等保2.0来了，分享一个可落地的等保建设方案.docx-资料库

zhou040803-12053464-16359647248171300585.docx.pdf-第1页.png

第1页 / 共8页

zhou040803-12053464-16359647248171300585.docx.pdf-第2页.png

第2页 / 共8页

zhou040803-12053464-16359647248171300585.docx.pdf-第3页.png

第3页 / 共8页

zhou040803-12053464-16359647248171300585.docx.pdf-第4页.png

第4页 / 共8页

zhou040803-12053464-16359647248171300585.docx.pdf-第5页.png

第5页 / 共8页

zhou040803-12053464-16359647248171300585.docx.pdf-第6页.png

第6页 / 共8页

zhou040803-12053464-16359647248171300585.docx.pdf-第7页.png

第7页 / 共8页

zhou040803-12053464-16359647248171300585.docx.pdf-第8页.png

第8页 / 共8页

等保 2.0 来了，分享一个可落地的等保建设方案企业在安全方面最关注的其实是业务安全、数据安全与安全检查，对于等保测评的经验与建设；目的是顺利通过测评任务，并保证安全的投入成本与收益的比率。一、管理一个企业的安全性最终体现在管理与运营，随着安全越发受重视，企业在安全管理方面也要与时俱进。 1 拓扑图很多人习惯把拓扑图分类到技术中，但相比之下更愿意把拓扑图分类到管理中，因为可以通过拓扑图一目了然的知道企业中每个设备的使用，每个区域的划分都很明确，测评过程中测评人员第一个核对的也是拓扑图，那么拓扑图方面有什么需要注意的地方呢？ 1）标名设备品牌与型号标名设备品牌与型号的目的是更加直观明确的看出整个体系的硬件安全情况，也方便管理，当出现厂商漏洞时可以快速进行批量补救工作，避免遗漏。还有目前企业没有要求国产化率，国企与事业单位已经做了相关要求，企业在敏感行业也要去国产化改造，比如支付测评。国产化是大趋势，这里建议后期企业建设时优先考虑国产设备，已经使用国际品牌设备的企业，建议尽早进行国产化设备改造任务与国密改造。 2）标名使用区域

使用区域是指物理区域，比如办公区域、业务 1 云区域、业务 2 云区域、业务 3 机房区域。 3）标名业务需要标名测评的核心业务所在位置，访问核心业务的线路，核心业务基本信息（包括服务器信息、网络信息、业务信息等）。 4）标名隔离情况标名业务之间的隔离情况，有些业务与业务之间是存在关联性的，使得业务之间无法隔离，那么就需要相应的安全手段，比如访问控制等。一般是需要隔离的，在等保中虽然没有明确要求，但在支付测评过程中是有明确要求，支付业务必须是独立于所有业务的。 2 组织结构组织结构由二部分组成：人员结构、管理结构。 1）人员结构这部分主要涉及到的是《信息安全组织建设管理制度》，这个文档主要记录了网络与信息安全小组组成人员及任务，还有各小组之间的协同关系，最重要的是当发生情况的时候能有人通过这个制度知道该联系谁。同样各小组负责人需要制定相关的制度文档，放在管理结构中叙述。

2）管理结构信息安全管理文档，大到《信息安全管理办法》，小到《信息安全考核办法》，无论是什么管理文档，在撰写定制时都要考虑的核心是：（1）适用人群和岗位（2）是否可以实现（3）由谁监督（4）触犯后的措施与流程整个文档的管理在等保中分为 4 个类，这里只做概述，下文会放出文档详单。二、技术在规范了管理后还要有相应的技术作为支撑，这里的技术包括设备和渗透测试。 1 设备等保中会看的安全设备包括很多，比如 WAF、抗 DDoS、堡垒机、综合日志审计、数据库审计、IPS/IDS、杀软、漏扫等等。安全防护设备解析如下： 1）WAF 等保中 WAF 的选用与规范其实重点在于，如果采用厂商设备，基本就是延用厂商的报告，很少会问比较细节的东西。如果选用开源的 WAF，那么每个细节都会问到，问题如下：（1）有没有登录界面（2）登录用户有没有身份限制（3）登录次数有没有做控制（4）登录是否有失败锁定

