张家口高新盛华热力有限公司 网络安全等保整改方案
- 一、方案概述
- 项目建设背景
1.1法律依据
1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条明确规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第三十一条规定,国家关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。
《网络安全法》的颁布实施,标志着从1994年的国务院条例(国务院令第147号)上升到了国家法律的层面,标志着国家实施十余年的信息安全等级保护制度进入2.0阶段,同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。
1.2政策依据
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出,“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。
2004年7月3日审议通过的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)指出,信息安全等级保护制度是国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
自2007年《信息安全等级保护管理办法》(公通字〔2007〕43号)颁布以来,一直是国家层面推动网络安全工作的重要抓手。2012年,《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)规定,“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查”。
除此之外,下列政策文件也对等级保护相关工作提出了要求:
《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔2005〕1431号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
《国家发展改革委关于进一步加强国家电子政务工程建设项目管理工作的通知》(发改高技〔2008〕2544号)
《关于开展信息安全等级保护安全建设整改工作的指导意见(公信安〔2009〕1429号)》
《关于进一步推动中央企业信息安全等级保护工作的通知》(公通字〔2010〕70号)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔2010〕303号)
《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技〔2012〕1986号)
《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)
《网络安全等级保护条例(征求意见稿)》 (2018年6月)
- 项目建设目标及内容
2.1建设目标
本次项目建设将根据《等级保护测评整改建议》要求,依据网络安全等级保护相关标准和指导规范,对张家口经开盛华热力有限公司的收费系统、生产系统进行网络安全规划。最终使收费系统满足等级保护三级的要求,生产系统满足等级保护二级要求。
2.2建设内容
本整改方案以张家口经开盛华热力有限公司收费系统和生产系统等级保护达到安全等级保护第三级和第二级要求。借助当前主流一线品牌网络产品、安全产品、安全服务、管理制度等手段,建立盛华热力全网的安全防控管理服务体系。
- 方案设计依据及网络安全等级保护要求
方案根据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》并参照GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》 的通用设计技术要求。
除上述两个标准外,还参考如下相关标准:
《信息技术 安全技术 信息安全管理体系要求》(ISO/IEC 27001:2013)
《信息技术 安全技术 信息安全控制实用规则》(ISO/IEC 27002:2013)
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)
《网络安全等级保护定级指南》(GA/T 1389-2017)
《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南(GB/T 28449-2018)
二、安全整改网络拓扑图
方案一方案二
方案三
方案四
|
三、系统设备及测评费用 张家口高新盛华热力有限公司网络安全整改设备系统预算(收费三级、控制二级)方案一 |
|||||||
|
序号 |
产品类别 |
产品名称 |
规格参数 |
数量 |
单位 |
单价 |
|
|
网络安全等保整改安全设备报价 |
|||||||
|
1 |
收费专线防火墙 |
H3C F1000-AK1020 |
硬件:采用非X86多核架构,1U机架式设备,8个千兆电口+2对Combo口(含1个管理电口)+2个Bypass口,1个Console口,2个USB口。 性能:七层吞吐量800Mbps,三层吞吐量3.5Gbps;并发连接数80万,每秒新建连接数(HTTP)1.5万。配套授权:3年AV、IPS、URL、TI特征库升级授权,15个SSL VPN用户授权,链路负载不限制链路数量。硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥28900.00 |
|
|
2 |
堡垒机 |
H3C A2000-AK601 |
硬件:1U高机架式硬件架构,8GB内存,1TB硬盘容量,标准配置6个以太网千兆电口,支持1个接口扩展槽位,支持14个以太网千兆接口或4个万兆接口的扩展能力。 性能:最大图形并发连接数50个,最大字符并发连接数200个。 配套授权:默认可管理资产50个,RDS授权1个。 硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务。 |
1 |
台 |
¥61730.00 |
|
|
3 |
日志审计 |
H3C CSAP-SA-AK640 |
硬件:1U高机架式硬件架构,单电源,2T硬盘容量,标准配置6个千兆电口,支持1个接口扩展槽位性能:日志处理速率2000EPS,日志容量6亿条。 配套授权:默认支持60个设备,可扩展至180个设备 硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥65780.00 |
|
|
4 |
数据库审计 |
H3C D2000-AK6615 |
硬件:1U高机架式硬件架构,支持双电源,8G内存,2T硬盘,支持2个管理接口,业务接口不少于4个以太网千兆电口,同时支持至少1个接口扩展槽位,具备至少8个及以太网千兆接口或4个万兆接口的扩展能力。 性能:SQL峰值处理能力不低于1.5万条/秒,日志存储数量不低于10亿条,最大吞吐量不低于1000Mbps,双向审计数据库流量不低于100Mbps。 配套授权:默认支持审计1个数据库实例,每业务挂载数据库数量不限 硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务。 |
1 |
台 |
¥85700.00 |
|
|
5 |
漏洞扫描 |
H3C SysScan-AK810 |
硬件:1U高机架式硬件架构,1T硬盘容量,1个管理口,5个以太网千兆业务电口,支持1个接口扩展槽位,性能:系统、数据库、基线扫描IP总并发120个,系统、数据库、基线扫描任务总并发6个,Web扫描并发1个,口令猜解并发任务数1个 配套授权:3年漏洞库(含操作系统、数据库和WEB应用的漏洞规则库)升级授权函,128个IP扫描数量。硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥76300.00 |
