萌新等级保护完全指南,保证“一看就会、一做就废”(上) – 作者:redhatd

0x0 前言

【一看就会】 是因为很多我尽可能写得很详细。

【一做就废】如果基础知识不牢固很多部分会懵逼。

本文章作者的等级保护项目相关坑点以及经验分享。本文知识点技术部分过于庞杂繁多,也计划分为“上下” 两个文章来写。有需要可以收录到自己的网页收藏夹。

萌新适用 文章着重等级保护2到3级主要过程和技术部分为重点讲解。

0x1 等级保护的来龙去脉

等级保护的推进过程

image.png

1、1994年 国务院颁布《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号

2、2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号

3、2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号

4、2006年1月四部委会签《信息安全等级保护管理办法(试行)》(公通字[2006]7号) 

5、2007年6月四部委会签《信息安全等级保护管理办法》公通字[2007]43号

6、2017年6月1日中华人民共和国网络安全法

近年来等级保护上升到法律层面才引起广泛重视。(其实为了甩锅和规避责任)

等级保护的相关标准

基础类

《计算机信息系统安全保护等级划分准则》GB 17859-1999

《信息系统安全等级保护实施指南》GB/T 25058-2010  

应用类

定级:

《信息系统安全保护等级定级指南》GB/T 22240-2008 

建设:

《信息系统安全等级保护基本要求》GB/T 22239-2008

《信息系统通用安全技术要求》GB/T 20271-2006 

《信息系统等级保护安全设计技术要求》GB/T 25070-2010 

测评:

《信息系统安全等级保护测评要求》 GB/T 28448-2012

《信息系统安全等级保护测评过程指南》 GB/T 28449-2012

管理:

《信息系统安全管理要求》GB/T 20269-2006 

《信息系统安全工程管理要求》GB/T 20282-2006 

等级保护的政策体系

image.png

等级保护的相关等级分类

计算机信息系统安全保护等级划分准则 (GB 17859-1999)

第一级:用户自主保护级

第二级:系统审计保护级

第三级:安全标记保护级

第四级:结构化保护级

第五级:访问验证保护级

需要特别说明的:

1、最低为一级最高为五级。

2、一般常见的为二三级等级保护相关项目,四级以上需要中字头单位一般企业接触不到。

3、三级按照要求需要每年测评,二级不需要每年测评。一级不存在需要测评一说。

0x2 等级保护的主要流程

image.png主要流程为:定级-备案-审核-备案证明-等保测评-测评报告    (有等保测评不通过的情况见上图)

定级:确定应用系统对应等级保护等级一般为二级或三级  。(优先看行业定级指南,在看通用定级指南)

备案:备案要填写一张表跟网站备案信息有点类似,主要是应用名称,单位主体,域名,IP,负责人等等,表的格式参照当地公安机关。

备案证明:备案资料交由公安机关审核,审核通过会发一个备案证明材料,不通过则需要重写。

image.png

等保测评:等级保护测评机构进行,测评要求基本为二级或三级的要求是否达到。

测评报告:通过与否都会给予测评报告,一般情况是一个项目测评会有两次,第一次是测评后可以整改,然后第二次测评通过。也可以做好整改后让第一次测评直接通过。如果两次测评没有通过,再测评就需要客户额外掏钱了。这一点切记。(通常情况如此,详细具体可与测评单位协商)

需要特别说明的:

1、当地的等级保护测评机构才有定级才有法律效应,一般任何系统按照三级标准来要求肯定不会错。

2、当地的等级保护测评机构出具的测评报告才具有法律效应。(很多单位等级保护就是需要测评那个章而已 ,测评机构也对结果负有法律责任)

3、当地的等级保护测评机构大约为2-3家(地域不同可能不同 不接受杠精)

4、普遍不是评测机构所说的【等级保护相关工作】 其实是指:配合客户通过等级保护测评;或相关整改和建设工作后让客户通过等保测评的。 (这种硬性需求典型就是医院,必须等级保护过级才能升为甲等医院)

