站在等保2.0的視角下看IT信息系統(tǒng)安全技術(shù)的要求
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
一般來(lái)說(shuō),需要做等保的信息系統(tǒng)都是單位重要的信息系統(tǒng),承載著單位的核心業(yè)務(wù)。并傳輸和存儲(chǔ)著大量的敏感信息。 這樣的信息系統(tǒng)是個(gè)香餑餑,肯定會(huì)被內(nèi)外部的不法分子盯上(外部多點(diǎn),內(nèi)部少點(diǎn) 這個(gè)整體安全防御體系,站在等保的視角下主要有這幾大塊,每一大塊里面又有很多小的要求。
那么今天這篇就先聊一下安全技術(shù)要求,明天后天聊一下安全管理要求和安全運(yùn)營(yíng)要求吧。 安全技術(shù)要求,站在等保2.0的視角又分為以下幾個(gè)小塊:
每個(gè)小塊內(nèi)容雖然有點(diǎn)繁瑣,但是理解了就不麻煩了 1、物理環(huán)境安全要求 物理環(huán)境如果出問(wèn)題,很可能會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓、網(wǎng)絡(luò)設(shè)備不能用,那么信息系統(tǒng)肯定也不可用了撒。所以物理環(huán)境是整個(gè)網(wǎng)絡(luò)信息系統(tǒng)安全的前提和基礎(chǔ)。 既然是前提和基礎(chǔ),等保2.0中就把物理環(huán)境作為第一個(gè)測(cè)評(píng)大項(xiàng)寫(xiě)在前面的。物理和環(huán)境安全主要包括機(jī)房建設(shè)、設(shè)備設(shè)施的防盜防破壞、防火、防水、電力供應(yīng)、電磁防護(hù)等,需要在數(shù)據(jù)中心機(jī)房的建設(shè)過(guò)程中嚴(yán)格按照國(guó)家相關(guān)標(biāo)準(zhǔn)進(jìn)行機(jī)房建設(shè)、綜合布線、安防建設(shè),并經(jīng)過(guò)相關(guān)部門(mén)的檢測(cè)和驗(yàn)收。如果是按照國(guó)家標(biāo)準(zhǔn)建設(shè)的機(jī)房,物理環(huán)境一般都能過(guò)等保三級(jí)。 目前很多信息系統(tǒng)都是上云的,什么政務(wù)云、阿里云、華為云、騰訊云。這個(gè)物理和環(huán)境安全就很省事了,相當(dāng)于把這部分技術(shù)要求轉(zhuǎn)移給了云廠商了。 2、通信網(wǎng)絡(luò)安全要求 這個(gè)要求其實(shí)就是希望網(wǎng)絡(luò)整體架構(gòu)和傳輸線路要可靠、穩(wěn)定并具有保密性。想一想,如果傳輸過(guò)程中都有問(wèn)題,服務(wù)器防護(hù)得很好有啥用呢? 所以,這塊也算是一個(gè)基礎(chǔ)的安全技術(shù)要求。等保2.0中就把安全通信網(wǎng)絡(luò)作為第二個(gè)測(cè)評(píng)大項(xiàng)寫(xiě)在了前面。 這塊內(nèi)容的細(xì)分項(xiàng)主要包括:網(wǎng)絡(luò)架構(gòu)安全、通信傳輸安全、區(qū)域邊界安全、防入侵、防惡意代碼、網(wǎng)絡(luò)安全審計(jì)等。當(dāng)然,等保2.0還有一個(gè)可信驗(yàn)證,不過(guò)這個(gè)可信驗(yàn)證一直沒(méi)有條件做起來(lái),所以目前就當(dāng)成一面旗幟,指引我們前進(jìn)前進(jìn)前進(jìn)進(jìn)就行。 2.1 網(wǎng)絡(luò)架構(gòu)安全 網(wǎng)絡(luò)架構(gòu)主要強(qiáng)調(diào)的是架構(gòu)能否承載業(yè)務(wù)需要,比如一些關(guān)鍵網(wǎng)絡(luò)設(shè)備有沒(méi)有冗余部署;帶寬有沒(méi)有滿足業(yè)務(wù)高峰期數(shù)據(jù)交換要求;有沒(méi)有合理的劃分網(wǎng)段和WLAN等。 2.2 通信完整性和保密性 通信協(xié)議具有標(biāo)準(zhǔn)、公開(kāi)的特征。所以,數(shù)據(jù)在網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)倪^(guò)程會(huì)面臨攻擊和欺騙。很好理解吧,都知己知彼了,還不好騙你嗎? 因此,我們要使用一個(gè)法寶——密碼技術(shù)來(lái)保證通信過(guò)程中的完整性和保密性,這塊一般說(shuō)是有一個(gè)SSL,就算合規(guī)了。 3、區(qū)域邊界安全要求 3.1 邊界隔離與訪問(wèn)控制 隨著移動(dòng)辦公的發(fā)展,無(wú)線網(wǎng)絡(luò)的使用對(duì)網(wǎng)絡(luò)邊界的有效管控帶來(lái)了挑戰(zhàn)。為了方便辦公,在網(wǎng)絡(luò)設(shè)計(jì)時(shí)會(huì)保留大量的接入端口,這對(duì)于快捷接入到業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行辦公是非常方便的,但同時(shí)也帶來(lái)了安全風(fēng)險(xiǎn)。可能會(huì)導(dǎo)致病毒木馬的入侵、文件的泄密等。 所以,我們要對(duì)邊界進(jìn)行隔離并進(jìn)行訪問(wèn)控制。尤其要對(duì)無(wú)線網(wǎng)絡(luò)的使用進(jìn)行管控。另外,對(duì)于內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為要進(jìn)行限制或者檢查。 3.2 防入侵和防病毒 目前計(jì)算機(jī)病毒的傳播不再依賴移動(dòng)介質(zhì)傳播了,主要是網(wǎng)絡(luò)傳播。這種網(wǎng)絡(luò)形態(tài)的病毒一旦通過(guò)網(wǎng)絡(luò)邊界傳入局域網(wǎng)內(nèi)部,就會(huì)導(dǎo)致信息系統(tǒng)的破壞。