網(wǎng)絡(luò)安全筆記第二天day2(等級保護)

這篇具有很好參考價值的文章主要介紹了網(wǎng)絡(luò)安全筆記第二天day2(等級保護)。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

1.網(wǎng)絡(luò)協(xié)議安全

1.1等級保護階段

?等級保護1.0：由國家1994年頒發(fā)的《中國人民共和國計算機信息系統(tǒng)安全保護條列》(國務(wù)院令147號)

等級保護2.0：2019年12月，網(wǎng)絡(luò)安全等級保護2.0國家標準正式實施

新等保系列標準目前主要有6個部分

一、GB/T 22239.1 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第一部分安全通用要求

二、GB/T 22239.2 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第二部分云計算安全擴展安要求

三、GB/T 22239.3?信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第三部分移動互聯(lián)安全擴展要求

四、GB/T 22239.4?信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第四部分物聯(lián)網(wǎng)安全擴展要求

五、GB/T 22239.5?信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第五部分工業(yè)控制安全擴展要求

六、GB/T 22239.6?信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第六部分大數(shù)據(jù)安全擴展要求

?1.2.等保機構(gòu)

國家評測機構(gòu)、行業(yè)評測機構(gòu)、地方評測機構(gòu)

1.3.等保對象?

1.4 .等保主要工作流程

等級保護5個規(guī)定動作

?? 網(wǎng)絡(luò)安全筆記第二天day2(等級保護)

?1.5.等級保護級別

《信息系統(tǒng)安全等級保護定級指南GB/T22240-2008》的要求

第一級：自組保護（第一級，信息系統(tǒng)受到破壞后，對公民、法人和其他組織的合法權(quán)益造成損害、但不損害國家安全、社會秩序和公共利益）

第二級：指導(dǎo)保護（信息系統(tǒng)造受破壞后，對公民、法人和其他組織的合法權(quán)益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。)

第三級：監(jiān)督保護(信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。)

第四級：強制保護(信息系統(tǒng)受到破壞后，會的社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。)

第五級：?？乇Ｗo（信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。）

1.6.等保定級分類

S類：業(yè)務(wù)信息安全保護（保護數(shù)據(jù)在存儲/傳輸/處理過程中不被泄露、破壞，免受未授權(quán)修改）

A類：系統(tǒng)服務(wù)安全保護類（保護系統(tǒng)連續(xù)正常運行，避免因未授權(quán)修改/破壞而導(dǎo)致系統(tǒng)不可用）

G類：基本/通用要求：

第一級 S1A1G1

第二級 S1A2G2,S2AG2,S2A1G2

第三級 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3

第四級?S1A4G4,S2A4G4,S3A4G4?,S4A4G4,S4A3G4,S4A2G4,S4A1G4

2.等保設(shè)施指南?

2.1.基本框架

?2.2.設(shè)施要點（網(wǎng)絡(luò)安全）

網(wǎng)絡(luò)安全筆記第二天day2(等級保護)

分類		基本要求	說明技術(shù)檔案	產(chǎn)品部署
網(wǎng)絡(luò)安全	訪問控制	應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備啟用訪問控制功能	防火墻做邊界訪問控制	防火墻
		應(yīng)根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制力度為端口級	防火墻策略	防火墻
		應(yīng)對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級控制	IPS實現(xiàn)4-7層協(xié)議安全控制	防火墻
		應(yīng)在還話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接	防火墻會話老化、設(shè)置會話超時時間	防火墻
		應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)	防火墻策略	防火墻
		重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙	IP、MAC綁定	防火墻、交換機組合保障
		應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制力度為單個用戶	第一層基于IP的訪問控制、基本防火墻能力第二層次基于用戶身份的訪問控制，下一代防火墻正常、配合AAA系統(tǒng)使用	防火墻
		應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量	撥號接入設(shè)備控制（可能包括PPTP等VPN方式）	防火墻
主機安全	訪問控制	應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別	網(wǎng)絡(luò)運維人員身份管理	網(wǎng)絡(luò)設(shè)備安全策略控制設(shè)定+堡壘機輔助
		應(yīng)對網(wǎng)絡(luò)設(shè)備的管理的管理員地址進行限制	ACL、安全策略
		網(wǎng)絡(luò)設(shè)備用戶的標識應(yīng)唯一	堡壘機做雙因素認證
		主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別	堡壘機做雙因素認證
		身份鑒別信息應(yīng)具有不易被冒用的特點?？诹顟?yīng)有復(fù)雜度要求并定期更換	設(shè)置復(fù)雜口令
		應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡(luò)登錄連接超時自動退出等措施	設(shè)置策略控制非法登錄次數(shù)和超時退出
		當對網(wǎng)絡(luò)設(shè)備進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽	遠程管理使用加密協(xié)議、如SSH
		應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離	設(shè)備上設(shè)置用戶權(quán)限

