等保2.0來了,分享一個可落地的等保建設方案
企業在安全方面最關注的其實是業務安全、資料安全與安全檢查,這篇文章來講解一下我對於等保過檢的經驗與建設。
不同於其他建設文章,本文會給出很多落實方面的建議與方法,希望企業可以通過這篇文章,順利通過過檢任務,並保證安全的投入成本與收益的比率。
一、管理
一個企業的安全性最終體現在管理與運營,隨著安全越發受重視,企業在安全管理方面也要與時俱進。
1拓撲圖
很多人把拓撲圖分類到技術中,但我更願意把拓撲圖分類到管理中,因為可以通過拓撲圖一目瞭然的知道企業中每個裝置的使用,每個區域的劃分都很明確,過檢中過檢人員第一個核對的也是拓撲圖,那麼拓撲圖方面有什麼需要注意的地方呢?
1) 標名裝置品牌與型號
標名裝置品牌與型號的目的是更加直觀明確的看出整個體系的硬體安全情況,也方便管理,當出現廠商漏洞時可以快速進行批量補救工作,避免遺漏。還有目前個人企業沒有要求國產化率,國企與事業單位已經做了相關要求,個人企業在敏感行業也要去國產化改造,比如支付過檢。國產化是大趨勢,這裡建議後期企業建設時優先考慮國產裝置,已經使用國際品牌裝置的企業,建議儘早進行國產化裝置改造任務與國密改
2) 標名使用區域
這裡的使用區域是指物理區域,比如辦公區域、業務1雲區域、業務2雲區域、業務3機房區域。
3) 標名業務
需要標名過檢的核心業務所在位置,訪問核心業務的線路,核心業務基本資訊(包括伺服器資訊、網路資訊、業務資訊等)。
4) 標名隔離情況
標名業務之間的隔離情況,有些業務與業務之間是存在關聯性的,這樣的情況使得業務之間無法隔離,那麼就需要相應的安全手段,比如訪問控制等。一般是需要隔離的,在等保中雖然沒有明確要求,但在支付過檢中是有明確要求,支付業務必須是獨立於所有業務的。
2組織結構
組織結構由二部分組成:人員結構、管理結構。
1)人員結構
這部分主要涉及到的是《資訊保安組織建設管理制度》,這個文件主要記錄了安全小組組成人員及任務,還有各小組之間的協同關係,最重要的是當發生情況的時候能有人通過這個制度知道該聯絡誰。同樣各小組負責人需要制定相關的制度文件,放在管理結構中敘述。
2)管理結構
這裡要講述的管理文件就有很多了,大到《資訊保安管理辦法》,小到《資訊保安考核辦法》,無論是什麼管理文件,在撰寫定製時都要考慮的核心是:
(1)適用人群和崗位
(2)是否可以實現
(3)由誰監督
(4)觸犯後的措施與流程
整個文件的管理在等保中分為4個類,這裡後期會為大家詳細講解每一個文件,這裡只做概述,下文會放出文件詳單。
二、技術
在規範了管理後還要有相應的技術作為支撐,這裡的技術包括裝置和滲透測試,本次主要想與大家聊的其實就是這部分。
1裝置
等保中會看的安全裝置包括很多,比如WAF、抗DDoS、堡壘機、綜合日誌審計、資料庫審計、IPS/IDS、殺軟、漏掃等等。我們一一敘述。
1)WAF
等保中WAF的選用與規範其實重點在於,如果採用廠商裝置,基本就是延用廠商的報告,很少會問比較細節的東西。如果選用開源的WAF,那麼每個細節都會問到,問題如下:
(1)有沒有登入介面
(2)登入使用者有沒有身份限制
(3)登入次數有沒有做控制
(4)登入是否有失敗鎖定
(5)是否是所有使用者均採用雙因素登入
(6)如果有規則觸發會不會及時告警,告警方式是什麼
(7)規則支不支援自定義
(8)規則通過什麼方式升級
(9)能不能查詢6個月內的攻擊日誌
(10)以上所有是否介面化可操作
(11)等等等……
因為我在安全建設時為了節約安全投入,是採用的開源WAF,沒有介面,甚至除了規則沒有一個符合以上要求,在這裡給採用開源WAF的安全從業者一些建議:
