三级等保要求配置文档-《物理环境》《网络通信》《区域边界》《计算环境》《管理中心》《管理制度》《运维管理》《硬件配置清单》
三级等保要求配置文档-简单配置文档-
制度里面大部分要需要自己下载文档提供给测评公司
一、安全物理环境要求
1. 物理位置得选择
机房场地应选择在具有防震、防风和防雨等能力的建筑内,机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
1) 应核查所在建筑物是否具有建筑物抗震设防审批文档;
2) 应核査机房是否不存在雨水渗漏;
3) 应核查门窗是否不存在因风导致的尘土严重;
4) 应核査屋顶、墙体、门窗和地面等是否不存在破损开裂。
2. 物理访问控制
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
3. 防盗窃和防破坏
1) 应核查机房内设备或主要部件是否固定;
2) 应核査机房内设备或主要部件上是否设置了明显且不易除去的标识,指贴标签;
3) 应核査机房内通信线缆是否铺设在隐蔽安全处,如桥架中等;
4) 应核査机房内是否配置防盗报警系统或专人值守的视频监控系统;
5) 应核查防盗报警系统或视频监控系统是否启用。
4. 防雷击
1)应将各类机柜、设施和设备等通过接地系统安全接地;
2)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
5. 防火
1)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
2)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
3)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
6. 防水和防潮
1)应采取措施防止雨水通过机房窗户、 屋顶和墙壁渗透;
2)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
3)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
7. 防静电
1)应采用防静电地板或地面并采用必要的接地防静电措施;
2)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
8. 温湿度控制
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1) 应核査机房内是否配备了专用空调;
2) 应核查机房内温湿度是否在设备运行所允许的范围之内。
9. 电力供应
1)应在机房供电线路上配置稳压器和过电压防护设备;
2)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求,配备UPS等后备电源系统,UPS等后备电源系统是否满足设备在断电情况下的正常运行要求;
3)应设置冗余或并行的电力电缆线路为计算机系统供电;
4)应提供应急供电设施,建议配备柴油发电机,应急供电车等备用发电设备,有条件可以提供。
10. 电磁防护
1)电源线和通信线缆应隔离铺设,避免互相干扰;
2)应对关键设备实施电磁屏蔽。
二、安全通信网络
1. 网络架构
1)保证网络设备的业务处理能力满足业务高峰期需要;
查看网络设备得CPU使用率和内存使用率是否满足要求,主要查看防火墙的性能,一般防火墙的可以直接界面查看。
交换机查看:display cpu-usage 和display memory-usage
宕机查看使用:display version 防火墙查看上线时间。
满足性能查看年或者月周期的性能周期表。
2)应保证网络各个部分的带宽满足业务高峰期需要;
查看防火墙月和周,年的网络性能图,只要没有100%,满足要求
3)应划分不同的网络区域;
并按照方便管理和控制的原则为各网络区域分配地址,根据重要性、部门等因素划分不同的网络区域
业务网络和办公网络分配不同的vlan和网段。
交换机上使用:dis vlan 查看各个区域vlan
dis ip inter br 查看网段信息
4)应避免将重要网络区域部署在边界处;
重要网络区域与其他网络区域之间应采取可靠的技术隔离手段,网络拓扑图要与实际网络运行环境一致,重要网络区域不能部署在网络边界处,要网络区域与其他网络区域之间采取可靠的技术隔离手段,如网闸、防火墙和设备访问控制列表(ACL)等
dis acl all查看网络隔离信息。
5)拓扑图示例;
跟实际网络运行环境一致,区域划分,设备名称和IP地址要标注。
6)网络设备、安全设备和关键计算设备的硬件冗余(主备或双活等)和通信线路冗余
主要网络和安全设备要做双机热备,硬件服务器核心业务要做热备,通信线路要热备是最基本的系统保障。
网络设备是:核心交换机堆叠或者vrrp
安全设备:防火墙双机,WAF双机,上网行为管理双机等。
硬件服务器:做集群
出口:至少两条运营商线路。
2. 通信传输
数据传输过程中使用校验技术和密码技术来保证其完整性
1)网站使用SSL证书,HTTP改为HTTPS访问,远程办公人员使用SSL VPN连接内部网络等。
3. 可信验证
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
PASS
三、安全区域边界
1. 边界防护
1)网络边界出口部署访问控制设备-防火墙
2)跨越边界的访问和数据流通过边界设备提供的受控接口进行通信-防火墙只允许指定的业务端口通信,指DNAT映射。只允许指定的业务终端和管理终端访问互联网,指SNAT。拒绝所有未指定的端口和终端内外互连。每条DNAT和SNAT要写好明细,一定是有效的策略。
3)非授权设备私自联到内部网络的行为进行检查或限制,有条件要做802.1x,它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。.
