等保簡介
等保是什么
等保為“網(wǎng)絡(luò)安全等級保護(hù)”的簡稱,是對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護(hù)的一種工作��。
于2016年11月7日發(fā)布�,自2017年6月1日起施行的《網(wǎng)絡(luò)安全法》規(guī)定:等級保護(hù)���,是我國信息安全保障的基本制度。這句話是對等保最根本的定義�����。
根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定�����,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按安全等級保護(hù)制度的要求�����,履行“保障網(wǎng)絡(luò)免受干擾�、破壞或者未經(jīng)授權(quán)的訪問����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”等安全保護(hù)義務(wù)�。
2019年5月13號,國家市場監(jiān)督管理總局召開新聞發(fā)布會,正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)信息安全等級保護(hù)基本要求》國家標(biāo)準(zhǔn),并定于2019年12月1日正式實施,標(biāo)志著“等保2.0”時代的到來���。
保護(hù)對象包括基礎(chǔ)信息網(wǎng)絡(luò)�����、信息系統(tǒng)�����、云計算平臺�、大數(shù)據(jù)平臺、移動互聯(lián)�����、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等����。
保護(hù)等級越高,網(wǎng)絡(luò)越安全���。等保2.0標(biāo)準(zhǔn)實際包含了多個文件�,其中最重要的文件是《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》��。
等保等級
《信息安全等級保護(hù)管理辦法》規(guī)定����,國家信息安全等級保護(hù)堅持自主定級�、自主保護(hù)的原則����。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)��、社會生活中的重要程度��,信息系統(tǒng)遭到破壞后對國家安全�����、社會秩序���、公共利益以及公民����、法人和其他組織的合法權(quán)益的危害程度等因素確定��。
信息系統(tǒng)的安全保護(hù)等級分為以下五級����,一至五級等級逐級增高:
第一級��,用戶自主保護(hù)級,信息系統(tǒng)受到破壞后��,會對公民��、法人和其他組織的合法權(quán)益造成損害���,但不損害國家安全�����、社會秩序和公共利益��。第一級信息系統(tǒng)運(yùn)營�、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)���。
第二級���,系統(tǒng)審計保護(hù)級,信息系統(tǒng)受到破壞后��,會對公民���、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害�,或者對社會秩序和公共利益造成損害,但不損害國家安全���。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行指導(dǎo)�。
第三級���,安全標(biāo)記保護(hù)級���,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害����,或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行監(jiān)督��、檢查����。
第四級,結(jié)構(gòu)化保護(hù)級���,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害���。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督���、檢查。
第五級����,訪問驗證保護(hù)級,信息系統(tǒng)受到破壞后�,會對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行專門監(jiān)督����、檢查。