(1)採用體系記憶體在的日誌管理來做後臺登入介面
(2)告警通過郵件方式告警即可,這裡需要自行編寫判斷髮送郵件的指令碼
(3)大部分開源WAF都支援自定義規則,升級一般通過手動方式升級,這裡可以明言手動方式升級,對於等保的認證沒有影響,可以升級就行
(4)介面化的操作如果實現困難可以和等保檢查人員說是後臺操作,需要登入伺服器改配置檔案,只不過這裡算是一個建議型問題。
2)抗DDoS
如果是雲環境的業務,雲基礎防禦中存在抗DDoS功能的,直接把這個模組展示給等保的檢查人員即可。物理機房建議購買一臺,因為開源市場上成型的抗DDoS產品確實很少。在這裡會看你的閥值設定,日誌查詢和儲存情況。
3)堡壘機
關於堡壘機在等保中會問到的具體問題如下:
(1)有沒有登入介面
(2)登入使用者有沒有身份限制
(3)登入次數有沒有做控制
(4)登入是否有失敗鎖定
(5)角色是否分為:管理員、普通使用者、審計管理員
(6)每個角色是否存在越權行為
(7)每個角色是否開啟雙因素認證
(8)審計日誌是否保留3個月以上
(9)審計工作是否被執行(執行記錄)
(10)堡壘機後臺是否為分段密碼
(11)是否採用HTTPS登入,版本是什麼
在這裡給大家一個建議,採用廠商的裝置會相對順利一些,如果採用的是開源裝置,一定注意是使用者身份,如果沒有審計管理員這個角色,是一般甚至嚴重問題。後臺的分段密碼只是針對於廠商裝置,開源裝置不要求,HTTPS如果採用開源,建議套一層nginx反向代理。雙因素登入是一般問題。
4)綜合日誌審計
一般採用syslog就足夠了,當然如果是為了運營安全著想,要時常做日誌分析,對於廠商裝置來說分析工作會相對簡單一些,採用syslog自行分析日誌開發工作量會增大。這裡會問的問題就相對比較少:
(1)是否集中了所有日誌
(2)日誌分析工作是否開展(證據)
(3)是否保留6個月以上日誌
5)資料庫審計
對於資料庫審計,建議採用廠商裝置,開源的數審大多以外掛為主。會問到的問題與WAF大同小異。
6)IPS/IDS
這塊主要看是否存在即可,沒有問太細的東西,推薦是使用開源的IDS就足夠了。
7)殺軟
這塊主要的問題如下:
(1)是否存在殺軟
(2)是否定時查殺
(3)是否審查與修復(證據)
8)漏掃
這塊一般使用Nessus就可以了,當然這是我想要主推的工具,也是免費,也相對準確,如果有需要的朋友私信“X安全”可以獲取SC啟用版Nessus。關於Nessus會問如下問題:
(1)掃描週期是否設定(根據管理文件設定,等保規定每年至少2次)
(2)掃描報告是否出具(郵箱或本地下載均可)
(3)掃描結果是否上報安全組並進行改正(證據)
(4)策略是否為本年度策略(可以不是最新,但是最多不能超過1年)
說明:關於專業版Nessus,可以升級,不限掃描IP數量。(PS:如有需要此工具者,可在“X安全”上回復“工具”獲取。)
2滲透測試
這裡其實包括兩大類:
1)基線安全
基線安全是伺服器基礎配置安全,包括SSH配置檔案的配置,/etc/passwd是否存在不唯一的為0的UID,密碼週期是否為90天等等。關於基線安全的掃描,如果是雲環境,存在基線安全檢測,但是我個人更推薦是基線檢測指令碼,因為如果使用雲廠商的,需要投入資金。
2)應用安全
包括所有應用和網路方面的滲透測試,這部分只能看平時工作的效果了,沒有什麼建議,最大的建議是當時過檢人員測出有什麼漏洞及時修正就好了。
等保測試記住一個原則,誰都是需要體現工作量的,他們不可能給你評100,差不多就行。
*本文作者:煜陽 | X安全特邀