4)采用技术措施防止内部用户存在非法外联行为-安装上网行为管理设备,对互联网用户包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
5)限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络-有条件安装AP管理器通过防火墙进行统一管理认证登录联网。
2. 访问控制
1)网络边界或区域之间部署访问控制设备并启用访问控制策略;设备的最后一条访问控制策略是禁止所有网络通信。限制访问源和目的的端口的控制策略。禁止所有网络通信。
交换机的ACL配置做端口级限制
限制WAN区域对防火墙的外网访问,只有sslVPN可以访问防火墙,限制内网对防火墙的管理访问,只有堡垒机IP可以访问和指定的监控服务器访问防火墙。
交换机限制访问,WAF限制访问,堡垒机限制访问等所有网络设备和安全设备限制访问源
2)删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化
优化防火墙的NAT规则,不能有无效规则,同样的规则整合在一条规则里面,整合到最小化,最优化。
3)对源地址、目的地址,源端口、目的端口和协议等进行检查,以允许/拒绝数数据包进出
查看防火墙的详细NAT转换日志
4)根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,查看实时的会话状态功能。
5)对进出网络的数据流实现基于应用协议和应用内容的访问控制-功能查看同上。
3. 入侵防范
1)关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
防火墙必须有高级威胁防护和IPS入侵检检测防护功能,及时更新最新版。
安装有深信服全流量分析系统-NTA硬件设备,及时更新最新版。
2)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
4. 恶意代码和垃圾邮件防范
1)关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新
防火墙和端点防护联动,检测主机的安全和防护恶意软件入侵。
2)关键网络节点处对垃圾邮件进行检测和防护并维护垃圾邮件防护机制的升级和更新
5. 安全审计
1)网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
所有的网络设备和安全设备的日志本地存储的同时,还要配置发送到日志审计服务器,做日志分析和实时审计。
操作都必须通过堡垒机进行登录管理做审计。
交换机配置日志服务器
防火墙配置日志服务器
所有的网络设备和安全设备都配置日志服务器。
2)审计记录进行保护,定期备份,避免受到未预期的删除 、修改或覆盖
所有的审计记录不仅本机存储,还要有备份服务器定期备份,保留六个月以上。
堡垒机的日志传输到日志审计设备,然后日志审计设备需要再备份到FTP服务器。
3)远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析
需要在防火墙上提现出远程用户的登陆记录访问日志,访问互联网的用户在上网行为管理上展现。
防火墙和上网行为管理的的日志传输到日志审计设备,然后日志审计设备需要再备份到FTP服务器。
6. 可信验证
PASS
四、安全计算环境
1. 身份鉴别
1)登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换,不能有空口零,复杂度12位以上,大写小字母数字+符号组合。
Windows配置
---------------Linux配置账号密码期限90天立马生效-----------
chage -M 90 root 超级用户
chage -M 90 admin 普通管理员
chage -M 90 sysaudit 审计用户
chage -M 90 syssafe 安全管理员
Linux配置账号密码期限90天,配置后新建的账号生效
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
cp /etc/login.defs /etc/login.defs.bak
vim /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 12
PASS_WARN_AGE 14
查看 chage -l root
Linux复杂度要求
vim /etc/pam.d/system-auth 编辑此文件,加入下边一行。
password requisite pam_cracklib.so minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
vim /etc/pam.d/password-auth
password requisite pam_cracklib.so minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
数据库密码复杂度要求,定期修改账号口令,满足强策略要求
2)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
Windows配置
Windows远程桌面超时自动退出时间。
Linux配置,300秒无操作退出,SSH配置60秒检测三次无信号退出,配置不能直接root登录。
Vim /etc/profile
TMOUT=300
export TMOUT
vim /etc/ssh/sshd_config
ClientAliveInterval 60
ClientAliveCountMax 3
PermitRootLogin prohibit-password
------------------------------------------------账号密码错误三次锁定-----------------------------------
以及/etc/pam.d/sshd中是否设置登录规则,如果没有可以加入:
echo “#%PAM-1.0” >> /etc/pam.d/sshd
echo “auth include password-auth” >> /etc/pam.d/sshd
