高危埠怎麼防止
在《網路安全法》出臺後,等級保護制度上升到法律層面。在此背景下孕育出來等保
2。0標準體系也進行了大的升級,在原等級保護核心標準(基本要求、測評要求、設計要求)的基礎上,進行重新修訂,整個標準體系制定為一個矩陣,針對每一個特定的安全領域,做出相應的擴充套件要求,比如雲計算領域,制定雲計算擴充套件要求。
雖然雲等保不是新鮮事物,然而使用者還是一知半解,實際上,雲等保是在原等保框架下新增了擴充套件要求。對比傳統等保而言,雲等保在定級、備案、建設整改、測評、監督檢查等環節上的工作都必不可少。雲等保總體分為兩個部分,技術要求及管理要求。物理和環境安全可以複用雲平臺自身的安全檢測結果,而其它技術要求則需要透過雲上安全服務產品進行滿足。
對於雲服務商而言,在自身已知的領域上加大對雲等保的研究,往往比較容易,但對於
雲租戶
而言,因為專業水平有限,且對相應法規條例的關注和解讀並不及時,整體處於被動、弱勢中。希望透過本文對等保條例的深入解讀,幫助雲租戶們減少知識盲區,同時透過對照必備的安全防護措施進行查缺補漏,
構建更加健全、立體的雲上安全防護體系
。
在基礎網路環境已經滿足等保的前提下,從雲租戶的角度出發,以下的
安全防護措施
是需要雲租戶進行提供的:
安全防護措施
日誌審計(每臺伺服器)
資料
庫審計(需要覆蓋到所有的資料庫)
主機入侵檢測及惡意程式碼檢測(每臺伺服器)
WEB安全防火牆
SSL證書(實現https資料加密傳輸)
雲防火牆
堡壘機
防篡改
1、態勢感知(含日誌審計功能)
【安全區域邊界
-入侵防範】b)應在關鍵網路節點處檢測、防止或限制從內部發起的網路攻擊行為;
測評項解讀:
此項要求有相關安全裝置,如:抗APT攻擊系統、網路回溯系統、威脅情報檢測系統、態勢感知或相關元件具有檢測、防止或限制內部發起的網路攻擊行為的功能;
【安全計算環境
-安全審計】c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
測評項解讀:
此項要求裝置產生的日誌需要定期做備份,實現審計記錄的保護。
【安全管理中心
-集中管控】d)應對分散在各個裝置上的審計資料進行收集彙總和集中分析,並保證審計記錄的留存時間符合法律法規要求;
測評項解讀:
此項要求系統涉及的網路裝置、安全裝置、伺服器、中介軟體、應用系統、管理平臺等相關日誌統一收集和分析,並且審計記錄留存時間滿足180天。
態勢感知可以收集各品牌的網路裝置、安全裝置、中介軟體、伺服器、應用系統日誌。透過日誌格式正規化化可以將收集到的日誌進行研判分析,透過不同的安全事件規則識別出是否存在外部攻擊、內網滲透、惡意檔案等,同時可以透過平臺及時進行處置。
所以將相關裝置日誌接入態勢平臺,可以符合以上三項要求。透過對收集的日誌進行分析,滿足防止或限制從內部發起的網路攻擊行為。日誌實時推送至態勢感知平臺,滿足集中收集日誌及備份儲存180天。
圖
1
日誌接入後資料展示
2、資料庫審計
【安全計算環境
測評項解讀:
以上要求項測評物件為資料庫、資料庫軟體開啟審計功能,並且對應的審計記錄需要實現儲存180天;或者是透過第三方的資料庫審計系統來實現資料庫操作的審計。
方法1:安裝部署安全狗資料審計系統。安全狗資料庫審計系統可以對審計和事務日誌進行審查,從而跟蹤各種對資料庫操作的行為,最終滿足以上四項要求項。主要審計內容為對資料庫的操作、對資料庫的改變、執行該專案操作的人以及其他的屬性。審計資料記錄到安全狗資料庫審計系統中具備較高的準確性和完整性,並且可以實現備份儲存180天。
方法2:資料庫軟體開啟審計功能。(開啟審計功能有可能影響資料庫的正常執行,開啟之前建議先做測試),且開啟後對應的審計記錄需要透過指令碼或是手動定期做備份,以實現日誌留存180天。
3、雲眼(主機入侵檢測及惡意程式碼檢測)
說明:
對於伺服器數量較多的情況,可以透過雲眼的基線檢查功能模組,對所有主機進行基線檢測,並可以將檢查結果匯出報告,對有不符合的主機再做進一步的整改。
【安全計算環境
-入侵防範】b)應關閉不需要的系統服務、預設共享和高危埠;
測評項解讀:
此項有3個要求
關閉多餘的服務如:lerter、Remote Registry Servicce Messsenger,、ask Scheduler、telnet
