等级保护测评要求

时间 2020-06-03

标签等级保护测评要求繁體版

原文原文链接

等级保护测评主要为【技术】和【管理】两大类测评mysql

管理方面的要求nginx

参考标准文件的要求便可：web

《信息系统安全管理要求》GB/T 20269-2006sql

《信息系统安全工程管理要求》GB/T 20282-2006数据库

技术方面的要求：apache

技术方面的要求分为：物理安全，网路安全，主机安全，应用安全，数据安全以及备份恢复。windows

物理安全：主要涉及机房安全，机房位置，机房其余配套和弱电防盗防雷防电磁设施。centos

网络安全：机房网络设备、安全设备，以及网络设备的相关配置。浏览器

主机安全：应用所在操做系统安全，主要是操做系统基线配置。安全

应用安全：业务应用安全相关措施，主要仍是B/S或C/S模式为主（即浏览器-服务器客户端-服务器）。

数据安全以及备份恢复：是否有异地备份，备份线路以及备份还原数据是否可靠等。

等级保护测评技术部分详细条目

1：对机房建设有必定了解，熟悉一些机房建设标准。

2：熟悉2-3个速通厂家网络设备配置，以及2-3安全厂家网络设备配置。

3：熟悉至少2种操做系统基线配置，centos(redhat)、debian、freebsd、solaris、windows server4：懂的应用抓包 burp suite 或wireshark之类工具以及基本使用。

5：了解一些主流软件开发语言以及中间件（apache iis nginx ）数据库(mssql mysql oracle)等

物理安全技术要求：

物理位置的选择

a）机房和办公场地应选择在具备防震、防风和防雨等能力的建筑内；目前机房是否具有防震，防风和防雨是否在建筑内。

b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。字面意思，机房位置不建议超过5层，这就是广泛云计算数据中心等，楼房通常不会过高的缘由，怕震。注意防渗水。三级要求

物理访问控制

a）机房出入口应安排专人值守，控制、鉴别和记录进入的人员字面意思，进出机房有专人值守，识别如指纹密码识别等，进出机房需登记，通常为纸质记录通常都合格，不少单位缺失多是文档记录和门禁建议补充。

b)需进入机房的来访人员应通过申请和审批流程，并限制和监控其活动范围；外人来访须要有审批流程，如进出入介绍信，身份证登记等，进入机房需有人陪同，和规范做业范围通常状况不符合，主要是没人约束具体行为，或没有审批文档，确认身份流程。

c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；机房要求有过分区域，服务器区域，托管区域，有存在物理上划分区域即为符合，到其余区域最好有门禁。

d)重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。须要有门禁系统，并对进入门禁系统的人员进行识别、控制和记录的功能。

防盗窃和防破坏

a)应将主要设备放置在机房内；字面意思，主要服务器，网络设备在机房范围内。

b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；标识设备，如网络设备、网线、服务器IP，名称，业务用途，负责人联系方式等。