0x3 等级保护测评要求

要求还是以前老标准为主,新标准因为云的关系反而条目少一些,作者本地新标准也并未实行。

等级保护测评主要为【技术】和【管理】两大类测评

image.png

管理方面的要求

一般在项目实施中最简单的让客户单位满足管理要求的办法就是【甩一套符合等级保护制度的相关管理制度给客户单位】

因为很多中小企业和非信息系统专业单位本身没有相关制度或者制度根本不健全。

至于制度的编写 参考标准文件的要求即可:

《信息系统安全管理要求》GB/T 20269-2006 

《信息系统安全工程管理要求》GB/T 20282-2006 

但是,切记不要答应客户去落地制度,管理制度落地需要领导牵头盖章。制度不光是制度以及一些记录表格也应该包含在内。

image.pngimage.pngimage.png

技术方面的要求:

技术方面的要求分为:物理安全,网路安全,主机安全,应用安全,数据安全以及备份恢复。

物理安全:主要涉及机房安全,机房位置,机房其他配套和弱电防盗防雷防电磁设施。

网络安全:机房网络设备、安全设备,以及网络设备的相关配置。

主机安全:应用所在操作系统安全,主要是操作系统基线配置。

应用安全:业务应用安全相关措施,主要还是B/S或C/S模式为主(即浏览器-服务器  客户端-服务器)。

数据安全以及备份恢复:是否有异地备份,备份线路以及备份还原数据是否可靠等。

0x4 等级保护测评技术部分详细条目

三级要求部分我会以粗体标出 ,其余为二级要求部分  。

完全理解这部分需要以下基础:(以下作为网络安全基础 建议在大学时期或工作1年内学习掌握)

1:对机房建设有一定了解,熟悉一些机房建设标准。

2:熟悉2-3个速通厂家网络设备配置,以及2-3安全厂家网络设备配置。

(典型速通厂家:H3C,思科,华为,迅捷。 典型安全厂家:绿盟,启明星辰,深信服,网神)

3:熟悉至少2种操作系统基线配置,centos(redhat)、debian、freebsd、solaris、windows server(通常情况WINDOWS 较多,多多少少还是有linux类)

4:懂的应用抓包 burp suite  或wireshark(英文弱鸡可以用科来网络分析系统)  之类工具以及基本使用。

5:了解一些主流软件开发语言以及中间件(apache iis nginx ) 数据库(mssql mysql  oracle)等

0x5 物理安全 技术要求:

PS:这部分内容一般不是整改的重点,很多东西固定你没法整改,只能提建议,客户斟酌选择。

物理位置的选择

基本要求 解读 备注
a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; 目前机房是否具备防震,防风和防雨是否在建筑内 一般都合格,机房玻璃应完整无破损。
b)机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 字面意思,机房位置不建议超过5层,这就是普遍云计算数据中心等,楼房一般不会太高的原因,怕震。注意防渗水。 三级要求

物理访问控制

基本要求 解读 备注
a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员 字面意思,进出机房有专人值守,识别如指纹密码识别等,进出机房需登记,一般为纸质记录 一般都合格,很多单位缺失可能是文档记录和门禁建议补充。
b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; 外人来访需要有审批流程,如进出入介绍信,身份证登记等,进入机房需有人陪同,和规范作业范围 一般情况不符合,主要是没人约束具体行为,或没有审批文档,确认身份流程。
c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; 机房要求有过度区域,服务器区域,托管区域,有存在物理上划分区域即为符合,到其他区域最好有门禁。 三级要求,多数情况为部分符合,一般是区域外有门禁区域内没门禁,具体机房区域划分隔离不明显,或没显著标识
d)重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 需要有门禁系统,并对进入门禁系统的人员进行识别、控制和记录的功能,(门禁日志) 三级要求,多数情况为部分符合,很多没有门禁日志功能,没有门禁该条直接不符合。

