新等保三级安全通用要求 解决方案下(360)
5 方案价值
ü 技术领先
本方案引入业界领先的如威胁情报、态势感知、NGSOC、补天众测、天眼、天擎及EDR、代码卫士、天巡和智慧防火墙等安全产品,注重使用新等保强调的如可信计算、强制访问控制、审计追查、威胁溯源等核心关键技术,可为用户提供充分的先进的技术保障。
ü 体系完善
本方案可帮助用户在“等保2.0”时代下积极搭建 “防护为主,预警追溯并重”的安全持续能力,完善云安全事件事前、事中、事后综合防御体系;从技术和管理两个方面提出安全要求,在整体上保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证保护对象整体的安全保护能力。
ü 防御协同
本方案有序组织众多安全产品,考虑各个安全控制之间的互补性,关注各个安全控制在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制共同综合作用于保护对象上,使得保护对象的整体安全保护能力得以保证,从多角度实现共同关联防护,构成智能、联动的完整安全体系。
ü 管理集中
一站式新等保解决方案,构建安全管理中心,实现集中的安全管理、安全监控和安全审计等要求,省去多产品统一管理和兼容、联动的烦扰,减轻维护工作量。
6 落实等保要求
l 对标新等保的第三级安全通用要求。
l “物理和环境要求”不在本方案的撰写范畴。
6.1 网络和通信安全
6.1.1 网络架构
6.1.1.1 设计目标
a) 应保证网络设备的业务处理能力满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
d) 应避免将重要网络区域部署在网络边界处且没有边界防护措施;
e) 应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性。
6.1.1.2 设计实现
6.1.1.2.1 防火墙
a) 防火墙处理性能从4Gbps~160Gbps全系列型号覆盖,满足业务高峰期需要。
c)防火墙支持划分安全域,对接口进行区域划分,实现基于安全域的访问控制及应用安全等功能。
d)防火墙的安全策略基于源安全域、目的安全域、源地址/地区、目的地址/地区、服务、源端口、目的端口、协议等维度访问控制,并提供基于状态检测(基于TCP/UDP/ICMP/应用层协议)的动态深度过滤功能,为网络边界提供防护措施。
e)防火墙支持多链路接入,实现链路备份。并支持AA/AS的HA部署模式,保证防火墙硬件冗余。
6.1.1.2.2 行为管理
a)上网行为管理产品根据用户的带宽以及用户人数等因素不同,提供不同规格的硬件机型。
B)上网行为管理产品根据用户的带宽以及用户人数等因素不同,提供不同规格的硬件机型;
e)HA(High Availability),即为高可靠性,又称双机冗余,当两台设备工作在双机冗余工作模式时,一台为主机、一台为备机,主备机之间通过HA口进行连接。主备机之间的策略及用户认证信息即可通过HA口进行同步,保持主备机策略及上线用户信息完全一致,当主机出现故障时切换到备机,用户配置的策略仍然能正常使用,以达到上网行为管控的连续性和一致性。
6.1.1.2.3 网闸
a) 网闸全系列产品从200Mbps~8Gbps性能档次, 覆盖市场各类环境需求,满足业务高峰期需要;
c)网闸典型部署即隔离不同安全域网络,通过访问控制以及多种应用层过滤策略实现安全域间的数据交换与访问;
d) 网闸是部署在不同安全级别的网络之间,通过链路阻断、协议转换的手段,以信息摆渡的方式实现高效安全的数据交换。
e) 网闸支持双机热备以及多机负载部署模式,保证网闸产品的硬件冗余;同时提供主备冗余系统功能,当主系统出现故障时,备份系统仍可持续工作,保证自身系统的持续可用性;
6.1.1.2.4 数据库审计
a)b)数据库审计产品可根据数据库的类型、网络带宽、日志量大小等因素不同,提供不同规格的硬件机型。
6.1.1.2.5 运维审计
a)b)运维审计产品可根据数据库的类型、网络带宽、日志量大小等因素不同,提供不同规格的硬件机型。
C)运维审计产品采用双调度引擎技术和活集群机制,提供高可用HA。
6.1.1.2.6 WAF
a)b)web应用防火墙产品可根据带宽、防护站点数、根目录等因素不同,提供不同规格的硬件机型。
e)提供高可用HA,采用VRRP双机热备机制;并提供双系统保障,当硬件出现掉电问题时,设备可以自动跳bypass,保障网络畅通。
6.1.1.2.7 漏洞扫描
a)b)漏洞扫描系统采用国际领先的多核处理器技术,通过自主开发的SecOS安全操作系统,能够高效调用多个内核处理器并行扫描漏洞,提高产品扫描性能。在系统漏洞扫描、Web漏洞扫描并行扫描时,SecOS系统会自动分配CPU、内存资源,提高扫描的速度。
6.1.1.2.8 抗DDOS系统
a)b)默认支持
e)抗拒绝服务系统支持扩展集群方式,针对流量不断扩展的同时,与老旧设备形成集群扩展部署方式,旧设备与新设备形成一个整体的防御体系。采用Extensible Firewall Cluster Mode 即可扩展的集群模式,通过领先的数据分流技术,使得若干设备可组合形成更大的防护主体,提供海量攻击的防护解决方案。
6.1.2 通信传输
6.1.2.1 设计目标
a) 应采用校验码技术或加解密技术保证通信过程中数据的完整性;
