*本文原创作者:jin16879,本文属FreeBuf原创奖励计划,未经许可禁止转载
一 前言
前期为大家分享了一篇等保活动中「安全管理机构」的测评经验,有朋友看后发私信建议我出个系列文章,在下不敢,圈内大牛如云,在下不敢放肆,只能将多年的安全工作经验总结出来,分享给感兴趣的朋友,如果能给这些朋友的工作提供一点点帮助,那是对我文章最大的肯定。秉着抛砖引玉的心态,这期就为大家分享等保活动中「关键活动」建设的经验,望各位朋友多多指教。
关键活动------顾名思义,就是在一系列活动中最为重要的且必须要完成的活动,在等级保护工作中,关键活动是安全防护工作的重中之重,是确保等级保护是否顺利通过的关键之处,也是为企业安全提供较高保护关键工作。在等级保护中,关键活动往往定义为高危,一旦遭受破坏,则会对企业造成较大的损害。
二 关键活动建设
关键活动往往贯穿整个安全建设工作,包含物理安全方面、网络安全方面、应用安全方面、主机安全方面等,每个方面对关键活动的实现标准也不同,我现以第三方测评角度就等级保护中的关键活动做一个总结,以及应该如何来实施关键活动的防护措施,不足之处请各位大佬多多指教。
三 物理安全关键活动
物理安全的活动主要有物理位置选择、物理访问控制、防盗窃和放破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护,其中电力供应属于关键活动,具体说下:
1)电力供应
活动要求
Ø c) 应设置冗余或并行的电力电缆线路为计算机系统供电。
Ø d) 应建立备用供电系统。
实现建议
根据等保要求,物理安全中电力需要多重保障。这项活动有个特别简单的实现方式,就是部署 UPS 和柴油发电机,两者缺一不可。不过也有部分企业是采用的两条不同的电源线路,这也是可以的。
四 网络安全关键活动
网络安全的活动主要有结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防护、网络设备防护。每项活动都属于关键活动,需要企业一一实现。
1)结构安全
活动要求
Ø a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
实现建议
等保要求主要网络设备要具备冗余空间,一般我们可以认为核心交换机、负载均衡、核心主机等设备要满足冗余部署模式,另外带宽也是要考虑在内的。还有在企业安全建设工作中,我一般也会建议边界防火墙也采用冗余部署。
活动要求
Ø c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
实现建议
一般来说,安全的访问路径是指不允许业务终端在没有任何安全防护的措施下直接访问业务服务器,可以在两者之间部署防火墙设备进行控制,也可以在通过管理域进行设备访问跳转,并开启审计策略,两种实现方式都可以。
活动要求
Ø e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
实现建议
相信大多数企业这一条都是能做到的,很简单,就是划分子网,现在一般是在交换机上来实现的。不过本人也遇到过部分企业,网络结构特别简单,就部署了一个集线器,应用系统和终端都在一个网段,安全意识不太强,这种情况是不符合的。
2)访问控制
活动要求
Ø b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
实现建议
这一项关键活动主要是靠防火墙来实现,粒度要具体到某一端口或者某一具体协议。当然也可以用交换机 ACL 来实现,在测评过程中,这两种形式都可认定为符合。
活动要求
Ø c) 应对进出网络的信息内容进行过滤,实现对应用层 HTTP、 FTP、TELNET、SMTP、 POP3 等协议命令级控制。
实现建议
这一条的要求就是不管是哪些设备、哪些应用、哪些主机,都不能采用未加密的传输协议进行传输,特别是在运维过程中,应当采用 SSH 进行运维,不能采用 telnet 协议。
3)安全审计
活动要求
Ø a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
实现建议
这一项活动可以采用部署软硬件的监控工具,网络流量和用户行为可以部署网管软件、堡垒机、日志分析软件等方式来实现,网络设备运行状况可以部署 zabbix 或其他监控工具来实现,方式比较多。
4)边界完整性检查
活动要求
Ø a) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
Ø b) 应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
实现建议
这一项的要求比较明确,就是内设外联、外设内联的监控,即不允许未授权的设备连接到内网,也不允许内网设备私自连接外网,可以通过部署准入控制系统进行控制,也可以安装桌面安全管理系统,开启设备「违规外联」的功能,另外也要使用 IP/MAC 绑定等辅助措施,基本就能做到有效的安全防护了。有些企业可能有 wifi,在这种情况下,要一定将 wifi 进行分区管理,并同时进行 wifi 接入认证。
5)入侵防范
活动要求
Ø a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等。
实现建议
讲实在话,这一条要实现起来比较麻烦,要同时实现这么多安全防护是不太现实的,所以尽可能实现就行了,一般建议部署 IPS/IDS、防毒墙等设备,当然有些企业是部署的那种 UTM 设备,这种设备看起来是各个危害都做了防御,但其实效果并不会很理想。不过下一代防火墙会效果要好很多。
6)恶意代码防范
活动要求
Ø a)应在网络边界处对恶意代码进行检测和清除。
实现建议
这一项的重点是在「网络边界、检测、清除」三个词,有些企业认为只要部署了杀软,就算达到要求,这是不对的,较好的办法是在边界处部署防毒墙产品。
7)网络设备防护
活动要求
Ø d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
Ø e) 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
实现建议
这就是我们内常说的双因素验证,哪些算是呢,第一是基于我们知道的,第二是基于我们拥有的,第三是基于个人生物特征的,三种当中任选两种都是可以的,比如说口令加手机验证码,或者口令加物理 key,机房方面可以是门禁卡加指纹,都是可以的,值得注意的是如果使用口令,需要增加口令策略。
主要网络设备一般是指什么呢,相信大家应该都知道,比如核心交换机、日志服务器、核心主机、管理主机等,当然各个企业也可以根据自身情况各自认定。
五 主机安全关键活动
