等級(jí)保護(hù)認(rèn)證作為我國(guó)最權(quán)威的網(wǎng)絡(luò)安全等級(jí)資格認(rèn)證，自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施后，已成為我國(guó)網(wǎng)安領(lǐng)域的基本國(guó)策、基本制度和基本要求。

今天以等保三級(jí)為標(biāo)準(zhǔn)，為您介紹認(rèn)證等保三級(jí)不可不知的7個(gè)基本要求。

等保三級(jí)有多嚴(yán)格？

等保三級(jí)是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)認(rèn)證，是安全標(biāo)記保護(hù)級(jí)，屬“監(jiān)管級(jí)別”，由國(guó)家信息安全監(jiān)管部門(mén)進(jìn)行監(jiān)督、檢查，認(rèn)證。

測(cè)評(píng)內(nèi)容涵蓋了5個(gè)等級(jí)保護(hù)安全技術(shù)要求和5個(gè)安全管理要求，具體包含信息保護(hù)、安全審計(jì)、通信保密等近300項(xiàng)要求，涉及73類(lèi)測(cè)評(píng)分類(lèi)，要求十分嚴(yán)格。

等保三級(jí) 之 6大關(guān)鍵點(diǎn)

1.身份驗(yàn)證

身份驗(yàn)證需保證所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用業(yè)務(wù)系統(tǒng)等這些關(guān)鍵設(shè)備和業(yè)務(wù)系統(tǒng)不存在弱口令、空口令賬戶登錄情況。

在確保無(wú)弱口令和空口令的前提下，所有重要設(shè)備都需采用雙因子認(rèn)證方式登錄，尤其是針對(duì)核心業(yè)務(wù)應(yīng)用系統(tǒng)，不能只采用基本的用戶名/口令。比較常用的做法是采用令牌、智能卡、生物指紋、虹膜識(shí)別、人臉識(shí)別等高階認(rèn)證技術(shù)。

對(duì)于遠(yuǎn)程管理維護(hù)的操作，一般建議通過(guò)部署堡壘機(jī)實(shí)現(xiàn)雙因子認(rèn)證和傳輸信息的加密。

2. 訪問(wèn)控制

對(duì)于業(yè)務(wù)應(yīng)用系統(tǒng)，有很多未達(dá)到等保訪問(wèn)控制基本要求的常見(jiàn)缺陷，如越權(quán)訪問(wèn)系統(tǒng)功能模塊或查看、操作其他用戶的數(shù)據(jù)等。

針對(duì)此類(lèi)問(wèn)題，建議將承載關(guān)鍵業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行單獨(dú)區(qū)域劃分，部署第二代防火墻類(lèi)設(shè)備進(jìn)行邊界隔離，深層次過(guò)濾訪問(wèn)行為。同時(shí)需有明確的管理制度不允許本地操作，或者對(duì)本地的操作進(jìn)行訪問(wèn)控制。

針對(duì)遠(yuǎn)程操作進(jìn)行訪問(wèn)控制策略控制，部署堡壘機(jī)對(duì)用戶行為進(jìn)行訪問(wèn)控制。

對(duì)于非業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、服務(wù)器設(shè)備等只需要進(jìn)行默認(rèn)賬戶刪除、修改默認(rèn)口令、無(wú)法通過(guò)默認(rèn)賬戶以及默認(rèn)口令登錄就可以滿足最基本的要求。

3. 安全審計(jì)

安全審計(jì)主要指對(duì)日志進(jìn)行記錄與審計(jì)。若缺失對(duì)重要的用戶行為和重要安全事件的審計(jì)，肯定無(wú)法通過(guò)等保測(cè)評(píng)。

建議在網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)/服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)性能允許的前提下，開(kāi)啟用戶操作類(lèi)和安全事件類(lèi)審計(jì)策略。

通常使用第三方日志審計(jì)系統(tǒng)，除進(jìn)行常規(guī)的日志記錄收集外，對(duì)日志進(jìn)行關(guān)聯(lián)分析，篩查可能存在的安全風(fēng)險(xiǎn)。

