【等保专题】等保二级与三级网络安全计算环境建设关键点总结

在网络安全等级保护2.0国家标准(等保2.0)中，信息安全等级保护分为五级，分别是第一级（自主保护级）、第二级（指导保护级）、第三级（监督保护级）、第四级（强制保护级）和第五级（专控保护级），一至五级等级逐级增高。

虽然等保分为五个级别，但实现项目落地的都是二、三和四级，最低的一级单位作为建议，也是可以自行备案，但是作用不大。最高的等保五级信息系统受到破坏后，会对国家安全造成特别严重损害，这类系统一般都涉及国家秘密，单位或组织极少有涉及。现阶段普遍需要第三方测评机构测评的是第二级和第三级。

鉴于现阶段普遍的等保测评需求，本文针对等保二级与三级网络安全计算环境建设关键点进行总结。

针对等保二级与三级网络安全计算环境建设有什么区别，在进行建设的过程中需要注意哪些关键点呢？

首先，我们来了解一下等保二级与三级网络安全计算环境的控制点：

在安全计算环境的控制点中具体控制项及权重统计如下：

在等保二级与等保三级网络安全计算环境控制点统计中可以看出关键项集中在身份鉴别、入侵防范、数据完整性、数据保密性、数据备份恢复及个人信息保护中。与等保二级相比，等保三级控制项有所增多，且更加强调身份鉴别、访问控制、数据完整性和数据保密性等方面的要求。

关键点一：弱口令、空口令修改（二级重要项；三级重要项）

在身份鉴别这部分要求中，要保证所有的网络设备、安全设备、重要服务器、数据库服务器、应用业务系统等这些关键设备和业务系统不存在弱口令、空口令账户登录情况。一般采用手动/自动加固的方式，对各类设备的账号进行口令的调整，这是最基础性的要求。

关键点二：采用双因子认证登录（三级关键项）

在保证无弱口令和空口令的前提下，对于重要的设备，如核心的网络设备，核心的服务器，与企业息息相关的核心业务系统都需要采用双因子认证方式登录，尤其是针对核心业务应用系统，采用基本的用户名/口令是无法达到要求的。比较常用的做法是采用令牌、智能卡、生物指纹、虹膜识别、人脸识别等技术。

关键点三：远程管理严格管控（二级关键项；三级关键项）

对于远程管理维护的操作时，需要关注2个关键点：

1) 采用双因子认证的方式；

2) 采取传输信息加密的方式确保鉴别信息的保密性。

一般建议通过部署堡垒机来实现双因子认证和传输信息的加密。市场上主流品牌的堡垒机都支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等远程维护方式。

关键点四：默认口令修改、默认用户删除（二级重要项；三级重要项）

关于访问控制中大部分的需求是针对于业务应用系统，对于非业务系统的网络设备、主机设备、服务器设备等只需要进行默认账户删除、修改默认口令、无法通过默认账户以及默认口令登录就可以满足最基本的要求。

关键点五：强制访问控制与自主访问控制（三级一般项）

很多业务应用系统，现阶段很难达到等级保护访问控制的基本要求，很多业务应用系统的访问控制策略存在缺陷，可越权访问系统功能模块或查看、操作其他用户的数据。如存在平行权限漏洞，低权限用户越权访问高权限功能模块等。而应用系统又很难进行更改，尤其是在一些特殊领域，如工业领域，很难对其应用系统进行访问控制策略的优化。所以采用的解决方式是尽量降低风险即可，建议做法如下：

    1）将承载关键业务系统的服务器进行单独区域划分，部署防火墙设备进行边界隔离，对访问行为进行深层次过滤；

    2）对承载关键业务系统的服务器，如有明确的管理制度不允许存在本地操作，则也可以相应降低风险；如无明确管理制度不允许本地操作，则需对本地的操作进行访问控制， 一般部署终端管理类软件或主机加固访问控制类软件利用内置的安全模型进行对访问行为的控制，常见的安全模型一般有BLP，BIBA等；

    3）对承载关键业务系统的访问进行控制策略的优化，针对于远程的操作进行访问控制策略控制，部署堡垒机对用户行为进行访问控制。

安全审计，在安全计算环境中主要是对日志进行记录并审计。日志审计无论是《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中都有明确的要求，所以无论是针对于设备的日志审计（包括重要核心网络设备、安全设备、操作系统、数据库等），还是对于业务应用系统（包括前端系统和后台管理系统）都必须要求能够对日志进行记录。如缺失对重要的用户行为和重要安全事件的审计，则无法通过等级保护测评。

关键点六：日志记录满足要求（二级重要项；三级重要项）

建议在网络设备、安全设备、主机/服务器操作系统、数据库系统、业务应用系统性能允许的前提下，开启用户操作类和安全事件类审计策略。部署日志审计与分析系统，日志审计与分析系统除进行日志记录收集外，还应对日志进行关联分析，进一步分析可能存在的安全风险。