預設共享:Windows作業系統在安裝完成後,自動設定共享的目錄為:C盤、D盤、E盤、ADMIN目錄(C:\Windows)等,即為ADMIN$、C$、D$、E$等
高危埠(例如135,137,138,139,445,3389等)
針對要求1:透過執行——》services。msc,禁用或停止多餘的服務。
針對要求2:透過執行——》cmd——》net share xxx /delete( 關閉xxx預設共享)
針對要求3:可以透過雲眼-安全防護-防護設定-埠安全,開啟嚴格模式,僅開放只規則中的埠,關閉規則外所有埠。
對以上3個要求進行修改即可符合該項要求。
圖
2
雲眼(開啟嚴格模式)
【安全計算環境
-入侵防範】c)應透過設定終端接入方式或網路地址範圍對透過網路進行管理的管理終端進行限制;
測評項解讀:
此項要求遠端管理伺服器的IP地址做限制,僅運維人員可以遠端管理伺服器。
透過雲眼-安全防護-防護設定-埠安全,常見的遠端埠3389、22新增例外IP。即可符合該項要求。
圖
3
雲眼(IP地址限制)
【安全計算環境
-入侵防範】e)應能發現可能存在的已知漏洞,並在經過充分測試評估後,及時修補漏洞;
測評項解讀:
此項要求定期對伺服器進行漏洞掃描,並對發現的安全漏洞進行及時修補。
透過雲眼-安全體檢-安全體檢策略,配置系統漏洞定時體檢。體檢中發現的問題及時進行整改和修復。即可符合該項要求。
圖
4
漏洞掃描結果
圖
5
開啟定時體檢
【安全計算環境
-入侵防範】f)應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供報警。
測評項解讀:
此項要求網路邊界、伺服器區域發生安全事件時有相關軟體或裝置可以提供告警功能。
雲眼-告警設定-配置接收告警的手機號或者郵箱,告警選項配置-勾選入侵威脅告警,伺服器配置中新增監控的伺服器資產,即可符合該項要求。
圖
6
新增接收告警的手機號或者郵箱
圖
7
勾選入侵威脅告警
圖
8
新增監控資產
【安全計算環境
-惡意程式碼防範】a)應採用免受惡意程式碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,並將其有效阻斷。
測評項解讀:
此項要求伺服器上安裝有防毒軟體,且病毒庫保持為最新。
雲眼-安全防護-防護設定,開啟病毒防護,即可符合該項要求。
圖
9
開啟病毒防護
4、雲御(WAF)
【安全區域邊界
-訪問控制】e)應對進出網路的資料流實現基於應用協議和應用內容的訪問控制。
測評項解讀:
此項要求在網路邊界採用下一代防火牆、IPS、WAF或相關安全元件,配置應用訪問控制策略,對應用協議、應用內容進行訪問控制,實現對Web服務等進行管控。
雲御可以對請求的內容進行規則匹配、行為分析等識別出惡意行為,並執行阻斷、記錄、告警等相關動作。而且雲御可以遮蔽常見的網站漏洞攻擊,如SQL注入,XML注入、XSS等。
所以部署雲御可以符合該項要求,滿足對進出網路的資料流的訪問控制。
圖
10
常見web攻擊的檢測和攔截
5、SSL證書
【安全管理中心
-集中管控】b)應能夠建立一條安全的資訊傳輸路徑,對網路中的安全裝置或安全元件進行管理;
【安全計算環境-身份鑑別】c)當進行遠端管理時,應採取必要措施防止鑑別資訊在網路傳輸過程中被竊聽;
【安全計算環境-資料完整性】a)應採用校驗技術或密碼技術保證重要資料在傳輸過程中的完整性,包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等;
【安全計算環境-資料保密性】a)應採用密碼技術保證重要資料在傳輸過程中的保密性,包括但不限於鑑別資料、重要業務資料和重要個人資訊等;
測評項解讀:
以上要求項測評物件為系統中涉及的網路裝置、安全裝置、伺服器、應用系統以及系統管理平臺,要求需要透過加密傳輸進行裝置的遠端管理,防止鑑別資料和重要資料在傳輸過程中的保密性和完整性。
·要求項1、網路裝置、安全裝置需支援https、ssh遠端管理,一般為廠家裝置的預設配置,使用者不涉及相關整改。
·
要求項2、Linux伺服器禁用telnet協議,採用ssh協議進行遠端管理;Windows伺服器開啟遠端(RPD)連線要求使用指定的安全層:SSL,進行遠端管理。
