- 等保发展历程
- 1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》
- ——计算机信息系统实行安全等级保护,安全等级的划分标准和具体办法,由公安部分会同有关部门制定。
- 2003年 中办发《关于加强信息安全保障工作的意见》
- ——要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
- 2007年 公通字《信息安全等级保护管理办法》
- ——明确了信息安全等级保护的具体要求,需要履行信息安全等级保护的义务和责任。
- 2008年《信息安全等级保护基本要求》、《信息安全等级保护定级指南》
- 2017年 《中华人民共和国网络安全法》
- 立法背景
- 外因:
- 网络已成为第五度空间(海陆空天网),针对网络的渗透、刺探、攻击层出不穷,各国都将网络安全作为作为国家安全的重要部分。
- 内因:
- 国内网络安全事件层出不穷。不仅仅是页面篡改、技术炫耀,而是成为社会舆论、公众事件传播、个人、集体、国家安全的影响因素。
- 国外:
- 已纷纷建立安全法,强制网络信息安全。(日、美、欧盟)
- 国内:
- 技术、决策层分离,安全意识淡薄,技术部门的意见得不到重视,技术能力得不到提高,建设经费短缺。—— 打铁也不硬。
- 外因:
- 主要内容
- 重要条文
- 第二十一条
- 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
- (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
- (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
- (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
- (四)采取数据分类、重要数据备份和加密等措施;
- 第三十一条
- 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
- 第三十四条
- 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
- (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
- (二)定期对从业人员进行网络安全教育、技术培训和技能考核;
- (三)对重要系统和数据库进行容灾备份;
- (四)制定网络安全事件应急预案,并定期进行演练;
- 第三十六条
- 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
- 第三十七条
- 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
- 第二十一条
- 网络安全等级保护
- 国家通过制定统一的安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
- 等级划分
- 安全保护等级划分:
- 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
- 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
- 安全保护等级划分:
- 定级要素
- 受侵害的客体。
- (1)公民、法人和其他组织的合法权益;
- (2)社会秩序、公共利益;
- (3)国家安全。
- 对客体的侵害程度。
- 一般损害:
- 工作职能受到局部影响、业务能力有所降低但不影响主要功能的执行。
- 严重损害:
- 工作职能受到严重影响、业务能力显著下降且严重影响主要功能的执行。
- 特别严重损害:
- 工作职能受到特别严重影响或丧失行使能力,业务能力严重下降或功能无法执行。
- 一般损害:
- 受侵害的客体。
- 定级要素与保护等级的关系
- 等级保护对象
- 等级保护对象通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
- 主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
- 确定定级对象
- 定级对象的基本特征:
- 具有确定的主要安全责任主体
- 承载相对独立的业务应用
- 包含互相关联的多个资源
- 主要安全责任主体:企业、机关、事业单位等法人,以及不具备法人资格的社会团体等其他组织。
- 避免将某一个单一的系统组件,如服务器、终端或网络设备作为定级对象。
- 一、将起支撑、传输作用的信息网络作为定级对象(专网、内网、外网、网管系统)。但不将整个网络作为一个定级对象,而是从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域去定级。
- 安全域:
- 同一系统内根据信息的性质、使用主体、安全目标和策略等元素来划分的不同的逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,相同的网络安全域共享同样的安全策略。
- 安全域:
- 二、对用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备作为定级对象的条件。
- 三、将各单位网站作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统也作为独立的定级对象。
- 四、确认负责定级的单位是否对其所定级的系统负有业务主管责任。即业务部门主导对业务信息系统定级,运维部门可以协助定级并展开后续的安保工作。
- 五、定级的对象具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的配套设备、设施按照一定的应用目标和规则组合而成的有形实体。避免将单一的系统组件(服务器、终端、网络设备)作为定级对象。
- 一、将起支撑、传输作用的信息网络作为定级对象(专网、内网、外网、网管系统)。但不将整个网络作为一个定级对象,而是从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域去定级。
- 基础信息网络
- 对于电信网、广播电视传输网、互联网等基础信息网络,应依据服务类型、服务地域、安全责任主体等因素划分为不同的定级对象。
- 信息系统
- 工业控制系统
- 工控系统主要由生产管理层、现场设备层、现场控制层、过程监控层组成。生产管理层单独定级,现场设备层、现场控制层、过程监控层作为一个整体对象定级,各层次要素不单独定级。
- 云计算平台
- 云服务方的云计算平台单独作为定级对象定级,云租户方的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助系统划分为不同的定级对象。
- 物联网
- 物联网主要包括感知层、网络传输层、处理应用层等要素,各要素不单独定级,物联网作为一个整体对象定级。
- 移动互联网
- 采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统。
- 大数据
- 将具有统一安全责任主体的大数据平台作为一个整体对象定级。当安全责任主体不同时,大数据应独立定级
- 工业控制系统
- 定级对象的基本特征:
- 确定网络安全保护等级
- 等级保护对象的安全主要包括业务信息安全和系统服务安全。与之相关的受侵害客体和对客体的侵害程度可能不同,因此定级应由业务信息安全和系统服务安全两方面确定。
- 定级的方法:
- (1)确定受到破坏时所侵害的客体
- 1)确定业务信息受到破坏时所侵害的客体。
- 2)确定系统服务受到破坏时所侵害的客体。
- (2)确定对客体的侵害程度
- 1)评定业务信息安全被破坏对客体的侵害程度。
- 2)评定系统服务安全被破坏对客体的侵害程度。
- (3)确定安全保护等级
- 两者保护等级较高者为定级对象的安全保护等级。
- (1)确定受到破坏时所侵害的客体
- 定级矩阵表
- 对于大数据等定级对象,应综合考虑数据规模、数据价值、重要程度,以及数据资源受到破坏后对国家安全、社会秩序、公共利益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上。
- 对于基础信息网络、云计算平台等定级对象,应根据承载对象的重要程度确定其安全保护等级,原则上不低于其承载对象的安保等级。国家关键信息基础设施的安全保护等级应不低于第三级。
- 定级流程
- 物理安全和环境安全
- 安全风险:
- 物理安全和环境安全风险主要来源于自然环境灾害、人员访问控制失效、机房基础设施缺失导致的火灾、漏水、雷击和静电对设备电路的破坏、设备失窃等安全事件,影响网络、主机和业务的连续性,甚至导致业务数据的丢失。
- 安全目标:
- 为机房选择一个合理的物理位置,配置完善的基础设施,降低设备故障的概率,保障信息系统业务的连续性。
- 安全风险:
- 物理安全要求
- 物理位置选择要求:
- 机房场地应选择在具有防震、防风、防雨等能力的建筑内;
- 机房场地应避免设在建筑物的顶层或地下室。
- 物理访问控制要求:
- 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。电子门禁系统另一个重要用途在于对进入的人员进行记录,一旦发生网络安全事件,可以进行事件追溯,其日志记录应保存6个月以上。
- 防盗和防破坏要求:
- 应将设备或主要部件进行固定,并设置明显的不易除去的标识。
- 应将通信线缆铺设在隐蔽安全处,可铺设于地下或管道中。
- 应设置机房防盗报警系统或设置有专人值守的视频监控系统。视频文件保存6个月以上。
- 防雷击要求:
- 应将各类机柜、设施和设备等通过接地系统安全接地。
- 应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
- 防火要求:
- 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
- 机房及相关工作房间和辅助房间应采用具有耐火等级的建筑材料。
- 机房应进行划区域管理,区域与区域之间设置隔离防火措施。
- 防水防潮要求:
- 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
- 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
- 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
- 防静电要求:
- 应采用防静电地板或地面并采用必要的接地防静电措施。
- 应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
- 温、湿度控制要求:
- 应设置温、湿度自动调节措施,使机房温湿度的变化在设备运行所允许的范围之内。按照GB50174-2017《数据中心设计规范》执行。
- 电力供应要求:
- 应在机房供电线路上配置稳压器和过电压防护设备。
- 应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。
- 应设置冗余或并行的电力电缆线路为计算机系统供电。
- 物理位置选择要求:
- 网络和通信安全
- 安全风险:
- 网络和通信安全风险的来源主要从设备硬件、软件以及网络通信协议三个方面来识别。
- 设备硬件:
- 硬件性能、可靠性决定数据传输的效率。(延迟、稳定性差、ddos)
- 软件:
- 操作系统、数据库、应用系统本身的设计缺陷和漏洞。
- 网络通信协议:
- 协议层的设计缺陷(安全漏洞、认证问题、缺乏保密机制)
- 安全目标:
- 信息系统网络建设以维护网络活动的保密性、数据传输的完整性和应用系统的可用性为基本目标。
- 架构层面:划分安全域,考虑高峰流量;
- 传输层面:加密、CRC;
- 边界防护:保证跨边界访问和数据流通受控;
- 设备层面:对非授权用户访问进行阻断;
- 入侵防范:防止入侵造成的系统破坏;
- 安全审计:对非法访问事件做跟踪记录、保存日志;
- 安全风险:
- 通信安全要求
- 网络架构要求:
- 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
- 应保证网络各个部分的带宽满足业务高峰期需要;
- 应划分不同的网络区域,为各区域分配地址(按不同区域、不同功能的安全要求,划分不同的安全域,实施不同的安全策略);
- 应避免将重要网络区域部署在网络边界处,且没有边界防护措施(部署入侵监测/防御系统、网络防病毒系统、安全审计系统等) ;
- 应提供通信线路、关键网络设备的硬件冗余,保证系统的可用性(采用不同电信运营商的通信线路,互相备份;设计冗余线路、部署冗余路由和交换设备,部署负载均衡系统)。
- 通信传输要求:
- 应采用校验码或加解密技术保证通信过程中数据的完整性;
- 应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性(初始化验证、通信过程加密)。
- 除加密外,更主要的是在通信层面建立起安全的传输通路,如虚拟专用网络VPN。
- 虚拟专用网VPN技术
- VPN概念与结构:
- 虚拟专用网(VPN)是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道。
- “虚拟”是指用户无需建立各自专用的物理线路,而利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能。
- “专用网络”是指虚拟的网络并非任何连接在公共网络上的用户都能使用,只有经过授权用户才可使用。
- 通道内传输数据经过加密和认证,可保证传输内容的完整性和机密性。IETF对基于IP网络的定义的VPN为:利用IP机制模拟的一个专用广域网。VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路。
- VPN概念与结构:
- VPN的实现技术:
- VPN是在Internet等公共网络基础上,综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。
- 隧道技术
- 隧道技术是VPN的核心技术,为一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式,在隧道(虚拟通道)一端将数据进行封装,然后通过已建立的隧道进行传输。在隧道另一端,进行解封装并将还原的原始数据交给端设备。
- 加解密技术
- VPN采用了加密机制。常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用,利用非对称加密技术进行密钥协商和交换,利用对称加密技术进行数据加密。
- 密钥管理技术
- 密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。手工配置要求密钥更新不宜频繁,否则增加大量管理工作量,只适合简单网络。软件方式动态生成密钥可用于密钥交换协议,以保证密钥在公共网络上安全传输,适合于复杂网络,且密钥可快速更新,极大提高VPN应用安全。
- 身份认证技术
- 在VPN实际应用中,身份认证技术包括信息认证和用户身份认证。信息认证( PKI )用于保证信息的完整性和通信双方的不可抵赖性,用户身份认证(非PKI )用于鉴别用户身份真实性。PKI体系通过数字证书认证中心CA,采用数字签名和哈希函数保证信息的可靠性和完整性。如SSL VPN是利用PKI支持的SSL协议实现应用层VPN安全通信。非PKI体系一般采用“用户名+口令”的模式, VPN采用的非PKI体系认证方式有6种。
- 虚拟专用网VPN技术
- 边界防护要求:
- 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;
- 应能够对非授权设备私自连接到内部网络或内部非授权用户连接到外部网络的行为进行限制或检查;
- 应限制无线网络的使用,确保无线网络通过受控的边界防护设备进入内部网络。
- 阻断非授权设备连入内网;
- P/MAC/PORT地址绑定,从物理通道上隔离盗用者;
- 网络接入控制;
- 关闭网络设备端口。
- 阻断内部用户私自连接到外网,关闭红外、USB接口、蓝牙等可以外接的功能,在内网服务器端和客户端安装监控软件对终端计算机非法外连实施监控、报警和处置;
- 一般采用用户密码验证、扩频、加密、端口访问控制技术等来提高无线网络的安全性。
- 访问控制要求:
- 应在网络边界或区域之间设置访问控制规则,默认情况下除允许通信之外,受控接口拒绝所有通信;
- 应优化访问控制列表,保证访问控制规则数量最小化;
- 应对源地址、目的地址、源端口、目的端口和协议进行检查,以允许/拒绝数据包进出;
- 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的功能,控制粒度为端口级。
- 应在网络关键节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
- 访问控制安全策略总体概括为:允许高级别的安全域访问低级别的安全域,限制低级别的安全域访问高级别的安全域。策略原则集中在主体、客体和安全控制规则三者之间的关系。
- 最小特权原则:
- 按照主体所需最小权力原则授权给主体;
- 最小泄露原则:
- 主体执行任务时,按其所需最小信息进行权限分配,以防信息泄密;
- 多级安全策略:
- 主客体之间的数据流向和权限控制,按照安全级别来划分,避免敏感信息扩散。
- 最小特权原则:
- 访问控制安全策略:
- 基于身份的安全策略:
- 过滤主体对数据或资源的访问,只有通过认证的主体才可以使用客体的资源;
- 基于规则的安全策略:
- 比较用户和客体资源的安全级别,判断是否运行用户进行访问;
- 综合访问控制策略:
- 入网访问控制、网络权限限制、目录级安全控制、属性控制、网络监测和锁定控制等。
- 入侵防范要求:
- 应在网络关键节点处检测、防止或限制从外/内部发起的网络攻击行为;
- 应采取技术措施对网络行为进行分析,实现对网络攻击的检测和分析;
- 当检测到攻击行为时,记录攻击源IP,攻击类型、目的、时间,在发生严重入侵事件时应提供报警;