echo “account include password-auth” >> /etc/pam.d/sshd
echo “password include password-auth” >> /etc/pam.d/sshd
echo “session include password-auth” >> /etc/pam.d/sshd
vim /etc/pam.d/system-auth
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300
vim /etc/pam.d/password-auth
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300
------------------------------------------------账号密码错误三次锁定-----------------------------------
交换机身份验证失败处理功能,五分钟内三次输错锁定十分钟。
local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 10
3)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听。
通过网页管理的使用HTTPS,linux使用SSH,交换机使用SSH,windows使用远程桌面,远程办公用户管理后台使用sslVPN连接,访问后台。
默认安全设备都使用HTTPS访问,需要修改交换机的远程方式为SSH。
华为交换机配置SSH登录:
[Huawei]rsa local-key-pair create 在本地设备服务端生成秘钥对
[Huawei]user-interface vty 0 4进入虚拟终端
[Huawei-ui-vty0-4]authentication-mode aaa认证模式AAA
[Huawei-ui-vty0-4]protocol inbound ssh 配置允许登录接入用户类型的协议(all | ssh | telnet)
[Huawei]aaa 进入AAA-创建用户
[Huawei-aaa]local-user yowladmin password cipher admin privilege level 15
设置用户名密码、用户等级
[Huawei]stelnet server enable打开SSH
[Huawei]ssh user admin authentication-type password认证模式为密码模式
[Huawei]ssh user admin service-type stelnet服务方式
[Huawei]undo telnet server enable 关闭telnet服务
4)采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
想要两种身份鉴别技术,需要硬件支持,个别设备支持本机配置OTP。
堡垒机OTP配置需要先配置NTP,时间一定要准确,时间同步后,配置OTP,关联用户。
关联用户后,用户登陆的时候会让输入串号,先点获取OTP认证,输入密码,出现二维码使用谷歌验证器或者微软验证器扫描会出现6位数字,输入串号框里面,输入验证码登录
防火墙配置OTP,举例SOPHOS配置,防火墙的叫一次性密码。
身份验证-一次性密码-设置-里面的选项全部打开,除了超级管理员,普通用户断开重新登陆的时候就要使用sophos验证器或者谷歌验证器来扫描二维码进行重新登陆了。账号名称不变,密码是:原密码+6位生成的数字。
服务器的双因素认证可能需要借助硬件设备或者配置认证服务器来验证。
2. 访问控制
1)对登录的用户分配账户和权限,重命名或删除默认账户,修改默认账户的默认口令
所有网络设备和安全设备以及操作系统的三权分立配置。
下边是交换机的配置,其余的安全设备图形化配置
都需要配置系统普通用户和系统审计用户,系统安全用户,然后分配各自用户的权限,重命名默认账户,禁用无用的账户。
cat /etc/passwd 查看
2)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
对于各个应用程序都用指定的启用用户,不能使用超级管理员启用。windows和linux 都要配置。
3. 安全审计
1)启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
Linux的所有日志发送给日志审计设备进行审计。
2)审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
日志审计服务器存储6个月的日志,每天再发给FTP服务器,再做归档存储,存储两份。
4. 入侵防范
1)服务器操作系统遵循最小安装的原则仅安装需要的组件和应用程序
2)关闭不需要的系统服务、默认共享和高危端口
Windows 和linux 开启防火墙,只允许业务端口通信,windows需禁止135,139,445等端口。
3)通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
windows只有一种管理方式RDP,只允许堡垒机访问。
Linux的SSH管理,只允许堡垒机IP和指定IP访问
4)所有的服务器和网络安全设备都要限制访问源,堡垒机IP和指定的管理员IP,最多两个。
5)提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
无
6)发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
恶意代码防范
Windows和Linux服务器的漏洞需要全部打上,一个高危漏洞都不能有,可以搭建补丁服务器,及时更新,还有是linux底层的网络和安全设备也不能有漏洞,打完补丁后使用漏洞扫描设备扫描评估。
7)够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
安装EDR,端点防护软件
5. 恶意代码防范
安装EDR,端点防护软件
6. 可信验证
PASS
7. 数据完整性
