Web安全-等保测评

等保测评

为什么要做等级保护

《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

等级保护涉及范围

1. 省辖市以上党政机关的重要网站和办公信息系统；
2. 电信、广电行业的公用通信网、广播电规传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；
3. 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

信息系统等级划分

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：

等级保护工作流程

信息安全等级保护工作包括 定级、备案、整改建设、等级测评、监督检查五个阶段。

等保基本要求的三种技术类型（S/A/G）

等保测评类型	介绍
S	保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权修改的信息安全类要求；物理访问控制、边界完整性检查、身份鉴别、通信完整性、保密性等；
A	保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求；电力供应、资源控制、软件容错等
G	通用安全保护类要求。技术类中的安全审计、管理制度等

等保1.0 VS 等保2.0

2019年5月13日，在网络安全领域，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准今日正式发布，2019年12月1日开始实施。

1、结构的变化：将安全管理中心从管理层面提升至技术层面。

2、要求项数量的变化

其他变化项	介绍
覆盖范围的变化	等保2.0实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
防护理念的变化	等保2.0从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变，注重全方位主动防御、安全可信、动态感知和全面审计。
定级流程的变化	等保2.0标准不再自主定级，而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格，将促进定级过程更加规范，系统定级更加合理。
测评周期的变化	相较于等保1.0，等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求，第三级以上的系统每年开展一次测评，修改了原先1.0时期要求四级系统每半年进行一次等保测评的要求。
测评结果的变化	等保2.0里，测评达到75分以上才算基本符合。基本分高了，要求变得更高，过等保相对以往一是没那么容易了，另一点也需要投入更多。

三权分立

目前大量的数据都是保存在数据库中的。数据库提供了基本的用户名/口令保护，必须有相应的用户名/口令才能查询到数据，而且不同用户之间也不能随意看到对方的数据。

但是数据一旦保存在数据库里就真的安全了吗？事实并非如此简单。因为在数据库中还存在一些所谓的“超级用户”（也称为DBA——数据库管理员的英文文缩写），例如Oracle数据库中的sys和system用户，IBM DB2数据库的db2admin用户, Microsoft SQL Server或Sybase数据库的 sa用户。只要用这些超级用户登录数据库，就可以看到数据库中所有用户的数据，也可以修改任何用户的数据。

为什么会存在这些超级用户呢？这些超级用户是数据库创建过程中的缺省用户，可以认为是数据库中的“造物主”，因为所有新的用户都是由他们创建的。他们就象Unix系统的 root 用户，Windows的Adminstrator用户，有着至高无上的权力。当然，为了安全，一般这种超级用户的口令都被掌握在极少数人手里。

但是过度集中的权力都会带来问题，当超级用户拥有最高权力的时候，意味着他或她可以做任何想做的事，而且可以不留下任何痕迹。

现实世界里解决权力过度集中的方式之一就是三权分立。我们想象一下，如果有人可以执行管理数据的操作，有人负责控制管理数据的规则，另外还有人监督和审计前两类人的行为，那么权力过度集中的问题就可以通过互相制约被解决。这就和政治学里著名的行政、立法、司法三权分立不谋而合。

概念	解释
三权	配置，授权，审计；
三员	系统管理员，安全保密管理员，安全审计员；
三员之三权	废除超级管理员；三员是三角色并非三人；安全保密管理员与审计员必须非同一个人。

BMB20-2007 提出的系统管理员、安全保密管理员和安全审计员是 3 类岗位或角色，并不是指 3 个人，可以是多人。各涉密信息系统应该根据实际情况，配备合理数量的安全保密管理人员，以满足系统安全保密管理的需要。

1. 系统管理员主要负责系统的日常运行维护工作，其主要职责是确保涉密信息系统处于无故障运行的状态。
2. 安全保密管理员主要负责涉密信息系统的日常安全保密管理工作，包括对用户账号权限管理以及安全保密设备管理和系统所产生日志的审查分析，是整个系统安全方面的主要责任人。
3. 安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查，及时发现违规行为，并定期向系统安全保密管理机构汇报相关情况。
   

以下是数据管理三权分立的详细规划：

【第一类】用户是数据库管理员，他们有数据的管理权（行政权）。

他们可以授予和取消普通用户数据访问的权限，执行数据管理的各种操作。他们仍然能做一些特殊的，需要数据库级权限的操作，例如备份整个数据库的数据。但是传统的数据库管理员的“万能”的权力被大大削减，包括创建新用户的权限也会被收回。