- 入侵防范系统(IDS)是防火墙的合理补充,通过对数据的采集分析,实现对入侵行为的检测。
- 基于主机的入侵防范系统
- HIDS监视与分析系统、事件和安全记录。对关键的系统文件和可执行文件定期检查和校验,并监听端口活动。
- 基于网络的入侵防范系统
- NIDS实时接收和分析网络中流动的数据包,检测是否存在入侵行为。
- 性能指标
- 漏报率、误报率、丢包率。
- 功能指标
- 事件数量、事件库更新、资源占有率、抵御能力。
- 恶意代码防范要求:
- 应在网络关键节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;
- 应在网络关键节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新;
- 恶意代码检测:
- 特征码扫描:病毒特征串匹配的过程
- 沙箱技术:运行在可控的虚拟环境中
- 行为检测:典型行为的特征分析
- 恶意代码分析:
- 静态分析
- 动态分析
- 安全审计要求:
- 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和安全事件进行审计;
- 审计记录应包括事件的日期、用户、事件类型、事件成功与否及其他相关信息;
- 应对审计记录进行保护、定期备份,避免受到未预期的删除、修改或覆盖。
- 审计记录产生的时间应由系统范围内唯一确定的时钟产生。
- 应能对远程访问的用户行为,访问互联网的用户行为等单独进行审计和数据分析。
- 集中管控要求:
- 应划分出特定的管理区域,对分布在网络中的安全设备或组件进行管控;
- 应能建立一条安全的信息传输路径,对网络中的安全设备或组件进行管理;
- 应对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测。
- 应对各设备的审计数据进行汇总和集中分析。
- 应对安全策略、恶意代码、补丁升级等安全事项进行集中管理;
- 应能对网络中发生的各类安全事件进行识别、报警和分析。
- 网络架构要求:
- 设备和计算安全
- 安全风险:
- 设备和计算安全,通常指主机设备、网络设备、终端设备等节点设备自身的安全保护能力。一般通过启用操作系统、数据库、防护软件的相关安全配置来实现。
- 面临的安全风险主要来自于以下四个方面:
- 自身缺陷造成的安全风险。(代码不完善、各类漏洞)
- 外部威胁造成的安全风险。(木马后门、病毒攻击、口令猜测、非法访问)
- 内部威胁造成的安全风险。(威胁较大、难以防范)
- 云环境下的网络安全风险。(用户对云计算自身安全隐患不可控)
- 安全风险:
- 安全要求与措施
- 身份鉴别:
- 应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并定期更换;
- 应具有登录失败处理功能,配置并启用结束会话、限制非法登录次数和登录超时自动退出等相关措施;
- 当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
- 应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。
- 在设备和计算安全层面,身份鉴别安全措施主要对主机操作系统配置符合安全要求的身份鉴别措施,确保设备和计算合法访问操作
- 主机采用屏保密码,设置由数字、字母、特殊字符组成的登录口令,长度至少8位并定期更换。
- 为防止恶意猜测密码口令,应配置用户登录账号锁定、口令失败次数、登录连接超时自动退出等相关安全措施。
- 应采用双因素身份鉴别机制,也就是两种或两种以上组合的鉴别技术对用户进行身份鉴别。一般除了账号口令外还可以通过增加密钥、指纹等方式实现。
- 访问控制:
- 应对登录的用户分配账号和权限;
- 应重命名默认账号或修改默认口令;
- 应及时删除或停用多余的、过期的账号,避免共享账号的存在;
- 应授予管理用户所需的最小权限,实现管理用户的权限分离;
- 应由授权主体配置访问控制策略,策略规定主体对客体的访问规则;
- 访问控制的粒度应达到主体为用户级或进程级,客体为文件、表级;
- 应对敏感信息资源设置安全标记,并控制主体对有安全标记的信息资源的访问。
- 在等级保护安全体系规划中,访问控制的要求贯穿了各个层级,可以说网络安全的防护就是要对访问控制进行安全防护。相比物理层、网络层通过部署有关安全产品实现,满足要求,在设备和计算安全中主要就是通过对设备的进行安全配置,合理加强安全措施,防止内、外非法用户攻击,保障安全。
- 应对登录和的用户分配不同的账号和应用权限;权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担任务所需的最小权限,并在他们之间形成相互制约的关系。
- 应查找是否禁用默认账户并重命名默认账号或修改默认口令;管理员登录账号权限较高,如未及时更改主机默认管理员登录账号,则可能被恶意用户轻易破解登录口令后以较高权限登录系统,造成重大损失。
- 应及时删除或停用多余的、过期的账号,避免共享账号的存在;应设置超过60天未修改口令的账号为默认过期账号,并及时删除;应屏蔽上次登录用户信息,如没有配置此项安全策略,则登录时显示上次登录用户的用户名,造成信息泄露。
- 应采用分权管理的机制,规避系统管理员权限过高成为超级管理员的风险,将管理员权限分散为安全管理员、审计管理员和系统管理员,三个权限各司其职,相互制约。实现最小权限,不仅保证了系统安全性,同时也符合国家相关信息安全标准规范。
- 访问控制主要用于防止非法主体访问受保护的资源,或防止合法主体访问未授权的资源。应由授权主体配置访问控制策略,并规定主体对客体的访问规则。
- 访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。控制的粒度应达到主体为用户级或级,客体为文件、表级。
- 对重要系统文件进行敏感标记,设置强制访问控制机制。根据管理用户的角色分配权限,并做细致划分,仅授予管理用户最小权限,并对用户及用户程序进行限制,从而达到更高的安全级别。
- 安全审计:
- 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
- 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
- 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
- 应对审计进程进行保护,防止未经授权的中断;
- 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。
- 设备安全审计一般由堡垒机等专业安全监控、审计软硬件实现,主要覆盖了移动介质、软件资源的使用控制,网络资源的访问控制、端口设备的使用管理、非法外连告警、敏感信息监测、文件共享/打印控制、准入控制等功能。
- 堡垒机通常在一个特定的网络环境中,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用技术手段实时收集并监控网络中个组成部分的运行状态、安全事件、网络活动,以便形成日志,集中分析并能提供监控报警,及时处理以及审计追责。
- 入侵防范:
- 应遵循最小安装的原则,仅安装需要的组件和应用程序;
- 应关闭不需要的系统服务、默认共享和高危端口;
- 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
- 应能发现可能存在的,并在经过充分测试评估后,及时修补;
- 应能够检测到对重要节点进行的行为,并在发生严重事件时提供报警。
- 网络边界处一般会部署防火墙、入侵检测(IDS)、入侵防御(IPS)等设备,用于应对端口扫描、拒绝服务攻击和网络蠕虫攻击等各类攻击手段;结合防病毒工具,能及早发现入侵行为并采取相应的应对措施,减少发生网络安全事件的可能。
- 网络安全设备仅能对通过该设备传输的数据进行安全检查,防止由外向内或由内向外的攻击行为的发生,而对区域内部发起的横向攻击无能为力。因此,需要在操作系统端进行安全加固,并部署主机入侵检测(HIDS)或主机入侵防御系统(HIPS)。
- 操作系统的安装应遵循最小安装原则,仅开启需要的服务,可以明显降低系统遭受攻击的可能性。同时及时更新系统补丁,可以避免由操作系统带来的风险。
- 关闭137、139、445、593、1025端口,UDP 135、137、138、445端口,以及服务访问端口3389等。
- 对指定接口所连接的IP和MAC地址绑定,可以防止IP盗用,并对非法IP 的访问提供详细的记录;同时在路由器上进行重要主机的IP/MAC绑定,可以进一步保证的安全。
- 定期检查的补丁是否及时更新,对已知漏洞是否进行了修复,对于实际生产环境的主机,由管理员选择是否安装更新,防止自动更新补丁对实际生产环境造成影响。
- 在主机上部署入侵检测或入侵防御系统,及时检测到对重要节点的入侵行为,并在发生严重事件时提供自动告警功能。
- 恶意代码防范:
- 应采用免受恶意代码攻击的技术措施或采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。
