Date: November 9, 2022
Status: In progress
Tags: 安全咨询, 等级保护2.0
保障等级保护对象设备的物理安全,防止设备被破坏、被盗用,保障物理环境条件,确保设备的正常运行
安全物理环境对物理机房提出了安全控制要求,主要对象为物理环境、物理设备、物理设施等,涉及的安全控制点包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防潮、防静电、温湿度控制、电力供应、电磁防护
等级保护对象所使用的硬件设备(网络设备、安全设备、服务器、存储设备、供电、通信线缆)
为机房选择安全的物理位置和环境是等级保护对象物理安全的前提和基础
机房场地应该选择在具有防震、抗风和防雨能力的建筑内
机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施
防止未授权人员进入机房,需要安装电子门禁系统控制人员进出机房的行为
机房入口应该配置电子门禁系统,控制、鉴别和记录进入的人员
防止盗窃和故意破坏等行为,需要对机房采取设备固定、安装防盗报警系统等有效措施
应将设备或主要的部件进行固定,并设置不容易去除的标识
通信线缆需要设置在隐蔽处
应该设置机房报警系统或设置有专人值守的视频监控系统
应将各类机柜设施和设备等通过接地系统安全接地
采取措施防止感应雷,例如设置防雷保安器或过压保护装置等
机房内应设置自动消防系统,在发生火灾时自动检测, 报警和灭火,例如自动气体消防系统、自动喷淋消防系统
机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料
对机房进行划区域管理设置隔离防火措施,防止火灾发生后火势蔓延
采取措施防止雨水通过机房窗户、屋顶、墙壁
防止机房的水蒸气结露和地下积水的转移与渗透
安装对水敏感的检测仪表或元件,对机房进行防水检测和报警
为了防止静电造成损害,需要对机房安装防静电地板、配置防静电装置等有效措施
应采用防静电地板或地面并采用接地防静电装置
采取措施防止静电的产生,例如采用静电消除器,工作人员可以佩戴防静电手环等,消除静电
防止温湿度变化造成的损害,需要安装温湿度自动调节装置
设置温湿度自动调节装置,是的机房的湿度变化在设备运行所允许的范围内
防止电力中断或电流变化造成的损害,需要采用铺设冗余或并行的电力电缆线路、稳压装置、防猪脑过载装置和备用供电装置等有效措施
在机房供电线路上配置稳压器和电压防护装置
提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求
设置冗余或并行的电力电缆线路为计算机系统供电
防止电磁辐射和干扰造成的损害,需要采取电源线和通信电缆隔离铺设、安装电磁屏蔽等有效措施
电源线和通信线缆应该隔离铺设,避免互相干扰
针对网络架构和通信传输提出了安全控制要求,主要对象为广域网、城域网、局域网的通信传输及架构等、涉及的安全控制点包括网络架构、通信传输、可信验证
网络架构是业务运行的重要部分,网络的资源分布和架构合理了才能在上面实现各种技术功能
保证网络设备的业务处理能力满足业务高峰期需要(设备性能冗余)
核查设备在一段时间内的性能峰值,结合设备自身的承载性能,分析设备是否能够满足业务处理的需求
应该保证网络各个部分的带宽满足业务高峰期的需要(网速分配)
测试验证网络各个部分的带宽是否满足业务高峰期需要
在各个网络关键节点处是不是配置了流量监控系统,检测网络中的实时流量?
