七大技術(shù)關(guān)鍵點(diǎn)
對(duì)于擬定級(jí)為黑龍江等保三級(jí)的信息系統(tǒng),在建設(shè)過程中需結(jié)合安全保護(hù)要求做好以下關(guān)鍵點(diǎn)的配套�。
01身份驗(yàn)證
身份驗(yàn)證需保證所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備�、重要服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器�、應(yīng)用業(yè)務(wù)系統(tǒng)等關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令、空口令賬戶登錄的情況���。
在確保無弱口令和空口令的前提下,所有重要設(shè)備都需采用雙因子認(rèn)證方式登錄�����,尤其是針對(duì)核心業(yè)務(wù)應(yīng)用系統(tǒng)�����,不能只采用基本的用戶名/口令�����。
對(duì)于遠(yuǎn)程管理維護(hù)的操作�����,建議通過堡壘機(jī)���、統(tǒng)一身份認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)登錄用戶的身份鑒別,并實(shí)現(xiàn)定期改密���,同時(shí)使用SSLVPN建立加密隧道,防止數(shù)據(jù)在遠(yuǎn)程傳輸時(shí)被竊聽���。
02訪問控制
當(dāng)應(yīng)用系統(tǒng)訪問控制功能存在缺失���,無法按照設(shè)計(jì)策略控制用戶對(duì)系統(tǒng)功能����、數(shù)據(jù)的訪問,以及系統(tǒng)訪問策略存在缺陷��,導(dǎo)致可越權(quán)訪問系統(tǒng)功能模塊或查看其他用戶數(shù)據(jù),則系統(tǒng)被判定為高風(fēng)險(xiǎn)��。
針對(duì)此類問題����,建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行單獨(dú)區(qū)域劃分��,部署防火墻類設(shè)備進(jìn)行邊界隔離,深層次過濾訪問行為�����。同時(shí)需有明確的管理制度不允許本地操作����,或者對(duì)本地的操作進(jìn)行訪問控制�。
針對(duì)遠(yuǎn)程操作進(jìn)行訪問控制策略控制,部署堡壘機(jī)對(duì)用戶行為進(jìn)行訪問控制����。對(duì)于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備���、主機(jī)設(shè)備、服務(wù)器設(shè)備等只需要進(jìn)行默認(rèn)賬戶刪除�、修改默認(rèn)口令����、無法通過默認(rèn)賬戶以及默認(rèn)口令登錄可滿足最基本的要求。
03安全審計(jì)
當(dāng)應(yīng)用系統(tǒng)(包括前端系統(tǒng)和后臺(tái)管理系統(tǒng))無任何日記審計(jì)功能�����,無法對(duì)用戶的重要行為進(jìn)行審計(jì),也無法對(duì)時(shí)間進(jìn)行溯源�����,則可判定為高風(fēng)險(xiǎn)。
針對(duì)這種情況���,建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)�,審計(jì)應(yīng)覆蓋到每個(gè)用戶���,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。
可使用防火墻進(jìn)行網(wǎng)絡(luò)攻擊行為檢測(cè)分析和記錄行為,使用數(shù)據(jù)庫(kù)設(shè)計(jì)對(duì)數(shù)據(jù)庫(kù)訪問行為進(jìn)行審計(jì)�。
通常使用第三方日志審計(jì)系統(tǒng)����,除了進(jìn)行常規(guī)的日志記錄收集之外����,對(duì)日志進(jìn)行關(guān)聯(lián)分析����,篩查可能存在的安全風(fēng)險(xiǎn)���。
04入侵防范
應(yīng)遵循最小安裝原則,僅安裝需要的組件和應(yīng)用程序���,關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口��。
通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的終端進(jìn)行限制���。提供數(shù)據(jù)有效性檢驗(yàn)功能�,保證人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求�����。
對(duì)于互聯(lián)網(wǎng)直接能夠訪問到的系統(tǒng)����,須盡快修補(bǔ)已在公開渠道披露的重大漏洞。尤其是業(yè)務(wù)應(yīng)用系統(tǒng)�����,針對(duì)應(yīng)用系統(tǒng)的SQL注入�、跨站腳本等均為高風(fēng)險(xiǎn)漏洞,都會(huì)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行造成嚴(yán)重后果��。
05惡意防范
應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為���,并及時(shí)有效阻斷。如果是相對(duì)封閉的網(wǎng)絡(luò)���,需安裝白名單類軟件進(jìn)行惡意代碼防范,嚴(yán)格控制軟件安裝和U盤等外部介質(zhì)接入���。
06數(shù)據(jù)完整性
應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程和存儲(chǔ)過程中的完整性�����,包括但不限于鑒別數(shù)據(jù)���、重要業(yè)務(wù)數(shù)據(jù)�、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)�、重要視頻數(shù)據(jù)和重要個(gè)人信息等���。
同時(shí)需對(duì)所有應(yīng)用業(yè)務(wù)系統(tǒng)產(chǎn)生的重要數(shù)據(jù)在本地進(jìn)行備份���,有條件地進(jìn)行異地備份。
07數(shù)據(jù)保密性
應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程和存儲(chǔ)過程中的保密性,包括但不限于鑒別數(shù)據(jù)���、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等?����?赏ㄟ^VPN建立加密隧道,保證數(shù)據(jù)傳輸?shù)谋C苄浴?/span>
如需等保測(cè)評(píng)服務(wù)�,可后臺(tái)私信聯(lián)系���。陸陸信息科技�,整合云安全產(chǎn)品的技術(shù)優(yōu)勢(shì)��,聯(lián)合優(yōu)質(zhì)等保咨詢����、等保測(cè)評(píng)合作資源,提供等保項(xiàng)目的一站式服務(wù)�����,全面覆蓋等保定級(jí)��、備案�����、建設(shè)整改以及測(cè)評(píng)階段�,高效通過等保測(cè)評(píng)��,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作��。
等保咨詢熱線:15084670000,15846603791