- 恶意代码一般通过网络和主机两个层面进行破坏,所以应在网络和设备处同时防范。一般在和终端设备安装网络版防软件并及时更新病毒库进行有效防护控制,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后通过备份进行恢复。
- 资源控制:
- 应限制单个用户或进程对系统资源的最大使用限度;
- 应提供重要节点设备的硬件冗余,保证系统的可用性;
- 应对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况;
- 应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。
- 身份鉴别:
- 应用和数据安全
- 应用安全风险:
- 是指信息系统在应用层面存在脆弱性进而受到内外部威胁影响的可能性。主要包括:病毒蠕虫、木马后门、口令猜测/暴力破解、拒绝服务攻击、代码注入、SQL注入…等等。
- 应用安全目标:
- 是从系统建设的全生命周期入手,通过安全需求、安全设计、安全开发、安全测试以及系统上线以后的安全加固,尽量减少应用系统安全漏洞和风险暴露面,从而实现系统安全、可靠、稳定运行。
- 数据安全风险:
- 是指信息系统在数据层面存在脆弱性进而受到内外部威胁影响的可能性。最主要的数据安全风险是数据或信息被非法授权访问、泄露、修改或删除。具体可分为管理风险和技术风险,其中管理风险主要涉及人的因素,包括:操作失误、故意泄露、人为破坏等。
- 数据安全目标:
- 在系统自身安全防护标准的基础上,实现数据生命周期的安全管理保证数据和信息不被非法授权访问、篡改、破坏,从而确保数据的保密性、完整性、可用性。
- 在系统自身安全防护标准的基础上,实现数据生命周期的安全管理保证数据和信息不被非法授权访问、篡改、破坏,从而确保数据的保密性、完整性、可用性。
- 应用安全风险:
- 安全要求与措施
- 身份鉴别要求:
- 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
- 应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施;
- 用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全;
- 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
- 访问控制:
- 要求与设备和计算安全的要求类似,略。
- 对于人员流动、功能测试等原因产生的多余或过期的账号,必须删除或停用,并避免出现多人使用同一账号的情况发生。
- 应考虑最小权限原则,仅分配给主体完成工作所需的最小权限,并注意不同角色之间权限的制衡,防止发生共谋等情况。
- 基于角色的访问控制,支持三条安全准则:最小特权、职责分离和数据抽象。
- 对于特别重要的系统,可以在角色访问控制的基础上,配置强制访问控制功能,系统通过比较主体和客体的访问标签来决定一个主体是否可以访问某个客体。
- 安全审计:
- 要求与设备和计算安全的要求类似,略。
- 软件容错:
- 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
- 在故障发生时,应能够继续提供一部分功能,确保能够实施必要的措施。
- 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
- 应用系统应具备一定的容错功能,首先需要对用户输入数据的有效性进行校验,确保用户按照系统规定的格式提交数据,对于非法的或可能损害系统的字符、语句,可以选择过滤、转义或拒绝。应用系统各功能模块对资源的需求等应做到相对独立,当资源出现抢占或发生其他不可预料的错误发生时,可以将影响范围尽量缩小。如果故障不可避免,应用系统应自动保存故障发生时的系统、数据、业务等状态,保证系统可以快速恢复到正常运行的状态。
- 资源控制:
- 当通信双方中的一方在一段时间内未做任何响应,另一方应能够自动结束会话。
- 应能够对系统的最大并发会话连接数进行限制。
- 应能够对单个账号的多重并发会话进行限制。
- 应能够对并发进程的每个进程占用的资源分配最大限额。
- 数据完整性要求:
- 应采用校验码技术或加解密技术保证重要数据在传输过程中的完整性。
- 应采用校验码技术或加解密技术保证重要数据在存储过程中的完整性。
- 应用系统中通信双方应利用密码算法/CRC对数据进行完整性校验,保证数据在传输过程中不被替换、修改或破坏,对完整性检验错误的数据,应予以丢弃,并触发重发机制,恢复出正确的通信数据并重新发送。同时还应当保证数据在存储过程中不被替换、修改或破坏。
- 数据保密性要求:
- 应采用加解密技术保证重要数据在传输过程中的保密性。
- 应采用加解密技术保证重要数据在存储过程中的保密性。
- 应用系统中通信双方应利用密码(例如数字信封技术)对传输的数据加密传输,保证数据在传输过程中的保密性。同时还应对重要数据和文件设置严格的访问控制策略防止未授权访问,并在数据库管理系统中利用扩展存储过程实现数据在存储过程中的加密和解密。
- 数据备份恢复要求:
- 应提供重要数据的本地数据备份与恢复功能。
- 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
- 应提供重要数据处理系统的热冗余,保证系统的高可用性。
- 重要数据应根据需要定期备份。备份方式采取实时备份与异步备份或完全备份与增量备份相结合的方式,根据系统和数据重要程度决定备份周期,在两次完全备份之间合理安排多次增量备份,确保系统恢复点目标(RPO)满足设计要求。
- 剩余信息保护要求:
- 应保证鉴别信息所在的存储空间被释放或重新分配之前得到完全清除。
- 应保证存有敏感数据所在的存储空间被释放或重新分配之前得到完全清除。
- 应用系统、操作系统和数据库应具备剩余信息保护的功能,剩余信息是指当前用户在登出后仍然留存在系统内存、磁盘中的身份标识、鉴别信息或其他形式的登录凭证,以及敏感数据。系统应确保存有登录凭证或敏感数据的存储空间在重新分配给其他用户前被完全清除,防止信息泄露。
- 个人信息保护要求:
- 应仅采集和保存业务必需的个人用户信息。
- 应禁止未授权访问和使用用户个人信息。
- 作为网络运营者,收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用信息的规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止、毁损、丢失;未经被收集者同意,不得向他人提供;对于发生或可能发生信息泄露的情况,应按规定及时向用户和主管部门报告。
- 数据库安全:
- 数据库安全的目标是在做好数据库系统安全加固和日常维护的基础上,尽量避免数据库安全风险隐患,同时建立完善的日志审计和应急恢复机制,保持数据库系统安全稳定运行,从而保障信息系统数据安全和业务连续性。
- 对数据库进行安全策略配置和加固,使用安全的密码和账号策略。
- 做好日常运维,通过数据库漏扫技术,有效监测数据库自身漏洞和安全隐患,并进行有针对性的修复。
- 采用加密、三权分立的权限管理机制、脱敏技术。
- 建立完善的数据库日志审计机制。
- 做好数据备份和应急管理。
- 数据库安全的目标是在做好数据库系统安全加固和日常维护的基础上,尽量避免数据库安全风险隐患,同时建立完善的日志审计和应急恢复机制,保持数据库系统安全稳定运行,从而保障信息系统数据安全和业务连续性。
- Web应用面临的主要风险和漏洞
- DDoS:
- 借助于客户/技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高的能力。
- 缺乏认证机制或配置不当:
- 在Web应用程序中权限设置不正确、不完整或甚至缺少授权检查,可能会允许攻击者访问敏感信息或未授权访问登录用户的信息。
- 敏感数据泄露:
- 大多数Web应用程序没有正确地保护敏感数据,例如认证证书等,攻击者可以窃取或修改这些数据,可能会导致敏感数据泄漏、源码泄露、目录遍历。
- 源码泄露:
- 使攻击者能够通过读取和检查逻辑缺陷,以及查看硬编码的用户名/密码对或者API密钥来发现这个应用程序的不足以及漏洞。
- 目录遍历:
- 文件名和路径公开相关的是Web中的目录显示功能,此功能在Web上默认提供。当没有默认网页时,在网站上显示Web用户列表中的文件和目录。
- 防止信息泄露应注意的事项:
- 确保Web服务器不发送显示有关后端技术类型或版本信息的响应头。
- 确保所有目录的访问权限正确。
- 避免将账户密码编写到代码中去。
- 检查每个请求是否具有适当的访问控制,防止越权访问。
- 配置Web服务器,禁止遍历目录。
- 检查每个请求是否具有适当的访问控制,防止越权访问。
- 确保Web应用程序正确处理用户输入,并且始终为所有不存在/不允许的资源返回通用响应,以便混淆攻击者。
- DDoS:
- Web应用安全防护关键点分析:
- 身份鉴别分析
- 主要采用两种或两种以上组合的鉴别方式,实行多重的身份认证,强化身份认证功能。
- Web应用程序应建立安全策略配置功能,可以建立统一的Web用户安全策略配置,也可以针对每个账户进行单独的安全策略配置
- 访问控制分析
