1、身份验证。
身份验证需要确保所有关键设备和业务系统,如网络设备、安全设备、重要服务器、数据库服务器备和业务系统没有弱密码、空密码账户登录。
在保证无弱密码和空密码的前提下,所有重要设备都需要通过双因素认证登录,特别是对于核心业务应用系统,不仅要使用基本的用户名/密码。常用的牌、智能卡、生物指纹、虹膜识别、人脸识别等高级认证技术。
对于远程管理和维护的操作,建议通过堡垒机统一身份认证系统识别登录用户,并定期更改密度。同时,利用SSLVPN建立加密隧道,防止数据在远程传输过程中被窃听。
2、访问控制。
当应用程序系统访问控制功能缺失,用户对系统功能、数据访问和系统访问策略的缺陷无法按照设计策略进行控制时,系统被判定为高风险。
针对此类问题,建议将承载关键业务系统的服务器划分为单独的区域,部署第二代防火墙设备进行边界隔离和深度过滤访问。同时,有明确的管理制度,不允许本地操作或访问控制本地操作。
远程操作控制访问控制策略,部署堡垒机控制用户行为。非业务系统的网络设备、主机设备、服务器设备只需删除默认账户,修改默认密码,无法通过默认账户和默认密码登录满足最基本的要求。
3、安全审计。
当应用程序系统(包括前端系统和后台管理系统)没有任何日记审计功能,无法审计用户的重要行为,也无法追溯时间时,可以确定为高风险。
针对这种情况,建议对网络边界的重要网络节点进行安全审计,审计应覆盖每个用户,审计重要的用户行为和重要的安全事件。
网络攻击行为检测、分析和记录网络攻击行为,并利用数据库设计审计数据库访问行为。
第三方日志审计系统通常用于筛选可能存在的安全风险,除收集常规日志记录外。
4、入侵防范。
应遵循最小安装原则,只安装所需组件和应用程序,关闭不必要的系统服务,默认共享和高风险端口。
通过设置终端接入模式或网络地址范围来限制通过网络管理的终端。提供数据有效性检测功能,确保人机接口输入或通过通信接口输入的内容符合系统设置要求。
对于一些可以直接在互联网上访问的设备和系统,必须尽快修复公共渠道披露的重大漏洞。特别是业务应用系统,现阶段SQL注入和跨站脚本都是高风险漏洞,会对业务应用系统的正常运行造成严重后果。
5、恶意预防。
应采取技术措施或主动免疫可信验证机制,及时识别入侵和病毒行为,及时有效阻断。工业控制系统等相对封闭的网络需要安装白名单软件来防止恶意代码。
6、数据完整性
采用验证技术或密码技术,确保传输和存储过程中重要数据的完整性,包括但不限于识别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。
同时,所有应用业务系统产生的重要数据都应在本地备份。对于一些特殊领域,如金融、交通等,需要在不同的地方备份。原则上,同城机房直接距离不低于30公里,跨省市机房直线距离不低于100公里。
7、数据的保密性。
重要数据在传输和存储过程中的保密性应采用密码技术,包括但不限于识别数据、重要业务数据和重要个人信息。加密隧道可以通过VPN建立,以确保数据传输的保密性。
等保三级的些关键点以及意义
网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。制定和完善网络安全等级保护制度具有重要意义,是我国网络安全的基石,是维护国家安全、社会秩序和公共利益的根本保障。
没有网络安全就没有国家安全不仅是一个概念,也是国家、企业和组织实施网络安全标准的基本原则。金融、电力、广电、医疗、教育等行业已经发布了行业保险要求文件。
满足等级保护建设的要求,不是盲目积累产品,而是梳理网络和业务系统。只有满足企业网络特点,业务特点的方案设计才是合适的等级保护解决方案。
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询