1)采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
数据库传输数据到存储的时候使用加密的方式进行传输。
8. 数据保密性
1)采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
数据库传输和保存数据到存储的时候使用加密的方式进行传输。
9. 数据备份恢复
1)提供重要数据的本地数据备份与恢复功能,测试备份数据的完整性和可用性
数据库要每周或者每天备份,有备份策略,服务器的操作系统要备份,每天或者每月有备份策略
使用数据备份一体机,增加虚拟机,DB2和MYSQL备份
2)提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
可备份到云,或者其他物理机房实时备份。
3)提供重要数据处理系统的热冗余,保证系统的高可用性
包括边界路由器、边界防火墙、核心交换机、应用服务器 和数据库服务器等)是否釆用热冗余方式部署
防火墙双机,核心交换机双机,应用服务器集群,数据库服务器双机,虚拟化的服务器也要是双机热备。
4)应建立异地灾难备份中心,提供业务应用的实时切换
PASS,有条件可做。
10. 剩余信息保护
1)保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除
2)保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
所有服务器和终端启用配置“不显示上次登录用户名”,采取相关措施,对服务器、终端的鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
所有服务器和终端启用配置“关机前清除虚拟内存页面”,采取有效措施保证有敏感数据的存储空间被释放或重新分配前得到完全清除。
11. 个人信息保护
1)仅采集和保存业务必需的用户个人信息,禁止未授权访问和非法使用用户个人信息
采集的用户个人信息是业务应用必需的;
采用技术措施限制对用户个人信息的访问和使用;指应用系统权限控制。
制定个人信息保护制度,对个人信息的采集、存储、使用、销毁等的具体流程及措施进行规定,并对个人信息泄露的处置流程进行具体的规定。
12. 数据完整性和保密性
PASS
五、安全管理中心
1. 系统管理
主要网络设备、安全设备、主机通过堡垒机进行统一的管理,且在管理制度上有明确系统管理员的岗位职责,通过系统管理员对设备和主机进行统一的操作。
管理员修改设备登录地址限制,使主要设备、主机只能通过堡垒机等设备进行登录,并对系统管理员进行身份鉴别,只允许系统管理员通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
主要配置所有设备添加进堡垒机,通过堡垒机系统管理员给运维人员分发管理权限。添加系统管理员账号。
2. 审计管理
主要网络设备、安全设备、主机通过堡垒机进行统一的管理,且在管理制度上有明确审计管理员的岗位职责,通过审计管理员对审计记录进行分析与处理。
管理员修改设备登录地址限制,使主要设备、主机只能通过堡垒机等设备进行登录,通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
主要在堡垒机配置审计管理员账户,限制审计管理员的IP登录堡垒机,只能查看和分析日志。
3. 安全管理
主要网络设备、安全设备、主机通过堡垒机进行统一的管理,且在管理制度上有明确安全管理员的岗位职责,通过安全管理员对安全策略进行配置;对主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略。
管理员修改设备登录地址限制,使主要设备、主机只能通过堡垒机等设备进行登录,并对安全管理员进行身份鉴别,只允许安全管理员通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计。
主要在堡垒机配置安全管理员账户。
4. 集中管控
管理员部署相应的集中监测设备,对网络链路、安全设备、网络设备和服务器等的运行状况集中监测。
部署第三方软件,对网络中所有设备运行状况集中检测。免费的有zabbix。
安装日志审计设备
安装漏洞扫描设备,配置补丁服务器
安装网络流量分析设备等。
所有设备配置邮件报警或者短信报警或者配置集中报警。
安装端点防护集中监控服务器状态,防止恶意代码和病毒入侵。
安装web防火墙防止网站被恶意攻击,配置防篡改功能防止网站被篡改。
六、安全管理制度和机构
1. 管理制度
应对安全管理活动中的各类管理内容建立安全管理制度
完善外部人员相关安全管理制度内容,补充所缺的岗位职责文件,形成完整的安全管理制度体系。
完善安全管理制度,妥善保存记录表单,形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
制定相关文件明确制度的发布流程,将所有安全管理制度通过正式、有效的方式发布,并对安全管理制度进行版本控制。
2. 岗位设置
应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权
3. 安全管理人员
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施
应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案
人员录用,人员离岗,提供各类人员签署的保密协议,提供网络管理、系统管理和数据库管理等关键岗位人员签署的岗位安全协议,完善离岗人员交接手续,填写离职交接记录。
办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开,提供具有相关人员调离手续的记录(如人员离岗的交接记录),提供具有调离人员签字的保密承诺文档(可以在保密条款中明确离职后的保密条款)。
4. 沟通和合作
提供外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息
5. 安全建设管理
应确保网络安全产品采购和使用符合国家的有关规定
应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道
应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容