- 对于权限进行细粒度的控制,例如通过控制模块及数据展示可以实现更加细粒度的权限控制要求,角户如果具有模块级权限,就可以看到该模块页面。
- 基于角色访问控制的基础上,为应用系统的功能菜单和操作分配安全标记,安全标记由级别和范畴集组成。
- 通信保密性分析
- Web应用安全一般要保证通信过程完整性,需要使用https协议来实现,一般Web服务器具有此类型的证书。
- SSL 要求客户端与服务器之间的所有发送的数据都被发送端加密、接收端解密,同时还应检查数据的完整性。
- 身份鉴别分析
- 身份鉴别要求:
-
- 安全建设管理
- 安全建设管理风险:
- 风险来源于因信息系统安全管理体系的不健全,以及相关控制措施的缺失而导致的系统在安全功能以及相关控制措施方面的缺陷,为系统运维埋下隐患。
- 安全建设管理目标:
- 通过建立信息系统及信息工程规划设计、软件开发、工程实施、测试验收以及交付等阶段的控制措施,确保信息系统在规划、开发、实施、测试验收等各个阶段的工作内容和工作流程全面、规范、符合项目管理要求。
- 安全建设管理风险:
- 要求与措施
- 定级备案
- 应以书面的形式说明保护对象的边界、安全保护等级及确定等级的方法和理由。
- 应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。
- 应确保定级结果经过相关部门的批准。
- 应将备案材料报主管部门和相应公安机关备案。
- 安全方案设计
- 应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施。
- 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,并形成配套文件。
- 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
- 产品采购和使用
- 应确保信息安全产品采购和使用符合国家的有关规定。
- 应确保密码产品采购和使用符合国家密码主管部门的要求。
- 应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。
- 建立产品采购相关的制度,控制产品采购的过程,不同类型产品必须满足的资质级别要求。采购产品之前预先对产品的性能和功能进行测试,确保产品不存在性能虚标,产品本身的安全防护能力可以达到信息系统相同等级保护级别的要求。
- 自行软件开发
- 应确保开发环境与实际运行环境物理分开,测试数据和测试结果受到控制。
- 应确保在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
- 应确保对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制。
- 应确保开发人员为专职人员,开发人员的开发活动受到控制、监视和审查
- 软件源代码、测试数据和测试结果作为组织的重要资产,一旦泄露会导致非常严重的后果,因此必须建立软件开发相关的管理制度,明确开发环境的安全性要求,例如开发和测试环境要和生产环境物理隔离,从生产环境抽取的测试数据必须进行必要的脱敏工作;明确开发过程安全,并注意权限职责的分离。
- 外包软件
- 应在软件交付前检测软件质量和其中可能存在的恶意代码。
- 应要求开发单位提供软件设计文档和使用指南。
- 应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
- 外包软件的开发过程不在组织的掌控之下,因此必须对软件质量和文档提出相关要求。例如要求开发商提供软件的源代码,进行代码安全审计,发现代码存在的方法误用、授权验证、数据验证、异常处理、密码加密等方面的代码问题,以及可能存在的软件后门。
- 工程实施
- 应指定或授权专门的部门或人员负责工程实施过程的管理。
- 应制订工程实施方案控制安全工程实施过程。
- 应通过第三方工程监理控制项目的实施过程。
- 测试验收
- 应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告。
- 应进行上线前的安全性测试,并出具安全测试报告。
- 一般项目可按照以下三步骤进行项目测试验收工作。
- 安全测试
- 安全测试阶段应制定测试大纲,在项目实施完成后,由组织和项目承接单位共同组织测试。对于第三级以上的应用系统整改建设,由组织委托第三方测试单位对系统进行安全性测试,并独立不受干扰地出具安全性测试报告。
- 安全试运行
- 由项目应用单位组织进入试运行阶段,应有一系列的安全措施来维护系统安全。具体工作如下:
- 监测系统的安全性能,包括事故报告;进行用户安全培训,并对培训进行总结;监视与安全有关的部件的变更或移除;监测新发现的对系统安全的攻击、系统所受威胁的变化以及其他与安全风险有关的因素;监测安全部件的备份支持,开展与系统安全有关的维护培训;评估系统改动对安全造成的影响等。
- 测试验收
- 项目是否已达到项目任务书中制定的总体安全目标和安全指标,实现全部安全功能;
- 采用技术是否符合国家、行业有关安全技术标准及规范;是否实现验收测评的安全技术指标;
- 项目建设过程中的各种文档资料是否规范、齐全
- 安全测试
- 系统交付
- 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点。
- 应对负责运行维护的技术人员进行相应的技能培训。
- 应确保提供建设过程中的文档和指导用户进行运行维护的文档。
- 系统建设完成后,项目承建方要依据项目合同的交付部分向组织进行项目交付,交付的内容至少包括:制定详细的系统交付清单,对照系统交付清单,对交付的设备、软件和文档进行清点;制定项目培训计划,对系统运维人员进行技能培训,目标是经过培训的系统运维人员能胜任日常的运维工作;提供系统建设的各类过程文档,包括但不限于:实施方案、实施记录等;提供系统运行维护的帮助和操作手册;系统交付工作由组织、项目承建方共同参与,双方签字确认后,交付物交由组织方管理。
- 等级测评
- 应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改。
- 应在发生重大变更或级别发生变化时进行等级测评。
- 应选择具有国家相关技术资质和安全资质的测评单位进行等级测评。
- 服务供应商选择
- 应确保服务供应商的选择符合国家的有关规定。
- 应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的信息安全相关义务。
- 应定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。
- 定级备案
- 安全策略和管理制度
- 安全策略和管理制度重点关注安全策略、管理制度的制定和发布、评审和修订等方面。根据系统的安全等级,依照国家相关法律法规及政策标准,制定工作的总体方针和安全策略,规范各种安全管理活动的管理制度,对管理人员或操作人员执行的日常操作建立操作规程。
- 要求与措施
- 安全策略目标
- 目标是形成机构纲领性的安全策略文件,包括确定安全方针,制定安全策略,以便结合基本要求系列标准、行业基本要求和安全保护特殊要求,构建机构对象的安全技术体系结构和安全管理体系结构。
- 管理制度目标
- 根据机构的总体安全策略和业务应用需求,制定信息安全管理制度,加强过程管理和关键信息基础设置管理的风险分析和防范,对安全管理活动中的各类管理内容建立安全管理制度,对安全管理人员或操作人员执行的日常管理操作进行规范,建立标准化、规范化、流程化的操作规程。包括安全管理办法、标准、指引和程序等。
- 安全策略的要求
- 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等。
- 管理制度的要求
- 应对安全管理活动中的各类管理内容建立安全管理制度。
- 应对要求管理人员或操作人员执行的日常管理操作建立操作规程。
- 应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。
- 安全策略目标
- 安全策略的措施
- 确定安全方针
- 信息系统的安全管理需要明确信息系统的安全管理目标和范围,应包括针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,建立相应的安全管理机构。
- 制定包括系统设施和操作等内容的系统安全目标与范围计划文件,制定相应的安全操作规程,制定信息系统的风险管理计划,为达到相应等级技术要求提供管理保证。
- 提供信息系统安全的自动监视和审计。
- 提供信息系统的认证、验收及使用授权的规定。
- 提供对信息系统进行强制安全保护的能力和设置必要的 强制性安全管理措施,确保数据信息免遭非授权的泄露和破坏,保证信息系统安全运行。
- 信息系统的安全管理需要明确信息系统的安全管理目标和范围,应包括针对涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,建立相应的安全管理机构。
- 制定总体安全策略
- 依照国家政策法规和技术及管理标准进行保护;
- 说明信息系统安全的总体目标、范围和安全框架;
- 说明对组织机构有重大意义的安全方针、原则、标准和符合性要求;
