文章目录
本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的十个方面逐个按测评指导书结合等保要求来进行详细的分析,在开始之前先把整个大的框架先描述一下。
上篇讲了安全物理环境,这节写写安全通信网络和安全区域边界,其实技术测评这五块里面安全物理环境算是比较简单的,因为都是比较死的东西,其他几块就比较的复杂,没法按上节那样直接按标准给出参考答案,因为涉及到不同厂家的设备,测评的步骤当然也不一样。
安全通信网络
安全通用要求的安全通信网络部分针对通信网络提出安全控制要求,主要对象为广域网、城域网和局域网等,涉及的安全控制点包括网络架构、通信传输和可信验证。
8.1.2.1 网络架构
这里注意,个别对系统正常运行影响较小的设备(如终端接入交换机、带外管理设备等)出现性能不足的惜况,可弱化处理。
在有监控环境的条件下,应通过监控平台查看主要设备在业务高峰期的资源(CPU、内存等)使用情况;在无监控环境的情况下,在业务高峰期登录主要设备使用命令查看资源使用情况。不同厂家设备操作:
Cisco网络设备可使用show process 或show process memory(查看内存使用情况)、show process cpu(查看CPU使用率)、show resource usage all(查看会话连接数情况,可选)命令进行查看。
HUAWEI/H3C网络设备可使用display memory(查看内存使用情况)、display cpu-usage(查看CPU使用率)、dis session statistics(查看会话统计情况,可选)命令进行查看。
锐捷网络设备可使用或show memory slot(查看内存使用情况)、show cpu(查看CPU使用率)命令进行查看。
中兴网络设备可使用show process 命令查看设备的CPU利用率,内存等信息。
这里注意,因远程按入链路价格高昂,部分被测主体机构为减小开支和有效利用现有资源,可能会对进出口链路采用最大使用率原则,该情况下需分析采取的流量控制措施是否可满足被测系统在业务高峰期内的使用需求,如核查被测机构的《网络流量使用分析报告》等文档(找甲方)。
这里主要是查看网络拓扑图,看是否划分VLAN,例如划分了服务器区,客户区,管理区,互联网接入区等。
针对1不同厂家设备操作:
思科可通过tracert、traceroute、show cdp nei等命令测试实际网络连接是否与拓扑图一致。
华为/三可通过tracert display lldp neighbor-information(需在接口下配LLDP:链路层发现协议)等命令测试实际网络连接是否与拓扑图一致。
锐捷可通过tracert/traceroute等命令测试实际网络连接是否与拓扑图一致。
中兴同上。
这点主要看是否对核心区域配置双机冗余。
8.1.2.2 通信传输
这里的完整性主要看系统是否采用了SSH、HTTPS、FTPS等协议,有任意一个即可;保密性主要看系统是否采用了类似VPN的协议。
8.1.2.3 可信验证
这块是等保2.0新增内容,有好几个地方都有这个可信验证测评项,通信网络中的可信验证一般都是通过部署堡垒机完成的,例如第一点中,用户修改重要配置参数的时候可以通过堡垒机进行不同级别的控制(拒绝、记录等);同样的对于第二点中关键执行环节类似format c: \q之类的操作也可以进行控制;对于第三点,在用户做出异常操作后,堡垒机应该可以进行报警(email、短信);最后一点,审计记录要统一保存。
安全区域边界
安全通用要求的安全区域边界部分针对网络边界提出安全控制要求(常见的是互联网接入区域的设备,当然也可以有内网和内网之间的区域)。主要对象为系统边界和区域边界等,涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
8.1.3.1 边界防护
这里要注意,若未在网络边界处部署访问控制设备,则边界路由、交换设备需配置ACL列表;重点关注业务流的访问控制策略、用于远程管理的访问控制策略、对高危端口(如数据库服务端口、远程访问端口)的访问控制策略。
这里尤其要对无线网络进行检查。
针对步骤第二点,各厂商使用如下命令进行检查:
思科采用show run命令检测未使用的端口是否为人为shut down,或采用show ip interface brief命令测未使用的端口的Status状态是否为ADM:administratively down。
华为/三采用dis cu命令检测未使用的端口是否为人为shut down,或采用dis int brief命令测未使用的端口的St atus状态是否为ADM:administratively down。
锐捷采用show run命令检测未使用的端口是否为人为shut down。
中兴同上。
这里控制非授权外联要配备上网行为管理设备;最后一点则应尽量将无线网络单独划分为一个VLAN。
8.1.3.2 访问控制
这里的第一点主要是看设备是否配置为默认禁止所有通信,一般是ACL默认最后就有一条禁止所有的条目:DENY ALL;
对于第二点比较笼统,就是ACL规则越少越好。
这里是指要达到端口级别的控制。
针对步骤第2点,如无安全设备支撑,检查网络设备acl配置是否对应用层HTTP、FTP、TELNET、SMTP、POP3等协议(端口号为80、21、23、25、110)进行限制,各厂商使用如下命令进行检查:
Cisco网络设备系统中使用show ip access-list(或show access-lists)命令检查设备acl配置是否有控制以上端口。
HUAWEI/H3C网络设备系统中使用dis cu命令查看访问控制表、或使用dis acl all 检查设备acl配置是否有控制以上端口。
锐捷操作同思科。
中兴网络设备系统中使用show run 或show acl命令检查设备acl配置是否有控制以上端口。
针对第2点,要查看边界设备是否关闭了不必要的服务(可选)包括:CDP、TCP/UDP Small service、Finger、B0OTp、IP Source Routing、ARP-Proxy、IP Directed Broadcast、WINS和DNS,具体各厂商验证步骤如下:
思科网络设备系统中使用show run命令查看访问控制表、使用show ip access-list(或show access-iists)命令抽查设备访问控制列表限制的端口级情况(查看ACL的eq值)。
HUAWEI/H3C网络设备系统中使用dis cu命令查看访问控制表、或使用dis acl all命令抽查设备访问控制列表限制的端口级情况(查看ACL的eq值)。
锐捷网络设备系统中使用show ip access-list(或show access-lists)命令抽查设备访问控制列表限制的端口级情况(查看ACL的eq值)。
中兴网络设备系统中使用show run或show acl命令检查设备访问控制列表限制的端口级情况(查看ACL的eq值)
对于内容的访问控制一般是安装上网行为控制设备实现。
8.1.3.3 入侵防范
cisco类设备可使用:show monitor 命令检查source ports(源镜像口)及destination ports(目的端口)的相关配置。
huawei/h3c类设备可使用:display mirroring-group all命令检查mirroring-group(源端口)及monitor port(目的端口)的相关配置。
8.1.3.4 恶意代码防范
8.1.3.5 安全审计
由于所有的安全设备要进行日志审计,系统最好有日志审计设备(硬盘要大)。
8.1.3.6 可信验证
和上面的一样,要满足:
1、加密传输;
2、账号密码登录;
3、必须通过堡垒机进行操作;
4、要进行权限设置,例如修改重要配置参数必须要管理员身份。