等級保護測評要求

 

等級保護測評主要爲【技術】和【管理】兩大類測評

 

管理方面的要求

參考標準文件的要求便可：

《信息系統安全管理要求》GB/T 20269-2006

《信息系統安全工程管理要求》GB/T 20282-2006

 

 

 

技術方面的要求：

技術方面的要求分爲：物理安全，網路安全，主機安全，應用安全，數據安全以及備份恢復。

物理安全：主要涉及機房安全，機房位置，機房其餘配套和弱電防盜防雷防電磁設施。

網絡安全：機房網絡設備、安全設備，以及網絡設備的相關配置。

主機安全：應用所在操做系統安全，主要是操做系統基線配置。

應用安全：業務應用安全相關措施，主要仍是B/S或C/S模式爲主（即瀏覽器-服務器 客戶端-服務器）。

數據安全以及備份恢復：是否有異地備份，備份線路以及備份還原數據是否可靠等。

等級保護測評技術部分詳細條目

1：對機房建設有必定了解，熟悉一些機房建設標準。

2：熟悉2-3個速通廠家網絡設備配置，以及2-3安全廠家網絡設備配置。

3：熟悉至少2種操做系統基線配置，centos(redhat)、debian、freebsd、solaris、windows server4：懂的應用抓包 burp suite 或wireshark之類工具以及基本使用。

5：瞭解一些主流軟件開發語言以及中間件（apache iis nginx ） 數據庫(mssql mysql oracle)等

物理安全 技術要求：

物理位置的選擇

a）機房和辦公場地應選擇在具備防震、防風和防雨等能力的建築內； 目前機房是否具有防震，防風和防雨是否在建築內。

b)機房場地應避免設在建築物的高層或地下室，以及用水設備的下層或隔壁。 字面意思，機房位置不建議超過5層，這就是廣泛雲計算數據中心等，樓房通常不會過高的緣由，怕震。注意防滲水。 三級要求

物理訪問控制

a）機房出入口應安排專人值守，控制、鑑別和記錄進入的人員 字面意思，進出機房有專人值守，識別如指紋密碼識別等，進出機房需登記，通常爲紙質記錄 通常都合格，不少單位缺失多是文檔記錄和門禁建議補充。

 b)需進入機房的來訪人員應通過申請和審批流程，並限制和監控其活動範圍； 外人來訪須要有審批流程，如進出入介紹信，身份證登記等，進入機房需有人陪同，和規範做業範圍 通常狀況不符合，主要是沒人約束具體行爲，或沒有審批文檔，確認身份流程。

 c)應對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過渡區域； 機房要求有過分區域，服務器區域，託管區域，有存在物理上劃分區域即爲符合，到其餘區域最好有門禁。

d)重要區域應配置電子門禁系統，控制、鑑別和記錄進入的人員。 須要有門禁系統，並對進入門禁系統的人員進行識別、控制和記錄的功能。

防盜竊和防破壞

a)應將主要設備放置在機房內； 字面意思，主要服務器，網絡設備在機房範圍內。

 b)應將設備或主要部件進行固定，並設置明顯的不易除去的標記； 標識設備，如網絡設備、網線、服務器IP，名稱，業務用途，負責人聯繫方式等。

c)應將通訊線纜鋪設在隱蔽處，可鋪設在地下或管道中； 如網絡線纜走橋架（高空），電力線纜走地板下。線纜不暴露在地板上。

 d)應對介質分類標識，存儲在介質庫或檔案室中； 如不使用存儲介質爲不適用項目，少數機房會使用U盤，光盤等須要固定地點存檔和標識。

e)應利用光、電等技術設置機房防盜報警系統； 須要光感，電感防盜報警，（如電磁防盜門 光感報警照相等）具體瞭解安防設備，不贅述。 通常狀況爲不符合，可能有監控，門禁。

 f)應對機房設置監控報警系統。 當機房有人出入時，有自動記錄、拍照報警等。

防雷擊

a)機房建築應設置避雷裝置； 機房建築是否有避雷針，或其餘避雷措施。

 b)應設置防雷保安器，防止感應雷； 防雷安保器，感應雷其實講的是非雷電直接擊中設備形成的其餘影響。

c)機房應設置交流電源地線。 確認設備機櫃是否有接地線，以及是否有設備漏電的狀況，機房電源是否有接地線。

防火

a)機房應設置火災自動消防系統，可以自動檢測火情、自動報警，並自動滅火； 火感，煙感設備，是否有自動滅火系統，是否有配備滅火器，滅火器氣壓是否正常。

b)機房及相關的工做房間和輔助房應採用具備耐火等級的建築材料； 機房需採用防火靜電地板，防火門等。

c)機房應採起區域隔離防火措施，將重要設備與其餘設備隔離開。

防水和防潮

a)水管安裝，不得穿過機房屋頂和活動地板下； 不能有水管或者滲水經過機房。

 b)應採起措施防止雨水經過機房窗戶、屋頂和牆壁滲透； 機房牆壁，機櫃，窗戶，地板不能有潮溼，滲水狀況。

c)應採起措施防止機房內水蒸氣結露和地下積水的轉移與滲透； 最好有控制溼度或乾燥設備等。

d）應安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。 有針對出現水滲透狀況，進行檢測報警的相關設備。