b) 应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。
6.1.2.2 设计实现
6.1.2.2.1 防火墙
防火墙支持目前常用的几种VPN技术为PPTP、L2TP、IPSec、GRE、SSL及应用于Ipv6环境的6to4、isatap,通过这些技术可以为您搭建工作在不同网络层次的网关到网关、客户端到网关的虚拟专用隧道,支持MD5,sha-1等校验码技术和des、3des、aes-128、aes-256等加密技术保证通过程中的完整性和保密性。
6.1.2.2.2 网闸
a) 网闸产品在内外网主机交换数据时,需要进行协议转换,将标准协议剥离,转换为仅网闸内部可识别的私有格式协议,加密传送到对端主机,由对端主机进行数据校验,并逆向格式化,封装标准协议后,摆渡到目标服务器。
b) 在网闸进行数据交换业务时,可通过任务配置、部署模式选择加密方式,如:文件交换,可以选择加密(3des)模式传输;FTP访问、邮件访问、数据库访问基于标准TCP的协议访问,可以采用SSL通道方式,进行加密传输数据,以保障业务数据传输安全性;
6.1.3 边界防护
6.1.3.1 设计目标
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检查;
c) 应能够对内部用户非授权联到外部网络的行为进行限制或检查;
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。
6.1.3.2 设计实现
6.1.3.2.1 防火墙
a)防火墙的安全策略基于源安全域、目的安全域、源地址/地区、目的地址/地区、服务、源端口、目的端口、协议等维度访问控制,并提供基于状态检测(基于TCP/UDP/ICMP/应用层协议)的动态深度过滤功能,为网络边界提供防护措施。
b)c)防火墙支持802.1x认证功能,可以限制未经授权的用户/设备通过接入端口(access port)访问内网或者互联网。防火墙同时支持WEB认证功能,对内部用户非授权联到外部网络的行为进行限制或检查;
6.1.3.2.2 行为管理
b)c)共享接入模块的核心功能是能够识别出一个用户所使用的终端个数,不论这个用户采用的是分时分段上网,还是采用NAT路由或是代理同时上网的情形。该模块也可用于检测用户是否与其他终端共享网络,并对共享接入的终端数量进行控制,以达到防私接的目的。共享介入终端个数的识别,包括PC、移动终端的识别,并可分别配置允许共享接入的数量,对识别后的终端进行进一步的行为控制;
6.1.3.2.3 网闸
a) 网闸支持基于五元组的访问控制,同时针对各业务功能具有多种应用层过滤策略,如:文件类型过滤、关键字过滤、数据库表过滤、SQL语句过滤、FTP命令过滤、http方法过滤、mime类型过滤等等深度应用层过滤功能,为隔离网络边界提供有效的防护措施;
b) c) 网闸产品采用白名单策略,支持用户认证功能,同时SSL通道可将业务与用户进行绑定授权,针对非法用户的内外网访问进行限制或检查。
6.1.3.2.4 天巡
c) 天巡产品可以限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。
6.1.3.2.5 运维审计
c)运维审计产品提供多种用户认证方式的组合:支持数字证书、key、动态令牌、AD、RADIUS、静态口令,自身证书认证功能等多种认证方式,可与认证服务器进行联动,实现双因素及多因素认证。
6.1.4 访问控制
6.1.4.1 设计目标
a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d) 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
e) 应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
6.1.4.2 设计实现
6.1.4.2.1 防火墙
a)防火墙默认开通deny any策略,如果某一数据包不能命中安全策略列表中的任何一条安全策略时,将会执行安全策略默认动作:禁止,即用户没有在安全策略中明确某一数据包允许通过,则该数据包会被禁止通过防火墙。
b) 防火墙支持策略冗余检查,帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则,如果存在,就会在冗余策略列表中,将相应的安全策略显示出来,用户可以检查是否是因为配置重复、配置错误、规则顺序错误导致安全策略规则出现了冗余。
c)d)防火墙的安全策略基于源安全域、目的安全域、源地址/地区、目的地址/地区、服务、源端口、目的端口、协议等维度访问控制,并提供基于会话状态检测(基于TCP/UDP/ICMP/应用层协议)的动态深度过滤功能,为网络边界提供防护措施。
e) 防火墙支持针对邮件协议、文件传输协议、web应用协议、网页邮箱、云盘进行应用层的内容过滤。每一条内容过滤配置文件均可以选择对哪一些协议生效中的哪一些关键字生效。
内容过滤可以防止用户隐私、敏感数据泄露,可以禁止内网用户访问一些含有不良信息的邮件、文件、网页。
6.1.4.2.2 网闸
a)网闸默认为白名单策略,默认情况下拒绝来自网络上的任何通信请求;