- 在接受信息系统安全监管职能部门监督、检查的前提下,依照国家政策法规和技术及管理标准自主进行保护;
- 明确划分信息系统(分系统/域)的安全保护等级(按区域分等级保护)制定目标、人员、技术、管理等策略,形成体系化的信息系统安全策略。
- 安全管理策略的制定
- 根据不同安全等级分别制定不同的信息安全管理策略。
- 体系化的安全管理策略制定:
- 应由与信息化领导小组组织制定,由该领导小组组织并提出指导思想,安全职能部门负责具体制定体系化的信息系统安全管理策略,包括总体策略和具体策略,并以文件形式表述。
- 安全管理策略的发布
- 信息系统安全管理策略应以文档形式发布,根据不同安全等级分别对应不同的安全管理策略发布要求
- 体系化的安全管理策略的发布(等保三级):安全管理策略文档应注明发布范围,并有收发文登记。
- 修订后的发布:
- 对只需进行少量修改的修订,可采取追加改动的方式发布;对需要进行较大修改的策略修订,可采取替代方式重新发布。
- 对只需进行少量修改的修订,可采取追加改动的方式发布;对需要进行较大修改的策略修订,可采取替代方式重新发布。
- 安全管理策略的评审和修订
- 应由网络安全与信息化领导小组和信息安全职能部门负责文档的评审和修订;应对安全策略和制度的有效性进行程序化、周期性评审,并保留必要的评审记录和依据;每个策略和制度文档应有相应责任人,根据明确规定的评审和修订程序对策略进行维护。
- 安全管理策略的保管
- 安全策略文档应由指定专人保管,制定借阅策略时应限定借阅范围,并经过相应级别负责人审批和登记。
- 确定安全方针
- 安全管理制度的措施
- 分类建立管理制度
- 根据安全管理活动中的各类管理内容建立相应的管理制度。
- 制定机房、主机设备、介质安全、网络设施、物理设施分类标记等系统资源安全管理规定。
- 制定应用系统安全评估、应用系统使用授权、应用系统配置管理、应用系统文档管理和相关的操作规程等方面的应用安全管理规定。
- 制定信息分类标记、涉密信息管理、文档管理、存储介质管理、信息披露与发布审批管理、第三方访问控制和相关的操作规程等方面的信息安全管理规定等在内的管理制度。
- 建立操作规程
- 根据不同的管理制度,针对相应的管理人员或操作人员执行的日常管理操作建立相应操作规程。
- 形成制度管理体系
- 按照信息系统生命周期的思想,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。包括信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等。
- 信息系统全生命周期安全管理体系
- 系统分析阶段
- 系统分析,是信息系统生命周期的第一个阶段,也是最重要的一个环节。此阶段会产生信息系统安全保障建设和使用的需求,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设的开始就应综合考虑系统的安全保障要求,使信息系统的建设和信息系统安全保障的建设同步规划、同步实施。此阶段可通过风险评估建立满足自身的业务信息安全需求,明确风险控制目标及安全管控措施,此阶段需要对风险评估过程进行管理。
- 系统开发阶段
- 系统设计开发阶段的工作是对系统分析阶段的细化、深入和具体体现。在此阶段要基于系统需求和风险、策略将信息系统安全保障作为一个整体,进行系统体系的设计和建设,以建立信息系统安全保障整体规划和全局视野,此阶段需要着重对软件开发、开发安全和外包软件开发过程进行管理。
- 系统实施阶段
- 系统实施是新系统开发工作的最后一个阶段。所谓实施指的是将上述系统设计开发阶段的结果在计算机上实现。系统实施交付阶段的主要任务是:按总体设计方案购置和安装网络系统;建立系统;程序设计与调试;整理基础数据;培训操作人员和试运行。此阶段需要着重对IT 产品采购、工程实施、系统交付和工程测试验收等进行管理。
- 系统运维阶段
- 信息系统进入运行维护阶段后,对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,是信息系统得以安全正常运行的根本保证。此阶段需要对系统漏洞、病毒防护、系统备份和恢复、系统安全、网络安全、配置变更和用户标识与口令等进行管理。
- 信息系统投入运行后并不是一成不变的,通过风险评估和等保测评发现新的安全风险,或着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,应重新进入信息系统的分析阶段。
- 系统废弃阶段
- 当信息系统的保障不能满足现有要求时,信息系统进入废弃阶段。此阶段涉及对信息、硬件和软件的废弃。此阶段的活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。
- 系统分析阶段
- 信息系统全生命周期安全管理体系
- 按照信息系统生命周期的思想,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。包括信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等。
- 管理制度的制定和发布
- 安全管理制度制定时应内容明确、术语规范、用词准确、表述简洁;要求具有很强的操作性、统一性、稳定性、时效性,覆盖物理、网络、主机系统、数据、应用和管理等信息安全的各个层面,通过正式、有效的方式发布到相关人员,并进行版本控制。
- 安全管理制度的制定及发布,应有明确规定的程序,不同安全等级应分别对应不同的制度和发布要求。
- 体系化的安全管理制度的发布应由信息安全职能部门负责制定信息系统安全管理制度,并以文档形式表述,经与信息化领导小组讨论通过,由与信息化领导小组负责人审批发布,应注明发布范围并有收发文登记。
- 信息安全策略和管理制度制度发布后,应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
- 管理制度的评审和修订
- 管理制度的评审和修订应由分管信息安全的负责人和信息安全职能部门负责文档的评审和修订;应定期或阶段性审查管理制度存在的缺陷,并在发生重大安全事故、出现新的漏洞以及机构或技术基础结构发生变更时,及时进行相应的评审和修订。
- 对涉密的信息安全策略、规章制度和相关的操作规程文档的评审和修订应在相应范围内进行。
- 应对安全策略和制度的有效性及时进行专项评审,并保留必要的评审记录和依据。
- 管理制度的保管
- 对管理制度文档及操作规程文档,应指定专人保管;制定借阅策略和制度文档,以及相关的操作规程文档,应限定借阅范围,并经过相应级别负责人审批和登记。
- 分类建立管理制度
- 安全管理机构和人员
- 机构和人员管理目标
- 通过建立健全安全管理机构和人员管理措施,如岗位设置、人员配备、授权审批、安全意识教育和培训等,可进一步明确责任边界、落实工作职责,能有效对安全管理和运维人员进行综合管理评价,最终构建安全管理体系,确保信息系统安全稳定运行。
- 机构和人员管理目标
- 要求与措施
- 岗位设置要求
- 应成立网络安全和信息化工作领导小组,统筹推进或组织本单位的信息化工作,并作为单位信息化建设和管理的决策机构。
- 应设立系统管理员、网络管理员、安全管理员等岗位,并定义部门及各个工作岗位的职责。
- 岗位设置需要考虑的元素包括:
- 职责分离、工作职责和岗位轮换。
- 职责分离:
- 是指把关键的、重要的和敏感的工作任务分配给若干的管理员或高级执行者,阻止任何一个人具备破坏或削弱重要安全机制的能力,可以将职责分离视为对管理员的最小特权原则的应用。
- 工作职责:
- 是要求工作人员在常规的基础上执行的特定工作任务。根据工作职责,工作人员需要访问各种不同的对象、资源和服务。在安全的网络中,用户必须被授予访问与其工作任务有关的权限。
- 岗位轮换:
- 岗位轮换是一种简单的方法,通过让工作人员在不同的工作岗位间轮换职位来提高安全性。一、通过岗位轮换提供一种知识冗余类型;二、岗位轮换可以减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险;三、岗位轮换也提供了一种同级审计形式,能够防止共谋等风险。
- 人员配备要求
- 应配备一定数量的系统管理员、网络管理员、安全管理员等。
- 应配备专职安全管理员,不可兼任。
- 网络安全管理员:
- ①组织建立、实施和维护网络安全策略、标准、规章制度和各项操作流程。
- ②对安全产品购置提供建议,跟踪安全产品投产后的使用情况。
- ③指导并监督系统管理员及普通用户与安全相关的工作。
- ④组织信息系统的安全风险评估工作。
- ⑤并参与安全事故调查。
- 主机系统管理员:
- ①主机的安全配置和日常审计、系统应用软件的安装,从系统层面实现对用户与资源的访问控制。
- ②主机设备的日常管理与维护,保持系统处于良好的运行状态。
- ③为安全审计员提供完整、准确的主机系统运行活动的日志记录。④在主机系统异常或发生故障时,详细记载发生异常时的现象、时间和处理方式,并及时上报。
- ⑤编制主机设备的维修、报损、报废计划,报主管领导审核。
- 系统平台管理员:
- ①对数据库系统、中间件进行安全配置,修补已发现的漏洞。
- ②系统的用户账号管理,对系统中所有的用户进行登记备案;口令的安全性进行管理;对登录用户进行监测和分析。