|
|
6 |
生产专线防火墙 |
H3C |
硬件:采用非X86多核架构,1U机架式设备,8个千兆电口+2对Combo口(含1个管理电口)+2个Bypass口,1个Console口,2个USB口。 性能:七层吞吐量800Mbps,三层吞吐量3.5Gbps;并发连接数80万,每秒新建连接数(HTTP)1.5万。配套授权:3年AV、IPS、URL、TI特征库升级授权,15个SSL VPN用户授权,链路负载不限制链路数量。硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥28900.00 |
|
|
7 |
核心交换机 |
H3C S7503E-M |
整合收费与生产网,利用三层路由及VLAN划分整合管理网络资源,以太网交换机 电口套包 主机*1 引擎*1电源*2 三层交换机, 48个千兆电口 |
1 |
台 |
¥29000.00 |
|
|
8 |
系统整改集成、配置加固、管理体系手册 |
服务 |
设备安装,设备安全端口管理调试、系统补漏,数据库更新、系统设备配置加固、管理体系手册及制度上墙展板、 |
1 |
次 |
¥20000.00 |
|
|
9 |
上网行为 |
H3C ACG1000-AK230 |
硬件:采用非X86多核架构,2U机架式设备,具备2.4寸液晶屏,10个千兆电口+4对Combo口,1个Console口,1个USB口,2个扩展槽位,自带1T硬盘。 性能:三层吞吐量2Gbps,七层吞吐量800Mbps;功能全开适用带宽300M,行为审计&应用控制适用终端规模1000台。 配套授权:3年应用识别&URL特征库升级服务,免费10个SSL VPN并发数,链路负载不限制链路数量,服务器负载功能免授权。硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
可选 |
|
|
|
小计 |
|
叁拾玖万陆仟叁佰壹拾元整 |
|
|
¥396310.00 |
|
|
第三方机构测评收费(每年测) |
|||||||
|
1 |
等保三级测评费用 |
第三方专业测评机构 |
根据公安部门要求收费系统过三级等保,初测、整改方案、终测、备案证申办等,漏洞手动补存,安全管理指导、安全培训等 |
1 |
年 |
¥70000.00 |
|
|
2 |
等保二级测评费 |
第三方专业测评机构 |
根据公安部门要求控制系统过二级等保测评, |
1 |
年 |
¥40000.00 |
|
|
备注;此报价是三年软硬件维保服务,包括5×8免费硬件维修服务,5×8热线技术支持服务。 |
|||||||
其他环境设备
|
序号 |
产品类别 |
产品名称 |
规格参数 |
数量 |
单位 |
单价 |
|
1 |
动环监控系统 |
仁科 |
漏水检测、烟感检测、电力检测、温湿度检测、视频监控等、云端存储、收集报警查看
|
1 |
套 |
¥15500.00 |
|
2 |
门禁气体灭火器 |
|
智能门禁系统、二氧化碳其他灭火器等、机柜整改等 |
1 |
套 |
¥3000.00 |
|
张家口高新盛华热力有限公司网络安全整改设备系统预算(收费三级、控制二级)方案二 |
||||||||||||
|
序号 |
产品类别 |
产品型号 |
规格参数 |
数量 |
单位 |
单价 |
金额 |
|||||
|
网络安全等保整改安全设备报价 |
||||||||||||
|
1 |
收费专线防火墙 |
H3C F1000-AK1020 |
硬件:采用非X86多核架构,1U机架式设备,8个千兆电口+2对Combo口(含1个管理电口)+2个Bypass口,1个Console口,2个USB口。 性能:七层吞吐量800Mbps,三层吞吐量3.5Gbps;并发连接数80万,每秒新建连接数(HTTP)1.5万。配套授权:3年AV、IPS、URL、TI特征库升级授权,15个SSL VPN用户授权,链路负载不限制链路数量。硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥28900.00 |
¥28900.00
|
|||||
|
2 |
堡垒机 |
H3C A2000-AK601 |
硬件:1U高机架式硬件架构,8GB内存,1TB硬盘容量,标准配置6个以太网千兆电口,支持1个接口扩展槽位,支持14个以太网千兆接口或4个万兆接口的扩展能力。 性能:最大图形并发连接数50个,最大字符并发连接数200个。 配套授权:默认可管理资产50个,RDS授权1个。 硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务。 |
1 |
台 |
¥61730.00 |
¥61730.00 |
|||||
|
3 |
日志审计 |
H3C CSAP-SA-AK640 |
硬件:1U高机架式硬件架构,单电源,2T硬盘容量,标准配置6个千兆电口,支持1个接口扩展槽位性能:日志处理速率2000EPS,日志容量6亿条。 配套授权:默认支持60个设备,可扩展至180个设备 硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥65780.00 |
¥65780.00 |
|||||
|
4 |
数据库审计 |
H3C D2000-AK6615 |
硬件:1U高机架式硬件架构,支持双电源,8G内存,2T硬盘,支持2个管理接口,业务接口不少于4个以太网千兆电口,同时支持至少1个接口扩展槽位,具备至少8个及以太网千兆接口或4个万兆接口的扩展能力。 性能:SQL峰值处理能力不低于1.5万条/秒,日志存储数量不低于10亿条,最大吞吐量不低于1000Mbps,双向审计数据库流量不低于100Mbps。 配套授权:默认支持审计1个数据库实例,每业务挂载数据库数量不限 硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务。 |
1 |
台 |
¥85700.00 |
¥85700.00 |
|||||
|
5 |
漏洞扫描 |
H3C SysScan-AK810 |
硬件:1U高机架式硬件架构,1T硬盘容量,1个管理口,5个以太网千兆业务电口,支持1个接口扩展槽位 性能:系统、数据库、基线扫描IP总并发120个,系统、数据库、基线扫描任务总并发6个,Web扫描并发1个,口令猜解并发任务数1个 配套授权:3年漏洞库(含操作系统、数据库和WEB应用的漏洞规则库)升级授权函,128个IP扫描数量。硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥76300.00 |
¥76300.00 |
|||||
|
6 |
小型VPN防火墙 |
H3C F100-C-G5 |
|
3 |
台 |
¥6800.00 |
¥20400.00 |
|||||
|
7 |
核心交换机 |
H3C S7503E-M |
整合收费与生产网,利用三层路由及VLAN划分整合管理网络资源,以太网交换机 电口套包 主机*1 引擎*1电源*2 三层交换机, 48个千兆电口 |
1 |
台 |
v29000.00 |
¥29000.00 |
|||||
|
8 |
系统整改集成、配置加固、管理体系手册 |
服务 |
设备安装,设备安全端口管理调试、系统补漏,数据库更新、系统设备配置加固、管理体系手册及制度上墙展板、 |
1 |
次 |
¥20000.00 |
¥20000.00 |
|||||
|
9 |
上网行为 |
H3C ACG1000-AK230 |
硬件:采用非X86多核架构,2U机架式设备,具备2.4寸液晶屏,10个千兆电口+4对Combo口,1个Console口,1个USB口,2个扩展槽位,自带1T硬盘。 性能:三层吞吐量2Gbps,七层吞吐量800Mbps;功能全开适用带宽300M,行为审计&应用控制适用终端规模1000台。 配套授权:3年应用识别&URL特征库升级服务,免费10个SSL VPN并发数,链路负载不限制链路数量,服务器负载功能免授权。硬件质保服务:三年原厂硬件质保及5*10*NBD备件服务 |