c)d)网闸支持基于五元组的访问控制,同时针对各业务功能具有多种应用层过滤策略,如:文件类型过滤、关键字过滤、数据库表过滤、SQL语句过滤、FTP命令过滤、http方法过滤、mime类型过滤等等深度应用层过滤功能,为隔离网络边界提供有效的防护措施;
e) 不同的协议对应网闸上不同的功能模块,每一种功能模块中均具备应用层过滤策略;如:
文件交换:类型过滤、内容关键字过滤、文件名过滤、扩展名过滤等;
数据库访问:表名、sql语句、用户名过滤等;
FTP访问:命令过滤、用户过滤、上传/下载文件类型过滤等;
邮件访问:邮件列表过滤、附件过滤、正文关键字过滤等;
安全浏览:url过滤、mime类型过滤、http方法过滤、禁止/允许active等;
6.1.5 入侵防范
6.1.5.1 设计目标
a) 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b) 应在关键网络节点处检测和限制从内部发起的网络攻击行为;
c) 应采取技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析;
d) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
6.1.5.2 设计实现
6.1.5.2.1 防火墙/IPS/IDS
a)b)c)d) 防火墙支持入侵防御功能,通过部署在网络节点出口对双向流量检测和阻断,能有效防止从外部发起或者从内部发起的网络攻击行为。
防火墙通过和威胁情报云联动以及通过流量日志分析溯源,有效发现APT攻击行为或新型未知威胁并实现一键处置。对威胁所产生的时间、威胁类型、威胁名称、严重性、攻击者、攻击名称、受害者、受害者名称、应用、目的端口、样本等信息做记录并支持支持trap报警、邮件报警、声音报警、短信报警四种方式。
6.1.5.2.2 天眼
a)b)c)d) 天眼通过本地大数据分析技术结合威胁情报可以提供针对新型网络攻击的检测、响应以及溯源一体化解决方案。
天眼新一代威胁感知系统可基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的大数据平台,进行本地流量深度分析。
天眼能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源,帮助企业防患于未然。
6.1.5.2.3 数据库审计
a) 数据库审计产品支持对SQL注入、跨站脚本攻击等web攻击的识别与告警。
6.1.5.2.4 WAF
a)b)c)d) Web应用防火墙提供了细粒度的特征库,产品支持HTTP协议效验、Web特征库(基于OWASP标准)、爬虫规则、防盗链规则、跨站请求规则、文件上传/下载、敏感信息、弱密码检测等多种细粒度检测的特征库匹配规则。
6.1.5.2.5 抗DDOS
抗拒绝服务系统具备自主开发的独立防护算法,包含连接代理、数据转发、内核防护、数据挖掘等防护算法。防护算法主要是抵御来自网络层、应用层的DDoS攻击。
6.1.6 恶意代码防范
6.1.6.1 设计目标
a) a应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b) 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
6.1.6.2 设计实现
6.1.6.2.1 防火墙
a)防火墙提供全面、强劲的恶意代码检测及防护功能,支持通过对HTTP和FTP方式上传、下载文件、页面,或SMTP、POP3、IMAP协议发送的电子邮件及其附件等进行恶意代码扫描,并根据扫描结果进行相应的处理并留存恶意代码样本。除本地及云端恶意代码库外,自定义的恶意代码对象可以在反病毒策略中被引用。并支持特征库的升级和更新。
b)防火墙支持用户自定义RBL服务器地址,及本地IP地址黑白名单。在邮件过滤模块中调用RBL策略,实现反垃圾邮件过滤功能,RBL服务器特征库支持升级和更新。
6.1.6.2.2 网闸
a)网闸集成360杀毒以及clamav两种杀毒引擎,针对通过网闸摆渡的文件进行病毒查杀。
6.1.6.2.3 漏洞扫描
a)漏洞扫描系统针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行渗透性测试。
6.1.7 安全审计
6.1.7.1 设计目标
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性;
e) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
6.1.7.2 设计实现
6.1.7.2.1 防火墙
a)b)防火墙支持日志审计功能,提供了基于时间、持续时间、地址、端口、安全域、所属地区、应用、流量、动作、命中的策略名称、事件类型等信息做记录,对用户行为和安全事件进行审计。
c)防火墙支持日志外发,通过日志服务器对防火墙日志进行保护和定期备份。
d)防火墙支持与时间服务器进行同步的功能。 通过NTP配置,防火墙可以从NTP服务器上同步防火墙系统时间。
6.1.7.2.2 行为管理