4. 入侵防范

關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)/服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的多余系統(tǒng)服務(wù)/默認(rèn)共享/高危端口必須要關(guān)閉。

同時(shí)建議在既有業(yè)務(wù)中使用默認(rèn)共享服務(wù)的，盡量切換到其他服務(wù)。

此外還需要對(duì)遠(yuǎn)程管理的用戶以及管理維護(hù)所使用的終端進(jìn)行管控，一般采用堡壘機(jī)類(lèi)產(chǎn)品進(jìn)行管控。

對(duì)于一些互聯(lián)網(wǎng)直接能夠訪問(wèn)到的設(shè)備及系統(tǒng)，須盡快修補(bǔ)已在公開(kāi)渠道披露的重大漏洞。尤其是業(yè)務(wù)應(yīng)用系統(tǒng)，現(xiàn)階段針對(duì)應(yīng)用系統(tǒng)的SQL注入、跨站腳本等均為高風(fēng)險(xiǎn)漏洞，都會(huì)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行造成嚴(yán)重后果。

5. 惡意代碼防范

安裝反病毒軟件，同時(shí)反病毒軟件需及時(shí)更新病毒庫(kù)。如果是相對(duì)封閉的網(wǎng)絡(luò)，如工業(yè)控制系統(tǒng)，需安裝白名單類(lèi)軟件進(jìn)行惡意代碼防范。

6. 數(shù)據(jù)完整性及保密性

數(shù)據(jù)的完整性與保密性主要包含存儲(chǔ)數(shù)據(jù)的完整性與保密性，以及傳輸數(shù)據(jù)的完整性和保密性。

對(duì)于新上線的應(yīng)用業(yè)務(wù)系統(tǒng)，建議在采購(gòu)前對(duì)供應(yīng)商提供應(yīng)用系統(tǒng)的數(shù)據(jù)完整性、保密性進(jìn)行嚴(yán)格要求，對(duì)數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄赃M(jìn)行嚴(yán)格要求。

建議應(yīng)用業(yè)務(wù)系統(tǒng)通過(guò)密碼技術(shù)確保傳輸數(shù)據(jù)的完整性，并在服務(wù)器端對(duì)數(shù)據(jù)有效性進(jìn)行校驗(yàn)，確保只處理未經(jīng)修改的數(shù)據(jù)，同時(shí)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性。

對(duì)于既有存量的應(yīng)用業(yè)務(wù)系統(tǒng)，建議在廣域網(wǎng)或多個(gè)不同局域網(wǎng)進(jìn)行數(shù)據(jù)傳輸時(shí)采用VPN的方式對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)。

同時(shí)需對(duì)所有應(yīng)用業(yè)務(wù)系統(tǒng)產(chǎn)生的重要數(shù)據(jù)都要在本地進(jìn)行備份，對(duì)于一些特殊的領(lǐng)域，如金融、交通等需要進(jìn)行異地備份，原則上同城異地機(jī)房直接距離不低于為30公里，跨省市異地機(jī)房直線距離不低于100公里。

等保不僅是企業(yè)可持續(xù)發(fā)展的重要保障，更是我國(guó)成為網(wǎng)絡(luò)強(qiáng)國(guó)在新時(shí)代、新態(tài)勢(shì)下網(wǎng)絡(luò)安全“風(fēng)向標(biāo)”。

“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”不僅只是一個(gè)理念，更是國(guó)家、企業(yè)、組織落實(shí)網(wǎng)安標(biāo)準(zhǔn)的基本原則。目前已經(jīng)下發(fā)行業(yè)等保要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)等。

滿足等級(jí)保護(hù)建設(shè)的要求也并不是一味的累加產(chǎn)品，更多的是對(duì)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)的梳理，只有符合企業(yè)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)的方案設(shè)計(jì)才是合適的等級(jí)保護(hù)解決方案。