是否部署了流量控制设备,在关键节点上部署了Qos策略
节点设备配置了流量监管和流量整形策略
各通讯链路的高峰期流量均不高于其带宽的70%
划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址
show vlan brief
应避免将重要网络区域部署在边界处,重要网络区域和其他网络区域之间应该采取可靠的技术隔离策略
应提供通信线路、关键网络设备和关键计算设备等硬件冗余,保证系统的可用性
为了防止数据被篡改或泄漏,应确保在网络上传输的数据等保密性、完整性、可用性
我们主要针对数据是否具有完整性校验机制、是否采取加密等安全措施
采用校验技术或密码技术保证通信过程中数据的完整性(MD5 Hash校验)
应该采用密码技术保证通信过程中数据的保密性
传统的通信设备采用缓存或其他形式来保存固件,容易受到攻击
如果是**基于硬件可信根**,可在加电后基于可信根实现预装软件(包括系统引导程序、系统程序、相关应用程序和重要配置参数)的完整性验证或检测,确保无篡改再执行,有篡改就报警,保证设备启动过程的安全
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
根据不同的安全需求对系统进行切割、对网络进行划分,形成不同系统的网络边界,形成不同的网络边界或不同等级保护对象的边界
首先考虑网络边界设备端口、链路的可靠性、通过有效的技术措施保证边界物理端口可信,防止非授权的网络链接接入
其次通过有效的技术措施对外部设备的网络接入行为以及内部机器的外联行为进行管控,减少外部威胁的引入
还应该对无线网络的使用进行管控,防止无线网络的滥用而引入安全威胁
保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信
能够对非授权设备私自链到内部网络的行为进行检查或限制
应能够对内部用户非授权连接到外部网络的行为进行检查或限制
限制WIFI使用,保证WI-FI通过受控边界接入内网
信道1、6和11 可以做到互不重叠 互不影响
首先让我们来讨论一下2.4GHz的信道。因为从2014年开始,所有无线路由器都仍然在使用2.4GHz的频段。虽然802.11ac在去年首次亮相,开始搭理推动5GHz频段的使用,但是相信许多用户不会立即更换路由器,再加上厂商们还有许多库存,因此2.4GHz频段仍然还会在市面上大量的存在一段时间。
所有Wi-Fi信号,包括80.211n(a,b,g,n)之间使用的都是2400到2500MHz的频率。而这100MHz的差距要平分给14个不同的信道,因此每个信道之间的差距只有微小的20MHz。而正如我们所设置的那样,14个信道每个20MHz的差别,总和已经超过了100MHz,因此在2.4GHz的频段中至少会有两个(通常是四个)信道处于重合状态。我们可以想象,如果信道重叠的话并不是一件好事,糟糕的是它会直接影响我们无线网络的吞吐量。
幸运的是,信道1、6和11彼此之间间隔的距离足够远,因此他们三个也成为了不会互相重叠和干扰的三个最常用的信道。因此我们可以在无线路由的设置中将信道设置在1、6和11中的某一个。而对于我们普通的家庭用户来说,我们建议将信道设成1或11,这样可以最大限度的避免和别家的路由器发生信号重叠。因为大多数人并不会修改这个设置而保持默认的6信道。
当然802.11b/g网络标准中只提供了三个不互相重叠的信道,这些可使用的非重叠的信道数量有点偏少,但对于一般的家庭或SOHO一族无线网络来说,已经足够了。如果你的办公区域需要多于三个以上的无线网络,建议你使用支持802.11a标准的无线设备,它提供更多的非重叠信道。
https://developer.aliyun.com/article/45745
通过技术措施防止对网络资源进行未经授权的访问,基础网络层,访问控制住要通过在网络边界及各个网络区域间部署访问控制设备实现
在访问控制设备中:应启用有效的访问控制策略,并采用白名单机制,仅授权用户能访问网络资源;根据业务需要限制地址和端口;根据业务会话的状态信息,为进出网络的数据流提供明确的允许访问拒绝的能力;对进出网络数据流所包含的内容和协议进行管控
网络边界和区域之间根据访问控制策略设置访问控制规则,默认情况下除了允许通信外,受控接口拒绝所有的通信
show running-config
删除多余或无效的访问控制规则,优化访问控制列表,保证访问控制规则数量最小化
对源地址、目标地址、源端口、目标端口和协议进行检查,以允许/拒绝数据包进出
根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力
防火墙可以使用ACL列表,还能够追踪会话状态结合数据包前后的关系,决定是否允许该数据包通过,通过连接的状态进行更快更安全的过滤
对进出网络的数据流实现基于应用协议和应用内容的访问控制
使用NGFW或相关安全组件实现基于应用协议和内容的访问控制(即时聊天工具、视频软件、Web服务、FTP服务)
要维护网络安全必须进行主动监视,网络入侵检测监视在网段内的所有数据包,对每个数据包与可疑数据包进行分析,如果与内部数据包库吻合,入侵检测系统会记录事件的各种信息并发出警报
在关键网络节点处检测、防止或限制从外部发起的网络攻击行为
入侵检测包含被动检测和主动检测,被动检测是在攻击之后检查日志信息,对攻击进行复查和在现,主动检测是查找已知的攻击模式或命令并组织他们的执行
完整的入侵检测需要实现特征分析功能,能够发现潜在的攻击行为以及各种主流的攻击行为,例如端口扫描、强力攻击、IP碎片攻击和网络蠕虫攻击
目前的入侵检测防范主要通过在网络边界部署有入侵防范功能的安全设备,例如抗APT攻击系统、入侵检测系统、入侵防范模块的多功能安全网关(UTM)