a) 上网行为管理产品基于策略能够实现网页访问、应用控制做到审计与控制功能。操作员可以根据实际需求自定义策略(应用控制:以网络应用角度对用户上网行为进行控制;行为审计:针对用户访问互联网行为进行审计和控制,包括网页浏览、搜索、发帖、收发邮件、文件上传下载和数据库使用等),多角度设置匹配条件,允许或阻塞某些行为,记录行为或内容,并针对阻塞行为触发报警,灵活管理用户访问互联网行为;
b)上网行为管理产品在审计和控制用户上网行为时,也会对其进行记录。查询统计模块为方便操作员查阅用户行为记录,内容涵盖了时间、用户、工具、IP、端口、事件、MAC、控制状态等;
c) 外置数据中心可以将历史日志存储于外置存储设备,以降低系统运算负载,提升查询效率。上网行为管理支持与日志中心同时存储日志,用户可以灵活的增加存储容量以便保存更多的日志;
d)上网行为管理产品支持自动与Internet时间服务器同步,保证时间唯一性,以确保审计分析的正确性。
6.1.7.2.3 网闸
a)b)网闸支持日志审计功能,提供了基于时间、地址、端口、模块、流量、动作、命中的策略名称、事件类型等信息做记录,对用户行为和安全事件进行审计。
c)网闸支持日志外发,通过日志服务器对网闸日志进行保护和定期备份。
d)网闸支持与时间服务器进行同步的功能。 通过NTP配置,网闸可以从NTP服务器上同步网闸系统时间。
6.1.7.2.4 数据库审计
a)数据库审计系统能够对业务网络中的各种数据库进行全方位的安全审计,包括数据访问、数据变更、用户操作、违规访问等内容。
b)数据库审计系统的策略可指定审计记录所需包括的事件信息。
c)数据库审计系统支持审计记录外发备份。
d) )数据库审计系统具备NTP功能,与NTP服务器同步。
6.1.7.2.5 运维审计
a)b) c) d)同6.1.7.2.4数据库审计系统
6.1.7.2.6 LAS/SNI
a) 支持对各类网络设备(路由器,交换机)、安全设备(包括防火墙,VPN,IDS,IPS,防病毒网关,网闸,防DDOS攻击,Web应用防火墙)、安全系统(Symantec、瑞星、江民、微软ISA、Windows防火墙)、主机操作系统(包括Windows,Solaris, Linux, AIX, HP-UX,UNIX,AS400)、各种数据库(Oracle、Sqlserver、Mysql、DB2、Sybase、Informix)、各种应用系统(邮件,Web,FTP,Telnet),网管系统告警日志、终端管理系统(或是内网管理系统、桌面管理系统)告警日志,网络综合审计系统告警日志,上网行为审计系统日志,以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计
b) 采集设备日志信息字段包含事件发生事件,用户,事件类型,对象,结果,操作,源地址,源端口,目的地址,目的端口,协议,产生时刻,设备类型,等
c) 支持按按照周期的方式自动备份,并对备份进行加密;支持历史日志恢复导入;当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库,并进行告警;手动备份和恢复时,可以显示恢复和备份的进度。
e) 支持自定义设置时间和和NTP服务器同步时间
6.1.7.2.7 WAF
a)主要保护日志系统的配置及查看。本地日志启用后,将可以通过我们的日志查看器直接查看各类攻击信息。
b)攻击日志主要用来显示各类威胁发生的时间,来源,使用的方法以及SecWAF做出的反应,系统支持分页查看,并按照时间顺序由新到旧自动排序。
c)访问日志,查看访问服务器的所有HTTP流量记录。
e) 支持自定义设置时间和和NTP服务器同步时间。
6.1.7.2.8 漏洞扫描
a) b) 测试系统补丁更新情况,网络设备漏洞情况,远程服务端口开放等情况进行综合评估,在黑客发现系统漏洞前期提供给客户安全隐患评估报告
c)日志可以导出,支持定期备份。
e) 支持自定义设置时间和和NTP服务器同步时间。
6.1.7.2.9 抗DDOS
a) b) c)抗拒绝服务攻击系统支持多维度的数据分析功能,提供基于攻击主机、攻击类型、流量分析、性能分析、连接分析、数据报文捕捉等多种数据分析。并为多种数据塑造成线形、饼型等分析方式。
e) 支持自定义设置时间和和NTP服务器同步时间。
6.1.8 集中管控
6.1.8.1 设计目标
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
6.1.8.2 设计实现
6.1.8.2.1 防火墙
a)b)c)d)e)f)防火墙支持通过智慧管理分析中心对分布在各个节点的防火墙进行统一的管理,防火墙与智慧管理分析中心通过https协议管控,能对防火墙进行集中监测,对各节点日志进行收集汇总和分析,以及对各节点防火墙进行统一的策略下发、特征库升级等安全相关管理,并支持安全事件的告警。
6.1.8.2.2 行为管理
d)外置数据中心可以将对分散在各个设备上的审计数据进行收集汇总和集中分析,用户可以灵活的增加存储容量以便保存更多的日志;
6.1.8.2.3 网闸
a)b)c)d)f)网闸支持通过集中监控对分布在各个节点的网闸设备进行统一的监控动作,支持通过日志服务器,对各节点日志进行收集汇总和分析,并支持相关事件的告警。
6.1.8.2.4 SNI
a) 可对网络中的IP资产进行管理,支持以安全域的方式对资产进行分组,资产的属性包括安全CIA指标,支持自定义资产属性,可根据需要对资产属性进行任意扩展。
b) 支持对网络设备SSH/TELNET 方式监控设备配置,并对设备进行配置。