- ③负责业务数据及系统其他重要数据的备份与备份数据管理工作。④为安全审计员提供完整、准确的数据库系统、中间件运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报。
- ⑤发生安全问题导致数据或应用程序损坏或丢失时,进行数据或应用程序的恢复。
- 安全审计员:
- ①负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报。。
- ②负责对网络安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证。
- 授权和审批
- 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。其基本原则如下:
- 根据单位及上级部门的管理变化情况适时调整授权的原则,兼顾相对稳定和持续化。
- 坚持授权与授责相结合、授权与监督相结合、有权必有责、有责要担当、失责必追究的原则。
- 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。其基本原则如下:
- 审核与检查
- 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况。
- 应定期进行全面安全检查,包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
- 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
- 人员录用
- 对被录用人员的身份、背景、专业资格和资质等进行审查,对其所具有的技术、技能进行考核。
- 与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。
- 人员离岗
- 应及时终止或修改离岗人员的所有访问权限、密码等,取回各种身份证件、门禁、密钥等以及单位提供的软硬件设备。
- 应办理严格的调离交接手续,并承诺调离后的保密义务后方可离开。
- 安全意识教育和培训
- 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。
- 应针对不同岗位制定不同的培训计划,对网络安全基础知识、岗位操作规程等进行培训。
- 网信办要负责制定安全意识教育和培训计划,开展安全管理制度、保密教育、技术防护措施等教育培训。单位全体工作人员每年应接受不少于两次的保密教育,关键岗位(部门)涉密人员,每年度必须接受不少于两次的保密岗位技能培训。
- 外部人员访问管理
- 外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案。
- 应确保在外部人员接入网络访问系统前先提出书面申请,批准后由专人开设账号、分配权限,并登记备案。
- 外部人员离场后应及时清除其所有的访问权限。
- 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。
- 岗位设置要求
- 安全运维管理
- 安全运维管理风险
- 信息系统能否正常运行直接关系到业务或生产是否能够正常进行。但管理人员经常面临的问题是:网络变慢、设备发生故障、应用系统运行效率很低。IT系统的任何故障如果没有及时得到妥善处理都将会产生很大的影响,甚至会造成巨大的经济损失。
- 安全运维管理目标
- 通过采用相关的方法、手段、技术、制度、流程和文档等,对系统运行环境、业务系统以及运维人员进行综合管理,构建安全运行维护体系。
- 通过采用相关的方法、手段、技术、制度、流程和文档等,对系统运行环境、业务系统以及运维人员进行综合管理,构建安全运行维护体系。
- 安全运维管理风险
- 要求与措施
- 环境管理
- 指定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。
- 建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理做出规定。
- 不在重要区域接待来访人员,接待时桌面上没有包含敏感信息的纸档文件、移动介质等。
- 确定机房的第一责任人,所有外来人员进入机房必须填写《机房进出申请表》,且经过第一责任人或授权人书面审批后方可进入。
- 审批后的机房进入人员由当日的值班人员陪同,并登记《机房出入管理登记簿》,记录出入机房时间、人员、操作内容和陪同人员。
- 内部人员无须审批可直接进入机房,但须使用自己的门禁卡刷卡,严禁借用别人门禁卡进入。
- 定期(至少每季度一次)检查机房消防设备器材,并做好检查记录。
- 机房内禁止随意丢弃存储介质和有关业务保密数据资料,对废弃存储介质和业务保密资料要及时销毁,不得作为普通垃圾处理。严禁机房内的设备、存储介质、资料、工具等私自出借或带出。
- 值班人员须按照事先确定的巡检频率定时巡检机房(每日至少一次),并填写《机房巡检记录单》。
- 资产管理
- 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
- 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
- 应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。
- 组织应根据国家法律法规、行业要求、自身业务目标等识别信息生命周期中相关的重要资产,并根据这些资产形成一份统一的信息资产清单。
- 应建立资产安全管理制度,使拥有资产访问权限的人员意识到他们使用信息处理设施时是需要按照制度流程使用的,并且要对因使用不当造成的后果负责。
- 对收集的资产进行分级,按照信息资产的公开和敏感程度,以及信息资产对系统和组织的重要性,对不同级别的资产标识不同的保护等级。
- 介质管理
- 应确保介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境专人管理,并根据存档介质的目录清单定期盘点。
- 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。
- 制定信息资产存储介质的管理规程,防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断,对介质进行管理控制和物理的保护。
- 介质标识应贴在容易看到的地方,此标签必须在介质的表面上出现。
- 介质必须全面考虑介质分类标签的需求,如磁带、磁盘及其他介质等应有不同的分类标签。
- 应根据所承载的数据和软件的重要程度对其加贴标识并进行分类,存储在由专人管理的介质库或档案室中,防止被盗、被毁以及信息的非法泄漏,必要时应加密存储。
- 介质在传递过程中,须采用一定的防篡改方式,防止未授权的访问。如介质中含有敏感信息,在传递时必须放在标记的密封盒中,对介质中的信息进行加密,并亲自交付或安排专门的人员负责运送。
- 敏感信息被传递到外部时,内部的标签需要明确标记为敏感信息,外盒或封套不标记内部信息字样,由介质保管者确定是否满足包装要求,并在介质授权人批准授权后方可带出。发送给外部的介质必须得到正确的追踪。
- 介质使用者应根据工作范围划分使用级别,严格控制使用权,严禁非法、越权使用。
- 必须对所有介质的出库和入库及其存储记录进行控制,如要从库中移出,由申请人或申请部门填写《介质进出记录表》。对标记为限制类的介质需经过领导和该介质所属业务部门领导签字同意,对标记为涉密的介质需由高级管理层以上负责人签字同意,方可移出。该记录表至少保存1年以上,以备库存管理和审计。
- 所有含有敏感信息的介质必须做好保密工作,禁止任何人擅自带离;如更换或维修属于合作方保修范围内的损坏介质,需要和合作方签订保密协议,以防止泄漏其中的敏感信息。
- 访问介质必须要有授权,并在介质管理人员处进行登记,填写《介质使用授权表》,使用者应对介质的物理实体和数据内容负责,使用后应及时交还介质管理员,并进行登记。
- 存储介质应保存在安全的物理环境下,每年组织专门人员对物理环境的安全性进行评估,以确保存储环境的安全性。
- 涉及业务信息、系统敏感信息的可移动介质应当存放在带锁的屏蔽文件柜中,对于重要的数据信息还需要做到异地存放。
- 不能正常记录数据的介质,必须由使用者提出报废介质申请,由安全管理员进行测试后并提出处理意见,报部门负责人批准后方可进行销毁。
- 超过数据保存期的介质,必须经过特殊清除处理后,才能视为空白介质。
- 对于需要送出维修或销毁的介质,应首先处理介质中的数据,防止信息泄漏。
- 设备维护管理
- 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理。
- 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。
- 应确保信息处理设备必须经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据必须加密。
- 含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,确保该设备上的敏感数据和授权软件无法被恢复重用。