关键点七：关闭不需要的系统服务、默认共享和高危端口（二级关键项；三级关键项）

网络中的网络设备、安全设备、主机/服务器操作系统、数据库系统和业务应用系统等存在的多余系统服务/默认共享/高危端口必须要关闭。同时建议在既有业务中使用默认共享服务的，尽量切换到其他服务。

关键点八：管理终端、管理用户严格管控（二级关键项；三级关键项）

与关键点三类似，需要对远程管理的用户以及管理维护所使用的终端进行管控，一般采用堡垒机类产品进行管控。但如有专门的运维管理区，管理运维终端是也是固定的，同时管理运维终端对运维用户采用双因子身份鉴别的方式，也可以达到对管理终端以及管理用户严格管控的效果，满足等级保护在这条控制点的基本要求。

关键点九：尽快修补已知、严重的系统漏洞（二级重要项；三级重要项）

对于一些互联网直接能够访问到的网络设备、安全设备、主机/服务器操作系统、数据库系统、业务应用系统等要尽快修补已在公开渠道披露的重大漏洞。尤其是业务应用系统，现阶段针对应用系统的SQL注入、跨站脚本等均为高风险漏洞，都会对业务应用系统正常运行造成严重后果。

关键点十：做好恶意代码防范工作（二级重要项；三级重要项）

这个控制点非常好理解，顾名思义保证网络内操作系统的主机/服务器不被恶意代码攻击，但需要注意的是：

1）需要安装病毒防护软件或杀毒软件；

2）杀毒软件需要及时更新病毒库，病毒库应至少保证半个月更新一次；

3）如果是相对封闭的网络，如工业控制系统，则需要安装白名单技术机制软件（主机加固系统）进行恶意代码防范。

数据完整性和数据保密性主要是针对业务应用系统，从内容上可以看出数据的完整性与保密性都包含两部分内容：1）存储数据的完整性与保密性；2）传输数据的完整性和保密性。

关键点十一：应用业务系统的数据安全（二级重要项；三级重要、关键项）

1）对于新上线的应用业务系统，建议在采购前对供应商提供应用系统的数据完整性、保密性进行严格要求，尤其是对于数据传输的完整性和保密性进行严格要求。建议应用业务系统应通过密码技术确保传输数据的完整性，并在服务器端对数据有效性进行校验，确保只处理未经修改的数据，同时采用密码技术保证重要数据在存储过程中的保密性。

    2）对于既有存量的应用业务系统，建议在广域网或多个不同局域网进行数据传输时采用VPN的方式对传输的数据进行保护。

关键点十二：数据的备份与恢复（二级关键项；三级关键项）

1）对于所有应用业务系统产生的重要数据都要在本地进行备份，这是最基本要求。

2）对于一些特殊的领域，如金融、交通、重点工业等需要进行异地备份，原则上同城异地机房直接距离不低于为30公里，跨省市异地机房直线距离不低于100公里。

3）重要数据处理系统要做好热冗余，保证系统的高可用性（三级要求）。

关键点十三：剩余信息保护（二级重要项；三级重要项）

剩余信息保护的含义是指信息所在的存储空间被释放或重新分配前得到完全清除，在等保建设中，一般保证关键的身份鉴别信息以及一些敏感业务数据具备释放或清除机制即可，可以通过系统的组策略进行配置。

关键点十四：个人信息保护（二级关键项；三级关键项）

1）通过官方正式渠道向用户表明采集信息的内容、用途以及相关的安全责任，并在用户同意、授权的情况下采集、保存业务必需的用户个人信息；

2）通过官方正式渠道向用户表明采集信息的内容、用途以及相关的安全责任，并在用户同意、授权的情况下采集、保存业务必需的用户个人信息，通过技术和管理手段，防止未授权访问和非法使用。

参考《T/ISEAA 001-2020网络安全等级保护测评高风险判定指引》，在等保二级、三级测评中对安全计算环境的具体检测项及要求如下：

由此可见，在等保测评过程中，针对安全计算环境建设/改造的方案设计时，需要覆盖相关的高风险检测项。对此，威努特提出了最佳的实践方案：

该方案可以覆盖等保测评中对安全计算环境的具体要求，具体如下：

在等级保护2.0中，安全计算环境控制项的内容在技术部分中是最多的，涉及到主机层面、应用层面、数据层面、备份恢复层面，这使得安全计算环境在等保建设中显得尤为重要。

通过对安全计算环境建设关键点的总结，进行等保三级建设时，安全计算环境相对等保二级建设强化了双因子认证、强制访问控制、数据完整性及保密性等方面的要求，这需要我们在进行等保建设时注重对网络、对业务系统的梳理，应用符合企业网络特点、业务特点的等保建设方案，根据企业等保定级进行建设，满足等保2.0及企业自身安全计算环境防护需求。