定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制,提供针对服务商的服务进行评价的评价记录表。
6. 审核和检查
安全管理员定期进行安全检查,检查内容包括系统日常运行情况。
安全管理员定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等,并妥善保存检查报告。
七、安全运维管理
1. 环境管理
对机房供配电、空调、温湿度控制等设施进行维护管理,提供机房供配电、空调、温湿度控制、消防等设施的巡检记录,提供机房出入登记记录。
在《人员安全管理制度》中增加“明确接待来访人员的区域”相关内容。
2. 介质管理
对存档介质进行定期盘点,提供相关盘点记录。
对介质的归档、查询等进行登记记录,提供相关记录。
3. 设备维护管理
完善设备维护相关流程对设备维修和服务的审批、维修过程等进行监督控制,并保留相关记录。
提供设备带离机房或办公环境的审批记录(如设备维修)。
4. 网络和系统安全管理
1)严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中敏感数据;
关闭所有直接连接服务器的远程工具,连上VPN后登录堡垒机账号,通过服务器清单申请需要管理的服务器,然后管理员审批后获得权限。
普通运维人员要先下工单申请, 审批管理员登录审批,审批后普通用户可以管理申请的设备。
2)应保证所有与外部的连接均得到授权的批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为
提供与外部连接的相关审批记录。
严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,提供开通远程运维接口或通道的审批记录。
完善系统外部连接管理,严格执行所有与外部连接的审批程序,并妥善保存审批记录。
5. 配置管理
基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库,记录配置信息变更,并妥善保存记录。
6. 安全事件处置
提供安全事件处置记录,内容包含分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训等。
安全弱点和可疑事件报告管理不完善,没有提供安全弱点和可疑事件上报记录。
7. 恶意代码防范管理
完善安全设备策略,提高恶意代码防范力度,及时更新终端防病毒软件的病毒库,对截获的恶意代码进行分析并形成报告。
网络层面的防火墙和流量分析设备,主机层面的端点防护软件。
8. 变更管理
系统重大变更前建立变更方案,变更方案经过评审、审批后方可实施,妥善保存变更方案及相关审批记录。
管理员提供系统变更方案及方案评审记录和变更过程记录。
9. 备份与恢复管理
定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
周期性查看系统运行情况。
周期性对网络设备和主机设备进行漏洞扫描。
网络设备和安全设备的配置要定期备份存储。
其余设备的配置都是图形化,下边是交换机每次配置后自动备份配置:
set save-configuration delay 1
set save-configuration backup-to-server server 172.20.5.237 transport-type ftp user logbackup password %%#a9o;"t|E&Q&39+Zy"R]*Lh(GAJ~8f4UbhmL9@A+%%#(密码) path /
10. 应急预案管理
对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次,提供应急预案培训和应急演练记录。
八、硬件配置清单
安全设备
安全管理与运维审计系统-堡垒机必备
边界防火墙-业务映射,流量检测,入侵检测,高级威胁防护APT,IPSEC,SSLVPN等必备
数据库防火墙-数据库漏洞攻击可以通过数据库防火墙的虚拟补丁功能进行防护。
数据库审计系统-审计数据库的连接和查询信息,记录保存。
全流量流量分析设备-一款专门面向APT(Advanced Persistent Threat)高级持续性攻击行为,提供全方位检测、发现的产品。
上网行为管理-全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险
WEB应用防火墙-针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,网站业务必须经过web防火墙。
支持云端部署
远程安全评估系统-漏洞和端口扫描评估设备。
日志审计设备-收集网络和安全设备,以及主机的日志,进行分析和归档保存,6个月以上。
集中管控设备
管理运维设备或软件
zabbix等开源或者收费软件,对网络设备和服务器进行监控和故障警报。
网页防篡改
安全配置
锁定需要保护的网站页面(例如敏感页面)。
支持云端部署
企业主机安全
安全配置
通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为。
支持云端部署
端点防护软件
安全软件
免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
备份一体机
备份设备
对操作系统数据库,虚拟机等周期性备份
SSL证书
安全配置
网站必须是HTTPS加密访问
身份鉴别技术设备或者软件
安全配置或者硬件设备
身份鉴别技术详解 采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。OTP,短信,radius服务器等
三级等保要求配置文档-《物理环境》《网络通信》《区域边界》《计算环境》《管理中心》《管理制度》《运维管理》《硬件配置清单》相关推荐
- java计算机毕业设计高校多媒体设备运维管理系统服务端MyBatis+系统+LW文档+源码+调试部署
java计算机毕业设计高校多媒体设备运维管理系统服务端MyBatis+系统+LW文档+源码+调试部署 java计算机毕业设计高校多媒体设备运维管理系统服务端MyBatis+系统+LW文档+源码+调试部 ...