【第二类】用户是安全管理员，他们拥有安全规则的制定权（立法权）。

和之前的由DBA管理用户权限不同的是，他们在数据库原有的权限管理之外，对数据的访问控制做更周密和灵活的规则设置。例如指定某些敏感数据的集合只能被指定的用户访问，如果没有被指定，即使是DBA也无法访问。又例如，即使是数据的所有者，也可以被安全管理员限制不能删除自己的数据。安全管理员可以规定某些操作只能在某个时间段内执行，或者某些操作只能在指定的IP地址上执行。

但是安全管理员不能为用户授予各种权限，也就是说，如果要想让某个用户（包括安全管理员自己）看到另一个用户的数据，还必须由另一个用户自身或者数据库管理员先对该用户授权。这是一种互相制约的机制。安全管理员可以创建新用户，可以指定新用户为某些敏感数据的允许访问者，这是个必要条件。但是并不意味着这个新用户就可以看到这些敏感数据，他还需要得到DBA的授权。而DBA也不再能随意查询或修改其他用户的数据。DBA原来的种种特权也可以被安全管理员根据实际需求通过命令规则进行限制。

【第三类】用户是审计管理员，他们拥有数据操作的审计权（司法权）。

他们可以监督前两类用户的操作，如果发现有不符合法规或内部控制要求的活动，他们可以调查这些活动的细节。这些活动可能包括数据库管理员将权限授给不合适的用户，或者安全管理员临时取消某些安全规则，以方便某些用户执行非法操作等等。

审计管理员和安全管理员一样，本身都不能执行对其他用户的具体数据的操作，这是一种平衡。但是审计管理员拥有一套机制，可以保护审计记录数据不会被数据库管理员或者安全管理员删除或者篡改。对于普通的数据库用户，相当于平民大众，他们的日常操作不会受到任何影响，所有访问数据库的应用程序也不需要做任何修改。但是他们对敏感数据的所有操作，也可以被记录下来，受到审计管理员的审计和监督。

至此，滥用数据库超级用户特权的安全漏洞可以完全被堵住。整个数据管理的安全性也得到了本质的提高。

角色	职责
系统管理员	菜单管理、参数管理、角色设置、组织机构管理、用户的运维管理（只能修改和重置密码，不能新建和删除）、不允许查看审计日志
安全管理员	用户权限的分配（可以分配业务角色）、可以新建和删除用户、不可修改用户信息；不允许查看审计日志
审计管理员	只允许查看审计日志，监督系统管理员和安全管理员的操作行为

实例三员分配实例

系统管理员、安全保密管理员和安全审计员分别承担本单位涉密信息系统的日常运行维护（配置）、安全保密管理（授权）及安全审计（审计）工作。“三员”权限设置相互独立、相互制约，安全保密管理员与安全审计员不得由一人兼任。

一、系统管理员职责
（一）定期或不定期巡检，确保机房设备的安全和正常运行，发现异常情况及时处理；
（二）掌握网络设备配置情况，负责网络和设备的管理维护，及时排除故障；
（三）安装、配置涉密终端，做好维护和故障处理；
（四）负责重要数据的定期备份和数据恢复。

二、安全保密管理员职责
（一）掌握本单位涉密终端的配用情况，建立管理台账（包括数量、密级、责任人、责任处室、安放地点等）；
（二）管理分配用户账号及相应权限，定期更改口令；
（三）负责安全设备的日常管理和维护；
（四）每月对重要安全产品的日志进行分析整理，及时发现安全保密隐患并妥善处理。

三、安全审计员职责
（一）审计涉密信息系统安全策略执行情况；
（二）每周查看安全审计记录，并记录审查情况；
（三）定期备份安全审计日志，保留周期为两年；
（四）每月检查系统管理员和安全保密管理员的工作情况，并进行符合性检查，形成审计记录，报送主管领导；
（五）在工作中发现问题应立即报告主管领导。

双机热备

概念	解释
单机部署（stand-alone）	只有一个饮水机提供服务，服务只部署一份
集群部署（cluster）	有多个饮水机同时提供服务，服务冗余部署，每个冗余的服务都对外提供服务，一个服务挂掉时依然可用
热备部署（hot-swap）	只有一个桶提供服务，另一个桶stand-by，在水用完时自动热替换，服务冗余部署，只有一个主服务对外提供服务，影子服务在主服务挂掉时顶上

【背景】服务器宕机，好捉急！有些人对服务器宕机没什么，但对于那些赚起钱来堪比印钞机的互联网公司一分、甚至一秒服务器宕机都无法容忍，这种情况如何避免呢？——双机热备方案。