 

防靜電

基本要求 解讀 備註 a)主要設備應採用必要的接地防靜電措施； 機櫃是否爲防靜電，設備是否有接地線 。

b)機房應採用防靜電地板。 字面意思，機房不能直接在瓷磚、木地板上，最好有防靜電地板。

溫溼度控制

基本要求 解讀 備註 機房應設置溫、溼度自動調節設施，使機房溫、溼度的變化在設備運行所容許的範圍以內。

機房標準有A、B、C三類機房。針對溫溼度：

A類和B類機房要求同樣，溫度都是23±1℃，溼度爲40%~55% 。

C類機房的溫度爲18~28℃，溼度35%~75%。。

電力供應

a)應在機房供電線路上配置穩壓器和過電壓防禦設備； 須要有UPS設備，過壓防禦設備。

b)應提供短時間的備用電力供應，至少知足主要設備在斷電狀況下的正常運行要求； 斷電後UPS至少能工做一小時以上，或保證機房設備能有備用發電設備也可。

 c)應設置冗餘或並行的電力電纜線路爲計算機系統供電； 至少兩種市級供電線路，斷電自動切換（毫秒級）。

d)應創建備用供電系統。 除UPS電池以外，還須要有備用發電機發電。

電磁防禦

a)應採用接地方式防止外界電磁干擾和設備寄生耦合干擾； 有防電磁干擾和寄生耦合干擾措施，各類供電線路和通訊線纜 和服務器相關設備不能太近。

 b)電源線和通訊線纜應隔離鋪設，避免互相干擾； 供電線路和通訊線纜分開鋪設，如橋架（高空）走通訊線纜 地板下走供電線路。

c)應對關鍵設備和磁介質實施電磁屏蔽。

 網絡安全 技術要求：

PS:是等級保護重要的權重部分，也是能夠較多整改的部分。本部分涉及到不少設備配置查看和識別如下會簡稱爲（參考設備配置手冊）

結構安全

a)應保證主要網絡設備的業務處理能力具有冗餘空間，知足業務高峯期須要； 看網絡設備負載冗餘，通常狀況80%利用率如下爲符合 。

 b)應保證網絡各個部分的帶寬知足業務高峯期須要； 寬帶冗餘。

 c)應在業務終端與業務服務器之間進行路由控制創建安全的訪問路徑； 採用靜態路由。

d)應繪製與當前運行狀況相符的網絡拓撲結構圖； 字面。意思，須要有當前網絡佈局的拓撲圖，並根據實際狀況更新。

e)應根據各部門的工做職能、重要性和所涉及信息的重要程度等因素，劃分不一樣的子網或網段，並按照方便管理和控制的原則爲各子網、網段分配地址段； 訪談網絡管理員，是否依據部門的工做職能、重要性和應用系統的級別劃分了不一樣的VLAN或子網。

f)應避免將重要網段部署在網絡邊界處且直接鏈接外部信息系統，重要網段與其餘網段之間採起可靠的技術隔離手段； 各個網段VLAN 之間三層設備是否配置ACL 來控制訪問。

g)應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。

訪問控制

a)應在網絡邊界部署訪問控制設備，啓用訪問控制功能； 網絡邊界的防禦設備，如防火牆之類。

 b)應能根據會話狀態信息爲數據流提供明確的容許/拒絕訪問的能力，控制粒度爲端口級； 策略精細控制到端口級。

c)應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制； 對HTTP、FTP、TELNET等協議的通訊默認端口進行限制便可，稍微好一些的下一代的防火牆能夠只禁止協議訪問。

d)應在會話處於非活躍必定時間或會話結束後終止網絡鏈接； 字面意思，講的實際上是網絡鏈接上的超時時間，當網絡鏈接不活躍時有自動斷開鏈接的功能，也包括登錄網絡設備不操做的超時時間。