防盗窃和防破坏

基本要求 解读 备注
a)应将主要设备放置在机房内; 字面意思,主要服务器,网络设备在机房范围内。 一般为符合,过渡区控制台之类除外。
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记; 标识设备,如网络设备、网线、服务器IP,名称,业务用途,负责人联系方式等。 一般为部分符合,很多企业存在标记不完整,不明显等。不标记的不符合,
c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; 如网络线缆走桥架(高空),电力线缆走地板下。线缆不暴露在地板上。 一般情况部分符合,存在供电线缆和通信线缆一起铺设的情况。
d)应对介质分类标识,存储在介质库或档案室中; 如不使用存储介质为不适用项目,少数机房会使用U盘,光盘等需要固定地点存档和标识。 一般情况为不适用。
e)应利用光、电等技术设置机房防盗报警系统; 需要光感,电感防盗报警,(如电磁防盗门 光感报警照相等)具体了解安防设备,不赘述。 一般情况为不符合,可能有监控,门禁。但是不具备及时报警功能。
f)应对机房设置监控报警系统。 当机房有人出入时,有自动记录、拍照报警等。 三级要求 光感报警照相,纯设备价格其实不高,一般机房为静态图像,有其他东西移动时照相,报警即可。

防雷击 

基本要求 解读 备注
a)机房建筑应设置避雷装置; 机房建筑是否有避雷针,或其他避雷措施。 一般为符合。竣工报告一般有明确说明,如果年代久远竣工报告没戏。
b)应设置防雷保安器,防止感应雷; 防雷安保器,感应雷其实讲的是非雷电直接击中设备造成的其他影响。 三级要求,感应雷主要分为静电感应雷和电磁感应雷,具体影响这里不赘述。可以了解一下感应雷过电压。
c)机房应设置交流电源地线。 确认设备机柜是否有接地线,以及是否有设备漏电的情况,机房电源是否有接地线。 一般为部分符合,一般机房都有接地线,但是很多情况设备机柜和设备服务器没有接接地线。

防火

基本要求 解读 备注
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; 火感,烟感设备,是否有自动灭火系统,是否有配备灭火器,灭火器气压是否正常。 一般为部分符合,但是这个东西不好测试,总不能点火测试,灭火器倒是可以直接看到。如果没有自动灭火为部分符合。
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; 机房需采用防火静电地板,防火门等。 三级要求,一般为符合,具体询问材料或竣工报告。
c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 机房内不可堆叠其他纸箱和杂物,重要资产需要与一般资产分开。 三级要求,一般为符合,机房内有杂物为不符合。重要资产未隔离,为部分符合

防水和防潮 

基本要求 解读 备注
a)水管安装,不得穿过机房屋顶和活动地板下; 不能有水管或者渗水通过机房 一般情况为符合。结合机房情况。
b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; 机房墙壁,机柜,窗户,地板不能有潮湿,渗水情况。 一般情况为符合,如有渗水潮湿,为不符合。
c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; 最好有控制湿度或干燥设备等。 一般情况为不符合,简单符合办法干燥机。远离地下渗水。
d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 有针对出现水渗透情况,进行检测报警的相关设备。 三级要求,高级设备一般情况不符合,空调只能检测湿度,不能检测渗水。

防静电

基本要求 解读 备注
a)主要设备应采用必要的接地防静电措施; 机柜是否为防静电,设备是否有接地线 一般情况部分符合,机柜有防静电,但是设备未接的情况
b)机房应采用防静电地板。 字面意思,机房不能直接在瓷砖、木地板上,最好有防静电地板。 三级要求,一般情况为符合,直接放地上为不符合。

 温湿度控制 

基本要求 解读 备注
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 一般看机房空调会有具体参数。机房标准有A、B、C三类机房。针对温湿度:
A类和B类机房要求一样,温度都是23±1℃,湿度为40%~55% 。
C类机房的温度为18~28℃,湿度35%~75%。
一般情况为符合,只要空调不坏有调节温湿度功能,在温度范围内即可。

