安全资讯

等级保护技术支撑:安全设备和渗透测试

等保方案在规范管理之外,。还要有相应的技术作为支撑,这里的技术包括设备和渗透测试,本次主要想与大家聊的其实就是这部分。

1

设备


等保中会看的安全设备包括很多,比如WAF、抗DDoS、堡垒机、综合日志审计、数据库审计、IPS/IDS、杀软、漏洞扫描等等。我们一一叙述。

1)WAF

在安全建设时为了节约安全投入,是采用的开源WAF,没有界面,甚至除了规则没有一个符合以上要求,在这里给采用开源WAF的安全从业者一些建议:

(1)采用体系内存在的日志管理来做后台登录界面

(2)告警通过邮件方式告警即可,这里需要自行编写判断发送邮件的脚本

(3)大部分开源WAF都支持自定义规则,升级一般通过手动方式升级,这里可以明言手动方式升级,对于等保的认证没有影响,可以升级就行

(4)界面化的操作如果实现困难可以和等保检查人员说是后台操作,需要登录服务器改配置文件,只不过这里算是一个建议型问题。


2)抗DDoS

如果是云环境的业务,云基础防御中存在抗DDoS功能的,直接把这个模块展示给等保的检查人员即可。物理机房建议购买一台,因为开源市场上成型的抗DDoS产品确实很少。在这里会看你的阀值设置,日志查询和存储情况。


3)堡垒机

关于堡垒机在等保中会问到的具体问题如下:

(1)有没有登录界面

(2)登录用户有没有身份限制

(3)登录次数有没有做控制

(4)登录是否有失败锁定

(5)角色是否分为:管理员、普通用户、审计管理员

(6)每个角色是否存在越权行为

(7)每个角色是否开启双因素认证

(8)审计日志是否保留3个月以上

(9)审计工作是否被执行(执行记录)

(10)堡垒机后台是否为分段密码

(11)是否采用HTTPS登录,版本是什么


4)综合日志审计

一般采用syslog就足够了,当然如果是为了运营安全着想,要时常做日志分析,对于厂商设备来说分析工作会相对简单一些,采用syslog自行分析日志开发工作量会增大。这里会问的问题就相对比较少:

(1)是否集中了所有日志

(2)日志分析工作是否开展(证据)

(3)是否保留6个月以上日志



5)数据库审计

对于数据库审计,建议采用厂商设备,开源的数审大多以插件为主。会问到的问题与WAF大同小异。



6)IPS/IDS

这块主要看是否存在即可,没有问太细的东西,推荐是使用开源的IDS就足够了。



7)杀软

这块主要的问题如下:

(1)是否存在杀软

(2)是否定时查杀

(3)是否审查与修复(证据)



2

渗透测试


这里其实包括两大类:

1)基线安全

基线安全是服务器基础配置安全,包括SSH配置文件的配置,/etc/passwd是否存在不唯一的为0的UID,密码周期是否为90天等等。关于基线安全的扫描,如果是云环境,存在基线安全检测,但是我个人更推荐是基线检测脚本,因为如果使用云厂商的,需要投入资金。

2)应用安全

包括所有应用和网络方面的渗透测试,这部分只能看平时工作的效果了,没有什么建议,最大的建议是当时过检人员测出有什么漏洞及时修正就好了。

等保测试记住一个原则,谁都是需要体现工作量的,他们不可能给你评100,差不多就行。

服务热线

400-1021-996

产品和特性

价格和优惠

安徽捕鱼大亨网络公众号

微信公众号