1 |
台 |
¥32000 |
可选 |
|||||
|
|
小计 |
|
叁拾捌万柒仟捌佰壹拾元整 |
|
|
|
¥387810.00 |
|||||
|
第三方机构测评收费(每年测) |
|
|||||||||||
|
1 |
等保三级测评费用 |
第三方专业测评机构 |
根据公安部门要求收费系统过三级等保,初测、整改方案、终测、备案证申办等,漏洞手动补存,安全管理指导、安全培训等 |
1 |
年 |
|
¥70000 |
|||||
|
2 |
等保二级测评费 |
第三方专业测评机构 |
根据公安部门要求控制系统过二级等保测评, |
1 |
年 |
|
¥40000 |
|||||
|
备注;此报价是三年软硬件维保服务,包括5×8免费硬件维修服务,5×8热线技术支持服务。 |
|
|
||||||||||
张家口高新盛华热力有限公司网络边界安全堆安全一体机加防火墙整改设备系统预算 方案三
|
序号 |
产品线 |
产品型号 |
奇安信参数 |
数量 |
单位 |
含税单价(元) |
含税总价(元) |
|
1 |
边界安全堆 |
奇安信NSG9800-XD15-QDFX |
带宽100M场景,可以运行NGFW(平台自带FW/IPS/AV等)、日志审计、堡垒机、天擎; 防火墙:网络吞吐2G,最大并发200W,新建3万/秒,含三年硬件维保和三年全特征库授权; 天擎:默认含50个windows终端终端数,支持最大终端数100个;默认含3年升级库授权。 日志审计:默认含10个授权,支持最大授权数20个;默认含3年软件维护服务; 堡垒机:默认含10个授权,支持最大授权数20个;默认含3年软件维护和升级授权;最大图形化并发为15,最大字符并发为20; 标准1U机箱,6个10/100/1000M自适应电口,2个万兆光口插槽,2个扩展板卡插槽,1个Console口,2个USB,一块8T硬盘,双电源。 |
1 |
台 |
¥127300.00 |
¥127,300.00 |
|
2 |
服务器区数据防火墙 |
奇安信NSG2600-TE35-QDFX |
网络处理能力5Gbps,并发连接≥180万,每秒新建连接7万/秒,1U机架式设备,单电源,标准配置板载8个10/100/1000M自适应电口、2个SFP插槽和2个SFP+插槽,1个Console口, 。1个扩展插槽,支持扩展板卡。含三年硬件维保服务。包含高级功能(IPSEC VPN500个、SSL VPN 300个)、特征库升级(应用识别特征库、病毒防护特征库、入侵检测特征库、URL分类特征库升级服务)、威胁情报订阅服务1年。 |
1 |
台 |
¥32,800.00 |
¥32,800.00 |
|
3 |
小型VPN防火墙 |
H3C F100-C-G5 |
企业级防火墙,WAN:2*GE+LAN :8*GE千兆,VPN网络安全上网行为管理 带机400/吞吐2G,接入宽带:301-500M、企业VPN:支持企业VPN、LAN输出口:千兆网口,管理方式:WEB页面,命令行、运营商:移动,联通,电信支持IPv6:支持IPv6、WAN口类型:光口,电口;总带机量:301-400终端,WAN接入口:千兆网口、Wan口数量:2个、LAN口类型:光口,电口,光电复用口VPN类型:IPSec VPN,L2tp VPN,其他、上网行为管理:支持上网行为管理 |
3 |
台 |
¥6800.00 |
¥20400.00 |
|
4 |
系统整改集成 |
服务 |
设备安装,设备安全端口管理调试、系统补漏,数据库更新、系统设备配置加固、管理体系手册及制度上墙展板、 |
1 |
次 |
¥20000.00 |
¥20000.00 |
|
|
小计 |
|
贰拾万零伍佰元整 |
|
|
|
¥200500.00 |
张家口高新盛华热力有限公司网络安全远程安全服务预算 方案四
|
产品名称 |
功能模块 |
产品说明 |
数量 |
单位 |
含税总价(元) |
|
等保合规云管平台 |
云防火墙 |
可提供互联网边界流量管控与安全防护,包括实时网络入侵检测、入侵记录统计分析、网络防病毒恶意代码检测、访问控制策略等能力。 |
1 |
年 |
85000.00 |
|
Web应用防火墙(waf) |
支持应用层入侵检测与防御功能(包括OWASP TOP 10),包括:Web入侵防护、网页防篡改、防自动化扫描、CC攻击防护、应用层访问控制, |
||||
|
云堡垒机 |
通过B/S方式(https)对主机、网络设备、数据库、应用等实施统一认证、授权、审计、分析;具有与身份认证系统无缝结合的接口;实现对操作过程的全程监控与审计,以及对违规操作行为的实时阻断。支持对多种远程维护方式,如字符终端方式(SSH、Telnet)、图形方式(RDP)、文件传输(FTP、SFTP)协议, 应用发布系统支持BS/CS等应用的单点登录及审计(20用户)。 |
||||
|
云安全中心 |
1、提供安全状态量化指标,以攻击者视角的告警事件、威胁事件。 |
||||
|
网页防篡改 |
对网站发布的内容进行保护,可有效防止网站真实页面被篡改而直接发布到访问者的客户端。 |
||||
|
漏洞扫描 |
以企业IT资产为核心,提供全面、快速、精准的漏洞扫描及风险监测服务,帮助企业持续地发现暴露在互联网边界上的常见安全风险(256个授权)。 |
||||
|
数据库审计 |
SQL处理能力:50000条/s,SQL在线存储能力:40亿条,入库速率: 50000/s,纯数据库流量:400Mb/s,可添加数据库个数:35,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警(5个数据库实例)。 |
||||
|
日志审计 |
日志采集、日志分析、日志审计,可实现采集各类系统中的安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,以统一格式的日志形式进行集中存储和管理(含30个日志源授权)。 |
||||
|
特色功能 |
1.密码复杂度功能 2.双因素支持 3.细粒度的访问控制 4.不限制带宽 5.防自动化攻击 6.网站内容监测 7.个人敏感信息监测 等 |
||||
|
远程安全服务 |
服务 |
提供安全远程入侵监控服务、远程入侵防御、远程内部入侵检测监控、内部入侵防御 |
1 |
年 |
85000.00 |
|
合计 |
一年服务 |
壹拾柒万元整 |
|
|
170000.00 |
.00备注:
1、本地私有化方式部署(镜像交付,只需客户提供一台云服务器来装镜像,配置4核8G默认硬盘(硬盘后期按需扩容即可),全程技术指导,适合服务器在公有云的客户);
2、报价服务期限为一年;
3、测评安全公司远程安全监控、远程防御。
四、网络安全等级保护安全整改内容
现状及整改建议
安全物理环境
|
控制点 |
要求项 |
测评结果 |
符合程度 |
整改建议 |
整改情况 |
备注 |
|
物理访问控制 |
a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
经检查,机房出入口未配备电子门禁系统。 |
不符合 |
建议机房出入口部署电子门禁系统对进出人员进行控制,对进入人员信息进行鉴别记录。 |
|
|
|
防盗窃和防破坏 |
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
经检查,机房未配备视频监控系统。 |
不符合 |
建议部署视频监控系统。 |
|
|
|
防火 |
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 |
经检查,重要设备位于同一空间,未进行隔离放置。 |
不符合 |
建议按照系统等级的安全需求、功能和特性划分区域进行管理,区域与区域间采用物理方式隔断,设置物理访问控制措施,并在重要区域前设置过渡区域,进行物品交付或设备安装前的存放等。 |