【需求】保证服务器正常运行，提高服务器的高可用性，避免服务器单点故障。比如说:服务器宕机对于一些需要实时在线的用户而言，网站打开不等于丢失了客户，更有甚者丢失数据，造成更大的经济损失。

【原理】双机热备即使用两台服务器互相备份。当一台服务器出现故障时，可由另一台服务器承担服务任务，从而在不需要人工干预的情况下，自动保证系统能持续对外提供服务。

【方案】

双机热备采用两台服务器（尽量配置完全相同，不一样存在未知风险），使用磁盘阵列共享数据，而两台服务器采用一主、一备方式。

两台服务器将以一个虚拟IP连接外网，将服务请求发送其中一台服务器完成工作。同时，服务器通过心跳线侦测另一台服务器的工作状态；当一台服务器出现故障时，另一台根据心跳做出判断，切换为主、接管工作。对于用户而言，这一过程是全自动的，切换时间很短(服务器的应用不同，切换的时间不同)。

对比项	冷备份	热备份
概念	冷备份发生在数据库已经正常关闭的情况下，当正常关闭时会提供给我们一个完整的数据库。	热备份是在数据库运行的情况下，备份数据库操作的SQL语句，当数据库发生问题时，可以重新执行一遍备份的SQL语句。
优点	1．是非常快速的备份方法（只需拷贝文件）2．容易归档（简单拷贝即可）3．容易恢复到某个时间点上（只需将文件再拷贝回去）4．能与归档方法相结合，作数据库“最新状态”的恢复。5．低度维护，高度安全。	1．可在表空间或数据文件级备份，备份时间短；2．备份时数据库仍可使用；3. 可达到秒级恢复（恢复到某一时间点上）；4．可对几乎所有数据库实体作恢复；5．恢复是快速的，在大多数情况下在数据库仍工作时恢复。
缺点	1．单独使用时，只能提供到“某一时间点上”的恢复；2．在实施备份的全过程中，数据库必须要作备份而不能作其它工作，也就是说，在冷备份过程中，数据库必须是关闭状态；3．若磁盘空间有限，只能拷贝到磁带等其它外部存储设备上，速度会很慢；4．不能按表或按用户恢复。	1．不能出错，否则后果严重；2．若热备份不成功，所得结果不可用于时间点的恢复；3．因难于维护，所以要特别仔细小心，不允许“以失败而告终”。

站库分离

所谓的站库分离，简单说，就是网站和数据库不在同一个服务器上，数据库一般用的是内网网络，速度快些，安全也好很多。
对于站库分离的系统，在做主机安全的测试过程中，需要分别对数据库服务器主机和应用程序服务器主机进行主机安全检测和记录。

但是，数据库服务器主机若是阿里云的RDS，则可忽略不测。因为此类阿里云数据库服务器主机，客户没有策略管理权限，只有一个接口的管理，但应用服务器即使放在阿里云也是客户自己管理的，需要进行安全测试。

阿里云关系型数据库（Relational Database Service，简称RDS）是一种稳定可靠、可弹性伸缩的在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储，RDS支持MySQL、SQL Server、PostgreSQL、PPAS（Postgre Plus Advanced Server，高度兼容Oracle数据库）和MariaDB TX引擎，并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案，彻底解决数据库运维的烦恼。

集群理解

概念	理解
分布式	以缩短单个任务的执行时间来提升效率
集群	通过提高单位时间内执行的任务数来提升效率

【举个例子】

如果一个任务由10个子任务组成，每个子任务单独执行需1小时，则在一台服务器上执行改任务需10小时。

采用分布式方案，提供10台服务器，每台服务器只负责处理一个子任务，不考虑子任务间的依赖关系，执行完这个任务只需一个小时。(这种工作模式的一个典型代表就是Hadoop的Map/Reduce分布式计算模型）

而采用集群方案，同样提供10台服务器，每台服务器都能独立处理这个任务。假设有10个任务同时到达，10个服务器将同时工作，10小后，10个任务同时完成，这样，整身来看，还是1小时内完成一个任务！

【进阶例子】

小饭店原来只有一个厨师，切菜洗菜备料炒菜全干。后来客人多了，厨房一个厨师忙不过来，又请了个厨师，两个厨师都能炒一样的菜，这两个厨师的关系是集群。为了让厨师专心炒菜，把菜做到极致，又请了个配菜师负责切菜，备菜，备料，厨师和配菜师的关系是分布式，一个配菜师也忙不过来了，又请了个配菜师，两个配菜师关系是集群。

