欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

新坑开放:等保2.0标准个人解读(一)

来源:本站整理 作者:佚名 时间:2019-08-13 TAG: 我要投稿

从事安全合规工作多年,经常会有同事或朋友过来问我一些标准中的点,比如后端实施的一些工程师和项目经理比较关心的是测评中要求项的测评方法和测评点、如何给客户解释此项,如何整改才算合规;也有前端销售和售前,问我能不能对合规的内容详细给他们讲讲,最好结合产品和服务,或者培训一下,他们关心的是如何将合规的东西结合产品或服务灌输给客户,因为几年来国家对网络安全的要求越来越严格,企业对安全也是越来越重视,不管是为了应付监管还是为了保障业务,安全合规可以说是企业安全的基线,必须要做没有商量。所以,决定结合即将实施的等保2.0(以下简称“等2”或“新标准”)标准的通用部分,做一下分析,给出一些个人建议,以供前端和后端人员参考。
标准的东西其实不是硬性规定,其具备灵活性,同样一条标准可以通过不同方式来实现,完全可以结合企业自身环境特点来应对,我一直以来的原则是做好安全的过程中顺便将合规一起做掉,而不是为了应付检查而被动的去对标标准做合规。而且,做安全也不要太局限于技术层面,管理其实更为重要,这就是为何等保中有技术也有管理的原因。
本指南(说指南其实有点过,先这么叫,后边再改)适用对象包括:甲方企业IT相关部门、乙方信息安全相关企业、第三方合规研究部门。

说实话,新标准由很多新的要求项需要多方研究,结合一些技术细节而后才能进行解读,所以后续进展估计会比较慢。本篇算是开个头,把之前安全管理中心的东西贴过来(不然内容太少了,不好意思发),各位也可以直接去看那篇文章:《等保2.0安全管理中心要求解读》。
为了方便索引,统一用一个账号更新。本着分享和讨论的原则,希望大家多提问题和建议,一起研究,毕竟新的东西需要大家一起来完善。
后续会不定期更新,望各位多多支持。
正文
安全管理中心部分解读
本控制项为等级保护标准技术部分核心,名称虽像管理部分,但实则归为技术部分。本控制项主要包括系统管理、审计管理、安全管理和集中管控四个控制点,其中的集中管控可以说是重中之重,主要都是围绕它来展开的。
标准原文
8.1.5 安全管理中心
8.1.5.1 系统管理 a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
8.1.5.2 审计管理 a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
8.1.5.3 安全管理 a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
8.1.5.4 集中管控 a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; b) 应能够建立一条安全的信息传输路径,对网络中的安全设 备或安全组件进行管理; c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
主要的检查点如下:
系统、审计、安全管理
为何将这三部分放到一起来讲?从标准的要求项可以看出,描述上基本一致,只是针对三个岗位分别来说的。此处的三个岗位并不是网络安全中常说的三员,这里没有加入网络管理员,而是把审计管理员加了进来,可以看出新标准对审计的重视程度。
系统管理员身份鉴别(也适用于审计和安全管理员),说起来可以是大事也可以是小事,标准没具体说要如何来鉴别,按照对标准的理解来看,最起码要做到的就是双因子(或称双因素)验证,这是最基本的,即账户密码方式算一种(也可以像手机这种针对唯一设备的随机验证码)、堡垒机算一种、4A认证授权算一种、指纹和面部等生物识别算一种、声控算一种、身份密钥(可插拔U-Key或是卡片)算一种,诸如此类的选其中两种组合。但是,跳板机登陆后再用管理员身份登录系统,这种不算双因子验证,这是同一种鉴别方式用了两次,不要混淆双因子验证的含义。
系统管理员的权限控制(这里只从技术层面来说,不展开讲流程管理的内容),要求只允许特定的命令或操作界面来管理,并对操作进行审计。两点要求,至于特定命令这条,理解有些出入,也许适用一些定制化的自研系统,不过,这里用的是“或”,也就是说只要有后台登录界面供管理员登录,不要随便就能进入后台即可,而且管理员所有操作都要记录,可以查询。
另外一项要求则是,对于系统的一些关键性操作(参考原文),都要由系统管理员来操作,这就意味着只有管理员有权限做这些操作,而且管理员账户通常只有一个,其他用户没有相应权限进行此类操作。这点在系统开发时就要针对性设计,尤其对于外包的系统。
审计管理员主要职责在于审计分析,具体分析什么要根据企业实际情况,重点是记录的存储、管理和查询,即日志留存和保护工作,这点也是老生常谈,6个月全流量全操作日志,可查询,有备份,有完整性保护,避免被修改等(后边章节中会有解读)。
安全管理员主要负责安全策略的配置,参数设置,安全标记(非强制要求),授权以及安全配置检查和保存等。这里只提了部分要求的内容,实际中企业安全部门要管的事情很多。
总之,集中管控的6点要求主要强调的是具有权限的用户的特权管理及审计工作。为何要强调特权账户管理?做过安全的应该都了解,黑客利用漏洞进来,搞事情之前要提权(远程代码执行漏洞可直接拿到中间件管理权限的除外),拿到管理员权限后才可以为所欲为,因此,对这些账户有必要进行严格的保护。此处是Gartner给出的一些控制建议:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载