等保工作流程
等保系統(tǒng)定級:系統(tǒng)檢測�����;自主定級�;新系統(tǒng)建設(shè)同時同步確定等級
等級評審:專家評審;定級報告�;市級黨政機(jī)關(guān)到市信息辦備案,區(qū)縣黨政機(jī)關(guān)到區(qū)縣信息辦備案
定級備案:涉密系統(tǒng)報市和區(qū)縣國家保密工作部門�����、其他到公安機(jī)關(guān)辦理備案手續(xù)、受理單位備案審核
評估和整改建設(shè):評估和現(xiàn)狀檢測(可請評估或檢測機(jī)構(gòu))���;制定整改方案���;開展安全建設(shè)或改建,建立基礎(chǔ)安全設(shè)施以及等級保護(hù)管理制度
等級測評:開展等級測評��;三級每年至少一次�����,四級至少每半年一次
監(jiān)督檢查:監(jiān)督�����、檢查��、自查�����;整改���;違法違規(guī)情況����,依法處理
常見問題及解決方案
跨站腳本漏洞(高危)
漏洞描述
跨站腳本攻擊(Cross Site Scripting)�����,為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆��,故將跨站腳本攻擊縮寫為XSS����。惡意攻擊者往Web頁面里插入惡意Web腳本代碼(html、javascript��、css等)����,當(dāng)用戶瀏覽該頁面時,嵌入其中的Web腳本代碼會被執(zhí)行�����,從而達(dá)到惡意攻擊用戶的特殊目的���。
漏洞危害
“跨站點腳本編制”攻擊是一種隱私違例����,可讓攻擊者獲取合法用戶的憑證,并在與特定 Web 站點交互時假冒這位用戶�。可能會導(dǎo)致賬戶失竊��;數(shù)據(jù)信息被讀取�����、篡改��、添加或者刪除���;非法轉(zhuǎn)賬�;強(qiáng)制發(fā)送電子郵件�;受控向其他網(wǎng)站發(fā)起攻擊等。存儲型跨站由攻擊者輸入惡意數(shù)據(jù)保存在數(shù)據(jù)庫�,再由服務(wù)器腳本程序從數(shù)據(jù)庫中讀取數(shù)據(jù),然后顯示在公共顯示的固定頁面上����,那么所有瀏覽該頁面的用戶都會被攻擊�。該類型攻擊性非常大�,危險也非常大。
解決方案
代碼中增加過濾器��,限制以下字符script��、src�����、img�����、onerror及字符{���、}、(���、)�����、<���、>���、=、,���、.�����、;�、:��、\���、"���、'、#�����、!、/等��,并且進(jìn)行安全性相關(guān)配置����,文章后面會介紹。
注意:因為攻擊者可以攔截你的請求并篡改服務(wù)器的返回結(jié)果�,所以最徹底的解決方案為在服務(wù)器返回后,界面繪制前進(jìn)行處理�����。
弱口令漏洞及登錄爆破漏洞(高危)
漏洞描述
系統(tǒng)存在大量用戶密碼強(qiáng)度弱�����,登錄功能可能存在暴力破解����、撞庫等安全問題�,攻擊者利用該漏洞獲取到弱口令賬號,可以獲取特定賬戶或應(yīng)用的訪問控制權(quán)限����,如果進(jìn)一步攻擊利用可能獲取服務(wù)器控制權(quán)限。
漏洞危害
攻擊者利用弱口令可以通過暴力破解登錄到系統(tǒng),獲取特定賬戶或應(yīng)用的訪問控制權(quán)限��,如果進(jìn)一步攻擊利用可能獲取服務(wù)器控制權(quán)限���。
解決方案
限制修改用戶密碼時新密碼強(qiáng)度�,比如要求密碼必須包含大小寫字母��,數(shù)字和特殊符號��,長度必須在八位以上�����。
強(qiáng)制用戶定期修改密碼�����,密碼過期后不可登錄���。需修改密碼后才可繼續(xù)使用系統(tǒng)���。
限制同一個賬戶只能有一個客戶端同時在線,登錄成功后��,需要將其它的同賬戶Session強(qiáng)制退出。
登錄時需要輸入圖形或短信驗證碼才可登錄����。
限制賬戶登錄失敗次數(shù),當(dāng)同一個賬戶連續(xù)失敗次數(shù)超出限制時�����,鎖定此賬戶�,解鎖或重置密碼后才可繼續(xù)使用。
限制同一IP一定時間間隔的登錄失敗次數(shù)����,當(dāng)同一個IP連續(xù)失敗次數(shù)超出限制時,鎖定此IP一段時間�����,待鎖定時間結(jié)束后鎖定IP才可繼續(xù)登錄�����。
與用戶賬號密碼相關(guān)的接口需要采用AES或其它加密算法加密后傳輸���。