- Cisco Firepower FTD HA 配置文档
请访问原文链接:https://sysin.org/blog/cisco-firepower-ha-config/,查看最新版.原创作品,转载请保留出处. 作者:gc(at)sysin.org,主页: ...
- 浪潮服务器装系统2016,浪潮服务器系统安装及raid配置文档.pdf
浪潮服务器系统安装及raid配置文档.pdf 浪潮多型号服务器操作系统安装操作步骤及raid阵列配置,包含bios设置,内容详细.1)主机序列号输入错误,请再次确认主机序列号是否准确2)生产日期早于2 ...
- Python+Tesseract-OCR识别图片文字并保存到word文档
目录 使用Python+Tesseract-OCR识别图片文字并保存到word文档 安装Tesseract-OCR 配置Tesseract-OCR 通过CMD验证Tesseract-OCR工作 安装p ...
- Java日志框架-Logback手册中文版以及官方配置文档教程
Logback手册中文版:(链接: https://pan.baidu.com/s/1bpMyasR 密码: 6u5c),虽然版本有点旧,但是大体意思差不多,先用中文版了解个大概,然后一切最新的配置以 ...
- nagios配置文档
nagios配置文档 关于nagios Nagios是一款用于系统和网络监控的应用程序.它可以在你设定的条件下对主机和服务进行监控,在状态变差和 变好的时候给出告警信息. Nagios最初被设计为在 ...
- Nginx配置文档具体解释
Nginx的配置文档具体解释.在这儿做个总结,以便以后使用的时间查看. 下面大部分自己整理.部分来自參考 #设置用户 #user nobody; #启动进程数(一般和server的CPU同样) #能 ...
- 我的Debian 8.0 (jessie)配置文档
2019独角兽企业重金招聘Python工程师标准>>> 我的Debian 8.0 (jessie)配置文档 1,添加软件源 su到root用户 vi /etc/apt/sou ...
- Postfix配置文档
环境:RedHat Linux+Postfix+Cyrus-sasl+Dovecot+Stunnel 在安装Linux时,如果选择全部安装的话,Postfix与Dovecot以及Stunnel将会自动 ...
- Linux keypad 设备树,SC7731客户配置文档.pdf
SC7731客户配置文档 SC7731 客户配置文档 2014-07-09 目录 02 Add your texts here SC7731 0101 03 SC7731 软件架构简介 02 Pinm ...
最新文章
- 利用 force index优化sql语句性能
- ArcGIS鼠标滚轮方向之ArcMap篇
- python中集合所用的reduce_Python中reduce函数和lambda表达式的学习
- 从mysql的官网下载tar.gz结尾的mysql
- leetcode409. 最长回文串
- apache ant 安装_Jmeter+ Ant+jenkins 接口自动化框架实现
- linux版本i686,linux-x86_64平台上的gcc i686
- python3 zip命令_zip错误:无效的命令参数(无法将zip文件写入终端)
- python绘制如下图形、小三角形边长20_OpenGL学习脚印_ 绘制移动三角形 - 王定桥的专栏.pdf...
- Atitit 如何利用先有索引项进行查询性能优化
- PCB Dk、Df和介质损耗
- 天线设计-电感计算以及天线匹配
- 再也不用发愁文献翻译了(完全免费)
- mysql替换首字母_MySQL中使用replace、regexp进行正则表达式替换的用法分析
- 美团小哥用计算机,美团2020算法工程师编程题--外卖小哥的保温箱
- 打包 压缩 解压缩命令
- linux分析gre中断问题,linux – 无法删除GRE隧道
- linux下交叉编译jrtplib-3.9.1
- SQL Server 基础操作(一)安装数据库
- java excel 插入文件_Java 添加OLE对象到Excel文档