在关键网络节点处检测、防止或限制从内部发起的网络攻击行为
同上
应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析
部署网络回溯系统或抗APT攻击系统,对新型网络攻击行为的检测和分析
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件的时候进行报警
在遭到攻击时候能够及时准确的记录攻击行为并进行应急响应,讲攻击的全面信息记录在日志中。通过日志可以对攻击行为进行审计和分析。在发生严重入侵事件时,向有关人员进行报警,短信或邮件。
恶意代码是指有恶意目的的可执行程序,病毒、木马和蠕虫的泛滥是防范恶意代码的破坏更加重要,恶意代码主要通过网页、电子邮件等网络载体传播。
垃圾邮件是指用户没提出要求或同意接收的电子邮件,垃圾邮件可以使得邮件服务不可用,也可以用来传播恶意代码、网络诈骗、非法信息等,干扰业务的正常运行
在网络关键节点处对恶意代码进行检测和清除,维护恶意代码防护机制的升级和更新
防恶意代码的产品主要包括防病毒网关、包含防病毒模块的安全网关等,至少具备对恶意代码的分析能力和检查能力;对恶意代码的清楚或阻断能力;在发现恶意代码后记录日志和进行审计的能力;特征库的升级能力;检测系统的更新能力
在网络关键节点处对垃圾邮件进行检测和维护,维护垃圾邮件防护机制的升级和更新
部署防垃圾邮件设备,如透明的防垃圾邮件网关、基于转发的防垃圾邮件系统、安装基于邮件服务器的防垃圾邮件软件或与邮件服务器一体的防范垃圾邮件的邮件服务器等
安全审计不是日志功能等简单改进,也不等同于入侵检测
网络安全审计等重点包括对网络流量对检测、对异常流量对识别和报警、对网络设备运行情况对监督等,对日志记录进行分析形成报表,并在一定情况下报警或阻断
同时能够进行网络安全审计等管理,集中审计是未来安全审计发展的趋势
应在网络边界、重要节点进行安全审计,覆盖到每个用户,对重要用户行为和安全事件进行审计
审计记录应该包括日期、时间、事件类型、事件是否成功和其他与审计有关的信息
审计内容是否全面将直接影响审计的有效性
应对审计记录进行保护、定期备份、避免受到未预期的删除、修改或覆盖等
审计记录能够帮助管理人员及时的发现网络运行过程中发生的状况的网络攻击行为,所以需要对日志进行保护,设置专门的日志服务器来保存接收设备发出的信息,非授权用户无权删除本地和日志服务器上的审计记录
对远程访问的用户行为和访问外网的用户行为等进行单独行为审计和数据分析
远程访问用户应在相关设备上提供用户认证功能,通过配置用户、用户组并结合访问控制规则,允许认证成功的用户访问受控的资源
对内部用户访问互联网的行为进行审计和分析
边界内部称为安全计算环境,通过局域网将各种设备节点进行连接,构成复杂的计算环境
构成节点的设备包括网络设备、安全设备、服务器设备、终端设备、应用系统和其他设备等,涉及的对象包括各类操作系统、数据库系统、中间件系统以及其他各类系统软件、应用软件和数据对象等
安全计算环境对内部提出了安全控制系统,控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护
路由器是沟通外部网络和内部网络的桥梁,是整个系统对外安全防护的前沿岗哨
身份鉴别
为了确保路由器的安全,必须对路由器的每个运维用户和相连的路由器进行有效的身份标识和鉴别。通过鉴别后才会赋予相应的权限,在规定的权限范围内操作
对登陆的用户的身份标识和鉴别,身份标识具有唯一性,鉴别信息需要具有复杂度要求并定期更换
口令是用来防止非授权访问的常用手段,最好的口令存储方法是保存在TACACS+或RADIUS服务器上。
一台路由器中不允许配置用户名相同的用户,每名管理员设置独立的账户。
show run
应具有登陆失败处理功能,应配置并启用结束会话、限制非法登陆次数、登陆连接超时自动退出等措施
进行远程管理时,应采取措施防止鉴别信息在网络传输过程中被窃听
在对网络设备进行远程管理时,为避免口令在传输过程中被窃取,不应使用明文传输的Telnet服务,应该采用SSH、HTTPS加密协议等进行交互式管理
采取口令技术、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户身份进行鉴别,且其中一种技术至少应使用密码技术来实现
访问控制
路由器中实施访问控制的目的是保证系统资源受控合法使用,用户根据自己的权限来访问系统资源,不得越权访问
应对登陆的账户分配账户和权限
管理人员具有与其职位相应的账户和权限
应重命名或删除默认账户、修改默认账户的默认口令
删除停用的多余的、过期的账户,避免共享账户的存在
应授权管理用户所需的最小权限,实现管理用户的权限分离
由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
此项不适用,此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人员
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
此项不适用,此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人员
应对主要主体和客体设置安全标记,并控制主体对由安全标记信息资源的访问
管理员按照资源的优先级,为资源进行安全标记的设定
安全审计
等保对象中对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析
确保用户可以对自己的行为负责
启用安全审计功能,审计覆盖到每个用户,对重要用户行为和重要安全事件进行审计