c) 支持对网络设备,安全设备,服务器,应用系统,的设备运行状态,设备性状态进行监控,包括CPU利用率,内存利用率,磁盘利用率,联通状态,链路状态等
d) 支持对采集到的设备信息进行统计分析,定期或者手动生成报表。
6.1.8.2.5 漏洞扫描
d) 支持对采集到的设备信息进行统计分析,定期或者手动生成报表。
6.1.8.2.6 抗DDOS
d) 支持对采集到的设备信息进行统计分析,定期或者手动生成报表。
6.2 设备和计算安全
6.2.1 身份鉴别
6.2.1.1 设计目标
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c) 当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
d) 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。
6.2.1.2 设计实现
6.2.1.2.1 防火墙
a)防火墙支持三权分立管理员账号,用户需要为该管理员账号添加相应的账号密码,密码范围为10-17字符。密码须包含数字、字母、特殊字符,满足防火墙身份鉴别复杂度的要求。
b)防火墙支持管理员密码输错一定次数锁定管理账号,如果管理账号的密码输错次数达到允许失败次数,触发锁定,无论是基于IP锁定还是基于用户名锁定,在禁登时间尚未结束时,用户可以通过其他拥有账户权限的管理员账号在锁定列表中查看到被锁定的IP地址或者用户名、剩余锁定时间。
c)当防火墙进行远程管理的时候,防火墙支持HTTPS方式登录,保证防火墙管理员鉴别信息在传输过程中防止被窃听。
d)防火墙支持密码、证书、U-key等组合鉴别技术对管理员用户进行身份鉴别。
6.2.1.2.2 行为管理
b) 系统管理员的用户名和密码默认均为ns25000,登录成功后请根据提示及时修改管理员的密码。为了安全起见,如果累计五次输入用户名和密码错误,系统将在15分钟内禁止该IP登录本系统;并支持手动停用账号,要求管理员修改密码;
b)登录管理界面后,如果该管理员的未活动时间超过所设置的时间,则浏览器自动退出系统的Web管理界面。如果管理员想继续访问,需要重新登录;
c)设备访问采用https加密访问;
d)上网行为管理产品支持账号密码ukey两种方式认证,开启了UKEY认证的操作员需在PC上安装认证插件并插入合法的UKEY,输入正确的用户名和密码后才能成功登录设备。
6.2.1.2.3 网闸
a)网闸支持三权分立管理员账号,用户需要为该管理员账号添加相应的账号密码,密码长度≥8个字符。密码须包含数字、字母、特殊字符,满足网闸身份鉴别复杂度的要求。
b)网闸支持管理员密码输错一定次数锁定; 同时管理界面具备超时自动退出功能;
c)网闸进行远程管理的时候,支持HTTPS方式登录,保证网闸管理员鉴别信息在传输过程中防止被窃听。
d)网闸支持密码、证书、U-key等组合鉴别技术对管理员用户进行身份鉴别
6.2.1.2.4 天擎
a) b) c)天擎CC默认具备HTTPS登录,防止管理员鉴别信息在传输过程中防止被窃听,天擎CC具备强身份鉴别能力,并可对登录失败的行为作出响应和处理,AGENT具备程序防卸载和进城防终止的能力。
6.2.1.2.5 数据库审计
a)数据库审计系统提供管理员权限设置和分权管理,提供三权分立功能。
b)能够对连续失败登陆进行自动锁定,锁定时间可设置.
c)进行远程管理的时候,支持HTTPS方式登录。
d)支持双因子认证和多种认证机制。
6.2.1.2.6 运维审计
a)运维审计系统提供统一的界面,对相应用户、角色及行为和资源进行授权,可对所有服务器、网络设备账号的集中管理。
b)支持全局和局部的单点超时和登录超时设置。
c)进行远程管理的时候,支持HTTPS方式登录。
d)为用户提供统一的认证接口,支持多种认证方式。
6.2.1.2.7 WAF
c)进行远程管理的时候,支持HTTPS方式登录。
6.2.1.2.8 抗DDOS
c)进行远程管理的时候,支持HTTPS方式登录。
6.2.2 访问控制
6.2.2.1 设计目标
a) 应对登录的用户分配账号和权限;
b) 应重命名默认账号或修改默认口令;
c) 应及时删除或停用多余的、过期的账号,避免共享账号的存在;
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g) 应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
6.2.2.2 设计实现
6.2.2.2.1 防火墙
a)防火墙支持用户自定义管理员账号及指定管理员账号权限,登录类型等。
b)对于初次登录防火墙的用户,要求修改默认口令
d) e)根据不同账号互相制约的关系,防火墙支持审计管理员、配置管理员、账户管理员等三权分立账号,以实现各管理员账号之间相互制约的关系。
f)防火墙支持基于用户、文件类型等访问控制
g)防火墙支持自定义敏感信息字段,以达到对敏感信息的过滤。
6.2.2.2.2 行为管理
c)上网行为管理产品权限管理功能可以删除或停用过期的或者多余的账号,避免管理员共享账号。
d)上网行为管理产品的权限分配可以针对管理员管控范围以及权限不同,分配不同管控权限,保证其所管理的权限最小。