（5）是否是所有用户均采用双因素登录（6）如果有规则触发会不会及时告警，告警方式是什么（7）规则支不支持自定义（8）规则通过什么方式升级（9）能不能查询 6 个月内的攻击日志（10）以上所有是否界面化可操作（11）等等等…… 因为在安全建设时为了节约安全投入，是采用的开源 WAF，没有界面，甚至除了规则没有一个符合以上要求，在这里给采用开源 WAF 的安全从业者一些建议：（1）采用体系内存在的日志管理来做后台登录界面（2）告警通过邮件方式告警即可，需要自行编写判断发送邮件的脚本（3）大部分开源 WAF 都支持自定义规则，升级一般通过手动方式升级，可以明言手动方式升级，对于等保的认证没有影响，可以升级就行（4）界面化的操作如果实现困难可以和等保检查人员说是后台操作，需要登录服务器改配置文件，只不过算是一个建议型问题。 2）抗 DDoS 如果是云环境的业务，云基础防御中存在抗 DDoS 功能的，直接把这个模块展示给等保的检查人员即可。物理机房建议购买一台，因为开源市场上成型的抗 DDoS 产品确实很少。在这里会看你的阀值设置，日志查询和存储情况。

3）堡垒机关于堡垒机在等保中会问到的具体问题如下：（1）有没有登录界面（2）登录用户有没有身份限制（3）登录次数有没有做控制（4）登录是否有失败锁定（5）角色是否分为：管理员、普通用户、审计管理员（6）每个角色是否存在越权行为（7）每个角色是否开启双因素认证（8）审计日志是否保留 3 个月以上（9）审计工作是否被执行（执行记录）（10）堡垒机后台是否为分段密码（11）是否采用 HTTPS 登录，版本是什么建议采用厂商的设备会相对顺利一些，如果采用的是开源设备，一定注意是用户身份，如果没有审计管理员这个角色，是一般甚至严重问题。后台的分段密码只是针对于厂商设备，开源设备不要求，HTTPS 如果采用开源，建议套一层 nginx 反向代理。双因素登录是一般问题。

4）综合日志审计一般采用 syslog 就足够了，当然如果是为了运营安全着想，要时常做日志分析，对于厂商设备来说分析工作会相对简单一些，采用 syslog 自行分析日志开发工作量会增大。这里会问的问题就相对比较少：（1）是否集中了所有日志（2）日志分析工作是否开展（证据）（3）是否保留 6 个月以上日志 5）数据库审计对于数据库审计，建议采用厂商设备，开源的数审大多以插件为主。会问到的问题与 WAF 大同小异。 6）IPS/IDS 主要看是否存在即可，没有问太细的东西，推荐是使用开源的 IDS 就足够了。 7）杀软主要的问题如下：（1）是否存在杀软（2）是否定时查杀（3）是否审查与修复（证据） 8）漏扫一般使用 Nessus 就可以了，当然这是我想要主推的工具，也是免费，也相对准确，如果有需要的朋友私信“X 安全”可以获取 SC 激活版 Nessus。关于 Nessus 会问如下问题：（1）扫描周期是否设定（根据管理文档设定，等保规定每年至少 2 次）

（2）扫描报告是否出具（邮箱或本地下载均可）（3）扫描结果是否上报安全组并进行改正（证据）（4）策略是否为本年度策略（可以不是最新，但是最多不能超过 1 年）说明：关于专业版 Nessus，可以升级，不限扫描 IP 数量。（PS：如有需要此工具者，可在 “X 安全”上回复“工具”获取。） 2 渗透测试这里其实包括两大类： 1）基线安全基线安全是服务器基础配置安全，包括 SSH 配置文件的配置，/etc/passwd 是否存在不唯一的为 0 的 UID，密码周期是否为 90 天等等。关于基线安全的扫描，如果是云环境，存在基线安全检测，但是我个人更推荐是基线检测脚本，因为如果使用云厂商的，需要投入资金。 2）应用安全包括所有应用和网络方面的渗透测试，建议是当时测评人员测出有什么漏洞及时修正就好了。附上管理文档目录供大家参考：

资料库

等保2.0来了，分享一个可落地的等保建设方案.docx

相关推荐

安全技术

热门标签

最新资料