等保中WAF的选用与规范其实重点在于,如果采用厂商设备,基本就是延用厂商的报告,很少会问比较细节的东西。如果选用开源的WAF,那么每个细节都会问到,问题如下:
(1)有没有登录界面
(2)登录用户有没有身份限制
(3)登录次数有没有做控制
(4)登录是否有失败锁定
(5)是否是所有用户均采用双因素登录
(6)如果有规则触发会不会及时告警,告警方式是什么
(7)规则支不支持自定义
(8)规则通过什么方式升级
(9)能不能查询6个月内的攻击日志
(10)以上所有是否界面化可操作
(11)等等等……
因为我在安全建设时为了节约安全投入,是采用的开源WAF,没有界面,甚至除了规则没有一个符合以上要求,在这里给采用开源WAF的安全从业者一些建议:
(1)采用体系内存在的日志管理来做后台登录界面
(2)告警通过邮件方式告警即可,这里需要自行编写判断发送邮件的脚本
(3)大部分开源WAF都支持自定义规则,升级一般通过手动方式升级,这里可以明言手动方式升级,对于等保的认证没有影响,可以升级就行
(4)界面化的操作如果实现困难可以和等保检查人员说是后台操作,需要登录服务器改配置文件,只不过这里算是一个建议型问题。
2)抗DDoS
如果是云环境的业务,云基础防御中存在抗DDoS功能的,直接把这个模块展示给等保的检查人员即可。物理机房建议购买一台,因为开源市场上成型的抗DDoS产品确实很少。在这里会看你的阀值设置,日志查询和存储情况。
3)堡垒机
关于堡垒机在等保中会问到的具体问题如下:
(1)有没有登录界面
(2)登录用户有没有身份限制
(3)登录次数有没有做控制
(4)登录是否有失败锁定
(5)角色是否分为:管理员、普通用户、审计管理员
(6)每个角色是否存在越权行为
(7)每个角色是否开启双因素认证
(8)审计日志是否保留3个月以上
(9)审计工作是否被执行(执行记录)
(10)堡垒机后台是否为分段密码
(11)是否采用HTTPS登录,版本是什么
在这里给大家一个建议,采用厂商的设备会相对顺利一些,如果采用的是开源设备,一定注意是用户身份,如果没有审计管理员这个角色,是一般甚至严重问题。后台的分段密码只是针对于厂商设备,开源设备不要求,HTTPS如果采用开源,建议套一层nginx反向代理。双因素登录是一般问题。
4)综合日志审计
一般采用syslog就足够了,当然如果是为了运营安全着想,要时常做日志分析,对于厂商设备来说分析工作会相对简单一些,采用syslog自行分析日志开发工作量会增大。这里会问的问题就相对比较少:
(1)是否集中了所有日志
(2)日志分析工作是否开展(证据)
(3)是否保留6个月以上日志
5)数据库审计
对于数据库审计,建议采用厂商设备,开源的数审大多以插件为主。会问到的问题与WAF大同小异。
6)IPS/IDS
这块主要看是否存在即可,没有问太细的东西,推荐是使用开源的IDS就足够了。
7)杀软
这块主要的问题如下:
(1)是否存在杀软
(2)是否定时查杀
(3)是否审查与修复(证据)
8)漏扫
这块一般使用Nessus就可以了,当然这是我想要主推的工具,也是免费,也相对准确,如果有需要的朋友私信“X安全”可以获取SC激活版Nessus。关于Nessus会问如下问题:
(1)扫描周期是否设定(根据管理文档设定,等保规定每年至少2次)
(2)扫描报告是否出具(邮箱或本地下载均可)
(3)扫描结果是否上报安全组并进行改正(证据)
(4)策略是否为本年度策略(可以不是最新,但是最多不能超过1年)
说明:关于专业版Nessus,可以升级,不限扫描IP数量。(PS:如有需要此工具者,可在“X安全”上回复“工具”获取。)
2渗透测试
这里其实包括两大类:
1)基线安全