等级保护配置检查项
当客户需要通过等级保护测评时,可参考如下表格内容对设备进行配置检查,以协助客户通过等级保护测评。
注意:
1、如下的配置检查,为涉及到产品本身的配置检查项,其他检查项仍需要根据等级保护测评要求进行;
2、红色字体标注的控制项为一票否决项,即该项不满足,则测评无法通过;
| 序号 | 技术领域 | 控制项 | 控制点 | 解释说明举例 | 检查内容 | 配置方法与检查 |
| 1 | 安全通信网络 | 网络架构 | 保证网络设备的业务处理能力满足业务高峰期需要。 | 设备性能需要提供冗余,以保证业务的可用性。 | 巡检工作中,需巡检设备关键参数(CPU、内存、存储及带宽)的冗余情况,建议保证使用率<最大性能的70%。 | 首页资源使用情况模块中,系统资源(包括CPU、内存、日志存储空间、回话)最大使用率不可超过70% |
| 2 | 安全区域边界 | 边界防护 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 | 设备是否shutdown了无用端口; | 检查端口使用情况,是否已经shutdown无用端口。 | 在网络-接口状态-中,将不使用的接口启用选项改为“关”。 |
| 3 | 安全区域边界 | 访问控制 | 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信 | 设备是否启用了访问控制规则,且默认拒绝所有未允许的通信流量 | 检查设备策略情况,需拒绝所有未被允许的通信。 | 不适用。IDP为应用防护设备,不进行网络端口的访问控制策略实现。 |
4 | 安全区域边界 | 访问控制 | 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出 | 指定ACL策略时,等级保护三级要求限定到端口级、等保二级要求设定至网段级别 | 检查设备已有的ACL策略,是否包含源地址、目标地址、源端口、目标端口、协议及操作。 | 不适用。IDP为应用防护设备,不进行网络端口的访问控制策略实现。 |
| 5 | 安全区域边界 | 访问控制 | 应对进出网络的数据流实现校验应用协议和应用内容的访问控制 | 应用层安全设备是否启用了协议识别、并对协议中的内容进行放行、阻断等操作 | 检查应用层安全设备的防护策略设置,是否有明确的放行或阻断设置。 | IPS-防护策略中,基于用户实际应用系统情况,开启放行、阻断策略。详细内容,见下文截图。 |
| 6 | 安全区域边界 | 入侵防范 | 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为 | 对于流经设备的网络攻击流量进行检测并处置 | 检查攻击日志、阻断日志是否正常记录。 | 1. 参考第五条设置内容。 2. 确认监控-报警/日志-IPS报警模块,日志记录是否正常。需流程180天或以上的日志记录。 |
| 7 | 安全计算环境 | 身份鉴别 | 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 | 要求设备不允许有重复的用户名、不允许存在空口令 | 1)检查设备所有账号的用户名是否重复; 2)检查设备所有账号是否有存在空口令、常见弱口令的情况 | 设备开启密码复杂度设置,参考如下章节: 系统管理--管理员设置--设置 |
| 8 | 安全计算环境 | 身份鉴别 | 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时时自动退出等相关措施 | 要求配置登录失败处理功能。如: 1)一定时间内连续输入错误密码5次锁定账号; 2)登录后无操作5分钟,则退出系统或锁定会话。 | 检查设备是否启用登录失败处理功能; 2)验证一定时间无操作是否退出系统或锁定会话 | 设备默认开启账号锁定功能,短时间内输入错误密码5次则锁定账号。 |
| 9 | 安全计算环境 | 访问控制 | 应对登录的用户分配账号和权限 | 要求系统中至少包含三个权限的账号,分别是用户管理员、配置管理员、审计管理员。 | 1)检查系统用户的权限,是否包含用户管理员、配置管理员、审计管理员三个权限账号,且仅提供工作所需要的最小权限。 2)检查是否已禁用或限制匿名账户、默认账号的权限。 | 设置具有不同权限的权限表,并分别设置权限。可配置Auditor等用户权限。 |
| 10 | 安全计算环境 | 访问控制 | 应重命名或删除默认账户、修改默认账号口令 | 要求修改或禁用默认账号的用户名,并修改默认账号 | 1)检查是否还存在默认账户; 2)检查默认账户的密码是否为初始密码。 | 对于设备默认账户修改默认密码,密码修改可在第一次登录时修改,或参考如下章节配置: 设备管理--账号权限设置; |
| 11 | 安全计算环境 | 安全审计 | 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | 日志记录需完整,包括流量日志、攻击日志、设备操作日志等。 | 流量日志、攻击日志、设备操作日志、告警日志等内容是否有记录,是否完整。 | 1、设备日志功能已打开,包括事件日志、UTM日志等; 2、设备中对性能影响较大的日志(如流量日志),建议将日志发送到syslog服务器(如RG-BDS)上,该项配置可参考如下章节: 日常功能--日志相关 |
| 12 | 安全管理中心 | 系统管理 | 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计 | 要求设备的所有管理行为,均通过特定的通道及界面进行操作。 | 检查是否配置了管理主机,并且仅允许管理主机进行管理。 | 对设备账户设置管理员登录主机限制,配置方法: 系统-服务配置-访问设置,在SSH、Web访问,访问控制列表中,添加管理主机的IP地址。管理主机地址可设置为用户的堡垒机或指定IP地址,见下文截图。 |
| 13 | 安全管理中心 | 系统管理 | 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理 | 要求使用安全的方式对安全设备进行管理 | 检查是否采用了SSH、HTTPS或IPSec VPN等方式进行设备管理。 | 关闭设备不需要的管理功能, 1. 在系统-服务配置-访问设置中,设置telnet中的“允许Telnet访问”为“否”。 2. Web访问中,默认提供HTTPS功能,SSL端口号为443端口。 3. 详细见下文截图。 |
| 14 | 安全管理中心 | 集中管控 | 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | 要求日志留存时间>180天 | 检查设备中流程的各类日志记录,是否有180天前的日志记录。 | 参考第六条要求。 |
| 15 | 安全管理中心 | 集中管控 | 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理 | 要求保证对病毒库、规则库等进行自动更新或定期更新 | 1)检查病毒库、特征库、规则库最新版本。 2)检查安全策略的备份情况。 | 1、特征库更新可设置为自动更新,方法:系统-升级-IPS更新-更新模式,设置为自动安装更新,即可升级IDP特征库。 2、设备配置定期备份(需人工执行),方法参考:系统-维护-备份/恢复; |
2 安全区域边界-边界防护,关闭无用接口
选择端口-点击“编辑”后,进入以下界面:
5 安全区域边界-访问控制,对应用流量进行校验等操作。
6 安全边界区域-入侵防范, 针对边界检测及处置恶意攻击行为。
9 安全计算环境-访问控制-应对登录的用户的账号权限进行分配
12 安全管理中心-系统管理,管理主机的设置截图。
13 安全管理中心-系统管理, 建立安全的信息传输路径
15 安全管理中心-集中管控,对特征库等内容进行集中管控
