【肥海豹】-网络安全等级保护（等保）- 应用系统要求

        本文为个人总结，欢迎交流指正，集思广益，发现错误会进行更新。（三级系统要求）

身份鉴别 a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

1.  要求应用系统具有身份鉴别机制，即需要进行登录身份认证，通常通过用户名密码的方式实现，也可以通过短信验证码、扫描二维码等方式进行登录；

2. 系统内不应存在重名用户；

3. 如使用用户名密码进行身份鉴别，需从应用系统层面设置密码复杂度要求，建议密码复杂度限制为8位以上，数字字母特殊字符组合；

4. 用户密码应定期进行更换；

5. 应用系统内不应存在弱口令用户；

身份鉴别 b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

1.  应设置登录失败处理功能，密码输入错误3-5次后锁定账户3-60分钟；（根据应用系统情况设置，不宜太宽松）

2. 需设置登录超时自动退出功能，例如限制session超时时间为30分钟；

身份鉴别 c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

1. 使用加密的通信协议在网络中进行通信，例如使用https协议进行通信；（互联网环境、较为开放、不可控的网络环境中使用的系统必须满足此项要求）

身份鉴别 d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

1. 使用两种或两种以上组合的技术进行身份鉴别；

        口令：输入密码；伪随机数序列生成的随机数（短信验证码多使用此类技术）；

        密码技术：一般需要非对称的加密算法来实现，例如手机令牌、加密狗、USBkey等；

        生物技术：指纹；虹膜；声纹等；

2. 其中一种鉴别技术需要使用密码技术来实现；

访问控制 a）应对登录的用户分配账户和权限；

1.  应用系统需提供访问控制功能，通常采用基于角色的访问控制

        权限 → 角色 → 账户        通过角色实现对客体的访问控制

2. 访问控制策略需正确配置，不应出现越权访问的情况，对于超级管理员权限账户需进行限制，不应过多向下下发，对于普通用户应限制其不具有管理配置类权限；

访问控制 b）应重命名或删除默认账户，修改默认账户的默认口令；

1. 应用系统超级管理员用户避免使用如admin、super、system、administrator、audit等容易出现在用户名字典中的常见用户名，设置一个较为复杂的用户名，不容易被猜测；

2. 系统内用户均需要设置复杂密码，不应存在弱口令或默认口令；

3. 若系统新建账户时有默认口令，应在用户登录后强制要求其对密码进行更换；

访问控制 c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

1. 对系统内用户进行排查，系统中不应存在测试用户、无用账户和过期用户；

2. 每个账户需对应到单独自然人，避免存在多个自然人使用同一个账户对系统进行操作的情况；

访问控制 d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

1. 应对管理用户权限进行划分，需划分为系统管理员、审计管理员和安全管理员，各管理员对应工作职责：

系统管理员：对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等；

审计管理员：对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等；

安全管理员：对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等；

2. 系统中不应出现完整权限账户；

访问控制 f）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

1. 应用系统提供了基于角色的访问控制，访问控制策略配置正确，无越权访问情况；

访问控制 g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

1. 需要采用强制访问控制模型，目前较难实现；

强制访问控制（MAC）

强制访问控制（MAC：Mandatory Acess Control）在十八世纪七十年代就已经提出，在 Multics 模型上得到最早使用和验证，与前面介绍的自主访问控制相比，定义规则和策略相对更加严格。MAC 设计的基本思想是：在访问控制系统中，主体和客体被分配一定的安全属性，然后系统对二者所拥有的属性关系进行一定的评价比较，从而确定是否进行访问。也就是说这是一种多级表示模型。比较关系来源于安全属性，并且用（安全级别，类型集合）这样的组合代表安全属性。类型集合是指一定的元素的集体，而安全等级则表示相应信息的保密等级。在系统中安全属性是由维护系统的管理人员进行配置的，或者是系统自动生成的，这种安全属性是不能随意被修改的，具有强制认可性。
MAC 具有强制性和严格的单向不可逆性。MAC 系统规定高级别主体可以得到低级别主体的信息，而反过来却行不通。如果主体 A 的级别高于客体 B，那么主体 A 可以读取客体 B 中的信息和资源；如果主体 A 的级别低于主体 B 的级别，那么主体 A 可以对主体 B 进行一定的诸如写入的操作；如果主体 A 和客体 B的等级是相同的，那么主体 A 和客体 B 之间不能进行任何读与写的操作。这意味着在 MAC 模型的信息始终遵循单向流通的规则，因而可以保证系统信息的安全。