主机安全的关键活动有身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制,其中身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范属于关键活动,具体如下:
1)身份鉴别
活动要求
Ø b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
实现建议
本条要求就是主机的口令要有一定的复杂度,并定期更换,就设置口令策略来控制。当然另外也应该修改默认的管理用户账号,禁用默认的账号,安全防护度就会更高。
活动要求
Ø d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
实现建议
这个就是要禁用一些未加密的网络传输协议,如 FTP、TELNET、RDP 等。
活动要求
Ø f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
实现建议
和网络安全关键活动中 7d 同样的方法,采用双因素认证模式。
2)访问控制
活动要求
Ø c)应实现操作系统和数据库系统特权用户的权限分离。
实现建议
要确保操作系统和数据库系统管理员不是同一自然人,将两者权限分离。
活动要求
Ø f)对重要信息资源设置敏感标记。
Ø g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
实现建议
这两条的要求就是要对用户权限进行分级管理,对敏感的信息进行标记,设置用户权限对照表,并根据用户权限表对用户进行授权。
3)安全审计
活动要求
Ø a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
Ø b) 应能够根据记录数据进行分析,并生成审计报表。
实现建议
这一条的要求就是审计的范围,包括每个操作系统用户和数据库用户,开启本地安全策略—审计策略功能。要想达到更好的效果就可以部署日志审计系统和数据库审计系统,在企业安全建设工作中,审计工作是重中之重,必不可少。值得注意的是,在等保 2.0 中并不会有 b) 这一项要求。
4)入侵防范
活动要求
Ø b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
实现建议
要对重要程序进行完整性检测,并具有恢复措施。很多第三方安全工具都有这种功能,比如桌面安全管理系统。将重要文件纳入完整性监控范围,并进行对比校验,这一项实现起来不难。
5)恶意代码防范
活动要求
Ø a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
实现建议
安装正版杀软或者桌面安全管理工具。值得注意的是,杀软或者桌面安全管理工具要具有统一管理的功能,要能够及时更新恶意代码库。
六 应用安全关键活动
应用安全活动主要包含身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制,其中身份鉴别、访问控制、安全审计、软件容错属于关键活动,具体如下:
1)身份鉴别
活动要求
Ø b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
Ø c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
实现建议
和网络安全关键活动中 7d 同样的方法,采用双因素认证模式,应用系统应开发口令策略功能模板,并启用口令策略,确保口令复杂度。
2)访问控制
活动要求
Ø d) 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
Ø e) 应具有对重要信息资源设置敏感标记的功能;
实现建议
和主机安全关键活动中 2f、2g 一样,要设置敏感标记功能,并授予不同账号最小服务权限。详细说来就是要设置普通用户、管理用户、审计用户。进行三权分离。
3)安全审计
活动要求
Ø d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
实现建议
审计活动前面说的比较多了,不在赘述,但有一点值得注意的是,等保 2.0 中并不会要求具有生产审计报表的功能要求。
4)软件容错
活动要求
Ø a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
实现建议
软件容错这一项是非常重要的,稍不注意往往就会造成 sql 注入攻击、XSS 跨站攻击、逻辑漏洞攻击等危害,这项活动主要是从软件设计、代码编写等方面去考虑。值得注意的是,等保 2.0 中没有这一项测评活动,但增加了可信验证测评项,大体上要求是一致的。
七 数据安全及备份恢复
在等保 1.0 中,这一方面并没有高危项,但并不代表这一方面不重要,这方面其实也有关键活动,我在后面的篇幅里面会说到。
八 等保 2.0 中可能增加的关键活动
在等保 1.0 中,关键活动的大类不多,但细数下来,具体到测评项,大概就有几十项,要全部实现,还是非常麻烦的,这需要大量的资金投入与专业人才保障。而等保 2.0 中,除了 1.0 中大部分的关键活动,还增加了一些关键活动,因等保 2.0 还没有正式实施,我现根据多年安全工作经验在这里做个关键活动预测,供大家参考,具体如下:
1 个人信息保护
在个人信息泄露越来越严重的今天,对个人信息的保护亟不可待,国家和各行业也多次发布相关要求、条例来说明个人信息保护工作,同时网络安全法中也特别提到个人信息的内容,所以,我预测个人信息保护 将会是等保 2.0 的关键活动。
2 集中管控
等保 2.0 中单独提出了安全管理中心这一大类,毫不夸张的说,如果这都不是关键活动,那就没天理了,而在这项活动建设时要使用加密方式进行远程管理,部署综合网管系统,部署综合审计系统,部署集中防病毒系统、补丁管理系统,部署安全事件识别、报警和分析系统等等,这些都是属于集中管控的要求。
3 可信验证
在等保 2.0 技术部分中,除了安全物理环境以外,安全通信网络、安全区域边界、安全计算环境、安全管理中心都提到了可信验证,不得不说,这一项成为关键活动的可能性非常大。
以上三项是个人认为的可能在 2.0 阶段成为关键活动的工作,共大家参考,也希望大家能提出不同看法,共同讨论。
九 总结
正如前文所说,关键活动是等级保护中非常重要的活动,是必不可少的活动。关键活动包含哪些,现总结如下:
电力供应、结构安全、访问控制、安全审计、身份鉴别、边界完整性检查、入侵防范、恶意代码防范、网络设备防护、软件容错、个人信息保护(2.0)、集中管控(2.0)、可信验证(2.0)。
企业在进行网络安全建设工作时,这些方面应该要着重建设,当然企业网络安全建设工作也不能完全依靠关键活动,应该从各个方面进行防护。
*本文原创作者:jin16879,本文属FreeBuf原创奖励计划,未经许可禁止转载