c)应将通讯线缆铺设在隐蔽处，可铺设在地下或管道中；如网络线缆走桥架（高空），电力线缆走地板下。线缆不暴露在地板上。

d)应对介质分类标识，存储在介质库或档案室中；如不使用存储介质为不适用项目，少数机房会使用U盘，光盘等须要固定地点存档和标识。

e)应利用光、电等技术设置机房防盗报警系统；须要光感，电感防盗报警，（如电磁防盗门光感报警照相等）具体了解安防设备，不赘述。通常状况为不符合，可能有监控，门禁。

f)应对机房设置监控报警系统。当机房有人出入时，有自动记录、拍照报警等。

防雷击

a)机房建筑应设置避雷装置；机房建筑是否有避雷针，或其余避雷措施。

b)应设置防雷保安器，防止感应雷；防雷安保器，感应雷其实讲的是非雷电直接击中设备形成的其余影响。

c)机房应设置交流电源地线。确认设备机柜是否有接地线，以及是否有设备漏电的状况，机房电源是否有接地线。

防火

a)机房应设置火灾自动消防系统，可以自动检测火情、自动报警，并自动灭火；火感，烟感设备，是否有自动灭火系统，是否有配备灭火器，灭火器气压是否正常。

b)机房及相关的工做房间和辅助房应采用具备耐火等级的建筑材料；机房需采用防火静电地板，防火门等。

c)机房应采起区域隔离防火措施，将重要设备与其余设备隔离开。

防水和防潮

a)水管安装，不得穿过机房屋顶和活动地板下；不能有水管或者渗水经过机房。

b)应采起措施防止雨水经过机房窗户、屋顶和墙壁渗透；机房墙壁，机柜，窗户，地板不能有潮湿，渗水状况。

c)应采起措施防止机房内水蒸气结露和地下积水的转移与渗透；最好有控制湿度或干燥设备等。

d）应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。有针对出现水渗透状况，进行检测报警的相关设备。

防静电

基本要求解读备注 a)主要设备应采用必要的接地防静电措施；机柜是否为防静电，设备是否有接地线。

b)机房应采用防静电地板。字面意思，机房不能直接在瓷砖、木地板上，最好有防静电地板。

温湿度控制

基本要求解读备注机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所容许的范围以内。

机房标准有A、B、C三类机房。针对温湿度：

A类和B类机房要求同样，温度都是23±1℃，湿度为40%~55% 。

C类机房的温度为18~28℃，湿度35%~75%。。

电力供应

a)应在机房供电线路上配置稳压器和过电压防御设备；须要有UPS设备，过压防御设备。

b)应提供短时间的备用电力供应，至少知足主要设备在断电状况下的正常运行要求；断电后UPS至少能工做一小时以上，或保证机房设备能有备用发电设备也可。

c)应设置冗余或并行的电力电缆线路为计算机系统供电；至少两种市级供电线路，断电自动切换（毫秒级）。

d)应创建备用供电系统。除UPS电池以外，还须要有备用发电机发电。

电磁防御

a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；有防电磁干扰和寄生耦合干扰措施，各类供电线路和通讯线缆和服务器相关设备不能太近。

b)电源线和通讯线缆应隔离铺设，避免互相干扰；供电线路和通讯线缆分开铺设，如桥架（高空）走通讯线缆地板下走供电线路。

c)应对关键设备和磁介质实施电磁屏蔽。

网络安全技术要求：

PS:是等级保护重要的权重部分，也是能够较多整改的部分。本部分涉及到不少设备配置查看和识别如下会简称为（参考设备配置手册）

结构安全

a)应保证主要网络设备的业务处理能力具有冗余空间，知足业务高峰期须要；看网络设备负载冗余，通常状况80%利用率如下为符合。

b)应保证网络各个部分的带宽知足业务高峰期须要；宽带冗余。

c)应在业务终端与业务服务器之间进行路由控制创建安全的访问路径；采用静态路由。

d)应绘制与当前运行状况相符的网络拓扑结构图；字面。意思，须要有当前网络布局的拓扑图，并根据实际状况更新。

e)应根据各部门的工做职能、重要性和所涉及信息的重要程度等因素，划分不一样的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；访谈网络管理员，是否依据部门的工做职能、重要性和应用系统的级别划分了不一样的VLAN或子网。

f)应避免将重要网段部署在网络边界处且直接链接外部信息系统，重要网段与其余网段之间采起可靠的技术隔离手段；各个网段VLAN 之间三层设备是否配置ACL 来控制访问。

g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

访问控制

a)应在网络边界部署访问控制设备，启用访问控制功能；网络边界的防御设备，如防火墙之类。

b)应能根据会话状态信息为数据流提供明确的容许/拒绝访问的能力，控制粒度为端口级；策略精细控制到端口级。

c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；对HTTP、FTP、TELNET等协议的通讯默认端口进行限制便可，稍微好一些的下一代的防火墙能够只禁止协议访问。

d)应在会话处于非活跃必定时间或会话结束后终止网络链接；字面意思，讲的实际上是网络链接上的超时时间，当网络链接不活跃时有自动断开链接的功能，也包括登录网络设备不操做的超时时间。