|
|
|
防水和 防潮 |
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。 |
经检查,机房所采用材料均为耐火材料,但放置有纸箱子等易燃物。 |
不符合 |
建议机房采用具有耐火等级的建筑材料进行装修,禁止放置杂物(纸箱子等易燃物)。 |
|
|
|
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 |
经访谈,机房未部署漏水检测装置,未正常运行。 |
不符合 |
建议机房部署漏水检测装置,如漏水检测绳等。 |
|
|
|
|
防静电 |
b)应采取措施防上静电的产生,例如采用静电消除器、佩戴防静电手环等。 |
经检查,机房未配备防静电手环或静电消除器。 |
不符合 |
建议机房配备静电消除器、防静电手环等静电消除设备。 |
|
|
|
温湿度 控制 |
a)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 |
经检查,机房部署中央空调对机房温度进行控制,但无法对湿度进行自动调节。 |
不符合 |
建议机房配备精密空调进行温湿度控制,温度应控制在18℃~27℃,湿度应控制在35%~65%。 |
|
|
|
电磁防护 |
a)电源线和通信线缆应隔离铺设,避免互相干扰。 |
经检查,电源线和通信线未进行隔离铺设。 |
不符合 |
建议机房电源线和通信线缆隔离铺设。 |
|
|
|
b)应对关键设备实施电磁屏蔽。 |
经检查,未对关键设备实施电磁屏蔽。 |
不符合 |
建议为机房关键设备和磁介质实施电磁屏蔽。 |
|
|
安全通信网络
|
控制点 |
要求项 |
测评结果 |
符合程度 |
整改建议 |
整改情况 |
备注 |
|
网络架构 |
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 |
经检查,通信线路未采取冗余部署,安全设备未采用硬件冗余部署,网络设备和服务器采用主备方式进行部署。 |
部分符合 |
建议通信线路采取冗余部署,重要网络设备和关键计算设备采用硬件冗余部署。 |
£是 £否 |
|
|
通信传输 |
b)应采用密码技术保证通信过程中数据的保密性。 |
1)经检查,内部网络通讯未部署数据校验或密码技术设备,未采用IPV6通讯加密协议进行数据传输,无法保证数据传输过程中的保密性。2)数据在系统外部通讯时采用了HTTPS等加密技术,可以保证系统外部用户与系统交互时数据的保密性。 |
部分符合 |
建议采用IPV6通讯加密协议进行数据传输,或部署加密产品实现内部通信加密传输。 |
£是 £否 |
|
|
可信验证 |
a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
经检查,网络内未部署可信验证设备,无法基于可信根实现系统、应用等程序的可信验证。 |
不符合 |
建议网络部署可信验证设备,基于可信根实现系统、应用等程序的可信验证。 |
£是 £否 |
|
安全区域边界
|
控制点 |
要求项 |
测评结果 |
符合程度 |
整改建议 |
整改情况 |
备注 |
|
入侵防范 |
c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析。 |
经检查,未部署抗APT攻击/网络分析系统/网络回溯系统/威胁情报检测系统,不能实现对网络攻击特别是新型网络攻击行为的分析。 |
不符合 |
建议部署抗APT攻系统,实现对网络攻击特别是新型网络攻击行为的分析。 |
|
|
|
入侵防范 |
d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 |
经检查,未部署入侵防御产品,无法在发生严重入侵事件时提供报警。 |
部分符合 |
建议核心业务区和边界防护区部署入侵防御系统或者防火墙配置IPS模块。 |
|
|
|
恶意代码防范 |
a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; |
经检查,未部署恶意代码防范产品,无法对恶意代码进行防范。 |
不符合 |
建议部署防恶意代码产品,对网络中恶意代码进行防范。 |
|
|
|
安全审计 |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
网络中未部署日志审计系统,无法集中收集网络、安全设备的日志信息并进行备份,无法保证审计日志至少保存6个月以上。 |
不符合 |
建议部署日志审计系统,对网络、安全设备和服务器日志进行收集。 |
|
|
|
可信验证 |
a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
经检查,网络内未部署可信验证设备,无法基于可信根实现系统、应用等程序的可信验证。 |
不符合 |
建议网络内部署可信验证设备,基于可信根实现系统、应用等程序的可信验证。 |
|
|
安全计算环境
1.3.1核心交换机、安全设备
|
控制点 |
要求项 |
测评结果 |
符合程度 |
整改建议 |
整改情况 |
备注 |
|
身份鉴别 |
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
1)经检查,用户在登录网络设备时采取用户名+口令的方式;2)口令长度8位,采用大小写字母、数字和特殊符号密码机制,设备用户列表内身份标识唯一,无相同用户;3)无空口令用户,设备未定期更换口令。 |
部分符合 |
建议配置口令符合密码策略:8位以上由大小写字母、数字和符号组成,并至少每三个月进行更换一次。 |
|
|
|
身份鉴别 |
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; |
经检查,输入 display current-configuration, 显示不具有Maximum login attempts:,Action for exceeding login attempts参数,设备未设置登录失败次数,输入display current-configuration, 显示不具有登录超时参数idle-timeout。 |
不符合 |
建议网络设备配置登录失败处理功能和超时退出参数。 |
|
|
|
身份鉴别 |
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
经检查,设备未采用两种组合的鉴别技术进行身份鉴别。 |
不符合 |
建议系统中用户中同时采用用户名+密码+动态口令或其他两种或两种以上的鉴别技术进行身份鉴别,防止用户名或密码泄露。 |
|
|
|
访问控制 |
b)应重命名或删除默认账户,修改默认账户的默认口令; |
经检查,1)该设备未重命名默认帐户;2)该设备已修改默认帐户的默认口令。 |
部分符合 |
建议重命名系统默认帐户,修改帐户默认口令。 |
|
|
|
访问控制 |
d)应授予管理用户所需的最小权限,实现管理用户的权限分离; |
经检查,该设备具有系统管理员admin,但未建立安全管理员和审计员用户,未实现用户的权限分离。 |
不符合 |
建议建立三权分离用户。 |
|
|
|
安全审计 |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
经检查,审计记录无法进行转存,无法查看到6个月之前的日志信息。 |
不符合 |
建议部署日志审计系统,对日志信息进行保护。 |
|
|
|
入侵防范 |
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; |
经检查,未配置访问控制策略,未限制终端接入方式和地址范围。 |
不符合 |
建议网络设备、安全设备配置访问控制策略,限制终端接入方式和地址范围,防止未授权人员访问设备。 |
