在网络安全等级保护2.0中,应用系统合规实践及部分特殊场景是测评项中非常重要且复杂的一部分内容,华清信安等保咨询专家通过对等级保护基本要求的深入了解结合丰富的项目经验对这一部分进行了深入解读。
身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
合规实践:系统包含认证所需的 用户名/口令(密码、短信验证码、密钥等),口令需包含长度、复杂度要求,并定期更换。
特殊场景:用户名 短信验证码(验证码长度为5、6位,有效期三分钟以内)不包含较强复杂度,该种情况可不强制要求口令复杂度要求,因口令更换周期较短可弥补密码强度较弱。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
合规实践:进行用户认证时,应对登录失败(尝试错误)进行处理,在失败次数较多时锁定登录账号、登录设备IP、登录终端MAC地址等,并按照实际业务需求配置锁定时间。
登录后长时间无操作,应主动退出。登录超时阈值按照业务实际情况分析,一般在30分钟到2个小时左右。
特殊场景:大屏展示系统、监控系统等包含长时间展示、值守、处理等操作的系统,因业务需求可将超时锁定阈值配置为2小时及以上。其他场景具体分析。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
合规实践:针对应用系统鉴别信息(用户名、口令),应在传输过程中进行加密,可对传输的原始数据(用户名、口令)进行加密,也可对传输的方式进行加密(HTTPS),防止鉴别信息被窃听。
特殊场景:系统远程管理通过可控网络(指定公网IP、内外、VPN接入等)访问,可不配置HTTPS。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
合规实践:针对应用系重要程度较高的用户,如涉及金融交易的业务端用户、以及系统管理后台的管理用户。配置除口令外的组合验证方式,如口令 指纹、短信验证码、动态令牌、密钥、UKEY、邮箱验证码等。
特殊场景:系统远程管理通过可控网络(指定公网IP、内外、VPN接入等)访问,可不配置双因子;或多重口令也可部分满足此项。
访问控制大类在应用系统合规实践问题较少,包含应用系统基础功能基本都能够符合,此处略。
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
合规实践:应在应用系统界面配置审计功能,针对用户登录、修改、删除、访问资源等实践记录并形成可供查询的审计事件。
特殊场景:如业务端重要程度较低可不配置,至少要在应用系统管理后台配置安全审计功能。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
合规实践:应在应用系统界面配置审计功能,针对用户登录、修改、删除、访问资源等实践记录并形成可供查询的审计事件。
特殊场景:如业务端重要程度较低可不配置,至少要在应用系统管理后台配置安全审计功能。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
合规实践:针对应用系统审计记录需要进行备份,并满足网络安全法要求的留存180天的要求。审计功能处不能包含删除功能。
特殊场景:对于新上线或初步启用审计功能的系统,当前审计日志不满足180天要求。可以展示日志存储策略,保证后续能够满足审计记录留存180天的要求。
d)应对审计进程进行保护,防止未经授权的中断。
合规实践:审计功能应与应用系统业务功能一并启动或终止,保证安全审计的可靠性。
特殊场景:无
入侵防御
a)应遵循最小安装的原则,仅安装需要的组件和应用程序。
不适用
b)应关闭不需要的系统服务、默认共享和高危端口。
不适用
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
合规实践:应针对应用系统远程管理配置接入范围限制,如常见的应用系统白名单,或限制内网访问等。
特殊场景:无
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
合规实践:应对在应用系统输入、上传、传输的数据进行校验,防止XSS、SQL注入、可执行文件上传等安全事件发生,可通过代码层面或应用框架进行过滤限制,或通过高可用性的WEB应用防护措施进行防护。
特殊场景:无
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
合规实践:应定期、或不定期对应用系统涉及的WEB端、客户端、APP、小程序等进行漏洞扫描及渗透测试,即使发现系统漏洞并评估修复。
特殊情况:如没有对应渗透、漏扫报告,也可提供网络安全监管部门发布的系统漏洞信息及后续修复反馈情况说明来弥补。
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
合规实践:通过WEB防火墙进行防护。
特殊情况:暂无
恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
不适用
可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
合规难度较高
数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
合规实践:HTTPS,SSL或VPN
特殊情况:暂无
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
合规实践:一般无对应措施,通过传输过程中的完整性HTTPS,SSL或VPN来弥补
特殊情况:暂无
数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
合规实践:HTTPS,SSL或VPN
特殊情况:无
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
合规实践:国密算法中,能够提供数据保密性的算法主要是:SM1和SM2,少数使⽤祖冲之,⽆线局域⽹中使⽤SM4。
国际算法中,能够提供数据保密性的算法主要是:DES、3DES、RSA、AES、ECC等。
特殊情况:无
数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能。
合规实践:应用系统层面的备份包含服务器快照、数据库数据备份、及代码发布备份等组成。
特殊情况:暂无
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
合规难度较高
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
合规实践:负载均衡、业务服务器热备、多节点保证业务高可用等。
特殊情况:暂无
剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
合规实践:确认应用系统用户鉴别信息、敏感数据存放位置和方式,及用户退出后鉴别信息、cookie、SESSION等的失效及自动清除方式。
特殊场景:暂无
个人信息保护
a)应仅采集和保存业务必需的用户个人信息。
合规实践:一般对大众提供服务的,需要在用户协议里说明应用系统采集并保存的用户个人信息范围及使用情况。
特殊场景:暂无
b)应禁止未授权访问和非法使用用户个人信息。
合规实践:内部安全管理制度说明应用系统采集并保存的用户个人信息,授权访问的措施及非授权访问造成数据丢失、被盗窃的处罚措施。
,