2.3設(shè)施要點（系統(tǒng)安全）

? 網(wǎng)絡(luò)安全筆記第二天day2(等級保護)

分類		基本要求	說明技術(shù)方案
主機安全	訪問控制	應(yīng)啟用訪問控制功能，依據(jù)安全	由操作系統(tǒng)自身的權(quán)限控制實現(xiàn)，可由堡壘機負責	主機訪問控制策略設(shè)定+堡壘機
		應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限	由操作系統(tǒng)自身的權(quán)限控制實現(xiàn)，可由堡壘機負責	主機訪問控制策略設(shè)定+堡壘機
		應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離	系統(tǒng)分級管理、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶分離，由不同的管理員實行特權(quán)	主機訪問控制策略設(shè)定+堡壘機
		應(yīng)嚴格限制默認賬戶的訪問權(quán)限，重命名系統(tǒng)默認賬戶，修改這些賬戶的默認口令	漏掃系統(tǒng)定期檢查系統(tǒng)默認賬戶口令	主機訪問控制策略設(shè)定+堡壘機
		應(yīng)及時刪除多余的、過期的賬戶、避免共享賬戶存在	定期檢查系統(tǒng)多余賬號，員工離職或調(diào)崗需提交賬戶銷戶申請	主機訪問控制策略設(shè)定+堡壘機
		應(yīng)對重要信息資源設(shè)置敏感標記	基于安全標志實施強制訪問控制、控制主體對客戶的操作	操作系統(tǒng)加固
		應(yīng)依據(jù)安全策略嚴格控制用戶對敏感標記重要信息資源的操作	基于安全標志實施強制訪問控制、控制主體對客體的操作	操作系統(tǒng)加固

2.4.實施要點（數(shù)據(jù)安全、應(yīng)用安全）

應(yīng)用安全
身份鑒別	組合鑒別技術(shù)
訪問控制	敏感標記的設(shè)置
安全審計	審計報表及審計記錄的保護
剩余信息保護	敏感信息清楚、存儲空間釋放
通信完整性	加密技術(shù)
通信保密性	通信完整性、保密性，加密技術(shù)整個報文及會話傳輸過程加密
防抵賴	原發(fā)證據(jù)的提供
軟件容錯	出錯校驗、自動保護
資源控制	資源分配、優(yōu)先級、最小化服務(wù)及檢測報警
數(shù)據(jù)安全
數(shù)據(jù)完整性	數(shù)據(jù)存儲、傳輸，完整性檢測和恢復(fù)
數(shù)據(jù)保密性	數(shù)據(jù)存儲、傳輸、加密保護
備份和回復(fù)	冗余、備份

2.5.等保三級基本要求

三級系統(tǒng)安全保護環(huán)境基本要求與對應(yīng)產(chǎn)品
使用范圍	基本要求	產(chǎn)品類型
安全計算環(huán)境	網(wǎng)絡(luò)結(jié)構(gòu)(VLAN劃分)	三層交換機（防火墻）MPLS VPN
	訪問控制（權(quán)限分離）	主機核心加固系統(tǒng)
	入侵防范（檢測告警）	主機入侵檢測產(chǎn)品（HIDS）
	備份恢復(fù)（數(shù)據(jù)備份）	設(shè)備冗余、本地備份（介質(zhì)場外存儲）
	數(shù)據(jù)完整性、保密性	VPN設(shè)備
	剩余信息管理	終端綜合管理系統(tǒng)
	身份認證（雙因素）	證書、令牌、密保卡
	惡意代碼防范（統(tǒng)一管理）	網(wǎng)絡(luò)版主機防病毒軟件
安全區(qū)域邊界	區(qū)域邊界訪問控制（協(xié)議檢測）	防火墻（IPS）
	資源控制（優(yōu)先級控制）	帶寬管理、流量控制設(shè)備
	區(qū)域邊界入侵檢測	IDS
	區(qū)域邊界惡意代碼防范	防病毒網(wǎng)關(guān)、沙箱
	區(qū)域邊界完整性保護	綜端綜合管理系統(tǒng)
安全通信網(wǎng)絡(luò)	通信網(wǎng)絡(luò)安全審計	上網(wǎng)行為管理
安全通信網(wǎng)絡(luò)	數(shù)據(jù)傳輸完整性、保密性保護	VPN設(shè)備
安全管理中心	系統(tǒng)管理	安全管理平臺
安全管理中心	審計管理（網(wǎng)絡(luò)、主機、應(yīng)用）	安全審計系統(tǒng)