等保2.0来了,分享一个可落地的等保建设方案 (2)

等保中WAF的选用与规范其实重点在于,如果采用厂商设备,基本就是延用厂商的报告,很少会问比较细节的东西。如果选用开源的WAF,那么每个细节都会问到,问题如下:

(1)有没有登录界面

(2)登录用户有没有身份限制

(3)登录次数有没有做控制

(4)登录是否有失败锁定

(5)是否是所有用户均采用双因素登录

(6)如果有规则触发会不会及时告警,告警方式是什么

(7)规则支不支持自定义

(8)规则通过什么方式升级

(9)能不能查询6个月内的攻击日志

(10)以上所有是否界面化可操作

(11)等等等……

因为我在安全建设时为了节约安全投入,是采用的开源WAF,没有界面,甚至除了规则没有一个符合以上要求,在这里给采用开源WAF的安全从业者一些建议:

(1)采用体系内存在的日志管理来做后台登录界面

(2)告警通过邮件方式告警即可,这里需要自行编写判断发送邮件的脚本

(3)大部分开源WAF都支持自定义规则,升级一般通过手动方式升级,这里可以明言手动方式升级,对于等保的认证没有影响,可以升级就行

(4)界面化的操作如果实现困难可以和等保检查人员说是后台操作,需要登录服务器改配置文件,只不过这里算是一个建议型问题。

 

2)抗DDoS

如果是云环境的业务,云基础防御中存在抗DDoS功能的,直接把这个模块展示给等保的检查人员即可。物理机房建议购买一台,因为开源市场上成型的抗DDoS产品确实很少。在这里会看你的阀值设置,日志查询和存储情况。

 

3)堡垒机

关于堡垒机在等保中会问到的具体问题如下:

(1)有没有登录界面

(2)登录用户有没有身份限制

(3)登录次数有没有做控制

(4)登录是否有失败锁定

(5)角色是否分为:管理员、普通用户、审计管理员

(6)每个角色是否存在越权行为

(7)每个角色是否开启双因素认证

(8)审计日志是否保留3个月以上

(9)审计工作是否被执行(执行记录)

(10)堡垒机后台是否为分段密码

(11)是否采用HTTPS登录,版本是什么

在这里给大家一个建议,采用厂商的设备会相对顺利一些,如果采用的是开源设备,一定注意是用户身份,如果没有审计管理员这个角色,是一般甚至严重问题。后台的分段密码只是针对于厂商设备,开源设备不要求,HTTPS如果采用开源,建议套一层nginx反向代理。双因素登录是一般问题。

 

等保2.0来了,分享一个可落地的等保建设方案

 

4)综合日志审计

一般采用syslog就足够了,当然如果是为了运营安全着想,要时常做日志分析,对于厂商设备来说分析工作会相对简单一些,采用syslog自行分析日志开发工作量会增大。这里会问的问题就相对比较少:

(1)是否集中了所有日志

(2)日志分析工作是否开展(证据)

(3)是否保留6个月以上日志

 

5)数据库审计

对于数据库审计,建议采用厂商设备,开源的数审大多以插件为主。会问到的问题与WAF大同小异。

 

6)IPS/IDS

这块主要看是否存在即可,没有问太细的东西,推荐是使用开源的IDS就足够了。

 

7)杀软

这块主要的问题如下:

(1)是否存在杀软

(2)是否定时查杀

(3)是否审查与修复(证据)

 

8)漏扫

这块一般使用Nessus就可以了,当然这是我想要主推的工具,也是免费,也相对准确,如果有需要的朋友私信“X安全”可以获取SC激活版Nessus。关于Nessus会问如下问题:

(1)扫描周期是否设定(根据管理文档设定,等保规定每年至少2次)

(2)扫描报告是否出具(邮箱或本地下载均可)

(3)扫描结果是否上报安全组并进行改正(证据)

(4)策略是否为本年度策略(可以不是最新,但是最多不能超过1年)

说明:关于专业版Nessus,可以升级,不限扫描IP数量。(PS:如有需要此工具者,可在“X安全”上回复“工具”获取。)

 

等保2.0来了,分享一个可落地的等保建设方案

 

2渗透测试

这里其实包括两大类:

1)基线安全

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zyffdj.html