等級保護認證作為我國最權威的網絡安全等級資格認證����,自《中華人民共和國網絡安全法》正式實施后����,已成為我國網安領域的基本國策����、基本制度和基本要求。
在之前的推送中����,中科三方為大家介紹了等保2.0的政策背景,以及等保2.0相較于1.0的異同點����。(科普|網絡安全等級保護2.0大揭秘)
今天三方以等保三級為標準����,為您介紹認證等保三級不可不知的7個基本要求。
等保三級有多嚴格����?
等保三級是國家對非銀行機構的最高級認證����,是安全標記保護級����,屬“監(jiān)管級別”����,由國家信息安全監(jiān)管部門進行監(jiān)督����、檢查等保三級����,認證����。
測評內容涵蓋了5個等級保護安全技術要求和5個安全管理要求����,具體包含信息保護����、安全審計、通信保密等近300項要求����,涉及73類測評分類,要求十分嚴格����。
中科三方于2017年就已通過公安部的等保三級測評認證,作為深耕行業(yè)20年的老牌互聯網基建服務商����,三方在等保認證和網絡安全方面擁有豐富的實戰(zhàn)經驗����,多次在“兩會“、“一帶一路峰會“等國家重大會議承擔重保工作����。
等保三級 之 6大關鍵點
1.身份驗證
身份驗證需保證所有網絡設備����、安全設備、重要服務器����、數據庫服務器����、應用業(yè)務系統等這些關鍵設備和業(yè)務系統不存在弱口令����、空口令賬戶登錄情況。
在確保無弱口令和空口令的前提下����,所有重要設備都需采用雙因子認證方式登錄,尤其是針對核心業(yè)務應用系統����,不能只采用基本的用戶名/口令。比較常用的做法是采用令牌����、智能卡、生物指紋����、虹膜識別����、人臉識別等高階認證技術。
對于遠程管理維護的操作����,一般建議通過部署堡壘機實現雙因子認證和傳輸信息的加密。
2. 訪問控制
對于業(yè)務應用系統����,有很多未達到等保訪問控制基本要求的常見缺陷����,如越權訪問系統功能模塊或查看、操作其他用戶的數據等����。
針對此類問題����,建議將承載關鍵業(yè)務系統的服務器進行單獨區(qū)域劃分,部署第二代防火墻類設備進行邊界隔離����,深層次過濾訪問行為����。同時需有明確的管理制度不允許本地操作����,或者對本地的操作進行訪問控制。
針對遠程操作進行訪問控制策略控制����,部署堡壘機對用戶行為進行訪問控制����。
對于非業(yè)務系統的網絡設備、主機設備����、服務器設備等只需要進行默認賬戶刪除、修改默認口令����、無法通過默認賬戶以及默認口令登錄就可以滿足最基本的要求。
3. 安全審計
安全審計主要指對日志進行記錄與審計����。若缺失對重要的用戶行為和重要安全事件的審計,肯定無法通過等保測評����。
建議在網絡設備����、安全設備����、主機/服務器操作系統、數據庫系統����、業(yè)務應用系統性能允許的前提下,開啟用戶操作類和安全事件類審計策略����。
通常使用第三方日志審計系統,除進行常規(guī)的日志記錄收集外����,對日志進行關聯分析,篩查可能存在的安全風險����。
4. 入侵防范
關閉不需要的系統服務、默認共享和高危端口����。網絡中的網絡設備����、安全設備����、主機/服務器操作系統����、數據庫系統和業(yè)務應用系統等存在的多余系統服務/默認共享/高危端口必須要關閉。
同時建議在既有業(yè)務中使用默認共享服務的����,盡量切換到其他服務。
此外還需要對遠程管理的用戶以及管理維護所使用的終端進行管控����,一般采用堡壘機類產品進行管控。
對于一些互聯網直接能夠訪問到的設備及系統����,須盡快修補已在公開渠道披露的重大漏洞。尤其是業(yè)務應用系統����,現階段針對應用系統的SQL注入����、跨站腳本等均為高風險漏洞����,都會對業(yè)務應用系統正常運行造成嚴重后果。
5. 惡意代碼防范
安裝反病毒軟件����,同時反病毒軟件需及時更新病毒庫。如果是相對封閉的網絡����,如工業(yè)控制系統,需安裝白名單類軟件進行惡意代碼防范����。
6. 數據完整性及保密性
數據的完整性與保密性主要包含存儲數據的完整性與保密性,以及傳輸數據的完整性和保密性����。