e)三权分立模式,主要面向对于权限责任要求较高的用户,各管理角色权责更明确,分工更细致,避免了普通模式下超级管理员权限过大带来的管理风险,保障了设备管理本身的安全。在三权分立模式下,超级管理员建立管理员和审计员并为其分配权限的操作需要审核员进行审核,此外管理员只能拥有系统管理相关权限,审计员只能拥有查看审计信息的权限,并且可以设置是否能查看具体审计内容;
6.2.2.2.3 网闸
c)网闸支持用户自定义管理员账号的创建、删除,并支持指定管理员账号权限、账号权限组等。
d) e)根据不同账号互相制约的关系,网闸支持审计管理员、系统管理员等三权分立账号,以实现各管理员账号之间相互制约的关系。
f)网闸支持基于用户、文件类型、数据库表等控制粒度的访问控制
g)网闸支持自定义敏感信息字段,如:文件内容关键字、邮件正文关键字,以达到对敏感信息的过滤。
6.2.2.2.4 天擎
b) d) 天擎CC支持分配用户账号和权限、自指定管理员账号口令、权限和登录类型等。
对于初次登录防火墙的用户,要求修改默认口令
c)天擎AGENT安检合规功能中账号活跃度检查可以及时删除或停用多余的、过期的账号,避免共享账号的存在。
e)天擎的运维管控菜单中的主机防火墙功能可以实现授权主体的访问控制策略配置。
f) 天擎的应用访问控制针对文件级和数据库表级的对象将访问控制的粒度精细化到用户级和进程级。
6.2.2.2.5 数据库审计
c) d)数据库审计系统提供管理员权限设置和分权管理。
6.2.2.2.6 运维审计
a) 运维审计系统可规范运维账号授权管理流程,统一访问入口的途径。
d) e) f) g)运维审计系统支持提供命令级的权限管理,支持细粒度授权,可以按照用户/组与资源/组进行关联。
6.2.2.2.7 WAF
d) e)支持用户权限管理和三权分立账号。
6.2.2.2.8 漏洞扫描
d) e)支持用户权限管理和三权分立账号。
6.2.3 安全审计
6.2.3.1 设计目标
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应对审计进程进行保护,防止未经授权的中断;
e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性 。
6.2.3.2 设计实现
6.2.3.2.1 行为管理
a) 操作日志记录操作员使用Web管理系统的行为,主要用于查看配置变更情况,记录操作的执行者的主要行为进行审计;
b)上网行为管理产品在自身访问的审计上会对操作者进行记录。记录内容涵盖了时间、用户、操作种类以及操作内容等;
c)上网行为管理可以将管理员操作日志通过excel文件方式导出到本地,进行备份,避免人为或自然因素数据被删除无法溯源;
d)上网行为管理产品支持自动与Internet时间服务器同步,保证时间唯一性,以确保审计分析的正确性;
6.2.3.2.2 网闸
同6.1.7.2.3,网闸处支持业务类安全审计外,支持对自身设备状态以及操作日志的审计;
6.2.3.2.3 天擎
d) b) c) d) e) 天擎围绕内网合规管理要求,提供了完善的终端行为审计功能,包括:文件操作审计与控制、打印审计与控制、应用程序使用审计、系统开关机审计等多种审计功能。
6.2.3.2.4 数据库审计
a) 数据库审计系统支持审计数据库的DDL、DML、DCL和其它操作等行为,审计内容可细化到库、表、记录、用户、存储过程、函数等,支持数据库绑定变量审计、端口重定向审计、超长语句审计等。
b)自带审计规则库,用户可自定义审计策略,可提供通过子对象模式多级关联跨表跨字段的组合规则。
c)支持审计记录备份。
e)支持时钟同步操作审计,以确保审计分析的正确性。
6.2.3.2.5 运维审计
a)运维审计系统支持对运维操作人员的操作行为进行全程跟踪和记录。
b)支持基于访问来源、目标资源、操作时长、操作内容等多维度生成审计日志,并可根据关键字进行模糊查询。
c)支持审计记录备份,可启用审计日志将数据外置。
e)支持时钟同步操作审计,以确保审计分析的正确性。
6.2.3.2.6 LAS/SNI
a) 支持对各类网络设备(路由器,交换机)、安全设备(包括防火墙,VPN,IDS,IPS,防病毒网关,网闸,防DDOS攻击,Web应用防火墙)、安全系统(Symantec、瑞星、江民、微软ISA、Windows防火墙)、主机操作系统(包括Windows,Solaris, Linux, AIX, HP-UX,UNIX,AS400)、各种数据库(Oracle、Sqlserver、Mysql、DB2、Sybase、Informix)、各种应用系统(邮件,Web,FTP,Telnet),网管系统告警日志、终端管理系统(或是内网管理系统、桌面管理系统)告警日志,网络综合审计系统告警日志,上网行为审计系统日志,以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计
b) 采集设备日志信息字段包含事件发生事件,用户,事件类型,对象,结果,操作,源地址,源端口,目的地址,目的端口,协议,产生时刻,设备类型,等
c) 支持按按照周期的方式自动备份,并对备份进行加密;支持历史日志恢复导入;当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库,并进行告警;手动备份和恢复时,可以显示恢复和备份的进度.
