根據(jù)相關(guān)的設(shè)計呢在網(wǎng)絡(luò)架構(gòu)��、安全設(shè)備等方面過等保二級或者等保三級是沒有問題的�,但是網(wǎng)絡(luò)安全等級保護不僅僅是看這些方面���,等保測評一共可以分為安全技術(shù)�����、安全管理兩個大的方向��,每個方向又分為5個小的方面���,一共是10個方面。安全技術(shù)方面:安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界��、安全計算環(huán)境、安全管理中心。安全管理方面:安全管理機構(gòu)、安全管理人員�、安全管理制度��、安全建設(shè)管理、安全運維管理��。所以在整個等保測評中��,純粹堆安全設(shè)備不能夠完全順利的通過等保�,關(guān)鍵還在于對于信息系統(tǒng)的平時運維運營的怎么樣。這也是非常關(guān)鍵且重要的�,如果只是單純的堆設(shè)備的話,不注重平時的運維管理:例如系統(tǒng)補丁更新��、高危漏洞封堵���、軟件版本迭代�����、安全策略維護等等��,那么也是非常難以順利通過的�,要進行反復(fù)的整改工作��。那么下邊就介紹一下就做過的項目中�,那些是經(jīng)常遇到的問題:問題1����、防火墻��、IPS等防護設(shè)備特征庫長時間未更新解決辦法:如果設(shè)備已過期�,及時的聯(lián)系廠家購買維保���,如果license還沒有過期���,那么如果處于內(nèi)網(wǎng)環(huán)境可以從各個廠商的官網(wǎng)上下載特征庫然后導(dǎo)入到設(shè)備中,完成更新即可����。如果可以連接互聯(lián)網(wǎng),那么一般在系統(tǒng)設(shè)置中可以設(shè)置更新網(wǎng)址連接地址�����、自動更新規(guī)則(如何每天晚上)等等��,即可完成自動更新���。問題2����、系統(tǒng)中日志記錄不全、存儲時間未滿足6個月時長����,還有就是未部署統(tǒng)一的日志存儲收集設(shè)備(日志審計)。解決方法:聯(lián)系對應(yīng)的開發(fā)廠商�����,修改日志的級別����,例如將info級別的日志升級到warning或者error等等,以記錄更多有關(guān)于系統(tǒng)���、軟件操作層面的日志信息�����,總之日志要記錄的比較全面而且存儲180天����,對于服務(wù)器硬盤存儲不夠的問題����,那就是加硬盤或者轉(zhuǎn)移到其他專用的日志存儲服務(wù)器上去了���。沒有部署統(tǒng)一日志存儲收集設(shè)備那就是氪金�,買日志審計,上設(shè)備
?問題3�����、系統(tǒng)開啟了遠程登錄但未開啟RDP安全層�����,開啟了135-139�����、445等高危端口解決方面:這類問題屬于基線配置問題����,手動處理就好,既不用氪金也不用費多大力氣�����,21、23�、139、445等高危端口通過Windows��、Linux防火墻進行限制就好���,如果確實用不到�,直接關(guān)閉就好�����。至于未開啟RDP安全層那就更簡單了���,在本地組策略編輯器里開啟就好問題4�、系統(tǒng)密碼策略不合規(guī)�、未配置登錄失敗處理功能解決方法:這類問題也是基線配置問題,手動配置了就行�,Windows系統(tǒng)在本地安全策略中,Linux服務(wù)在/etc/login.defs /etc/security/pwquality.conf(centos)��、/etc/pam.d/common-password(Ubuntu)等配置文件中�。問題5、系統(tǒng)未安全殺毒軟件���、殺毒軟件病毒庫未及時更新解決方法:如果是內(nèi)網(wǎng)�����,使用的360�����、火絨之類的����,卸載重裝即可����,如果是可以連通互聯(lián)網(wǎng),直接安裝即可�。如果是按照企業(yè)版的殺毒軟件、EDR等等����,咨詢對應(yīng)的廠商更新即可問題6、網(wǎng)絡(luò)架構(gòu)劃分不合理�����,內(nèi)外網(wǎng)混用,未針對業(yè)務(wù)��、終端等使用者類型進行劃分VLAN���、安全策略嚴重失效�����,存在any策略等等��。