用戶名枚舉漏洞(中危)
漏洞描述
網(wǎng)站的用戶驗證功能沒做限制或錯誤信息未模糊,導(dǎo)致用戶被枚舉。
漏洞危害
攻擊者可以通過枚舉用戶獲得平臺注冊的用戶名�����,為下一步密碼爆破做準(zhǔn)備��。
解決方案
模糊化錯誤提示信息��,如不論賬號不存在��、密碼錯誤均提示賬號密碼錯誤�。
郵件DDOS漏洞(高危)
漏洞描述
通過測試發(fā)找回密碼處頁面需獲取郵件驗證碼才能登錄,由于沒有設(shè)置時間與次數(shù)限制��,攻擊者可以截取郵件驗證碼的請求并進(jìn)行重放�����,可以短時間內(nèi)發(fā)送大量騷擾用戶�。
漏洞危害
攻擊者可利用此漏洞,輸入任意的郵箱���,并重復(fù)提交請求����,以達(dá)到騷擾用戶的目的。
解決方案
驗證碼存儲至數(shù)據(jù)庫時需要增加郵箱地址及發(fā)送時間���。
當(dāng)發(fā)送驗證碼時����,需要判斷數(shù)據(jù)庫是否存在相同郵箱的驗證碼��,并且發(fā)送的間隔時間不可小于1分鐘�����。
越權(quán)漏洞(高危)
漏洞描述
在Web程序中由于權(quán)限控制不當(dāng)��,導(dǎo)致用戶可以訪問到本身沒有權(quán)限訪問的數(shù)據(jù)即使越權(quán)訪問���。
越權(quán)訪問通常分為水平越權(quán)訪問和垂直越權(quán)訪問�����,垂直越權(quán)訪問指低權(quán)限賬戶可越權(quán)訪問需要高權(quán)限才能訪問的功能,水平越權(quán)訪問指同權(quán)限的不同的賬戶的數(shù)據(jù)互相訪問����,如A用戶可以訪問B用戶的資料�����、訂單等
漏洞危害
嘗試修改查詢數(shù)據(jù)的編號���,或權(quán)限標(biāo)識來越權(quán)訪問。
解決方案
當(dāng)用戶訪問系統(tǒng)對象時�,需要根據(jù)操作的實際場景進(jìn)行權(quán)限判斷,如果用戶沒有當(dāng)前操作權(quán)限時����,終止操作并提示用戶。
加密會話cookie中缺少Secure屬性(高危)
漏洞描述
由于這個cookie不包含“secure”屬性�,因此,也可能在未加密的會話過程中將它發(fā)送到站點����。任何以明文形式發(fā)送到服務(wù)器的 cookie、會話令牌或用戶憑證之類的信息都可能被竊取���,并在稍后用于身份盜竊或用戶偽裝�����。
漏洞危害
可能會竊取或操縱客戶會話和 cookie����,它們可能用于模仿合法用戶,從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)���。
解決方案
當(dāng)網(wǎng)站網(wǎng)絡(luò)協(xié)議為https時�����,添加cookie必須相應(yīng)地設(shè)置“secure”屬性��,防止以未加密的方式發(fā)送cookie���。
缺少“HTTP Strict-Transport-Security”響應(yīng)頭(低危)
漏洞描述
HTTP嚴(yán)格傳輸安全(HSTS)是保護(hù)安全(HTTPS)Web站點不被降級到不安全HTTP的機(jī)制。該機(jī)制使Web服務(wù)器能指示器客戶端(Web瀏覽器或其他用戶代理程序)在與服務(wù)器交互時始終使用安全 HTTPS 連接����,而絕不使用不安全的 HTTP 協(xié)議HTTP嚴(yán)格傳輸安全策略由服務(wù)器用于通過名為“Strict-Transport-Security”的響應(yīng)頭與其客戶機(jī)通信。該頭的值為客戶機(jī)應(yīng)僅使用HTTPS訪問服務(wù)器的時間段�����。其他頭屬性包括“includeSubDomains”和“preload”��。
漏洞危害
容易使HTTPS降級到HTTP�����,從而繞過HTTP的安全機(jī)制����。
解決方案
當(dāng)網(wǎng)站網(wǎng)絡(luò)協(xié)議為https時,通過向web應(yīng)用程序響應(yīng)添加“Strict-Transport-Security”響應(yīng)頭來實施HTTP嚴(yán)格傳輸安全策略����。
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
</customHeaders>
</httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Security/HTTP_Strict_Transport_Securit
缺少“X-XSS-Protection”響應(yīng)頭(低危)
漏洞描述
檢測到服務(wù)器的響應(yīng)未包含HTTP X-XSS-Protection響應(yīng)頭。HTTP X-XSS-Protection響應(yīng)頭是Internet Explorer���,Chrome和Safari的一個功能���,當(dāng)檢測到跨站腳本攻擊 (XSS)時,瀏覽器將停止加載頁面�。雖然這些保護(hù)在現(xiàn)代瀏覽器中基本上是不必要的,當(dāng)網(wǎng)站實施一個強(qiáng)大的Content-Security-Policy來禁用內(nèi)聯(lián)的JavaScript ('unsafe-inline')時,他們?nèi)匀豢梢詾樯胁恢С諧SP的舊版瀏覽器的用戶提供保護(hù)��。
漏洞危害
用戶更容易受到XSS攻擊的威脅����。
解決方案
將X-XSS-Protection屬性設(shè)置為“X-XSS-Protection: 1; mode=block”,當(dāng)檢測到XSS攻擊時阻止頁面加載����。
<httpProtocol>
<customHeaders>
<add name="X-XSS-Protection" value="1; mode=block" />
</customHeaders>
</httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-XSS-Protection
缺少“X-Content-Type-Options”響應(yīng)頭(低危)
漏洞描述
檢測到服務(wù)器的響應(yīng)未包含X-Content-Type-Options響應(yīng)頭�����。某些瀏覽器會啟用MIME-sniffing來猜測一些錯誤或者未定義Content-Type的資源的類型��,解析內(nèi)容并且執(zhí)行��,攻擊者常常會利用瀏覽器的這個特性繞過MIME類型的限制進(jìn)行攻擊���。我們可以利用X-Content-Type-Options響應(yīng)頭來禁用瀏覽器的類型猜測行為。
漏洞危害
更容易加載不可信的外部資源���。
解決方案
在服務(wù)器中配置X-Content-Type-Options響應(yīng)頭為“nosniff”����。
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Content-Type-Options
缺少“Content-Security-Policy”響應(yīng)頭(低危)
漏洞描述
檢測到服務(wù)器的響應(yīng)未包含Content-Security-Policy響應(yīng)頭�。Content-Security-Policy實質(zhì)就是白名單制度,開發(fā)者明確告訴客戶端���,哪些外部資源可以加載和執(zhí)行����,等同于提供白名單。它的實現(xiàn)和執(zhí)行全部由瀏覽器完成�,開發(fā)者只需提供配置��。Content-Security-Policy大大增強(qiáng)了網(wǎng)頁的安全性����。攻擊者即使發(fā)現(xiàn)了漏洞,也沒法注入腳本�,除非還控制了一臺列入了白名單的可信主機(jī)。
漏洞危害
更容易加載不可信的外部資源��。
解決方案
在服務(wù)器中配置Content-Security-Policy響應(yīng)頭�����,如有單點登錄�,須添加單點登錄地址。
<httpProtocol>
<customHeaders>
<add name="Content-Security-Policy" value="default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; " />
</customHeaders>
</httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy
JQuery版本過低(中危)
漏洞描述
檢測到網(wǎng)站使用的JQuery版本過低����,當(dāng)前最新JQuery版本為3.4.1。過低的JQuery版本存在正則過濾缺陷�����,容易造成Dom型跨站點腳本編制漏洞。
漏洞危害
容易造成Dom型跨站點腳本編制漏洞��。
解決方案
升級JQuery為3.4.1或以其它庫將其代替��。
|