e)應限制網絡最大流量數及網絡鏈接數； 兩個方面，最大流量上下行限制，以及網絡最大併發連接數限制。

f)重要網段應採起技術手段防止地址欺騙； 其實就是MAC 綁定IP的操做，防止ARP地址欺騙。省事的辦法還有防ARP的防火牆。

g)應按用戶和系統之間的容許訪問規則，決定容許或拒絕用戶對受控系統進行資源訪問，控制粒度爲單個用戶；

 1：對於遠程撥號用戶，須要有用戶認證功能。（校園網撥號上網）

2：對於直接插網線能上網用戶，簡單方式用上網行爲管理。

h)應限制具備撥號訪問權限的用戶數量。

1：遠程撥號用戶是否有最大用戶數量限制。

2：直接上網用戶在網關是否有最大IP/連接限制。

安全審計

a)應對網絡系統中的網絡設備運行情況、網絡流量、用戶行爲等進行日誌記錄； 網絡設備須要啓用日誌功能，輸出日誌到其餘地方也好，單機保存。

b)審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其餘與審計相關的信息； 網絡設備的日誌審計內容須要記錄時間、類型、用戶、事件類型、事件是否成功失敗等。

c)應可以根據記錄數據進行分析，並生成審計報表；

可以將日誌導出，分析，造成報告。寬鬆點的評測你其餘方式導出也行。

d)應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

通常管理帳戶或普通用戶不能修改，刪除，覆蓋相關日誌，僅超級管理權限能夠修改。嚴格的要求是任何帳戶不可修改。

邊界完整性檢查

a)應可以對非受權設備私自聯到內部網絡的行爲進行檢查， 準肯定出位置，並對其進行有效阻斷。

 b) 應可以對內部網絡用戶私自聯到外部網絡的行爲進行檢查，準肯定出位置，並對其進行有效阻斷。

入侵防範

a)應在網絡邊界處監視如下攻擊行爲：端口掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等； 針對這幾種類型攻擊須要有入侵檢測設備，通常有IPS就能夠知足，也有帶有IPS功能下一代防火牆，下一代防火牆跟單獨IPS相比，通常狀況IPS單口可走網絡流量較高。

b)當檢測到攻擊行爲時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。 IPS上的一個日誌和告警功能，可以記錄「攻擊源IP、攻擊類型、攻擊目的、攻擊時間」跟網絡安全層面的日誌要求相似。。

惡意代碼防範

a)應在網絡邊界處對惡意代碼進行檢測和清除；

惡意代碼有兩種，傳統主機病毒 可執行類病毒。如後綴爲EXE 、BAT、VBS、VBE、JS、JSE、WSH、WSF等 這類須要在網絡邊界部署防毒牆。

還有一種是腳本病毒通常所說的WEBSHELL類型 上傳ASPX.PHP.JSP 的腳本類型。這類須要在網絡邊界部署web防火牆 （也稱爲：網站應用級入侵防護系統。英文：Web Application Firewall，簡稱： WAF）。 b)應維護惡意代碼庫的升級和檢測系統的更新。

同上解釋，病毒牆和WAF須要按期升級特徵庫。

身份訪問控制

 a)應對登陸網絡設備的用戶進行身份鑑別； 網絡設備口至少兩種密碼：一種是網絡訪問（SSH TELNET HTTPS）的密碼，另外一種是直接接consle口的密碼，密碼不能爲默認。

b)應對網絡設備的管理員登陸地址進行限制； 登錄訪問網絡設備的來源IP進行限制。如管理IP192.168.1.100. 那麼網絡設備只准許這個IP登錄，其餘IP則直接拒絕登錄。

c)網絡設備用戶的標識應惟一； 用戶名惟一性，不存在重複的用戶名。不能出現一個帳戶多人使用的狀況。每一個管理人員有本身惟一專屬的帳號。

d)主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑑別技術來進行身份鑑別；通常說的雙因子認證，就是除了帳戶密碼以外 須要有加密狗或短信驗證或指紋類生物識別等其餘驗證方式來肯定使用者身份的認證方式。

e)身份鑑別信息應具備不易被冒用的特色，口令應有複雜度要求並按期更換；

1：口令複雜度 大小寫數字特殊符號的組合密碼8位以上

2：按期更換 2個月 3個月更換一次比較常見。

 f)應具備登陸失敗處理功能，可採起結束會話、限制非法登陸次數和當網絡登陸鏈接超時自動退出等措施； 如帳戶密碼輸入錯誤 連續5次 鎖定帳戶 或IP地址 20分鐘 。防止暴力破解。

g)當對網絡設備進行遠程管理時，應採起必要措施防止鑑別信息在網絡傳輸過程當中被竊聽； 網絡設備訪問方式 基本就如下這些

加密：https ssh

明文：telnet consle aux http

特殊：gui 或其餘客戶端模式

要求是隻是用加密的訪問方式，https ssh

不加密的方式禁用掉，特殊的登錄方式有些加密有些不加密，須要用wireshark 抓包進行觀察。

h)應實現設備特權用戶的權限分離。

將一個超級用戶權限拆分紅幾個用戶，每一個用戶權限獨立互不干涉。按照要求通常須要三種帳戶：普通帳戶，審計/備份帳戶，配置更改帳戶。

 

掃一掃瞭解更多