|
|
|
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; |
经访谈,管理员未定期进行漏洞扫描,无法及时修补漏洞。 |
不符合 |
建议部署漏洞扫描设备,至少每月进行一次漏洞扫描,及时修补设备高危漏洞。 |
|
|
|
|
可信验证 |
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
经检查,未部署可信验证设备。 |
不符合 |
建议部署可信验证设备。 |
|
|
|
数据备份恢复 |
a)应提供重要数据的本地数据备份与恢复功能; |
经访谈,网络设备未定期进行配置备份。 |
不符合 |
建议网络设备、安全设备每个月进行配置备份,备份至本地,防止出现数据出错导致无法进行恢复数据的风险。 |
|
|
|
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。 |
经检查,核心交换机设备未实现热冗余部署。 |
不符合 |
建议核心交换机采用热冗余部署,保证系统的高可用性。 |
|
|
1.3.2收费系统
1)Windows系统
|
控制点 |
要求项 |
测评结果 |
符合程度 |
整改建议 |
整改情况 |
备注 |
|
身份鉴别 |
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; (高风险) |
1)经检查,在运行中输入rundll32 netplwiz. dll, UserRunDll, 已勾选“要使用本机,用户必须输入用户名和密码”;已为不同人员设置了不同的用户,用户名具有唯一性;2)检查密码复杂度策略:1.密码复杂性要求 (已启用);2.密码长度最小值 (0); 3.密码最短使用期限(0天);4.密码最长使用期限(42天);5.密码强制历史 (0个),未设置严格的密码复杂度策略且未定期更换; 检查用户的密码永不过期 (用户已禁用)。 |
部分符合 |
1)建议执行“Win+R->运行->secpol.msc”打开本地安全策略,选择“帐户策略->密码策略”,在“帐户策略->密码策略”设置密码必须符合复杂性要求为已启用,密码长度最小值为8个字符,密码最短使用期限为2天,密码最长使用期限为90天,强制执行密码历史为5个记住的密码,用可还原的加密来储存密码为已禁用; 2)建议每3个月更换口令。 |
|
|
|
身份鉴别 |
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;(终端设备) (高风险) |
1)经检查,系统登录失败处理参数: 1.账户锁定时间 (不适用);2.账户锁定阙值 (0次无效登录);3.重置账户锁定计数器 (不适用);2)未设置屏幕保护功能并设置超时锁定时间。 |
不符合 |
建议执行“Win+R->运行->secpol.msc”打开本地安全策略,选择“帐户策略->账户锁定策略”,在“帐户策略->账户锁定策略”设置: a)复位账户锁定计数器:30分钟之后 b)账户锁定时间:30分钟 c)账户锁定阈值:5次无效登录; 建议设置屏幕保护功能并设置超时锁定时间为10分钟(勾选在恢复时显示登录屏幕)。 |
|
|
|
身份鉴别 |
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; |
1)经检查,【计算机属性】-【远程】,当前系统开启了远程桌面管理功能;2)当前服务器操作系统rdp协议为加密传输,可以防止鉴别信息在网络传输过程中被窃听,但未限制默认远程端口号。 |
部分符合 |
建议运维人员经过测试后,对系统的默认远程端口进行修改,防止系统的默认端口被不法分子利用从而入侵信息系统。 |
|
|
|
访问控制 |
b)应重命名或删除默认账户,修改默认账户的默认口令; |
1)经检查,未重命名administrator用户但已修改默认账户的默认口令。 |
不符合 |
建议重命名系统默认administrator用户或者禁用,重新建立系统管理员用户,防止默认用户被不法分子猜测导致系统被入侵。 |
|
|
|
访问控制 |
d)应授予管理用户所需的最小权限,实现管理用户的权限分离; |
1)经检查,系统存在管理员,已为管理用户分配所需的最小权限,但未建立审计员和安全员用户,无法实现管理用户的权限分离。 |
部分符合 |
建议建立专门审计员用户,对审计日志进行审计,为不同用户建立不同的用户名;建立安全员用户,实现管理用户的权限分离。 |
|
|
|
安全审计 |
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;(终端设备) |
1)经检查[开始]->[控制面板] ->[管理工具]->[本地安全策略]->[本地策略]->[审核策略],服务器仅开启审核登录和审核账户登录事件策略,未开启全部的审核策略。 |
不符合 |
建议开启操作系统的审核策略,对系统的操作事件进行审计,使审计范围覆盖到每个操作系统用户。 |
|
|
|
安全审计 |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
1)经检查,审计记录由管理员进行保护,未建立专门的审计员账户进行管理,审计记录会备份至本地但无法查看到6个月之前的日志信息。 |
部分符合 |
建议建立审计员用户,对审计日志进行审计;建议部署日志审计系统,对审计日志进行审计,防止审计日志受到未预期的删除、修改或覆盖等。 |
|
|
|
入侵防范 |
b)应关闭不需要的系统服务、默认共享和高危端口; |
1)经检查,未关闭系统默认共享; 2)经检查,查看[控制面板]->[管理工具]->[服务],未关闭打印服务、server等系统不必要的服务; 3)经检查,操作系统未关闭不必要的端口:135,139,445端口。 |
不符合 |
建议服务器操作系统关闭默认共享;建议操作系统开启防火墙策略,关闭不必要的高危端口:135,137-139,445等端口。 |
|
|
|
入侵防范 |
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; |
经检查,系统未定期进行漏洞扫描,未对漏扫报告中的高风险问题进行及时的修复。 |
不符合 |
建议部署漏扫设备,定期(建议每个月)对操作系统进行漏洞扫描,及时对操作系统的状态进行评估,防止系统漏洞被利用导致出现入侵事件。 |
|
|
|
入侵防范 |
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 |
经检查,未安装主机入侵检测系统,对入侵行为进行检测并在严重入侵事件时提供报警功能。 |
部分符合 |
建议在防火墙配置策略,对高危端口:135,137-139,445等端口进行限制;建议部署主机入侵检测软件并设置报警功能,出现入侵事件时及时通知到运维人员。 |
|
|
|
可信验证 |
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
1)经检查,未实现可信验证功能。 |
不符合 |
建议配置可信验证产品,对计算设备的引导程序、应用程序、重要参数等进行可信验证。 |
|
|
|
数据保密性 |
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; |
1)经检查,未采用密码技术保证鉴别数据在传输过程中的保密性。 |
不符合 |
建议windows系统采用密码技术来保证鉴别数据、重要业务数据和重要个人信息在传输过程中的保密性。 |
|
|
|
数据保密性 |
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
1)经检查,windows系统未采用密码技术进行管理,无法保证数据在存储过程中的保密性。 |
不符合 |
建议windows系统采用密码技术来保证鉴别数据、重要业务数据和重要个人信息在存储过程中的保密性。 |
