等保2.0通用要求控制项解析

太极计算机股份有限公司合作开拓创新等保2.0控制项解析等级保护技术控制项解析-安全通信网络Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全通信网络网络架构a)应保证网络设备的业务处理能力满足业务高峰期需要；方案设计、设备选型要预留性能空间方案及网络设备保证b)应保证网络各个部分的带宽满足业务高峰期需要；带宽预留、部署流控设备或带有此功能的设备方案及网络设备保证c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；网络规划设计时进行网络区域划分。方案及网络设计规划d)应避免将重要网络区域部署在网络边界处且没有边界防护措施；对重要区域边界安全隔离、访问控制、入侵防范（互联网接入区、服务器区、无线接入区等）防火墙、IPS、WEB应用防火墙等进行防护e)应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。线路及关键设备进行冗余设计。方案及网络设备保证通信传输a)应采用校验码技术或加解密技术保证通信过程中数据的完整性；Vpn、数字证书认证、加密技术防火墙、vpnb)应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。Vpn、数字证书认证、加密技术防火墙、vpn等级保护技术控制项解析-安全区域边界Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全区域边界边界防护a）应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信对重要区域边界安全隔离、访问控制、入侵防范防火墙、IPS、WEB应用防火墙、vpn等进行防护b）应能够对非授权设备私自联到内部网络的行为进行限制或检查；接入认证、IP/MAC绑定终端管理系统（准入控制）c）应能够对内部用户非授权联到外部网络的行为进行限制或检查；防私接非法外联检测、终端管理系统（准入控制）d）应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部往来；对重要区域边界安全隔离、访问控制、入侵防范防火墙、IPS、WEB应用防火墙等进行防护恶意代码a)应在关键网络节点处对恶意代码进行检测和清除，并维恶意代码护防机制的升级和更新；攻击、病毒检测和防御、定期升级特征库部署防病毒网关或带有此功能的设备垃圾邮件防范b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。垃圾邮件检测和防护、定期升级特征库部署垃圾邮件网关或带有此功能的设备等级保护技术控制项解析-安全区域边界Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全区域边界访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；防火墙做访问控制、防火墙策略防火墙b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；人工优化定期运维、优化c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；访问控制、防火墙策略防火墙d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；访问控制、防火墙策略防火墙e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。访问控制、4-7层的协议安全控制、及应用协议控制防火墙、IPS、WAF、上网行为管理等级保护技术控制项解析-安全区域边界Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全区域边界入侵防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；攻击检测和防御IPS、WAF、APT检测平台及态势感知平台b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；攻击检测和防御c)应采取技术措施对网络行为进分析，实现对网络攻击特别是新型网络攻击的分析；攻击检测和防御d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。攻击检测和防御安全审计a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计网络行为、网络设备操作记录，提供有效展示，并确保日志安全存储。互联网与远程访问用户分开审计堡垒机、上网行为管理网络安全审计系统、日志审计系统、带有审计功能的VPN设备b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；e）应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。等级保护技术控制项解析-安全计算环境Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全计算环境身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；设置复杂密码，检测弱口令，定期改密，分责分权，操作系统和数据库系统的统一身份鉴别，操作系统和数据库系统用户权限分离，可由堡垒机辅助实现堡垒机设置主机身份鉴别设定b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；主机策略设置登录限制，安装主机加固软件限制登录时间、ip地址、区域地理位置、密码尝试次数等。主机加固软件配置安全策略c)当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；加密管理，对服务器的远程管理采用SSH、SSL等加密协议，可由堡垒机辅助实现堡垒机d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。静态口令+动态口令/证书/生物识别/短信认证等技术，可由堡垒机辅助实现堡垒机设置主机身份鉴别设定安全审计a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；开启主机自身审计功能并结合安全设备审计主机操作记录，提供有效展示，并确保日志安全存储、稳定可靠。堡垒机+数据审计+日志审计b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；d)应对审计进程进行保护，防止未经授权的中断；等级保护技术控制项解析-安全计算环境Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全计算环境访问控制a)应对登录的用户分配账号和权限；由操作系统自身的权限控制实现，可由堡垒机辅助主机访问控制策略设定+堡垒机辅助b)应重命名或删除默认账户，修改默认账户的默认口令；漏扫检测弱口令结合人工安全加固优化可由堡垒机辅助人工优化+堡垒机+漏扫辅助c)应及时删除或停用多余的、过期的账号，避免共享账号的存在；人工安全加固优化人工安全加固d)应授予管理用户所需的最小权限，实现管理用户的权限分离；由操作系统自身的权限控制实现，可由堡垒机辅助主机访问控制策略设定+堡垒机辅助e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；由操作系统或应用系统自身的权限控制实现，预设好权限规则。并对重要主体、客体设置安全标记，加固相关操作和访问权限。主机或应用系统访问控制策略设定+人工安全检测辅助f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。等级保护技术控制项解析-安全计算环境Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全计算环境入侵防范a)应遵循最小安装的原则，仅安装需要的组件和应用程序。遵循最小安装原则，仅开启需要的服务，安装需要的组件和程序，可以极大的降低系统遭受攻击的可能性。终端安全管理系统+人工安全检测辅助b)应关闭不需要的系统服务、默认共享和高危端口；关闭多余系统服务、关闭高危端口人工安全加固c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；准入控制系统策略+堡垒机辅助d)应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；专业安全人员风险评估及人工加固风险评估+漏洞修复e)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。主机系统入侵防范，网络入侵防范系统IPS+主机安全加固软件恶意代码防范a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。采用非传统仅仅依靠病毒库、特征库进行查杀和防御的安全产品EDR+靠病毒行为分析实现阻断的安全设备数据完整性a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等加密协议、传输加密、身份认证，防止内容泄露、数据被篡改和破坏加密辅助设备：应用安全网关、应用加密网关b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等加密协议、传输加密、身份认证，防止内容泄露、数据被篡改和破坏加密辅助设备：应用安全网关、应用加密网关等级保护技术控制项解析-安全管理中心Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全管理中心系统管理a)应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计采用堡垒机进行运维管理运维管理规定+堡垒机辅助b)应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。管理制度和系统配置保障管理制度和系统配置保障审计管理a)应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计采用堡垒机进行运维管理运维管理规定+堡垒机辅助b)应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查阅等。安全管理a)应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计采用堡垒机进行运维管理运维管理规定+堡垒机辅助b)应通过安全管理员对系统的安全策略进行配置，包括安全参数的设置，主题、客体进行统一安全标记，对主题进行授权，配置可信验证策略等。等级保护技术控制项解析-安全管理中心Thisisasubtitleforyourpresentation分类基本要求说明及技术方案建议措施安全管理中心集中管控a)应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控划分安全管理区划分安全管理区b)应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理采用堡垒机进行运维管理运维管理规定+堡垒机辅助c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测网络运维管理平台网络运维管理平台d)应分散在各个设备商的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求将日志收集、汇总，并具有分析能力，保留时间不得少于6个月日志审计系统e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理安全相关事宜集中管控统一安全管理平台、终端安全管理系统f)应能对网络汇总发生的各类安全事件进行识别、报警和分析各类安全事件、未知威胁汇总分析，识别、报警。态势感知平台、APT分析平台谢谢ThankYou