设备采用可信基的防控技术,对设备运行环境进行有效度量,可根据实际措施效果,酌情判定风险等级。
高风险项:网络安全审计措施缺失
标准要求:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
适用范围:二级及以上系统
判例场景:在网络边界、关键网络节点无法对重要的用户行为进行日志审计且在网络边界、关键网络节点无法对重要安全事件进行日志审计
补偿措施:无
2.4安全计算环境
具体的高风险项及要求等细节如下:
高风险项:互联网设备存在已知高危漏洞
标准要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
适用范围:二级及以上系统
判例场景:网络设备、安全设备、主机设备(包括操作系统、数据库等)可通过互联网管理或访问(包括服务、管理模块等)且该设备型号、版本存在外界披露的高危安全漏洞并未及时采取修补或其他有效防范措施
补偿措施:通过访问地址限制或其他有效防护措施,使该高危漏洞无法通过互联网被利用,可根据实际措施效果,酌情判定风险等级
高风险项:内网设备存在可被利用的高危漏洞
标准要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
适用范围:二级及以上系统
判例场景:网络设备、安全设备、主机设备(包括操作系统、数据库等)仅能通过内部网络管理或访问(包括服务、管理模块等)且通过验证测试或渗透测试确认设备存在缓冲区溢出、提权漏洞、远程代码执行等可能导致重大安全隐患的漏洞
补偿措施:对于经过充分测试评估,该设备无法进行漏洞修补的情况,可从物理、网络环境管控情况,发生攻击行为的可能性,现有防范措施等角度进行综合风险分析,根据分析结果,酌情判定风险等级
高风险项:恶意代码防范措施缺失
标准要求:应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
适用范围:二级及以上系统
判例场景:主机层无恶意代码检测和清除措施,或恶意代码库一月以上未更新且网络层无恶意代码检测和清除措施,或恶意代码库一月以上未更新
补偿措施:①对于使用Linux、Unix、Solaris、CentOS、AIX、Mac等非Windows操作系统的二级系统,主机和网络层均未部署恶意代码检测和清除产品,可从总体防御措施、恶意代码入侵的可能性等角度进行综合风险分析,根据分析结果,酌情判定风险等级; ②与互联网完全物理隔离或强逻辑隔离的系统,其网络环境可控,并采取USB介质管控、部署主机防护软件、软件白名单等技术措施,能有效防范恶意代码进入被测主机/网络,可根据实际措施效果,酌情判定风险等级; ③主机设备采用可信基的防控技术,对设备运行环境进行有效度量,可根据实际措施效果,酌情判定风险等级
2.5安全管理中心
具体高风险项及要求等细节如下:
高风险项:运行监控措施缺失
标准要求:应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测
适用范围:高可用性的三级及以上系统
判例场景:对网络链路、安全设备、网络设备和服务器等的运行状况无任何监控措施,发生故障无法及时对故障进行定位和处理
补偿因素:无
高风险项:审计记录存储时间不满足要求
标准要求:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求
适用范围:三级及以上系统
判例场景:关键网络设备、关键安全设备、关键主机设备(包括操作系统、数据库等)的重要操作、安全事件等审计记录的留存不满足法律法规规定的相关要求(不少于六个月)
补偿因素:对于被测对象上线运行时间不足六个月,可从当前日志保存情况、日志备份策略、日志存储容量等角度进行综合风险分析,根据分析结果,酌情判定风险等级
原文始发于微信公众号(网络安全等保与关保):网络安全等级保护-硬件设备/产品对标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论