|
|
|
数据备份恢复 |
a)应提供重要数据的本地数据备份与恢复功能; |
经检查,未定期进行备份数据,无法实现备份数据的恢复。 |
部分符合 |
建议定期对操作系统重要数据进行备份,并进行恢复测试,保证备份数据的有效性和可用性,防止备份数据出现问题后无法对重要数据进行及时的恢复。 |
|
|
|
数据备份与恢复 |
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; |
1)经检查,未提供异地数据备份功能,并进行实时备份。 |
不符合 |
建议部署异地机房或其他异地备份机制,利用通用网络实时备份重要数据到指定地点,防止本地机房出现问题后造成数据的丢失。 |
|
|
|
剩余信息保护 |
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; |
1)经检查,查看管理工具-本地安全策略-安全选项,不显示上次的用户名[未启用],系统鉴别信息所在的存储空间被释放或重新分配前无法得到完全清除。 |
不符合 |
建议执行“Win+R->运行->secpol.msc”打开本地安全策略,选择“本地安全策略->安全设置->本地策略->安全选项”将[交互式登录:不显示上次的用户名]设置为已启用。 |
|
|
|
剩余信息保护 |
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除; |
1)经检查,查看[本地安全策略]->[本地策略]->[安全选项]->[关机:清除虚拟内存页面文件]已禁用,系统内重要信息资源所在存储空间重新分配前无法进行清除。 |
不符合 |
建议执行“Win+R->运行->secpol.msc”打开本地安全策略,选择“本地策略-安全选项”将[关机:清除虚拟内存页面文件] 设置为已启用。 |
|
|
2)SqlServer数据库
|
控制点 |
要求项 |
测评结果 |
符合程度 |
整改建议 |
整改情况 |
备注 |
|
身份鉴别 |
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; |
1)经检查,查看SqlServer Management Studio->SqlServer服务器>右键属性>服务器属性>连接,已勾选“允许远程连接到此服务器”,可以对数据库进行远程管理; 2)经检查,查看SqlServer Configuration Manager->SqlServer网络配置->MSSQLSERVER的协议>右键属性,“证书”标签页未发现存在手动配置证书,“标志”标签页中强行加密设置为“否”; 3)数据库管理系统能够在连接中自动生成自签名证书,对网络传输过程中的鉴别信息进行加密,在一定程度上保证了鉴别信息的安全性。 |
部分符合 |
建议开启远程登录加密功能; 打开开始菜单-Microsoft SQL Server--配置工具--SQL Server管理配置管理器--双击SQL Server网络配置--右击MSSQLSERVER的协议属性-强行加密选择“是”。 |
|
|
|
访问控制 |
a)应对登录的用户分配账户和权限 |
1)经检查,数据库系统除sa账户外,其余用户因业务需要具有sysadmin角色,但未建立安全管理员和审计账户并分配合适的权限。 |
部分符合 |
建议在数据库系统中设置审计员用户和安全员用户,并分配适当的权限。 |
|
|
|
访问控制 |
b)应重命名或删除默认账户,修改默认账户的默认口令; |
1)经检查,系统存在默认sa账户拥有最高权限,未重命名sa账户; 2)数据库不存在默认口令。 |
部分符合 |
建议重命名sa账户,防止用户口令被恶意猜测从而敏感信息被泄露。 |
|
|
|
安全审计 |
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
1)经检查,数据库仅开启“仅限失败的登录”,未开启C2审核跟踪,未启用完善的审计功能但审计范围覆盖到每个数据库用户。 |
部分符合 |
建议数据库开启全部的审核策略,对系统的成功和失败的事件进行审计,保证审计范围覆盖到每个操作系统用户。 |
|
|
|
安全审计 |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
未部署数据库审计系统,无法保证审计日志至少保存6个月以上时间。 |
不符合 |
建议部署数据库审计系统,对数据库日志进行收集并保存至少6个月时间。 |
|
|
|
入侵防范 |
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; |
经检查,数据库系统未部署数据库漏洞扫描设备,未定期进行漏扫并在充分评估后进行修补。 |
不符合 |
建议对数据库补丁进行及时的更新,防止数据库的漏洞过多导致数据库受到外来者的入侵;建议部署数据库防火墙,对数据库的虚拟补丁进行更新,在出现违规操作时进行限制。 |
|
|
|
可信验证 |
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
1)经检查,未部署可信验证产品对系统引导程序以及应用程序进行可信验证。 |
不符合 |
建议部署可信验证产品对系统的引导程序、应用程序等进行可信验证。 |
|
|
|
数据完整性 |
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; |
1)经检查,windows系统采取rdp加密协议进行远程管理,可以保证鉴别数据在传输过程中的完整性;2)经检查,未采用校验码技术或密码技术进行数据传输,未采取措施对数据完整性进行校验。 |
部分符合 |
建议业务数据采取校验码技术或密码技术,对传输过程中的数据完整性进行校验。 |
|
|
|
数据备份与恢复 |
a)应提供重要数据的本地数据备份与恢复功能; |
经检查,未定期进行备份,不具有数据恢复功能,但未进行数据的恢复测试。 |
部分符合 |
建议系统在备份完数据之后,定期对备份数据进行恢复测试,防止备份数据出现故障无法进行恢复。 |
|
|
|
数据备份与恢复 |
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; |
1)经检查,未提供异地数据备份功能,并进行实时备份。 |
不符合 |
建议部署异地机房或其他异地备份机制,利用通用网络实时备份重要数据到指定地点,防止本地机房出现问题后造成数据的丢失。 |
|
|
安全管理中心
|
控制点 |
要求项 |
测评结果 |
符合程度 |
整改建议 |
整改情况 |
备注 |
|
系统管理 |
a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; |
1)系统设备已经分配了系统管理员,开启了系统管理员的身份鉴别功能;2)已经对系统管理员的操作权限进行限制,仅允许其拥有业务所需的最小权限;3)未部署堡垒机,无法对系统中所有设备系统管理员的操作行为进行审计。 |
部分符合 |
建议部署堡垒机,通过特定界面对设备系统管理员进行操作审计。 |
|
|
|
审计管理 |
b)应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 |
1)经检查,网络、安全设备和服务器未配置有审计管理员账户;2)通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 |
部分符合 |
建议主机、安全设备、网络设备配置审计管理员用户;建议部署日志审计系统,对日志进行收集并保存至少6个月时间。 |
|
|
|
安全管理 |
a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; |
经检查,网络、安全设备、服务器未建立安全管理员账户;未部署堡垒机,无法记录安全管理员的操作记录。 |
