网络安全笔记第二天day2(等级保护)

1.网络协议安全

1.1等级保护阶段

等级保护1.0：由国家1994年颁发的《中国人民共和国计算机信息系统安全保护条列》(国务院令147号)

等级保护2.0：2019年12月，网络安全等级保护2.0国家标准正式实施

新等保系列标准目前主要有6个部分

一、GB/T 22239.1 信息安全技术网络安全等级保护基本要求 第一部分 安全通用要求

二、GB/T 22239.2 信息安全技术网络安全等级保护基本要求 第二部分 云计算安全扩展安要求

三、GB/T 22239.3 信息安全技术网络安全等级保护基本要求 第三部分 移动互联安全扩展要求

四、GB/T 22239.4 信息安全技术网络安全等级保护基本要求 第四部分 物联网安全扩展要求

五、GB/T 22239.5 信息安全技术网络安全等级保护基本要求 第五部分 工业控制安全扩展要求

六、GB/T 22239.6 信息安全技术网络安全等级保护基本要求 第六部分 大数据安全扩展要求

** 1.2.等保机构**

国家评测机构、行业评测机构、地方评测机构

**1.3.等保对象 **

1.4 .等保主要工作流程

等级保护5个规定动作

** 1.5.等级保护级别**

《信息系统安全等级保护定级指南GB/T22240-2008》的要求

第一级：自组保护（第一级，信息系统受到破坏后，对公民、法人和其他组织的合法权益造成损害、但不损害国家安全、社会秩序和公共利益）

第二级：指导保护（信息系统造受破坏后，对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。)

第三级：监督保护(信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。)

第四级：强制保护(信息系统受到破坏后，会的社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。)

第五级：专控保护（信息系统受到破坏后，会对国家安全造成特别严重损害。）

1.6.等保定级分类

S类：业务信息安全保护（保护数据在存储/传输/处理过程中不被泄露、破坏，免受未授权修改）

A类：系统服务安全保护类（保护系统连续正常运行，避免因未授权修改/破坏而导致系统不可用）

G类：基本/通用要求：

第一级 S1A1G1

第二级 S1A2G2,S2AG2,S2A1G2

第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3

第四级 S1A4G4,S2A4G4,S3A4G4 ,S4A4G4,S4A3G4,S4A2G4,S4A1G4

**2.等保设施指南 **

2.1.基本框架

** 2.2.设施要点（网络安全）**

分类基本要求说明技术档案产品部署网络安全
访问控制
应在网络边界部署访问控制设备启用访问控制功能防火墙做边界访问控制防火墙应根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级防火墙策略防火墙应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级控制IPS实现4-7层协议安全控制防火墙应在还话处于非活跃一定时间或会话结束后终止网络连接防火墙会话老化、设置会话超时时间防火墙应限制网络最大流量数及网络连接数防火墙策略防火墙重要网段应采取技术手段防止地址欺骗IP、MAC绑定防火墙、交换机组合保障应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制力度为单个用户第一层基于IP的访问控制、基本防火墙能力第二层次基于用户身份的访问控制，下一代防火墙正常、配合AAA系统使用防火墙应限制具有拨号访问权限的用户数量拨号接入设备控制（可能包括PPTP等VPN方式）防火墙主机安全访问控制应对登录网络设备的用户进行身份鉴别网络运维人员身份管理
网络设备安全策略控制设定+堡垒机辅助
应对网络设备的管理的管理员地址进行限制ACL、安全策略网络设备用户的标识应唯一堡垒机做双因素认证主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别堡垒机做双因素认证身份鉴别信息应具有不易被冒用的特点。口令应有复杂度要求并定期更换设置复杂口令应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施设置策略控制非法登录次数和超时退出当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听远程管理使用加密协议、如SSH应实现设备特权用户的权限分离设备上设置用户权限

2.3设施要点（系统安全）

分类基本要求说明技术方案主机安全访问控制应启用访问控制功能，依据安全由操作系统自身的权限控制实现，可由堡垒机负责主机访问控制策略设定+堡垒机应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限由操作系统自身的权限控制实现，可由堡垒机负责主机访问控制策略设定+堡垒机应实现操作系统和数据库系统特权用户的权限分离系统分级管理、操作系统和数据库系统特权用户分离，由不同的管理员实行特权主机访问控制策略设定+堡垒机应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令漏扫系统定期检查系统默认账户口令主机访问控制策略设定+堡垒机应及时删除多余的、过期的账户、避免共享账户存在定期检查系统多余账号，员工离职或调岗需提交账户销户申请主机访问控制策略设定+堡垒机应对重要信息资源设置敏感标记基于安全标志实施强制访问控制、控制主体对客户的操作操作系统加固应依据安全策略严格控制用户对敏感标记重要信息资源的操作基于安全标志实施强制访问控制、控制主体对客体的操作操作系统加固

2.4.实施要点（数据安全、应用安全）

应用安全身份鉴别组合鉴别技术访问控制敏感标记的设置安全审计审计报表及审计记录的保护剩余信息保护敏感信息清楚、存储空间释放通信完整性加密技术通信保密性通信完整性、保密性，加密技术整个报文及会话传输过程加密防抵赖原发证据的提供软件容错出错校验、自动保护资源控制资源分配、优先级、最小化服务及检测报警数据安全数据完整性数据存储、传输，完整性检测和恢复数据保密性数据存储、传输、加密保护备份和回复冗余、备份

2.5.等保三级基本要求

三级系统安全保护环境基本要求与对应产品使用范围基本要求产品类型安全计算环境网络结构(VLAN划分)三层交换机（防火墙）MPLS VPN访问控制（权限分离）主机核心加固系统入侵防范（检测告警）主机入侵检测产品（HIDS）备份恢复（数据备份）设备冗余、本地备份（介质场外存储）数据完整性、保密性VPN设备剩余信息管理终端综合管理系统身份认证（双因素）证书、令牌、密保卡恶意代码防范（统一管理）网络版主机防病毒软件安全区域边界区域边界访问控制（协议检测）防火墙（IPS）资源控制（优先级控制）带宽管理、流量控制设备区域边界入侵检测IDS区域边界恶意代码防范防病毒网关、沙箱区域边界完整性保护综端综合管理系统安全通信网络通信网络安全审计上网行为管理数据传输完整性、保密性保护VPN设备安全管理中心系统管理安全管理平台审计管理（网络、主机、应用）安全审计系统
备注：今天的笔记更新 完成 大半夜还在更新，后续持续更新（下一期更新KALI平台）