对等保2.0基本要求技术部分,以四级为例,对安全计算环境、安全管理中心的控制点逐项解读内容如下:
1.安全计算环境
1.1 身份鉴别
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
解读:这里的身份鉴别一般指终端和服务等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端及其管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件等内置的身份鉴别功能或身份鉴别措施。要求上述设备或系统应具备用户登录时的身份鉴别措施。如果不具备,或需要实行内网统一身份鉴别,可在内网部署4A统一安全管控系统,可实现全网统一的用户身份标识和鉴别,且身份标识具有唯一性。通过内置功能设置,可设置用户口令复杂度要求和更换周期。对于鉴别失败和重鉴别,分别按照重试5次即为鉴别失败,启用结束会话,并设置冷却时间,同时生成审计和告警信息。对于连续无操作达到10分钟,系统自动退出登录状态,需重新鉴别后再次登录。
当进行远程管理时,4A系统自带的数据加密技术可确保鉴别信息等重要数据在传输中的安全。对于双因子鉴别方式,系统支持多种双因子方式且支持密码技术,可依据需求选择,列举如下:
• 静态密码:静态密码认证功能
• AD域认证:主帐号AD域认证接口
• Radius认证:Radius认证接口
• 密码+令牌认证:强认证,静态密码+动态令牌认证组合
• 密码+短信认证:强认证,静态密码+短信认证组合,短信认证接口包括短信生成和短信校验功能
• 密码+邮件认证:强认证,静态密码+邮件认证组合
• AD域+短信认证:强认证,AD域密码+短信认证组合
• AD域+短信认证:强认证,AD域密码+动态令牌认证组合
• 智能卡认证:提供智能卡认证接口
• 证书认证:提供证书认证接口
对于终端双因子鉴别,可使用USBKey+PIN码方式鉴别用户身份。
1.2 访问控制
a) 应对登录的用户分配账户和权限;
b) 应重命名或删除默认账户,修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g) 应对主体、客体设置安全标记,并依据安全标记和强制访问控制规则确定主体对客体的访问。
解读:应在终端和服务等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端及其管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件等设备或系统中,对登录的用户分配账户及相应操作权限。对于需要统一分配账号及权限的需求,可部署4A系统为各类系统操作员,分配终端和应用系统的账户和权限。终端的默认账户应删除或重命名,对于无法重命名的账户或各类设备的内置三员账户等特殊账户,应该修改默认口令,修改后的口令满足等保四级复杂度要求(字母大小写、数字、符号两种及以上混合,最小口令长度10位)。
应及时删除或停用多余的、过期的账户,避免共享账户的存在。对管理用户授权,遵循必要的最小权限原则,管理用户负责管理,不能参与日常业务数据录入等操作员权限的操作。
1.3 安全审计
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、事件类型、主体标识、客体标识和结果等;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应对审计进程进行保护,防止未经授权的中断。
解读:应在终端和服务等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端及其管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件等设备和系统上启用安全审计功能。对于终端侧,可在终端和主机上安装部署“内网安全管理系统”,可实现基于主机侧的安全审计功能。审计功能非常全面,包括:打印审计、网站审计、FTP审计、windows事件日志审计、应用程序审计、主机名及IP和MAC变更审计、终端Windows登录审计、终端开关机审计、ISM客户端运行审计、终端使用USB设备历史审计、移动存储设备审计、文件审计等。确保审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
对于审计记录保护,产品自身功能可以满足。也可以通过部署综合日志审计系统,通过对各类日志集中搜集,起到汇总分析兼日志备份的功能,避免受到未预期的破坏。对于审计进程保护,通过产品自身进程保护功能实现,避免恶意终止审计进程等破坏审计的行为。
1.4 入侵防范
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;
b) 应关闭不需要的系统服务、默认共享和高危端口;
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
解读:应对终端和服务等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端及其管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件等遵循最小化安装原则,只安装必要的组件和应用程序。此外,还需对上述设备和系统关闭非必要的系统服务和默认共享,关闭非必要的高危端口。针对主机终端侧,依据最小化组件和应用程序清单,通过主机加固操作,仅安装需要的组件和应用程序,关闭不需要的系统服务、默认共享和高危端口。对网络设备和安全产品运维管理,应通过运维安全网关(堡垒机)进行,由指定终端管理。
应用系统前端部署Web防火墙(WAF),保护并阻止因转义字符解析等由于Web应用开发未对数据做有效性检验的攻击,如SQL注入攻击等。其他通过网络通信接口输入的内容有效性教研应通过网络主干链路上部署的IPS进行过滤和保护。
针对内网的各类已知漏洞,应部署漏洞扫描系统(有Web应用的场景,建议重点关注OWASP组织最具权威的"十大安全漏洞列表OWASP Top 10"。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞),及时更新漏洞库,对全网定期(一个月)执行漏洞扫描。汇总全网漏洞与资产信息,按照资产和业务重要优先原则,对更新的补丁进行充分测试评估后,及时修补漏洞。检查高风险漏洞还可通过渗透测试等方式做进一步完善。