电力供应 

基本要求 解读 备注
a)应在机房供电线路上配置稳压器和过电压防护设备; 需要有UPS设备,过压防护设备。 一般符合,很多UPS现在也有稳压功能。
b)应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常运行要求; 断电后UPS至少能工作一小时以上,或保证机房设备能有备用发电设备也可。 一般符合,不好操作断电测试。
c)应设置冗余或并行的电力电缆线路为计算机系统供电; 至少两种市级供电线路,断电自动切换(毫秒级)。 三级要求,一般符合,UPS有断电切换功能,不好操作测试。
d)应建立备用供电系统。 除UPS电池之外,还需要有备用发电机发电。 三级要求,一般不符合,很多单位可能没有发电机。不好操作测试。

电磁防护 

基本要求 解读 备注
a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 有防电磁干扰和寄生耦合干扰措施,各种供电线路和通信线缆 和服务器相关设备不能太近。 三级要求,一般情况不符合没有电磁防护措施,寄生耦合干扰:连接电容的PCB线路过近,会额外的增加电容耦合的电容量,尤其是高频电路中小容量电容,并排的布线就可能改变电容量。
b)电源线和通信线缆应隔离铺设,避免互相干扰; 供电线路和通信线缆分开铺设,如桥架(高空)走通信线缆 地板下走供电线路。 一般情况不符合,如两种线路分开走则为符合。
c)应对关键设备和磁介质实施电磁屏蔽。 电磁屏蔽措施 三级要求,电磁屏蔽相关措施成本高昂,一般情况为不符合

0x6 网络安全 技术要求:

PS:是等级保护重要的权重部分,也是可以较多整改的部分。本部分涉及到很多设备配置查看和识别以下会简称为(参考设备配置手册)

结构安全 

基本要求 解读 备注
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; 看网络设备负载冗余,一般情况80%利用率以下为符合 一般符合,这个部分相对灵活。不是负载过高都可以符合
b)应保证网络各个部分的带宽满足业务高峰期需要; 宽带冗余,一般情况宽带利用率高峰时期不超过80%。 一般符合,相对灵活,查看时可能看不到最高负载情况。
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径; 采用静态路由,如使用OSPF 需要配置身份验证 思科为例:

router ospf p 100
ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)

三级要求 一般情况部分符合,很多情况OSPF是全网通,没有配置认证码
d)应绘制与当前运行情况相符的网络拓扑结构图; 字面意思,需要有当前网络布局的拓扑图,并根据实际情况更新。 一般符合,如果没有请根据客户描述画一个。没什么技术含量。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段; 访谈网络管理员,是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。
设备上需要检查是否配置了VLAN (参考设备配置手册)
如果VLAN之间需要通信需要三层设备来通信
一般符合,具体看设备端口是否有做VLAN相关配置。最好是业务跟运维以及其他部门分别划分VLAN,
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; 各个网段VLAN 之间三层设备是否配置ACL 来控制访问。(以前推荐产品隔离网闸 现在网闸很少了) 三级要求,一般符合理论上来说只要有配置ACL,或者访问策略基本都合格。
g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。 要求的是网络优先级,如宽带优先策略和一般电脑的宽带限制策略  思科为例
policy-map ba
class voice
priority percent 20class data
bandwidth  percent 40class video
bandwidth percent 10
三级要求,一般部分符合,很多是做了一些宽带限制,没有做优先级

访问控制

基本要求 解读 备注
a)应在网络边界部署访问控制设备,启用访问控制功能; 网络边界的防护设备,如防火墙之类,并需要确定是否开启了访问控制以及策略,保护是否有效 一般符合,除非特殊情况,未开启策略,或策略未生效
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; 策略精细控制到端口级 如类似 192.168.1.1:8080  三级要求,为端口级就是控制要精准到IP地址和端口包阔出入站,二级要求为网段级。
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; 对HTTP、FTP、TELNET等协议的通信默认端口进行限制即可,稍微好一些的下一代的防火墙可以只禁止协议访问。即应用层协议内容检测和过滤。