- 漏洞和风险管理
- 应采取必要的措施识别安全和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
- 应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。
- 管理是风险管理的过程,风险评估是风险管理的基础。风险管理是指导和控制组织风险的过程。风险管理遵循管理的一般循环模式—计划PDCA的持续改进模式。ISO27001标准要求企业设计、实施、维护信息安全管理体系都要依据PDCA循环模式。
- 网络和系统安全管理
- 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。
- 应指定专门的部门或人员进行账号管理,对申请、建立、删除账号等进行控制。
- 应建立网络和系统安全管理制度,对安全策略、账号管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面做出规定。
- 应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等。
- 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容。
- 应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。
- 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据。
- 应严格控制远程的开通,经过审批后才可开通远程接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。
- 应保证所有与外部的连接均得到授权和批准,应定期检查违反规定无线上网及其他违反网络安全策略的行为。
- 恶意代码防范
- 应提高所有用户的防恶意代码意识,告知对外来或存储设备接入系统前进行恶意代码检查等。
- 应对恶意防范要求做出规定,包括防恶意软件的授权使用、恶意库升级、恶意的定期查杀等。
- 应定期验证防范恶意代码攻击的技术措施的有效性。
- 配置管理
- 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。
- 应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库。
- 检查当前运行的网络配置数据与网络现状是否一致,如不一致应及时更新。网络发生变化时,及时更新网络配置数据,并做相应记录。实现设备的最小服务配置,网络配置数据应及时备份。重要的网络设备策略调整,如安全策略调整、服务开启、服务关闭、网络系统外联、连接外部系统等变更操作必须填写《网络维护审批表》,经信息中心负责人同意后方可调整。
- 密码管理
- 建立密码密钥管理制度,特别标明商用密码、密钥产品及密码算法必须满足国家密码主管部门的相关要求。
- 变更管理
- 确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。
- 应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程。
- 当需求发生变化,需对软件包进行修改/变更时,首先应和第三方企业/软件供应商取得联系并获得帮助,了解所需变更的可能性和潜在的风险,如项目进度、成本以及安全性等方面的风险。
- 实施系统变更前,应先通过系统变更测试,并提交系统变更申请,由工作小组审批后实施变更。
- 备份与恢复管理
- 应识别需要定期备份的重要业务信息、系统数据及软件系统等。
- 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
- 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
- 数据备份范围包括重要系统的操作系统、系统配置文件、数据文件和数据库。备份方式有完全备份、增量备份、差量备份等。
- 完全备份:
- 完全备份是执行全部数据的备份操作,这种备份方式的优点是可以在灾难发生后迅速恢复丢失的数据,但缺点是对整个系统进行完全备份会导致存在大量的冗余数据,如磁盘空间利用率低,备份所需时间较长等。
- 增量备份:
- 增量备份只会备份较上一次备份改变的数据,较完全备份方式可以大大减少备份空间,缩短备份时间。但在灾难发生时,增量备份的数据文件恢复起来会比较麻烦,也降低了备份的可靠性。在这种备份方式下,每次备份的数据文件都具有关联性,其中一部分数据出现问题会导致整个备份不可用。
- 差量备份:
- 备份上一次完全备份后修改和增加的数据,系统无需每天做完全备份,大大减少了备份空间,也缩短了备份时间。
- 完全备份:
- 安全事件处置
- 应报告所发现的安全弱点和可疑事件。
- 应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。
- 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。
- 对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序。
- 应急预案管理
- 应规定统一的应急预案框架,并在此框架下制定不同事件的应急预案,包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。
- 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。
- 应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
- 应定期对原有的应急预案重新评估,修订完善。
- 按照国家和行业标准建立总体预案,明确故障分类、事件级别、预案的启动和终止、事件的上报等,按照风险评估所发现的风险建立分项预案,如事件处置预案、设备故障事件处置预案、信息内容安全事件处置预案等,明确针对不同事件的办法,并定期进行演练和总结。
- 网络安全事件是指由于自然灾害、人为原因、软硬件缺陷或故障等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、门户网站安全事件、设备设施故障、灾害性事件和其他事件。
- 事件分类
- 有害程序事件
- 计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合程序攻击、网页内嵌恶意代码事件等。
- 网络攻击事件
- 拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼事件、网络干扰事件。
- 信息破坏事件
- 信息篡改、假冒、泄露、窃取、丢失和其他信息破坏事件。
- 网站安全事件
- 网站访问异常,或页面异常,出现传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害社会稳定和公众利益的事件。
- 设备设施故障
- 分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
- 灾害事件
- 由自然灾害等其他突发事件导致的网络安全事件。
- 其他事件
- 不能归为以上分类的网络安全事件。
- 有害程序事件
- 事件分级
- 特别重大事件Ⅰ级
- 由于自然灾害事故(水灾、地震、……)、人为原因(如人为火灾、恐袭、战争等)、软硬件缺陷或故障等,导致xxx网络服务及业务系统发生灾难性破坏;
- 信息系统中的数据被篡改、窃取,导致数据的完整性、保密性遭到破坏,或业务系统出现反动、色情、赌博、毒品、谣言等违法内容,对国家安全和社会稳定构成特别严重影响。
- 重大事件Ⅱ级
- 由于自然灾害、人为原因、软硬件缺陷或故障等导致如下问题,且经评估,预计8小时内不可恢复的;
- 网站系统无法向互联网公众提供正常服务;
- 除网站外,同时有4个及以上重要业务系统无法正常提供服务。
- 信息系统中的数据被篡改、窃取,导致数据的完整性、保密性遭到破坏,对 xxx形象和xxx网络稳定造成严重影响。
- 由于自然灾害、人为原因、软硬件缺陷或故障等导致如下问题,且经评估,预计8小时内不可恢复的;
- 较大事件Ⅲ级
- 由于自然灾害、人为原因、软硬件缺陷或故障等导致如下问题,且经评估,预计1小时以上8小时以内可以恢复的;
- 网站系统无法向互联网公众提供正常服务;
- 除网站外,同时有2个及以上4个以下重要业务系统无法正常提供服务。
- 信息系统中的数据被篡改、窃取,导致数据的完整性、保密性遭到破坏,对 xxx形象和xxx网络稳定造成影响。
- 由于自然灾害、人为原因、软硬件缺陷或故障等导致如下问题,且经评估,预计1小时以上8小时以内可以恢复的;
- 特别重大事件Ⅰ级
- 环境管理
03-02
5998
5998
03-23
2239
2239
02-26
2776
2776
“相关推荐”对你有帮助么?
-
非常没帮助 -
没帮助 -
一般 -
有帮助 -
非常有帮助
提交
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
