×

头像被屏蔽
新手741261 发表于 2023-5-22 10:10
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手031815 发表于 2023-5-22 10:14
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手612152 发表于 2023-5-22 10:17
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
司马缸砸了光 发表于 2023-5-22 10:19
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2023-5-22 10:21
  
提示: 作者被禁止或删除 内容自动屏蔽
我是路人甲55 发表于 2023-5-22 10:27
  
感谢楼主分享,每日学习打卡
jan 发表于 2023-5-22 13:15
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
dhf 发表于 2023-7-16 14:36
  
感谢楼主的精彩分享,有助工作!!!
等保类交付-安全产品(三级)通关指南
  

你不是四月 57942人觉得有帮助

{{ttag.title}}
等保类交付-安全产品(三级)通关指南!

大类1:安全设备环境类
一、网络架构部分
1、安全设备有着基本的组网需求,在基本的组网需求中,安全设备需满足其正常的性能标准,因此在等保合规中,通常第一步是先查看该安全设备性能的使用率,观察当前设备的CPU、内存、磁盘使用情况,观察当前设备性能是否满足业务标准。
2、同时对于系统的可用性来说,能保障链路聚合最好(主主、主备、链路冗余均符合要求)

大类2:安全区域边界

在安全区域边界中,主要包含为访问控制、入侵防范以及恶意代码防护。
访问控制往往需求:
1、防火墙要至少保障有一条any any deny的策略全部拒绝,且策略逐步精细化至区域。
2、防火墙基本的授权IPS、IDS、AV保障授权可用且规则库保持最新,授权可用
3、需要在关键节点部署垃圾邮件防护、恶意代码防护设备(确保防火墙等边界防御设备是否支持该功能项即可),同时需要部署态势感知。
大类3:安全设备配置类
一、身份鉴别类

在等保类安全产品中,首要测评的项即为需要对登录的用户进行身份标识和鉴别,需要使用户的密码满足相应的复杂度,且满足登录失败的处理功能。
故在常见的安全产品中,需要对用户的登录方式、登录失败限制以及登录密码复杂度进行限制。
A项:所有安全设备均适用,用户口令需要满足复杂度设置
B项:所有安全设备均适用,在安全设备界面需配置登录后失败处理动作,锁定账户等等
C项:所有安全设备均适用,通过https的方式登录安全设备
D项:所有安全设备均适用,登录方式需采用多因子方式
三级等保中着重加了C项,即进行远程管理时,需要采取必要的措施来保障信息无法被监听,故该项往往需求为通过堡垒机等设备进行管理。
适用范围:所有安全设备(日志审计、堡垒机、防火墙、数据库审计等等)

二、访问控制类


访问控制:在访问控制中,主要需要对用户进行账号和权限的分配,也就是我们常说的三权分立,并将默认的用户密码进行修改。
A项:所有安全设备均适用,往往通过三权分立方式直接实现
B项:所有安全设备均适用,满足口令设置复杂度
C项:所有安全设备均适用
F项:所有安全设备均适用
G项:所有安全设备均适用
适用范围:所有安全产品(防火墙、日志审计、数据库审计、堡垒机等等)
三、入侵防范

入侵防范:在安全设备中,入侵防范通常需要重点关注关闭系统当前的高危端口,如80、21、23等(但常常安全设备为默认关闭状态,确认即可)
A项:所有安全设备均不适用
B项:所有安全设备均适用,需要提前关闭高危端口,进行核查展示
C项:且所有安全设备均需满足限制源IP进行登录,只允许受信任的客户端或地址范围内进行登录管理,为C项所要求条件,所有安全设备均适用
E项:需要对安全设备进行定期漏洞扫描,此处,通过态势感知设备或内部漏扫设备或杀毒软件来进行实现。
F项:仅适用于入侵检测设备上(防火墙等),在防火墙等入侵检测设备可以看到相关告警日志即可。(此处存在扣分项:如告警信息无法展示到内网邮箱、手机短信,则扣分)
适用范围:最小安装原则对安全设备不适用,高危端口关闭默认对所有安全设备适用(防火墙、日志审计、数据库审计等等)
四、恶意代码规范(全部安全设备不适用)

五、可信验证(所有安全设备均适用)--很难通过

该项暂时无好的验证方式方法,往往为厂家直接出具相关说明即可。
六、数据完整性验证

该项为主要保障数据在传输过程中的加密和保密性,设备在登录以及数据传输为SSH&HTTPS即可满足要求,需要关闭HTTP以及TELNET的远程管理方式。
A项:所有安全设备均适用
B项:所有安全设备均适用(B项往往由厂家提供设计文档)
适用范围:所有安全设备(日志审计、数据库审计、防火墙、堡垒机等等)
七、数据保密性

A项:所有安全设备均适用,设备需保证只能使用SSH、HTTPS等方式来进行远程管理。
B项:所有安全设备均适用,需要抓包进行验证,验证传输为明文即可,更偏向存储类验证。
七、数据备份恢复

数据备份恢复项目中,主要考察设备是否进行了定期备份,除去设备syslog日志传输于日志审计进行定期备份外,设备自身配置文档需要手动下载下来,进行定期的备份,建议在等保测评之前,下载下所有的安全设备配置备份,进行定期保留。
A类:所有安全设备均适用
B类:不适用
C类:不适用
八、剩余信息保护&个人信息保护

所有安全设备均不适用,不用考虑
八、安全审计

安全审计,主要应能够对用户的行为以及重要的安全事件继续记录,且有相应的保护机制,在该项中,通常为安全设备能够外发syslog传输至日志审计服务器进行定期备份,且能够在设备WEB界面上查询到相关的安全事件,安全事件需能包含系统行为、安全事件行为,且需要保障非审计管理员可以中断审计进程(系统管理员默认不允许看到审计行为,这里在别的用户侧遇到没有通过的情况)
适用范围:所有安全设备(防火墙、日志审计、数据库审计、堡垒机等等)
此处重点强调了日志备份,故日志审计服务器必不可少

619826466c46794da6.png (1.8 MB, 下载次数: 253)

619826466c46794da6.png

打赏鼓励作者,期待更多好文!

打赏
41人已打赏

发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人