·
要求項3、應用系統:HTTPS採用加密協議訪問,保障資料的安全。SSL證書大部分使用者都是自己部署的,可以透過購買SSL證書進行程式調整即可。(免費的SSL證書的加密效果很差,很容易被破解。)
6、雲防火牆
【安全區域邊界-邊界防護】a)應保證跨越邊界的訪問和資料流透過邊界裝置提供的受控介面進行通訊;
【安全區域邊界-入侵防範】a)應在關鍵網路節點處檢測、防止或限制從外部發起的網路攻擊行為;
【安全區域邊界-入侵防範】d)當檢測到攻擊行為時,記錄攻擊源IP、攻擊型別、攻擊目標、攻擊時間,在發生嚴重入侵事件時應提供報警。
測評項解讀:
以上測評項要求在出口邊界處部署專用的訪問控制裝置,對進出的資料流進行管控。且該裝置針對目前常見的攻擊需要具有有效的安全檢測、防護能力,發生入侵事件時能夠及時傳送簡訊或者郵箱告警。
雲防火牆提供流量監控、精準訪問控制、實時入侵防禦等功能。對出、入網際網路的訪問流量進行管控,攔截來自網際網路的攻擊和威脅,例如駭客入侵、挖礦和惡意流量等。實現對來自網際網路的威脅進行實時檢測和阻斷。
部署使用該產品,按照實際的業務需求建立嚴格的訪問控制策略,即可滿足以上測評要求。
7、堡壘機
【安全管理中心
-系統管理】a)應對系統管理員進行身份鑑別,只允許其透過特定的命令或操作介面進行系統管理操作,並對這些操作進行審計;
【安全管理中心-系統管理】b)應透過系統管理員對系統的資源和執行進行配置、控制和管理,包括使用者身份、系統資源配置、系統載入和啟動、系統執行的異常處理、資料和裝置的備份與恢復等。
【安全管理中心-審計管理】a)應對審計管理員進行身份鑑別,只允許其透過特定的命令或操作介面進行安全審計操作,並對這些操作進行審計;
【安全管理中心-審計管理】b)應透過審計管理員對審計記錄應進行分析,並根據分析結果進行處理,包括根據安全審計策略對審計記錄進行儲存、管理和查詢等。
【安全管理中心-安全管理】a)應對安全管理員進行身份鑑別,只允許其透過特定的命令或操作介面進行安全管理操作,並對這些操作進行審計;
【安全管理中心-安全管理】b)應透過安全管理員對系統中的安全策略進行配置,包括安全引數的設定,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。
測評項解讀:
以上測評項要求系統涉及網路裝置、安全裝置、伺服器等相關裝置的管理,均透過三權賬戶(系統管理員、審計管理員、安全管理員),且透過特定的操作介面進行系統管理、安全審計、安全配置等操作。
堡壘機可以實現嚴格的許可權控制,使用者只能運維堡壘機中已授權的裝置,降低越權操作和高危操作的風險。所有遠端運維操作均可進行審計錄影,方便事後追蹤溯源,滿足合規建設要求。因此部署堡壘機,且所有運維人員均透過堡壘機統一操作,即可滿足以上要求項。
8、雲固(網頁防篡改)
【安全計算環境
-入侵防範】f)應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供報警。
測評項解讀:
此項要求網路邊界、伺服器區域發生安全事件時有相關軟體或裝置可以提供告警功能。
【安全計算環境
-資料完整性】b)應採用校驗技術或密碼技術保證重要資料在儲存過程中的完整性,包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等。
測評項解讀:
此項要求重要資料儲存時不被篡改,保證重要資料儲存的完整性。
雲固防篡改系統可實現網站安全執行保護,有效協助維護政府和企業形象,保障網際網路業務的正常運營,徹底解決網站被非法修改的問題。網路攻擊者通常會利用被攻擊網站中存在的漏洞,透過在網頁中植入非法暗鏈對網頁內容進行篡改等方式,進行非法牟利或者惡意商業攻擊等活動。
安全狗雲固可實時監控網站目錄並透過備份恢復被篡改的檔案或目錄,保障重要系統的網站資訊不被惡意篡改,防止出現掛馬、黑鏈、非法植入恐怖威脅、色情等內容。因此部署安全狗雲固可以滿足以上兩項要求。
隨著
5G、雲計算、大資料中心、人工智慧
等多項新技術推動數字化經濟的深入發展,雲租戶們也需實時瞭解(雲)等保合規的相應要求,積極主動地做好雲上安全管理核驗,才能以“不變應萬變”,享受雲上安全帶來的便利性。