等級保護(hù)技術(shù)支撐:安全設(shè)備和滲透測試
等保方案在規(guī)范管理之外,。還要有相應(yīng)的技術(shù)作為支撐,這里的技術(shù)包括設(shè)備和滲透測試,本次主要想與大家聊的其實就是這部分。
1
設(shè)備
等保中會看的安全設(shè)備包括很多,比如WAF、抗DDoS、堡壘機、綜合日志審計、數(shù)據(jù)庫審計、IPS/IDS、殺軟、漏洞掃描等等。我們一一敘述。
1)WAF
在安全建設(shè)時為了節(jié)約安全投入,是采用的開源WAF,沒有界面,甚至除了規(guī)則沒有一個符合以上要求,在這里給采用開源WAF的安全從業(yè)者一些建議:
(1)采用體系內(nèi)存在的日志管理來做后臺登錄界面
(2)告警通過郵件方式告警即可,這里需要自行編寫判斷發(fā)送郵件的腳本
(3)大部分開源WAF都支持自定義規(guī)則,升級一般通過手動方式升級,這里可以明言手動方式升級,對于等保的認(rèn)證沒有影響,可以升級就行
(4)界面化的操作如果實現(xiàn)困難可以和等保檢查人員說是后臺操作,需要登錄服務(wù)器改配置文件,只不過這里算是一個建議型問題。
2)抗DDoS
如果是云環(huán)境的業(yè)務(wù),云基礎(chǔ)防御中存在抗DDoS功能的,直接把這個模塊展示給等保的檢查人員即可。物理機房建議購買一臺,因為開源市場上成型的抗DDoS產(chǎn)品確實很少。在這里會看你的閥值設(shè)置,日志查詢和存儲情況。
3)堡壘機
關(guān)于堡壘機在等保中會問到的具體問題如下:
(1)有沒有登錄界面
(2)登錄用戶有沒有身份限制
(3)登錄次數(shù)有沒有做控制
(4)登錄是否有失敗鎖定
(5)角色是否分為:管理員、普通用戶、審計管理員
(6)每個角色是否存在越權(quán)行為
(7)每個角色是否開啟雙因素認(rèn)證
(8)審計日志是否保留3個月以上
(9)審計工作是否被執(zhí)行(執(zhí)行記錄)
(10)堡壘機后臺是否為分段密碼
(11)是否采用HTTPS登錄,版本是什么
4)綜合日志審計
一般采用syslog就足夠了,當(dāng)然如果是為了運營安全著想,要時常做日志分析,對于廠商設(shè)備來說分析工作會相對簡單一些,采用syslog自行分析日志開發(fā)工作量會增大。這里會問的問題就相對比較少:
(1)是否集中了所有日志
(2)日志分析工作是否開展(證據(jù))
(3)是否保留6個月以上日志
5)數(shù)據(jù)庫審計
對于數(shù)據(jù)庫審計,建議采用廠商設(shè)備,開源的數(shù)審大多以插件為主。會問到的問題與WAF大同小異。
6)IPS/IDS
這塊主要看是否存在即可,沒有問太細(xì)的東西,推薦是使用開源的IDS就足夠了。
7)殺軟
這塊主要的問題如下:
(1)是否存在殺軟
(2)是否定時查殺
(3)是否審查與修復(fù)(證據(jù))
2
滲透測試
這里其實包括兩大類:
1)基線安全
基線安全是服務(wù)器基礎(chǔ)配置安全,包括SSH配置文件的配置,/etc/passwd是否存在不唯一的為0的UID,密碼周期是否為90天等等。關(guān)于基線安全的掃描,如果是云環(huán)境,存在基線安全檢測,但是我個人更推薦是基線檢測腳本,因為如果使用云廠商的,需要投入資金。
2)應(yīng)用安全
包括所有應(yīng)用和網(wǎng)絡(luò)方面的滲透測試,這部分只能看平時工作的效果了,沒有什么建議,最大的建議是當(dāng)時過檢人員測出有什么漏洞及時修正就好了。
等保測試記住一個原則,誰都是需要體現(xiàn)工作量的,他們不可能給你評100,差不多就行。