审计记录应包括事件的日期、时间、用户、事件类型、事件是否成功以及其他与审计有关的信息
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
应对审计进程进行保护,防止未经授权的中断
保护审计进程,非审计员账户无法中断进程
入侵防范
网络控制访问是网络安全的大门警卫,负责对进出的数据进行规则匹配,但是有一定的局限性,只能对进出的数据进行分析,对网络内部发生的事件无能为力
如果设备自身存在多余的组件和应用程序、默认共享、高危端口、安全漏洞等,就会给病毒、黑客入侵的机会
遵循最小安装的原则,只安装需要的组件和应用程序
略(只适用服务器)
关闭不需要的系统服务,默认共享和高危端口
通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
为了保证安全,需要通过虚拟终端访问网络设备的登陆地址进行限制来避免未授权访问,由于虚拟终端的数量有限,而且使用完就不能再建立网络连接,所以设备有可能被用来进行拒绝服务攻击
提供数据有效性检验功能,保证通过人机接口通过通信接口输入的内容符合系统设定要求
验证系统对数据的有效性进行验证,防止个别用户输入畸形的数据导致系统出错(SQL注入等)
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
能够检测到对重要节点进行入侵的行为,并在发生严重入侵时进行报警
主动监视,通常在网络边界、核心等重要节点处部署IDS、IPS等系统,或在防火墙、UTM处启用入侵检测功能
可信验证
略
是组成网络架构的主要设备,交换机安全防护的优劣将直接影响整个网络的安全
身份鉴别
访问控制
安全审计
入侵防范
可信验证
防火墙是用来进行网络访问控制的主要手段
身份鉴别
对防火墙的每个运维用户或与之相连的防火墙进行有效的标识与鉴别,只有通过鉴别的用户,才能被赋予相应的权限,进入防火墙,在规定的权限范围内工作
对登陆的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
只有经过授权的合法用户才能访问防火墙,一般来说登录防火墙的方式包括Web端、控制台端口以命令行登录或者以SSH登录
不允许配置用户名重名,每个管理员有自己的账户
具有登录失败处理功能,应配置并启用结束对话,限制非法登陆次数和当登陆连接超时自动退出等措施
远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听
采用口令、密码技术、生物技术等两种或两种以上组合的鉴定技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
访问控制
对登陆的用户分配账户和权限
应该重命名或删除默认账户,修改默认账户的默认口令
及时删除或停用多余的、过期的账户,避免共享账户的存在
授权管理用户所需的最小权限,实现管理用户的权限分离
安全审计
入侵防范
可信验证
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试设置一个puppet节点,但rubygems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由rubygems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby
我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
设置:狂欢ruby1.9.2高线(1.6.13)描述:我已经相当习惯在其他一些项目中使用highline,但已经有几个月没有使用它了。现在,在Ruby1.9.2上全新安装时,它似乎不允许在同一行回答提示。所以以前我会看到类似的东西:require"highline/import"ask"Whatisyourfavoritecolor?"并得到:Whatisyourfavoritecolor?|现在我看到类似的东西:Whatisyourfavoritecolor?|竖线(|)符号是我的终端光标。知道为什么会发生这种变化吗? 最佳答案
我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby1.9+ 关于ruby-主要:Objectwhenrun
这里是Ruby新手。完成一些练习后碰壁了。练习:计算一系列成绩的字母等级创建一个方法get_grade来接受测试分数数组。数组中的每个分数应介于0和100之间,其中100是最大分数。计算平均分并将字母等级作为字符串返回,即“A”、“B”、“C”、“D”、“E”或“F”。我一直返回错误:avg.rb:1:syntaxerror,unexpectedtLBRACK,expecting')'defget_grade([100,90,80])^avg.rb:1:syntaxerror,unexpected')',expecting$end这是我目前所拥有的。我想坚持使用下面的方法或.join,
我有一个具有一些属性的模型:attr1、attr2和attr3。我需要在不执行回调和验证的情况下更新此属性。我找到了update_column方法,但我想同时更新三个属性。我需要这样的东西:update_columns({attr1:val1,attr2:val2,attr3:val3})代替update_column(attr1,val1)update_column(attr2,val2)update_column(attr3,val3) 最佳答案 您可以使用update_columns(attr1:val1,attr2:val2