不符合 |
建议网络、安全设备、服务器建立安全管理员账户;部署堡垒机,记录安全管理员的操作记录。 |
|
|
|
集中管控 |
c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; |
未部署IT运维管理系统,无法实现对系统中网络链路、安全设备、服务器的运行状态进行集中管理。 |
不符合 |
建议部署IT运维监控系统,实现对网络、安全设备和服务器设备的运行状态进行监控的功能。 |
|
|
|
e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理; |
1)未部署统一策略管理平台;2)服务器安装360网神网络版杀毒软件,实现对防恶意代码和补丁的集中管控。 |
部分符合 |
建议部署统一策略管理平台,实现系统中网络、安全设备和服务器等策略的统一管理。 |
|
|
|
|
f)应能对网络中的各类安全事件进行进行识别、报警和分析 |
系统未部署抗APT攻击系统,无法实现对系统中各类安全事件的识别、报警和分析 |
不符合 |
建议系统中部署抗APT攻击系统,实现对全网安全事件的识别、告警和分析。 |
|
|
设备整改采购清单
针对以上整改建议,落实到具体实施中分三部分,即设备采购、配置加固、管理体系,具体内容如下表所示:
|
序号 |
类别 |
设备/措施 |
数量 |
具体整改措施 |
备注 |
|
1 |
网络设备 |
核心交换机 |
1 |
建议更换内网核心交换机并进行热备或堆叠部署,提高业务高峰期的网络可用率和容错率。 |
严重性:中, 整改难度:难。 |
|
2 |
安全设备 |
抗APT攻击/网络分析系统/网络回溯系统/威胁情报检测系统 |
1 |
建议部署抗APT攻击/网络分析系统/网络回溯系统/威胁情报检测系统,实现对网络攻击特别是新型网络攻击行为的分析。 |
严重性:高, 整改难度:难。 |
|
防病毒网关或防火墙开启防病毒模块 |
1 |
建议部署防病毒网关或防火墙开启防病毒模块,对网络中恶意代码进行防范。 |
严重性:中, 整改难度:中。 |
||
|
可信验证设备 |
1 |
建议网络内部署可信验证设备,基于可信根实现系统、应用等程序的可信验证。 |
严重性:高, 整改难度:难。 |
||
|
入侵防御系统或防火墙开启IPS模块 |
N |
建议部署入侵防御系统或防火墙开启IPS模块,对安全事件的入侵行为进行防御和报警。 |
严重性:中, 整改难度:中。 |
||
|
日志审计系统 |
1 |
建议部署日志审计系统,对设备日志进行收集和存储至少6个月时间。 |
严重性:中, 整改难度:中。 |
||
|
数据库审计系统 |
1 |
建议部署数据库审计系统,对数据库日志进行收集和存储至少6个月时间。 |
严重性:中, 整改难度:中。 |
||
|
堡垒机 |
1 |
建议部署堡垒机,通过特定界面对设备进行管理。 |
严重性:中, 整改难度:中。 |
||
|
双因素认证设备 |
1 |
建议部署双因素认证设备 |
严重性:中, 整改难度:中。 |
||
|
3 |
安全设备 |
IT运维管理系统 |
1 |
建议部署IT运维管理系统,对网络设备、安全设备和服务器进行统一监控。 |
严重性:中, 整改难度:中。 |
|
4 |
安全运维 |
漏洞扫描 |
1 |
建议部署漏扫装置,定期对内网应用和服务器进行漏洞扫描并修复漏洞。 |
严重性:高, 整改难度:中。 |
|
5 |
安全防护软件 |
操作系统加固软件 |
1 |
实现敏感标记、剩余信息保护、双重身份认证等。 |
严重性:低, 整改难度:中。 |
|
6 |
配置加固 |
网络/安全设备 |
1 |
完善设备安全配置。 |
整改较易, 建议及时整改。 |
|
主机操作系统 |
1 |
完善设备安全配置。 |
整改较易, 建议及时整改。 |
||
|
7 |
管理体系 |
安全管理制度 |
1 |
完善安全管理制度。 |
整改较易, 建议及时整改。 |
|
安全管理机构 |
1 |
完善安全管理制度。 |
整改较易, 建议及时整改。 |
||
|
人员安全管理 |
1 |
完善安全管理制度。 |
整改较易, 建议及时整改。 |
||
|
系统建设管理 |
1 |
完善安全管理制度。 |
整改较易, 建议及时整改。 |
||
|
系统运维管理 |
1 |
完善安全管理制度。 |
整改较易, 建议及时整改。 |
备注:在等级保护第三级要求中,网络架构需冗余设计,应提供主要网络设备(路由器、交换机、安全设备等)通信线路和数据处理系统(服务器、存储设备)的硬件冗余,避免单点故障,保证系统的高可用性。可根据自身的实际情况,对网络架构进行整改,满足本单位主要业务应用的正常运行。
附录一:安全加固参考
windows服务器
<身份鉴别>
配置密码策略
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”。
|
策略 |
默认设置 |
推荐设置 |
|
密码必须符合复杂性要求 |
已禁用 |
已启用 |
|
密码长度最小值 |
0个字符 |
8个字符 |
|
密码最短使用期限 |
0天 |
2天 |
|
密码最长使用期限 |
42天 |
90天 |
|
强制执行密码历史 |
0个记住的密码 |
5个记住的密码 |
|
用可还原的加密来储存密码 |
已禁用 |
已禁用 |
配置账户锁定策略
系统当前状态:
账户锁定时间:不适用
账户锁定阀值:0次无效登录
重置账户锁定计数器:不适用
参考配置操作:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”。设置如下策略:
|
策略 |
默认设置 |
推荐设置 |
|
复位账户锁定计数器 |
不适用 |
30 分钟 |
|
账户锁定时间 |
不适用 |
30 分钟 |
|
账户锁定阈值 |
0 |
5 次无效登录 |
更改远程桌面管理端口号
系统当前状态:
当前使用远程桌面对服务器进行远程管理,未更改远程桌面管理端口号。
参考配置操作:
1)打开注册表
开始---运行---"regedit"---确定
或者"win+R"---"CMD"---确定
2)定位的注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
3)修改右边PortNamber的值,其默认值是3389,修改成所希望的端口即可。
PS:基数为十进制
4)定位的注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
5)修改右边PortNamber的值,其默认值是3389,修改为上一步所设置的端口号。
6)设置完毕,重新启动后生效,
使用远程桌面连接时,需要在计算机名或者IP地址后加“:”和已修改的端口号。
实现双因子身份认证
系统当前状态:
当前管理员仅使用用户名+密码方式对服务器进行管理,未使用两种及两种以上组合鉴别方式对管理员身份进行鉴别。
参考配置操作:
建议为在系统中配置堡垒机、USB Key、动态口令等,使用两种鉴别技术对系统管理员进行身份鉴别。
<访问控制>
修改系统默认账号
参考配置操作:
进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
Administrator->属性->更改名称(如有业务影响,请慎行)
Guest帐号->属性->已停用
审计账号配置
参考配置操作:
1、新建audit用户名和audits用户组,并将audit用户划归到audits;
2、用进入“控制面板->管理工具->本地安全策略->安全设置-本地策略->用户权限分配,右键点击策略“管理审核和安全日志”点属性,修改为只有audits审计用户组或用户:点击“添加用户和组”,然后点击“对象类型”,在“对象类型”框中选中【组】,然后点击“高级”,出现搜索结果下拉框后,点击“立即查找”,在“搜索结果”下拉框中选中audits组,最后确定。
<安全审计>
审核策略设置