三级要求 一般为符合或部分符合,各个厂家的设备功能设定方式不一致,详细参考相关设备手册吧。
d)应在会话处于非活跃一定时间或会话结束后终止网络连接; 字面意思,讲的其实是网络连接上的超时时间,当网络连接不活跃时有自动断开连接的功能,也包括登陆网络设备不操作的超时时间。 三级要求,一般情况为部分符合,很多网络设备都有超时时间设置功能,只是很多使用单位没有设置。
e)应限制网络最大流量数及网络连接数;  两个方面,最大流量上下行限制,以及网络最大并发链接数限制。 一般部分符合,一般情况为最大流量有限制,但对并发连接数没有限制。
f)重要网段应采取技术手段防止地址欺骗; 其实就是MAC 绑定IP的操作,防止ARP地址欺骗。省事的办法还有防ARP的防火墙。 三级要求,一般为不符合,多数情况是没做绑定,网关防火墙有ARP功能,处于防火墙以下网络可能出现ARP攻击。
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; 1:对于远程拨号用户,需要有用户认证功能。(校园网拨号上网)
2:对于直接插网线能上网用户,简单方式用上网行为管理 (深信服 网康 迪普)
一般部分符合,还需要确定对用户限制是否有效。多数情况没有上网行为管理,内部只有一个IP地址对应人的表。
h)应限制具有拨号访问权限的用户数量。 1:远程拨号用户是否有最大用户数量限制。
2:直接上网用户在网关是否有最大IP/链接限制。
一般不符合,属于最大上网单点数量上限限制。很多单位没有设置,建议设置。拨号上网情况会好一些,可以直接限制。

安全审计

基本要求 解读 备注
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 网络设备需要启用日志功能,输出日志到其他地方也好,单机保存也好。网络安全法规定不少于6个月日志 一般符合,不符合的一般属于日志功能没开启,部分符合是保存时长过短。
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 网络设备的日志审计内容需要记录时间、类型、用户、事件类型、事件是否成功失败等。 一般部分符合,通常情况是失败记录功能没有,或者部分如类型  事件类型 没有标注。
c)应能够根据记录数据进行分析,并生成审计报表;
能够将日志导出,分析,形成报告。宽松点的评测你其他方式导出也行。 三级要求 一般部分符合,通常情况是没有日志导出功能。或者需要手动导出 (如截图 复制等)
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
一般管理账户或普通用户不能修改,删除,覆盖相关日志,仅超级管理权限可以修改。严格的要求是任何账户不可修改。 三级要求 一般部分符合,通常情况是超级管理权限可以修改,删除,覆盖日志。

边界完整性检查

基本要求 解读 备注
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; 常说的准入准出,一般手段是使用IP/mac 绑定不符合统计列表内的不准许链接,大多防火墙都可以做到,
“对于准确定出位置,并对其有效进行阻断” 是另外的设备。一般单位不容易实现
三级要求有 “准确定出位置,并对其进行有效阻断”,二级无此要求 对于此项要求造价较高,就目前的经验市级公安单位和运营商核心区域有,基本就是你手机自己开个热点让电脑接入都知道你在哪。一般单位不考虑。一般情况为部分符合。
b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
跟上条类似,区别在于针上条针对非授权用户,此条针对内部授权用户。 三级要求  二级无此条目,一般情况为不符合,多数单位对于内部数据没有进行检测或相应IDS设备。

入侵防范


基本要求 解读 备注
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等; 针对这几种类型攻击需要有入侵检测设备,一般有IPS就可以满足,也有带有IPS功能下一代防火墙,下一代防火墙跟单独IPS相比,一般情况IPS单口可走网络流量较高。 没特别要说的,有IPS或者带有IPS功能防火墙设备基本能符合要求,但是注意有些防火墙集成的防御攻击类型并不多,可以判断为部分符合
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 IPS上的一个日志和告警功能,能够记录“攻击源IP、攻击类型、攻击目的、攻击时间”跟网络安全层面的日志要求类似。日志存放时间不少于6月。 三级要求 一般情况为部分符合,有些IPS设备因为自身容量或设计问题,没有日志空间或者没有单独的存储存放日志。大多情况是日志存放和日志时长的问题。

