等保2.0系列之安全通用要求第一级别之安全计算环境
首先我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。
这章介绍的是第一级别安全计算环境的七个控制点,分别为身份鉴别,访问控制,入侵防范,恶意代码防范、可信验证、数据完整性、数据备份恢复。
首先,什么是安全计算环境一句话:安全计算环境,就是你的“计算设备”本身(服务器、个人电脑、云主机等)以及它上面运行的“东西”(操作系统、应用软件、数据)所处的安全状态。
控制点1.身份鉴别,这是安全计算环境最基础的控制点,目的是分清楚每个访问者的身份,确保操作者不会是攻击者,对于如何达到要求,下方有张表格
| 具体要求 | 通俗理解 | 常见实现方式 |
|---|---|---|
| 身份标识唯一性 | 每个用户有独一无二的账号,不能共用 | 创建独立账号,不用“admin/123456”这种通用账户 |
| 口令复杂度 | 密码不能太简单 | 要求至少8位,包含大小写/数字/特殊字符 |
| 口令定期更换 | 密码要定期换 | 设置90天或180天有效期 |
| 登录失败处理 | 输错多次要锁住 | 连续5次失败锁定15分钟 |
| 超时自动退出 | 人走了要自动登出 | 设置15分钟无操作自动锁屏 |
第二控制点是访问控制,这是在鉴别身份后根据你的身份来决定你能做什么。注意这里的要求是针对计算环境内部的操作系统、数据库、应用系统级别的权限控制,与之前网络边界的“五元组ACL”不同。具体要求表格如下。
| 具体要求 | 通俗理解 | 常见实现方式 |
|---|---|---|
| 分配账户和权限 | 每个人只有完成工作所需的最小权限 | 普通用户不能装软件、改系统设置 |
| 重命名/删除默认账户 | 出厂自带的admin/guest要处理掉 | 改掉Administrator名字,禁用Guest |
| 修改默认口令 | 初始密码必须改 | 安装系统时强制要求改密码 |
| 删除多余/过期账户 | 离职员工、临时账号要及时清理 | 定期审计账号,人走号销 |
| 避免共享账户 | 不能几个人用同一个账号 | 每个人独立账号,可追溯 |
第三控制点是入侵防范,作为第一级要求核心是减少攻击面而不是主动检测攻击,核心是让自己没有太多可攻击处。具体要求表格如下。
| 具体要求 | 通俗理解 |
|---|---|
| 最小安装 | 只装必须的软件,不装游戏、下载工具、远程控制工具等 |
| 关闭不需要的系统服务 | 关掉打印服务(如果不需要)、关掉文件共享(如果不需要) |
| 关闭默认共享 | Windows的C、D、D这类隐藏共享要关掉 |
| 关闭高危端口 | 关掉135、139、445、3389等容易被攻击的端口(这些端口大多是为了满足一些同样可以用来攻击的服务开启的) |
第四控制点是恶意代码防范,第一级明确要求安装防恶意代码软件(杀毒软件),并定期更新病毒库。需要注意的是免费杀毒也合规,Windows自带Defender满足要求且必须开启自动更新,建议定期执行全盘扫描。
第五控制点是可信验证,还是老样子。‘可’,这个控制点在第一级是可选的,不强制。作用是在系统启动时检查引导程序和系统程序有没有被篡改。如果做,发现异常时需要有报警机制。
第六控制点是数据完整性,这个和之前的要求是一样的,第一级别只要求传输过程,不要求存储过程;只要求校验(防意外传错),不要求加密(防人为篡改)。
正如我们在《安全通信网络》一篇中提到的,第一级对数据传输只要求校验(防传错),不要求加密(防篡改)。计算环境的数据完整性要求与此一致,不额外增加存储加密的负担。”这样能强化系列感,让读者看到你每一篇之间是有逻辑衔接的。
第七控制点是数据备份恢复,要求“重要数据的本地数据备份与恢复功能”。本地备份指备份到同一机房的另一台设备、同一服务器的另一块硬盘、或同一云可用区的另一个存储桶。
小结:第一级“安全计算环境”的核心定位
一句话:把你的电脑/服务器收拾干净,管好账号密码,装好杀毒软件,做好备份。
这些要求不需要昂贵的设备,只需要良好的运维习惯。对于个人博客、小型展示网站这类第一级系统,按照这些要求做一遍,基本就能满足合规底线。