内网通过部署的IPS、IDS、APT联动DAC(威胁情报中心)等,检测是否存在对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。上述报警信息通过综合日志审计汇总后上报SOC统一处置。
1.5 恶意代码防范
应采用主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
解读:通过部署主动免疫产品或使用终端防病毒系统识别恶意代码,并有效阻断。
1.6 可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
解读:可信验证为可选项。
1.7 数据完整性
a) 应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b) 应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
c) 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。
解读:当数据通过不可控区域时,可通过部署加密机实现数据传输中的完整性和保密性。包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
数据存储应采用加密存储,可采用独立的服务器密码机来实现。服务器密码机属于单独的嵌入式专门加密设备,需要连接在存储和交换机之间。一对一连接到存储上,对主机性能影响小,设备本身提供加密功能,同主机和存储无关。支持异构存储。对于加密存储也可以使用基于存储固件提供的加密功能。
如果本单位涉及对互联网提供业务服务,还需要部署业务审计系统,对应用系统收发数据进行审计。业务审计系统的数据发给综合日志审计系统,并单独保存,服务器密码机配合加密后实时存储。当出现可能涉及法律责任认定时,实现数据原发行为的抗抵赖和数据接收行为的抗抵赖。存储加密可能存在无法调取原生数据的风险,如有更好方法可后续补充。
1.8 数据保密性
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
解读:数据传输过程保密性通过部署VPN加密机实现,存储过程保密性通过部署服务器加密机实现。
1.9 数据备份恢复
a) 应提供重要数据的本地数据备份与恢复功能;
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性;
d) 应建立异地灾难备份中心,提供业务应用的实时切换。
解读:数据备份应采用在不同建筑物内(或者同城异地等)部署数据备份一体机(或备份恢复软件+磁盘阵列或虚拟磁带库),实现重要数据实时备份和恢复功能。建设中还需要配套光纤交换机及光纤。确保重要数据通过网络实时备份。
对于重要的业务处理服务器,可采用双机热备方式部署,提高业务系统可用性。此外,重要的数据处理系统,如边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器采用热冗余方式部署。系统中部署CDP(连续数据保护系统),当其中一台服务器出现故障时,从软件到硬件做到业务实时切换。通过不同建筑物内的数据备份恢复一体机的数据保护,可以做到数据出现故障时,手工或半自动方式恢复最近一次或其他备份记录里的备份数据。
1.10 剩余信息保护
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
解读:因实施剩余信息保护可能会造成数据磁盘的过早报废,本项目处于可靠性及成本考虑,暂未启用剩余信息保护。
1.11 个人信息保护
a) 应仅采集和保存业务必需的用户个人信息;
b) 应禁止未授权访问和非法使用用户个人信息。
解读:如有个人信息搜集业务,应制定有关用户个人信息保护的管理制度和工作流程。需梳理需搜集用户信息类别清单,并从业务系统角度,严格按角色设置数据访问权限。配合数据库审计系统、数据防泄露(DLP)系统、业务审计系统、4A权限控制系统、运维审计系统、ISM系统、光盘刻录打印审计系统综合控制业务岗位对数据的非法使用和未授权访问。
2.安全管理中心
2.1 系统管理
可通过系统管理员对系统的资源和运行进行配置、控制和可信管理,包括用户身份、可信证书、可信基准库、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
解读:使用SOC系统,配合4A系统以及运维审计系统(堡垒机),对系统管理员进行身份鉴别和操作审计。
使用SOC系统配置功能,对系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
2.2 审计管理
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
解读:依托SOC自身功能实现审计管理。如对审计管理员进行身份鉴别及操作审计。审计管理员可通过SOC的日志管理功能对审计记录做分析、存储、管理、查询等操作。
2.3 安全管理
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
解读:借助SOC和4A联动,结合运维安全网关的操作控制,可对安全管理员进行身份鉴别,并确保操作过程在特定的操作界面进行,操作过程全程可审计。
安全管理员负责对系统中各类设备按照安全策略进行设置和配置,启用功能并设置必要的运行参数。内网未使用安全标记及可信技术或可信产品。
2.4 集中管控
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析;
g) 应保证系统范围内的时间由唯一确定的时钟产生,以保证各种数据的管理和分析在时间上的一致性。
解读:内网安全域中有专为安全设备和安全组件划分的安全管理安全域,SOC的运维使用在指定运维办公室。为确保各种数据的管理和分析在时间上的一致性,内网中的SOC系统使用唯一的系统时钟服务器产生标准时间,并且使用带外连接,管理分布在网络中的安全设备或安全组件进行管控。同时,可对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。对从综合日志审计系统上搜集的各类审计日志进行收集汇总和集中分析,按照《网络安全法》要求日志留存为六个月(如有行业标准,通常比六个月时间更长,可按更长的标准执行日志留存时间)。SOC支持对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