因此,我們要在區(qū)域邊界處部署防病毒的安全設(shè)備,在網(wǎng)絡(luò)層進(jìn)行病毒查殺,防止感染系統(tǒng)內(nèi)部主機(jī)。 除了防病毒,其他來(lái)自互聯(lián)網(wǎng)、非可信網(wǎng)絡(luò)的各類網(wǎng)絡(luò)攻擊也需要通過(guò)安全措施實(shí)現(xiàn)主動(dòng)阻斷,比如端口掃描、DDoS等。 一般云上的企業(yè)級(jí)防火墻、WAF和高防就夠用了。 3.3 網(wǎng)絡(luò)安全審計(jì) 網(wǎng)絡(luò)安全審計(jì)主要是在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)上進(jìn)行流量的采集和檢測(cè),并進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)分析,從而及時(shí)發(fā)現(xiàn)異常行為。 安全審計(jì)一直是等保比較強(qiáng)調(diào)的點(diǎn),不僅僅網(wǎng)絡(luò)層面要審計(jì),應(yīng)用層面、操作系統(tǒng)層面都要有審計(jì)。因?yàn)橐坏┌l(fā)生網(wǎng)絡(luò)安全事件,需要進(jìn)行事件的追蹤與分析,通過(guò)審計(jì)才能有效溯源。 4、計(jì)算環(huán)境安全要求 計(jì)算環(huán)境是哪些呢?基本上信息系統(tǒng)的所有設(shè)備、主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備都被囊括進(jìn)來(lái)了。 不過(guò),計(jì)算環(huán)境主要包括對(duì)主機(jī)和應(yīng)用系統(tǒng)進(jìn)行身份鑒別和訪問(wèn)控制、安全審計(jì)、對(duì)主機(jī)和各類終端的入侵防范和惡意代碼防護(hù)、數(shù)據(jù)保密性和完整性保護(hù)、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)等。具體包括: 4.1 主機(jī)身份鑒別 主機(jī)操作系統(tǒng)登錄必須做好身份鑒別,要提高口令的復(fù)雜度并定期更換。要有登錄失敗處理能力,要能防止鑒別信息被竊聽(tīng),這個(gè)呢,一般不太難,不管是哪種操作系統(tǒng),都有足夠的措施讓你來(lái)實(shí)現(xiàn)這點(diǎn)。防竊聽(tīng)使用加密技術(shù)就行了。 4.2 主機(jī)訪問(wèn)控制 訪問(wèn)控制,在等保2.0中,級(jí)別越大,要求越嚴(yán)。主機(jī)訪問(wèn)控制主要為了保證用戶對(duì)主機(jī)資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng),低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作,這些行為將給主機(jī)系統(tǒng)帶來(lái)了很大的安全風(fēng)險(xiǎn)。用戶必須擁有合法的用戶標(biāo)識(shí)符,在制定好的訪問(wèn)控制策略下進(jìn)行操作,杜絕越權(quán)非法操作。 4.3 系統(tǒng)審計(jì) 系統(tǒng)審計(jì)要能覆蓋到每個(gè)能登錄主機(jī)的用戶,便于日后的分析、調(diào)查、取證,規(guī)范主機(jī)使用行為。除此之外,審計(jì)記錄要得到有效保護(hù)。 4.4 惡意代碼防范 除了在網(wǎng)絡(luò)層采取必要的病毒防范措施外,必須在主機(jī)部署惡意代碼防范軟件進(jìn)行監(jiān)測(cè)與查殺,同時(shí)保持惡意代碼庫(kù)的及時(shí)更新。 4.5 數(shù)據(jù)完整性與保密性 數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。 因此數(shù)據(jù)的備份十分重要,是必須考慮的問(wèn)題。具體包括: 需要采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等; 采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。 4.6 數(shù)據(jù)備份和恢復(fù) 對(duì)于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備份機(jī)制,而對(duì)于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置,備份與恢復(fù)是應(yīng)對(duì)突發(fā)事件的必要措施。 這里再多說(shuō)一句,應(yīng)用系統(tǒng)的要求也是一樣哈。而且應(yīng)用系統(tǒng)還強(qiáng)調(diào)剩余信息保護(hù),釋放內(nèi)存或磁盤(pán)空間前,上一個(gè)用戶的登錄信息和訪問(wèn)記錄會(huì)被完全清除或被覆蓋。 站在等保2.0的視角下看信息系統(tǒng)安全技術(shù)的要求差不多就是這些,等保2.0的一級(jí)、二級(jí)、三級(jí)要求都會(huì)隨著級(jí)別的升高而增加,我們?cè)谠O(shè)計(jì)信息系統(tǒng)的安全技術(shù)體系時(shí),可以具體的參考標(biāo)準(zhǔn)來(lái)設(shè)計(jì)。 THE END 該文章在 2024/4/9 22:42:20 編輯過(guò) |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
)。所以,我們需要從多層級(jí)、多維度來(lái)建設(shè)整體的安全防御體系。
。開(kāi)始吧!