做好这6步,等保三级没那么难

发布时间:2020-08-03 00:00:00

       等级保护认证作为我国最权威的网络安全等级资格认证,自《中华人民共和国网络安全法》正式实施后,已成为我国网安领域的基本国策、基本制度和基本要求

         在之前的推送中中科三方为大家介绍了等保2.0的政策背景,以及等保2.0相较于1.0的异同点(点击这里回顾《等保2.0的“前世今生”》)。

       今天三方以等保三级为标准,为您介绍认证等保三级不可不知的7个基本要求。


等保三级有多严格?

       等保三级是国家对非银行机构的最高级认证,是安全标记保护级,属“监管级别”,由国家信息安全监管部门进行监督、检查,认证。
测评内容涵盖了5个等级保护安全技术要求和5个安全管理要求,具体包含信息保护、安全审计、通信保密等近300项要求,涉及73类测评分类,要求十分严格。

       中科三方于2017年就已通过公安部的等保三级测评认证,作为深耕行业20年的老牌互联网基建服务商,三方在等保认证和网络安全方面拥有丰富的实战经验,多次在“两会“、“一带一路峰会“等国家重大会议承担重保工作。




       公司坐拥符合等保2.0要求的物理机房,配备高性能的安全通信网络、安全计算环境及安全管理中心,提供的等保测评一站式解决方案全程由专家一对一把关,覆盖等保咨询、整改、测评服务,可帮助企业单位轻松完成等保建设工作。 

等保三级 之 6大关键点

01 身份验证       身份验证需保证所有网络设备、安全设备、重要服务器、数据库服务器、应用业务系统等这些关键设备和业务系统不存在弱口令、空口令账户登录情况。       

在确保无弱口令和空口令的前提下,所有重要设备都需采用双因子认证方式登录,尤其是针对核心业务应用系统,不能只采用基本的用户名/口令。比较常用的做法是采用令牌、智能卡、生物指纹、虹膜识别、人脸识别等高阶认证技术。     

对于远程管理维护的操作,一般建议通过部署堡垒机实现双因子认证和传输信息的加密。

02 访问控制

       对于业务应用系统,有很多未达到等保访问控制基本要求的常见缺陷,如越权访问系统功能模块或查看、操作其他用户的数据等。

       针对此类问题,建议将承载关键业务系统的服务器进行单独区域划分,部署第二代防火墙类设备进行边界隔离,深层次过滤访问行为。同时需有明确的管理制度不允许本地操作,或者对本地的操作进行访问控制。

       针对远程操作进行访问控制策略控制,部署堡垒机对用户行为进行访问控制。

       对于非业务系统的网络设备、主机设备、服务器设备等只需要进行默认账户删除、修改默认口令、无法通过默认账户以及默认口令登录就可以满足最基本的要求。

03 安全审计

       安全审计主要指对日志进行记录与审计。若缺失对重要的用户行为和重要安全事件的审计,肯定无法通过等保测评。

       建议在网络设备、安全设备、主机/服务器操作系统、数据库系统、业务应用系统性能允许的前提下,开启用户操作类和安全事件类审计策略。

       通常使用第三方日志审计系统,除进行常规的日志记录收集外,对日志进行关联分析,筛查可能存在的安全风险。

04 入侵防范

       关闭不需要的系统服务、默认共享和高危端口。网络中的网络设备、安全设备、主机/服务器操作系统、数据库系统和业务应用系统等存在的多余系统服务/默认共享/高危端口必须要关闭。

       同时建议在既有业务中使用默认共享服务的,尽量切换到其他服务。

       此外还需要对远程管理的用户以及管理维护所使用的终端进行管控,一般采用堡垒机类产品进行管控。

       对于一些互联网直接能够访问到的设备及系统,须尽快修补已在公开渠道披露的重大漏洞。尤其是业务应用系统,现阶段针对应用系统的SQL注入、跨站脚本等均为高风险漏洞,都会对业务应用系统正常运行造成严重后果。

05 恶意防范      

 安装反病毒软件,同时反病毒软件需及时更新病毒库。如果是相对封闭的网络,如工业控制系统,需安装白名单类软件进行恶意代码防范。

06 数据完整与保密       

数据的完整性与保密性主要包含存储数据的完整性与保密性,以及传输数据的完整性和保密性。

       对于新上线的应用业务系统,建议在采购前对供应商提供应用系统的数据完整性、保密性进行严格要求,对数据传输的完整性和保密性进行严格要求。       建议应用业务系统通过密码技术确保传输数据的完整性,并在服务器端对数据有效性进行校验,确保只处理未经修改的数据,同时采用密码技术保证重要数据在存储过程中的保密性。       对于既有存量的应用业务系统,建议在广域网或多个不同局域网进行数据传输时采用VPN的方式对传输的数据进行保护。       同时需对所有应用业务系统产生的重要数据都要在本地进行备份,对于一些特殊的领域,如金融、交通等需要进行异地备份,原则上同城异地机房直接距离不低于为30公里,跨省市异地机房直线距离不低于100公里。

       等保不仅是企业可持续发展的重要保障,更是我国成为网络强国在新时代、新态势下网络安全“风向标”。“没有网络安全就没有国家安全”不止是一个理念,更是国家、企业、组织落实网安标准的基本原则。目前已经下发行业等保要求文件的有:金融、电力、广电、医疗、教育等行业等。满足等级保护建设的要求也并不是一味的累加产品,更多的是对网络、业务系统的梳理,只有符合企业网络特点、业务特点的方案设计才是合适的等级保护解决方案。

中科三方作为中国科学院控股有限公司(简称“国科控股”或“中科院控股”)旗下域名管理专家,专注域名相关技术领域20载 ,已通过公安部信息安全等级保护(三级)认证 ,中石油、工商银行、家乐福、百事可乐知名企业和大多数省部级以上国家机关的共同选择。
上一篇:流水的数据,“铁打”的CDN 下一篇:50万年——黑客找到你IPv6地址的时间