e) 支持自定义设置时间和和NTP服务器同步时间
6.2.3.2.7 WAF
a)b)c)e) 同6.1.7.2.7
6.2.3.2.8 漏洞扫描
a)b)c)e)同6.1.7.2.8
6.2.3.2.9 抗DDOS
a)b)c)e)同6.1.7.2.9
6.2.4 入侵防范
6.2.4.1 设计目标
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序。
b) 应关闭不需要的系统服务、默认共享和高危端口;
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d) 应能发现可能存在的漏洞,并在经过充分测试评估后,及时修补漏洞;
e) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
6.2.4.2 设计实现
6.2.4.2.1 天擎
a) 天擎在安装时可以根据需要选择所需安装的程序组件和进程。
c)天擎使用主机完整性策略和准入硬件旁路设备来发现和评估终端的合规性及相关权限。
d)天擎具备漏洞修复能力包括集中修复、强制修复、定时修复和蓝屏修复等多种方式;具有统一运维的功能,并提供日常电脑维护小工具,帮助管理员统一对系统/应用的漏洞补丁进行自动下载、升级与安装。
6.2.4.2.2 WAF
e)同6.1.5.2.4
6.2.4.2.3 抗DDOS
e)同6.1.5.2.5
6.2.5 恶意代码防范
6.2.5.1 设计目标
应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。
6.2.5.2 设计实现
6.2.5.2.1 天擎
天擎支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀,这依赖于QVM人工智能引擎、云查杀引擎、AVE(针对可执行文件的引擎)、QEX(针对非可执行文件的引擎)等多引擎的协同工作。
6.2.6 资源控制
6.2.6.1 设计目标
a) 应限制单个用户或进程对系统资源的最大使用限度;
b) 应提供重要节点设备的硬件冗余,保证系统的可用性;
c) 应对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况;
d) 应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。
6.2.6.2 设计实现
6.2.6.2.1 行为管理
b)上网行为管理产品支持双机冗余工作模式,能够使主机出现故障时切换到备机,保障上网行为管控的连续性和一致性;
c)上网行为管理的网络监控界面可以重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况以及设备的实时流量情况;
6.2.6.2.2 天擎
b)天擎CC和准入具备HA功能
c)天擎支持全网终端一键体检、终端状况展示、威胁趋势分析和资产管理,并可对重要节点和终端实现单点管理和维护,支持终端的软硬件管理、插件清理、远程协助,可按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息,可监控CPU温度、硬盘温度和主板温度。
6.2.6.2.3 数据库审计
c)系统自身的健康状况监控,包括CPU和内存利用率等,遇到问题自动报警。
6.2.6.2.4 运维审计
b)运维审计系统具备HA主备功能。
C)支持磁盘临界点告警。
6.2.6.2.5 WAF
b) c)同6.1.1.2.6
6.2.6.2.6 抗DDOS
b)同61.1.2.8
c)支持对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况。
6.3 应用和数据安全
6.3.1 身份鉴别
6.3.1.1 设计目标
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
b) 应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
c) 应强制用户首次登录时修改初始口令;
d) 用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全;
e) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
6.3.1.2 设计实现
6.3.1.2.1 数据库审计
同6.2.1.2.5
6.3.1.2.2 运维审计
同6.2.1.2.6
6.3.2 访问控制
6.3.2.1 设计目标
a) 应提供访问控制功能,对登录的用户分配账号和权限;
b) 应重命名默认账号或修改这些账号的默认口令;
c) 应及时删除或停用多余的、过期的账号,避免共享账号的存在;
d) 应授予不同账号为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f) 访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
g) 应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
6.3.2.2 设计实现
6.3.2.2.1 网闸
同6.2.2.2.3
6.3.2.2.2 数据库审计
a)b) 系统提供管理员权限设置和分权管理,支持重命名默认账号和修改账号的默认口令。
g)系统自带审计规则库,用户可自定义审计策略。
6.3.2.2.3 运维审计
a) b) 通过集中统一的访问控制和细粒度的命令级授权策略,确保每个运维用户拥有的权限是完成任务所需的最合理权限。
c)系统可以申请和审批临时授权信息,避免共享账号的同时可限制用户对资源的操作行为。
6.3.2.2.4 WAF
e) f) Web应用防火墙提供了细粒度的特征库,产品支持HTTP协议效验、Web特征库(基于OWASP标准)、爬虫规则、防盗链规则、跨站请求规则、文件上传/下载、敏感信息、弱密码检测等多种细粒度检测的特征库匹配规则。
6.3.3 安全审计
6.3.3.1 设计目标
a) 应提供安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应对审计进程进行保护,防止未经授权的中断;
e) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。
6.3.3.2 设计实现
6.3.3.2.1 网闸
同6.2.3.2.2
6.3.3.2.2 数据库审计
同6.2.3.2.4
6.3.3.2.3 运维审计
同6.2.3.2.5
6.3.3.2.4 LAS/SNI
同6.2.3.2.6
6.3.4 软件容错
6.3.4.1 设计目标
a) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
b) 在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施;
c) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
6.3.4.2 设计实现
6.3.4.2.1 数据库审计
a)系统提供数据有效性检验功能。