参考配置操作:
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
|
策略 |
默认设置 |
推荐设置 |
|
审核策略更改 |
无审核 |
成功、失败 |
|
审核登录事件 |
无审核 |
成功、失败 |
|
审核对象访问 |
无审核 |
成功、失败 |
|
审核过程跟踪 |
无审核 |
失败 |
|
审核目录服务访问 |
无审核 |
无审核 |
|
审核特权使用 |
无审核 |
成功、失败 |
|
审核系统事件 |
无审核 |
成功、失败 |
|
审核帐户登录事件 |
无审核 |
成功、失败 |
|
审核账户管理 |
无审核 |
成功、失败 |
配置日志审计系统
建议在网络上部署日志审计系统,采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的审计报表。
通过类似SNARE for Windows常见Windows日志转SYSLOG工具,将日志转化为syslog格式后,统一发送到日志审计系统。
部署网络/数据库安全审计系统
在网络中部署网络/数据库安全审计系统,通过对人员访问系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
<剩余信息保护>
开机清除虚拟页面
参考配置操作:
在本地安全策略-安全设置-本地策略-安全选项:
|
策略 |
默认设置 |
推荐设置 |
|
关机:清除虚拟内存页面文件 |
已禁用 |
已启用 |
交互式登录不显示上次用户名
参考配置操作:
在本地安全策略-安全设置-本地策略-安全选项:
|
策略 |
默认设置 |
推荐设置 |
|
双击交互式登录:不显示上次的用户名 |
已禁用 |
已启用 |
<入侵防范>
开启系统防火墙
参考配置操作:
系统管理员出示业务所需端口列表,根据列表只开放系统与业务所需端口,具体步骤为:进入“控制面板->网络连接->本地连接”,在高级选项的设置中:启用Windows防火墙,在“例外”中配置允许业务所需的程序接入网络,在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
部署入侵检测系统(IDS)
参考配置操作:
准确分析、报告网络中正在发生的各种异常事件和攻击行为,实现对网络的“全面检测”,并通过实时的报警信息和多种格式报表,为用户提供翔实、可操作的安全建议,帮助用户完善安全保障措施。
部署漏洞扫描系统
参考配置操作:
实现对网络设备、操作系统、应用系统进行全面安全漏洞检测,清晰定性安全风险,给出修复建议和预防措施,及时的发现和修补漏洞隐患。
系统补丁更新
系统当前状态:
系统未开启Windows update自动更新,无法及时更新最新补丁和漏洞。
参考配置操作:
1)在【自动更新】处开启其“自动”更新的功能。
2)若系统运行在内网,需建立内网补丁服务器或由管理员手工将补丁安装到操作系统中。
注:补丁安装应当先在测试机上完成。补丁安装可能导致系统或某些服务无法工作正常。在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马。
关闭默认共享
系统当前状态:
当前系统开启了默认的共享策略,对整个系统存储的数据带来了安全隐患,例如:
C:\WINDOWS\system32>net share
共享名资源注解
-------------------------------------------------------------------------------
C$ C:\ 默认共享
E$ E:\ 默认共享
IPC$ 远程 IPC
ADMIN$ C:\Windows 远程管理
命令成功完成。
参考配置操作:
“开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可自己新建REG_DWORD类型的AutoShareServer 键,值为 0。然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。
注意:本法必须重启机器,但一经改动就会永远停止共享。
关闭多余服务(可选)
参考配置操作:
进入“控制面板->管理工具->计算机管理”,进入“服务和应用程序”:查看所有服务,不必要的服务需关闭。
<恶意代码防范>
安装杀毒软件
系统当前状态:
当前系统未安装杀毒软件,无法防止病毒对内部网络进行感染。
参考配置操作:
在服务器和终端设备上安装网络版杀毒软件,配置防病毒服务器,实现下发病毒扫描策略、更新病毒库、统计报警信息等,便于管理人员对整个网络中的病毒防护状况进行管理。
<资源控制>
监控服务器资源状态
参考配置操作:
在网络中配置资源监控系统,对服务器的cpu、内存等资源进行实时监控,且应具有报警功能。管理员可以及时了解网络上各种设备的运行状况,可以及时发现并处理设备资源使用率过高、服务器宕机等异常状况。
配置屏幕保护程序
参考配置操作:
进入“控制面板->显示->屏幕保护程序”:
启用屏幕保护程序,设置等待时间为“5 分钟”,启用“在恢复时使用密码保护”。
SQL Server数据库
<身份鉴别>
更改登录方式
参考配置操作:
开始菜单点击【SQL Server Management Studio】,进入数据库管理界面登录数据库后,右键点击服务器,选择属性,在<服务器属性>选择页中选择安全性-服务器身份验证选选择SQL Server 和 Windows身份验证模式,然后把主机名/admin这个系统用户删掉,从而实现了只能以SQLServer用户登陆。
开启口令复杂度策略
登陆【SQL Server Management Studio】右击【数据库名称】-【安全性】-【登录名】-某一个用户右击【属性】-【常规】-【强制实施密码策略】。
开启远程登录加密功能
打开开始菜单-Microsoft SQL Server--配置工具--SQL Server管理配置管理器--双击SQL Server网络配置--右击MSSQLSERVER的协议属性-强行加密选择“是”。
<访问控制>
创建新用户
【SQL Server Management Studio】->安全性->登录名->右键->新建登录名。
设置用户访问权限
在【SQL Server Management Studio】右击【属性】--【权限】中,选中每个登录用户,在右键菜单中选择【属性】,设置合理的用户权限。
修改数据库认证方式
进入【SQL Server Management Studio】,右击【数据库名称】-【属性】-【安全性】-【SQL Server和Windows身份验证模式】。
<安全审计>
审计安全
依次打开【SQL Server Management Studio】-【安全性】-【审核查看审核策略】,根据业务情况选择审计目标为Security Log、Files或者Application Log。
开启C2策略追踪
打开【SQL Server Management Studio】--右击【服务器名称】-服务器【属性】-【启用C2审核跟踪】,选择此选项将配置服务器,以记录对语句和对象的失败和成功的访问尝试。这些信息可以帮助您了解系统活动并跟踪可能的安全策略冲突。
注:C2 审核模式将大量事件信息保存在日志文件中,可能会导致日志文件迅速增大。如果保存日志的数据目录空间不足,SQL Server 将自行关闭。如果将审核设置为自动启动,则必须使用 -f 标志(跳过审核)重新启动该实例或为审核日志释放更多磁盘空间。
<入侵防范>
数据库补丁更新
建立内网补丁服务器或由管理员手工将补丁安装到数据库。
注:补丁安装应当先在测试机上完成。补丁安装可能导致系统或某些服务无法工作正常。在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马。
<资源控制>
开启登录超时退出功能
在对象资源管理器中右击数据库名称,【属性】-【高级】-【网络】-远程登录超时(默认20s)。