为了具有可扩展性和高可用性特点，集群的必须具备以下两大能力：

1. 负载均衡－－负载均衡能把任务比较均衡地分布到集群环境下的计算和网络资源。
2. 错误恢复－－由于某种原因，执行某个任务的资源出现故障，另一服务实体中执行同一任务的资源接着完成任务。这种由于一个实体中的资源不能工作，另一个实体中的资源透明的继续完成任务的过程叫错误恢复。

分布式是指将不同的业务分布在不同的地方。而集群指的是将几台服务器集中在一起，实现同一业务。分布式中的每一个节点，都可以做集群。而集群并不一定就是分布式的。 分布式的每一个节点，都完成不同的业务，一个节点垮了，哪这个业务就不可访问了。集群，有一个组织性，一台服务器垮了，其它的服务器可以顶上来。

远程登录

Windows服务器远程连接

Windows系统可以使用微软自带的远程工具进行连接，可以连接的系统有Windows server 和Windows 7-10 等等系列。登录控制台查看服务器系统是什么系统，例如阿里云的ECS服务器：

例如Windows10系统，键盘按住win键+R键 打开运行，然后输入mstsc 点击确认 打开远程工具
这个操作基本在Windows系列系统上通用：

打开远程桌面连接工具后输入服务器的公网IP地址点击连接：

然后输入账号和密码登录服务器：

Linux服务器远程连接

Linux一般作为服务器使用，而服务器一般放在机房，你不可能在机房操作你的Linux服务器。

这时我们就需要远程登录到Linux服务器来管理维护系统。Linux系统中是通过ssh服务实现的远程登录功能，默认ssh服务端口号为 22。

Window系统上 Linux 远程登录客户端有SecureCRT, Putty, SSH Secure Shell、xshell工具等，本文以xshell工具（下载地址)为例来登录远程服务器。

1. 打开xshell工具，新建一个连接:
   
2. 输入服务器的公网地址然后确认:
   
3. 然后打开，找到刚才新建的test进行连接:
   
4. 接受保存
   
5. 接下来就是输入账号名和密码，Linux默认管理员账号为root：
   
   
6. 成功登录服务器
   

还有一种方式——使用Windows的CMD登录linux服务器，以win10系统为例，win7-8没试过
需要安装下telnet客户端，系统自带的：

按下win键+R键 然后输入CMD 回车打开CMD窗口：

CMD中输入 ssh 账号名@服务器ip地址:端口号。

例如： ssh root@111.222.1.2第一次可能需要输入yes，如果输了no就无法连接了：

SaaS服务

云计算是一种新的计算资源使用模式，云端本身还是 IT 系统，所以逻辑上同样可以划分为这四层。底三层可以再划分出很多“小块”并出租出去，这有点像立体停车房，按车位大小和停车时间长短收取停车费。因此，云服务提供商出租计算资源有 3 种模式，满足云服务消费者的不同需求，分别是 IaaS、PaaS、SaaS，如图 1 所示。
需要注意的是，云服务提供商只负责出租层及以下各层的部署、运维和管理，而租户自己负责更上层次的部署和管理，两者负责的“逻辑层”加起来刚好就是一个完整的四层 IT 系统（见图 1 最左侧）。

比如有一家云服务提供商对外出租 IaaS 云计算业务，云服务提供商负责机房基础设施、计算机网络、磁盘柜和服务器/虚拟机的建设和管理，而云服务消费者自己完成操作系统、数据库、中间件和应用软件的安装和维护。另外，还要管理数据信息（如初始化、数据备份、恢复等）。

再比如，另一家云服务提供商出租 PaaS 业务，那么云服务提供商负责的层数就更多了，云服务消费者只需安装自己需要的应用软件并进行数据初始化即可。总之，云服务提供商和消费者各自管理的层数加起来就是标准的 IT 系统的逻辑层次结构。

SaaS 是“Software as a Service”的首字母缩写，意为软件即服务。简言之，就是软件部署在云端，让用户通过因特网来使用它，即云服务提供商把 IT 系统的应用软件层作为服务出租出去，而消费者可以使用任何云终端设备接入计算机网络，然后通过网页浏览器或者编程接口使用云端的软件。这进一步降低了租户的技术门槛，应用软件也无须自己安装了，而是直接使用软件，如下图所示。。举例说明：企业无需购买软硬件，即可通过互联网使用OA系统、crm客户管理系统、ERP系统等管理软件。

以上是SaaS服务的简介，更多关于云计算的资料可参考：

1、IaaS、PaaS和SaaS：云计算的三种服务模式（精讲）；
2、终于有人把大数据、云计算、SaaS讲清楚了；
3、什么是IaaS, PaaS和SaaS及其区别。