恶意代码防范 

基本要求 解读 备注
a)应在网络边界处对恶意代码进行检测和清除;
恶意代码有两种,传统主机病毒 可执行类病毒。如后缀为EXE 、BAT、VBS、VBE、JS、JSE、WSH、WSF等 这类需要在网络边界部署防毒墙。
还有一种是脚本病毒一般所说的WEBSHELL类型 上传ASPX.PHP.JSP 的脚本类型。这类需要在网络边界部署web防火墙 (也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)
三级要求 一般情况为主要部分符合,很多单位存在买了防毒墙没有开启的情况,主要还是非常占用网络资源。还有些情况是没有WAF 
注意跟主机上的防病毒软件进行区分,这部分是网络层面的网络设备。
b)应维护恶意代码库的升级和检测系统的更新。
同上解释,病毒墙和WAF需要定期升级特征库。 三级要求 一般情况为部分符合,主要还是授权到期不能升级的问题。能正常升级的应为符合。

网络设备防护 

基本要求 解读 备注
a)应对登录网络设备的用户进行身份鉴别; 网络设备口至少两种密码:一种是网络访问(SSH TELNET HTTPS)的密码,另一种是直接接consle口的密码,密码不能为默认。 一般符合,有些机房会忘记重设consle口密码,运维人员配合你测试一下就知道了。
b)应对网络设备的管理员登录地址进行限制; 登陆访问网络设备的来源IP进行限制。如管理IP192.168.1.100. 那么网络设备只准许这个IP登陆,其他IP则直接拒绝登陆。 一般不符合,主要是没配置或者觉得维护比较麻烦,其实也可以设置网段,关键还是要运维人员固定IP地址。
c)网络设备用户的标识应唯一; 用户名唯一性,不存在重复的用户名。不能出现一个账户多人使用的情况。每个管理人员有自己唯一专属的账号。 一般部分符合,只要不是设备缺陷,不太会出现相同用户名,可能存在多人共用账户情况。建议区分。
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
一般说的双因子认证,就是除了账户密码之外 需要有加密狗或短信验证或指纹类生物识别等其他验证方式来确定使用者身份的认证方式。 三级要求 一般为不符合,主要还是设备成本问题,资金不宽裕单位可放弃此项。
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1:口令复杂度  大小写数字特殊符号的组合密码8位以上
2:定期更换  2个月  3个月更换一次比较常见
一般为部分符合,一般主要问题是密码更换周期不固定或者不更换的单位较多。
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; 如账户密码输入错误 连续5次 锁定账户 或IP地址 20分钟 。防止暴力破解。 一般为不符合,主要是很多网络设备没有相关配置,其实功能可以实现。配置上就为符合。
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 网络设备访问方式 基本就以下这些
加密:https  ssh
明文:telnet consle aux http
特殊:gui 或其他客户端模式
要求是只是用加密的访问方式,https ssh
不加密的方式禁用掉,特殊的登陆方式有些加密有些不加密,需要用wireshark 抓包进行观察。
一般情况为部分符合,有些网络设备较老可能不支持SSH 和https的登陆方式,有些是管理员习惯问题,一直是用telnet  http 登陆。需禁用未加密登陆方式防止窃听。
h)应实现设备特权用户的权限分离。
将一个超级用户权限拆分成几个用户,每个用户权限独立互不干涉。按照要求一般需要三种账户:普通账户,审计/备份账户,配置更改账户 三级要求,一般情况为不符合,一方面是很多网络设备局限不支持自定义权限,还有一方面客户单位一般不具备这样的意识。配置上问题更改就好。

0x7  to be continued

1:本来是计划一个文章写完的,写下来发现知识还是太多,决定拆成两个文章写。

2:目前介绍到 物理安全和网络安全的 三级技术要求 解读判断办法。 有需要的 可以继续关注后续更新

3:年关将至项目很多也将验收  至此  萌新等级保护完全指南 保证“一看就会 一做就废”(上)完   下的部分后续有时间在写。

来源:freebuf.com 2018-12-20 15:56:53 by: redhatd

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论