（此处转载于 说说关于访问控制模型_Daisy花园-CSDN博客_访问控制模型 来自CSDN用户 daisy_Hawen）

安全审计 a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

1. 应用系统需提供安全审计功能，并能够留存日志记录，至少能够提供登录审计、操作审计、系统安全事件审计等；

2. 应用系统层面需能展示审计日志；

3. 应能够审计应用系统内全部用户（尤其是管理类用户）；

安全审计 b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

1. 审计记录应能至少包含日期、时间、用户、事件类型、事件结果、详细信息等；

安全审计 c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

1. 在应用系统层面无法对审计日志进行修改、删除或附盖；

2. 若应用系统日志以文本形式存储再服务器上需要对日志文件进行集中收集和保护，可同服务器、中间件日志一同进行管理；

3. 若应用系统日志存放在数据库中，审计日志随数据库进行备份；

4. 审计记录留存时间需达到6个月；

入侵防范 a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

入侵防范 b）应关闭不需要的系统服务、默认共享和高危端口；

1. 应用系统不核查此项；

入侵防范 c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

1. 若应用系统对互联网提供服务，无需对登录地址进行限制；

2. 建议对管理员用户登录地址进行限制；

入侵防范 d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

1. 应用系统需要对输入数据有校验机制，例如输入手机号码需要校验内容输入位数也内容，如果输入内容不符合格式要求，则应拒绝本次输入；

2. 采取措施对输入的特殊字符进行限制，规避XSS，SQL注入等安全漏洞；

入侵防范 e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

1. 对应用系统进行扫描，修复发现的漏洞；

入侵防范 f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

恶意代码防范 a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

1. 应用系统无需提供该功能；

可信验证 a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

此标注使用“可”而不是“应”来要求，为前瞻性要求；

1. 无法实现，需要有硬件的可信根芯片支持；
 

数据完整性 a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

1. 采用加密的协议进行数据通信，例如使用https协议；

2. 在于其他系统进行数据交互时也需使用加密协议；

数据完整性 b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

1. 需要提供存储过程中的完整性保障措施，要求保证写入的数据与读出的数据完整性一直，无篡改；

数据保密性 a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

1. 采用加密的协议进行数据通信，例如使用https协议；

2. 在于其他系统进行数据交互时也需使用加密协议；

数据保密性 数据保密性 b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

1. 鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息采用加密或哈希运算后以密文形式进行存储；

2.个人信息需要加密存储！加密是指使用密码算法进行加密，也可以通过数据库透明加密等方式来实现，不可通过转码的方式提供“加密”！（个人信息：通过该信息可以定位到某个特定自然人的信息，如身份证号码、手机号码、银行卡号码、驾驶证信息等。公司电话，所在单位等信息由于无法定义到某个特定的自然人，可不视为“个人信息”。）

数据备份恢复 a）应提供重要数据的本地数据备份与恢复功能；

1. 提供数据库备份功能，每日进行增量或全备；

2. 进行恢复测试，保证备份文件能够正确的提供数据恢复；

数据备份恢复 b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

非高可用性系统（可用性大于或等于99.9%，年度停机时间小于或等于8.8小时的系统），没必要做到实时的异地数据备份，需要的投入过高；

普通行业标准未对“异地”做出明确要求，此条标准设计的初衷是主数据机房被如严重自然灾害等不可抗力完全摧毁，用户单位还能够有一份异地的数据备份，所以建议“异地”备份要与数据中心尽量远离；注意不要把数据备份到如云盘、网盘等不可控存储上！

1. 可提供异地但不实时的数据备份，可部分满足标准要求；

2. 建立异地数据中心，实现实时异地数据备份；
 

数据备份恢复 c）应提供重要数据处理系统的热冗余，保证系统的高可用性。

非高可用系统，酌情进行投入建设；

1. 服务器采用负载/热备/集群模式提供服务；

剩余信息保护 a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

剩余信息保护 b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

1. 提供需提供退出注销功能，系统注销后不能越权访问；

2. 系统退出后应能够清除客户端残留的文件；

个人信息保护 a）应仅采集和保存业务必需的用户个人信息；

1. 应在告知用户并获得用户授权下采集用户个人信息；

2. 仅采集和保存业务必须的个人信息；

个人信息保护 b）应禁止未授权访问和非法使用用户个人信息。

1. 对个人信息的访问权限进行严格管控，严格限制个人信息的查询与导出；

2. 不得出现个人信息泄露、出售、滥用、未授权交予第三方等违规行为；

---------------------------------------------------------------------------------

更新日志：

2021.8.3

数据存储完整性，删除“可通过加密措施保证存储完整性”，此内容错误，如密文被篡改，则明文内容也发生变更，读取时无校验措施，无法提供完整性保障；

2021.9.13

更新强调个人信息加密的要求；