等级保护技术支撑:安全设备和渗透测试
等保方案在规范管理之外,。还要有相应的技术作为支撑,这里的技术包括设备和渗透测试,本次主要想与大家聊的其实就是这部分。
1
设备
等保中会看的安全设备包括很多,比如WAF、抗DDoS、堡垒机、综合日志审计、数据库审计、IPS/IDS、杀软、漏洞扫描等等。我们一一叙述。
1)WAF
在安全建设时为了节约安全投入,是采用的开源WAF,没有界面,甚至除了规则没有一个符合以上要求,在这里给采用开源WAF的安全从业者一些建议:
(1)采用体系内存在的日志管理来做后台登录界面
(2)告警通过邮件方式告警即可,这里需要自行编写判断发送邮件的脚本
(3)大部分开源WAF都支持自定义规则,升级一般通过手动方式升级,这里可以明言手动方式升级,对于等保的认证没有影响,可以升级就行
(4)界面化的操作如果实现困难可以和等保检查人员说是后台操作,需要登录服务器改配置文件,只不过这里算是一个建议型问题。
2)抗DDoS
如果是云环境的业务,云基础防御中存在抗DDoS功能的,直接把这个模块展示给等保的检查人员即可。物理机房建议购买一台,因为开源市场上成型的抗DDoS产品确实很少。在这里会看你的阀值设置,日志查询和存储情况。
3)堡垒机
关于堡垒机在等保中会问到的具体问题如下:
(1)有没有登录界面
(2)登录用户有没有身份限制
(3)登录次数有没有做控制
(4)登录是否有失败锁定
(5)角色是否分为:管理员、普通用户、审计管理员
(6)每个角色是否存在越权行为
(7)每个角色是否开启双因素认证
(8)审计日志是否保留3个月以上
(9)审计工作是否被执行(执行记录)
(10)堡垒机后台是否为分段密码
(11)是否采用HTTPS登录,版本是什么
4)综合日志审计
一般采用syslog就足够了,当然如果是为了运营安全着想,要时常做日志分析,对于厂商设备来说分析工作会相对简单一些,采用syslog自行分析日志开发工作量会增大。这里会问的问题就相对比较少:
(1)是否集中了所有日志
(2)日志分析工作是否开展(证据)
(3)是否保留6个月以上日志
5)数据库审计
对于数据库审计,建议采用厂商设备,开源的数审大多以插件为主。会问到的问题与WAF大同小异。
6)IPS/IDS
这块主要看是否存在即可,没有问太细的东西,推荐是使用开源的IDS就足够了。
7)杀软
这块主要的问题如下:
(1)是否存在杀软
(2)是否定时查杀
(3)是否审查与修复(证据)
2
渗透测试
这里其实包括两大类:
1)基线安全
基线安全是服务器基础配置安全,包括SSH配置文件的配置,/etc/passwd是否存在不唯一的为0的UID,密码周期是否为90天等等。关于基线安全的扫描,如果是云环境,存在基线安全检测,但是我个人更推荐是基线检测脚本,因为如果使用云厂商的,需要投入资金。
2)应用安全
包括所有应用和网络方面的渗透测试,这部分只能看平时工作的效果了,没有什么建议,最大的建议是当时过检人员测出有什么漏洞及时修正就好了。
等保测试记住一个原则,谁都是需要体现工作量的,他们不可能给你评100,差不多就行。