等保配置项及方法
以下配置内容,产品交付过程中遇到用户需通过等保测评场景,需进行以下基本内容的设置。以下条款,仅适用于产品自身配置的等保要求,在产品业务使用过程中,需要根据用户网络情况进行酌情配置。
等级保护要求巡检内容 | ||||||
技术领域 | 控制项 | 控制点 | 解释说明举例 | 检查内容 | 配置方法 | 备注 |
安全通信网络 | 网络架构 | 保证网络设备的业务处理能力满足业务高峰期需要 | 设备性能需要提供冗余,以保证业务的可用性。 | CPU利用率<80%(CPU利用率在5秒内的值) | 无 | 巡检工作中,需要检查设备关键参数(CPU,内存及存储)的冗余情况,针对网关产品线关键参数建议如下: |
安全区域边界 | 边界防护 | 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信 | 设备是否关闭了无用端口; | 检查端口使用情况,是否已经关闭无用端口 | shudown无用端口 | |
安全区域边界 | 访问控制 | 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信 | 设备是否启用了访问控制规则,且默认拒绝所有未允许的通信流量 | 检查设备策略情况,需拒绝所有未被允许的通信。 | 默认需要拒绝未允许的流量,确认是否上网的ACL是否存在最后一条ACE规则为允许任何任何 | ACL的配置尽量汇总建议不超过50条,因为过多的ACE条目也是很耗CPU资源的,ACL的配置尽量精细化,不配置任何到任何的基于端口的放通,放通一切合法的流量,尽量拒绝一切非法的流量。配置前一定要做好业务网络的梳理,以免遗漏后造成用户部分的业务终断。 |
安全区域边界 | 访问控制 | 应对源地址,目的地址,源端口,目的端口和协议等进行检查,以允许/拒绝数据包进出 | 指定ACL策略时,等级保护三级要求限定到端口级、等保二级要求设定至网段级别 | 检查设备已有的ACL策略,是否包含源地址、目标地址、源端口、目标端口、协议及操作。 | 要求ACL访问控制策略做到目标地址的端口级 | 举例: |
安全计算环境 | 身份鉴别 | 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 | 要求设备不允许有重复的用户名、不允许存在空口令 | 检查设备所有账号的用户名是否重复; | 不允许用户名重复、不允许出现出现空口令、常见弱口令(详见配置方法介绍) | 1、弱密码的定义:全数字,或者全字母,或者长度小于6位的密码。 |
安全计算环境 | 身份鉴别 | 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时时自动退出等相关措施 | 要求配置登录失败处理功能。如: | 检查设备是否启用登录失败处理功能; | 登录失败一定次数后,锁定账号,一定时间无操作,自动退出或锁定会话。(详见配置方法介绍) | |
安全计算环境 | 访问控制 | 应对登录的用户分配账号和权限 | 要求系统中至少包含三个权限的账号,分别是用户管理员、配置管理员、审计管理员。 | 1)检查系统用户的权限,是否包含用户管理员、配置管理员、审计管理员三个权限账号,且仅提供工作所需要的最小权限。 | 需设置三个权限用户,且要求权限最小化; | 只支持配置N个超级权限 |
安全计算环境 | 访问控制 | 应重命名或删除默认账户、修改默认账号口令 | 要求修改或禁用默认账号的用户名,并修改默认账号 | 1)检查是否还存在默认账户; | 要求重命名默认用户名并修改默认密码 | 网关产品首次登陆配置会强制要求修改默认密码(密码会校验是否存在弱口令) |
安全计算环境 | 安全审计 | 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | 日志记录需完整,包括流量日志(UAC)、攻击日志、设备操作日志等。 | 流量日志、攻击日志、设备操作日志、告警日志等内容是否有记录,是否完整; | 要求日志日志各模块均正常工作,日志正常记录(详见配置方法) | |
安全管理中心 | 系统管理 | 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计 | 要求设备的所有管理行为,均通过特定的通道及界面进行操作。 | 检查是否配置了管理主机,并且仅允许管理主机进行管理 | 要求所有设备需设置管理地址(详见配置方法) | |
安全管理中心 | 系统管理 | 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理 | 要求使用安全的方式对安全设备进行管理 | 检查是否采用了SSH、HTTPS或IPSec VPN等方式进行设备管理 | 要求使用SSH、HTTPS进行设备管理,严禁使用telent、HTTP进行管理(详见配置方法) | MACC不受限制 |
安全管理中心 | 集中管控 | 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; | 要求日志留存时间>180天 | 检查设备中流程的各类日志记录,是否有180天前的日志记录。 | 各类日志记录需保存超过180天,建议保存超过210天,可通过归档的方式,减小日志存储空间,亦可提供第三方外部存储(详见配置方法) | 审计日志一般都是180D |
安全管理中心 | 集中管控 | 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理 | 要求保证对病毒库、规则库等进行自动更新或定期更新 | 检查病毒库、特征库、规则库最新版本。 | 病毒库、特征库、规则库最后一次更新不应超过时间3个月。(详见配置方法) | 内容审计库、qq插件、应用识别特征库、url库等部分可能未及时更新 |
1、安全计算环境-身份鉴别-应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
配置方法:
登录web,进入高级-系统设置,修改密码为弱口令或空口令,提示如下:密码必须是“数字+字母+符合的组合”
注:弱密码的定义:全数字,或者全字母,或者长度小于6位的密码,涉及的密码包括cli、telnet、web, ssh(不包括认证、snmp密码)。
2、安全计算环境-身份鉴别-应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时时自动退出等相关措施
配置方法:
1)默认限制每个ip的密码错误次数,超过5次,禁止登陆1分钟
注:CLI支持修改错误登录次数及禁用时长
2)登录web,进入高级-系统设置-增强功能,可以设置web超时时间
3、安全计算环境-访问控制-应对登录的用户分配账号和权限
配置方法:
网关产品目前只存在一个管理员用户权限(即超级管理员权限),如果存在多个用户管理员需确保不同的人用不同的账号进行操作:
登陆web,在高级-管理员权限,可添加不同用户名的超级管理员权限
4、安全计算环境-安全审计-应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
配置方法:检查流量日志、攻击日志、设备操作日志、告警日志等内容是否有记录,是否完整;
1)流量日志(带硬盘型号才支持)
登录web,进入高级-系统设置-设备设计报表,查看流日志报表
2)攻击日志/告警日志
存在流量攻击时候会有告警日志(页面右上角会有提示),也可以查看历史攻击日志
3)设备操作日志
登录web,进入高级-系统设置-设备设计报表,查看web操作日志
5、安全管理中心-系统管理-应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计
配置方法:
登陆web,在安全-本地防攻击-选择禁止登录管理权限后可配置管理主机,只有管理主机才可进行管理
6、安全管理中心-系统管理-应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理
配置方法:
登陆web,在安全-本地防攻击-禁用外网telent、HTTP进行管理等(缺省禁止外网web及telnet)
7、安全管理中心-集中管控-应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
配置方法:
登录web,进入高级-系统设置-增强功能,可修改配置存储日志天数(默认180天)
同时也支持亦可提供第三方外部存储,如支持与我司ELOG日志服务器对接记录存储各种类型的日志或报表
8、安全管理中心-集中管控-应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理
配置方法:
登录web,进入高级-系统升级,可以检查特征库文件是否更新到最新