c)系统具备能发现未知仿冒进程工具、防范非法IP地址、防范暴力破解登录用户密码、设置系统黑白名单等安全功能。
6.3.4.2.2 运维审计
a)系统提供数据有效性检验功能。
c)支持磁盘临界点告警,可提供自动保护功能。
6.3.4.2.3 WAF
c)Web应用防火墙内置冗余螺旋系统,针对软件自身出现异常问题时,可以手工切换到另外一套系统,配置依然保存可以使用,保证软件的正常运行和网站的安全防护。
6.3.5 资源控制
6.3.5.1 设计目标
a) 当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
b) 应能够对系统的最大并发会话连接数进行限制;
c) 应能够对单个账号的多重并发会话进行限制;
d) 应能够对并发进程的每个进程占用的资源分配最大限额。
6.3.5.2 设计实现
6.3.5.2.1 数据库审计
a) 支持对系统的最大并发会话连接数进行限制。
6.3.5.2.2 运维审计
b) 支持对系统的最大并发会话连接数进行限制。
6.3.6 数据完整性
6.3.6.1 设计目标
a)应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性;
b)应采用校验码技术或加解密技术保证重要数据在存储过程中的完整性。
6.3.6.2 设计实现
无
6.3.7 数据保密性
6.3.7.1 设计目标
a) 应采用加解密技术保证重要数据在传输过程中的保密性;
b) 应采用加解密技术保证重要数据在存储过程中的保密性。
6.3.7.2 设计实现
无
6.3.8 数据备份恢复
6.3.8.1 设计目标
a) 应提供重要数据的本地数据备份与恢复功能;
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。
6.3.8.2 设计实现
6.3.8.2.1 数据库审计
a) b)系统提供数据备份机制。
c) 采用独立的标准机架式硬件架构,软硬件一体化系统,硬盘采用raid机制,提供重要数据处理系统的热冗余,保证系统的高可用性。
6.3.8.2.2 运维审计
a) b)可启用审计日志将数据外置,能够以ftp/sftp方式选择性或者全部导出审计日志,界面可以直观查看导出的数量及进度等详情。
c) 采用独立的标准机架式硬件架构,软硬件一体化系统,硬盘采用raid机制,提供重要数据处理系统的热冗余,保证系统的高可用性。
6.3.8.2.3 WAF
b) Web应用防火墙内置有网页防篡改监控平台,可以对网页防篡改客户端进行实时监控。当网页防篡改客户端与网神SecWAF 3600 Web应用防火墙的网络中断时,网页文件会被自动锁定,所有“写”的权限进行封锁,只有“读”的权限。当网络恢复中,所有相关权限会自动下发,网站正常恢复更新。
6.3.9 剩余信息保护
6.3.9.1 设计目标
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
6.3.9.2 设计实现
无
6.3.10 个人信息保护
6.3.10.1 设计目标
a) 应仅采集和保存业务必需的用户个人信息;
b) 应禁止未授权访问和使用用户个人信息。
6.3.10.2 设计实现
6.3.10.2.1 数据库审计
a)自定义审计策略和日志留存及备份策略,按需采集和保存用户个人信息。
b)审计结果隐秘设置,通过*号对审计结果中的重要信息进行隐秘处理,防止非法权限查看,实现合规审计。
6.3.10.2.2 运维审计
a)自定义审计策略和日志留存及备份策略,按需采集和保存用户个人信息。
b)细粒度的访问控制,最大限度保护用户资源的安全。
6.4 安全管理机构和人员
6.4.1 安全意识教育和培训
6.4.1.1 设计目标
a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;
b) 应针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
6.4.1.2 设计实现
c) 安全攻防实训系统可设计逼真的网络攻防环境,通过组织网络安全技能攻防对抗赛等形式,帮助各类安全人员快速掌握网络安全相关知识,提升自身实战水平。
6.5 安全建设管理
6.5.1 自行软件开发
6.5.1.1 设计目标
a) 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制;
b) 应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则;
c) 应制定代码编写安全规范,要求开发人员参照规范编写代码;
d) 应确保具备软件设计的相关文档和使用指南,并对文档使用进行控制;
e) 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测;
f) 应确保对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制;
g) 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。
6.5.1.2 设计实现
d) 代码卫士的合规检测规则库支持主流国际标准和规范的代码合规检测规则,包括:CERT安全编程标准等。CERT安全编码规范:计算机安全应急响应组(CERT)创建的源代码分析实验室为软件系统提供了适用于CERT安全编码标准的一致性测试,这种测试包括用于Java的CERT Java安全编码标准,用于C的CERT C语言安全编码标准,用于C++的CERT C++语言安全编码标准。
代码卫士的合规检测引擎同事提供开放的接口,可以为企业提供规范定制化开发服务,收集用户的代码安全规范后,将规范转化为可自动化检测的检测规则,并存入定制化规则库,供用户加载使用。
6.5.2 外包软件开发
6.5.2.1 设计目标
a) 应在软件交付前检测软件质量和其中可能存在的恶意代码;
b) 应要求开发单位提供软件设计文档和使用指南;
c) 应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
6.5.2.2 设计实现
e) 代码卫士采用源代码静态分析技术,自动将获取到的被测软件源代码在相应的编译环境中进行编译,再通过数据流分析技术、符号执行技术、内存精确建模技术等分析并检查源程序的语法、结构、过程、接口等来确定源代码的安全性。代码卫士分析及检测的策略源自360企业安全集团多年的源代码安全积累,并兼容国际权威源代码安全标准和规范,包括CWE、OWASP、CWE/SANS TOP 25、CERT安全编程标准等,支持代码注入、跨站脚本、输入验证、API误用、密码管理、资源管理错误、配置错误、不良实现、异常处理、代码风格、代码质量及危险函数等13个大类,600多个小类的检测策略。
6.6 安全运维管理
6.6.0.1 漏洞和风险管理
6.6.0.1.1 设计目标
d) 应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补;
e) 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
6.6.0.1.2 设计实现
a) 漏洞扫描集Web漏洞扫描和系统漏洞扫描于一体,快速识别安全漏洞并输出扫描报告和修复建议。
请先 后发表评论~