解決措施:1���、網(wǎng)絡(luò)架構(gòu)不合理、內(nèi)外網(wǎng)混用問題���,這個問題需要采購設(shè)備進行大力的整改��,將內(nèi)外網(wǎng)進行分離��,中間采用網(wǎng)閘進行隔離�����。2�、未針對業(yè)務(wù)、終端����、管理等業(yè)務(wù)類型進行劃分VLAN,進行網(wǎng)絡(luò)架構(gòu)重新規(guī)劃��,業(yè)務(wù)�����、終端���、管理三者分開,在網(wǎng)絡(luò)層通信上可以通過VLANIF進行通信��,然后還可以通過防火墻來做相互之間的訪問控制�����,達到精細化控制的效果���。3����、對防火墻策略、交換機ACL進行細化��,刪除any to any策略����,清除無效的、冗余的策略����。問題7、未采取完整性措施保證重要數(shù)據(jù)的傳輸完整性解決辦法:這種類型的問題就是遠程管理手段使用了http��、Telnet這類的遠程管理方式�,沒有采用加密手段,無法保證數(shù)據(jù)在傳輸過程中的完整性和機密性�����,因此整改手段就是:1���、針對安全設(shè)備�����,關(guān)閉telnet�、http等方式,web上開啟https方式��,登錄后臺開啟ssh方式����。而且ssh要是v2的版本。2�、網(wǎng)絡(luò)設(shè)備,關(guān)閉telnet�����、http的管理方式����,開啟stelnet��、https��、ssh的方式進行遠程管理�����。問題8�����、Linux系統(tǒng)未禁止root用戶直接登錄解決辦法:禁止root用戶直接登錄,通過普通用戶進行登錄����,再su切換到root用戶。問題9�、信息系統(tǒng)沒有任何的備份措施,連本地備份也沒有���,這個也是一個高風(fēng)險項�。解決方法:三級及以上的信息系統(tǒng)原則上要求異地備份�����,但實際上如果有本地備份也是可以的���,不能完全消除測評的問題�����,但是可以從高危降為中危�,這樣就不存在高危問題了,如果其他方面整改的比較好�,達到70分以上,就可以通過等保測評�。如果要實現(xiàn)本地備份,可以通過自建備份服務(wù)器�����,通過腳本等方式實現(xiàn)自動化備份數(shù)據(jù)�,要么就購買備份一體機。問題10�����、信息系統(tǒng)存在高危漏洞����、例如XSS漏洞、SQL注入漏洞�、越權(quán)漏洞等等,漏掃掃出來一大堆緊急���、高危的漏洞等等。解決方法:對數(shù)據(jù)庫進行打補丁或者對數(shù)據(jù)庫進行版本升級�����,但是這肯定會影響業(yè)務(wù),根據(jù)情況來決定����。如果無法完成打補丁或者版本升級,那么就使用防火墻來限制�,漏掃掃不到那就證明沒有
以上10點就是在等保測評中經(jīng)常會遇到的安全技術(shù)方面問題,這只是大多數(shù)系統(tǒng)的共性問題�����,有些系統(tǒng)可能根據(jù)其特點有一些獨有的問題����,不在此列出。安全管理問題基本上就是一些安全制度上的問題��,常見的問題例如:3��、沒有成立對應(yīng)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機構(gòu)4����、沒有網(wǎng)絡(luò)安全應(yīng)急預(yù)案5�、沒有響應(yīng)的資產(chǎn)管理臺賬7����、沒有相應(yīng)的變更申請、批準記錄�,沒有建立變更管理制度等8、沒有進行日常的網(wǎng)絡(luò)安全培訓(xùn)�,沒有建立長效規(guī)范的培訓(xùn)規(guī)范等等上述內(nèi)容就是結(jié)合當(dāng)前信息系統(tǒng)的測評現(xiàn)狀��、所發(fā)現(xiàn)的問題整理的一個常見問題列表�,不一定所有系統(tǒng)都存在這些問題,但是大多數(shù)系統(tǒng)可能都有這其中的幾點問題����,這些問題也是比較常見的。
閱讀原文:原文鏈接
該文章在 2025/9/16 11:55:36 編輯過
400 186 1886