e)应限制网络最大流量数及网络链接数；两个方面，最大流量上下行限制，以及网络最大并发连接数限制。

f)重要网段应采起技术手段防止地址欺骗；其实就是MAC 绑定IP的操做，防止ARP地址欺骗。省事的办法还有防ARP的防火墙。

g)应按用户和系统之间的容许访问规则，决定容许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；

1：对于远程拨号用户，须要有用户认证功能。（校园网拨号上网）

2：对于直接插网线能上网用户，简单方式用上网行为管理。

h)应限制具备拨号访问权限的用户数量。

1：远程拨号用户是否有最大用户数量限制。

2：直接上网用户在网关是否有最大IP/连接限制。

安全审计

a)应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录；网络设备须要启用日志功能，输出日志到其余地方也好，单机保存。

b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其余与审计相关的信息；网络设备的日志审计内容须要记录时间、类型、用户、事件类型、事件是否成功失败等。

c)应可以根据记录数据进行分析，并生成审计报表；

可以将日志导出，分析，造成报告。宽松点的评测你其余方式导出也行。

d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

通常管理帐户或普通用户不能修改，删除，覆盖相关日志，仅超级管理权限能够修改。严格的要求是任何帐户不可修改。

边界完整性检查

a)应可以对非受权设备私自联到内部网络的行为进行检查，准肯定出位置，并对其进行有效阻断。

b) 应可以对内部网络用户私自联到外部网络的行为进行检查，准肯定出位置，并对其进行有效阻断。

入侵防范

a)应在网络边界处监视如下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；针对这几种类型攻击须要有入侵检测设备，通常有IPS就能够知足，也有带有IPS功能下一代防火墙，下一代防火墙跟单独IPS相比，通常状况IPS单口可走网络流量较高。

b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 IPS上的一个日志和告警功能，可以记录“攻击源IP、攻击类型、攻击目的、攻击时间”跟网络安全层面的日志要求相似。。

恶意代码防范

a)应在网络边界处对恶意代码进行检测和清除；

恶意代码有两种，传统主机病毒可执行类病毒。如后缀为EXE 、BAT、VBS、VBE、JS、JSE、WSH、WSF等这类须要在网络边界部署防毒墙。

还有一种是脚本病毒通常所说的WEBSHELL类型上传ASPX.PHP.JSP 的脚本类型。这类须要在网络边界部署web防火墙（也称为：网站应用级入侵防护系统。英文：Web Application Firewall，简称： WAF）。 b)应维护恶意代码库的升级和检测系统的更新。

同上解释，病毒墙和WAF须要按期升级特征库。

身份访问控制

a)应对登陆网络设备的用户进行身份鉴别；网络设备口至少两种密码：一种是网络访问（SSH TELNET HTTPS）的密码，另外一种是直接接consle口的密码，密码不能为默认。

b)应对网络设备的管理员登陆地址进行限制；登录访问网络设备的来源IP进行限制。如管理IP192.168.1.100. 那么网络设备只准许这个IP登录，其余IP则直接拒绝登录。

c)网络设备用户的标识应惟一；用户名惟一性，不存在重复的用户名。不能出现一个帐户多人使用的状况。每一个管理人员有本身惟一专属的帐号。

d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；通常说的双因子认证，就是除了帐户密码以外须要有加密狗或短信验证或指纹类生物识别等其余验证方式来肯定使用者身份的认证方式。

e)身份鉴别信息应具备不易被冒用的特色，口令应有复杂度要求并按期更换；

1：口令复杂度大小写数字特殊符号的组合密码8位以上

2：按期更换 2个月 3个月更换一次比较常见。

f)应具备登陆失败处理功能，可采起结束会话、限制非法登陆次数和当网络登陆链接超时自动退出等措施；如帐户密码输入错误连续5次锁定帐户或IP地址 20分钟。防止暴力破解。

g)当对网络设备进行远程管理时，应采起必要措施防止鉴别信息在网络传输过程当中被窃听；网络设备访问方式基本就如下这些

加密：https ssh

明文：telnet consle aux http

特殊：gui 或其余客户端模式

要求是只是用加密的访问方式，https ssh

不加密的方式禁用掉，特殊的登录方式有些加密有些不加密，须要用wireshark 抓包进行观察。

h)应实现设备特权用户的权限分离。

将一个超级用户权限拆分红几个用户，每一个用户权限独立互不干涉。按照要求通常须要三种帐户：普通帐户，审计/备份帐户，配置更改帐户。

扫一扫了解更多