等保三级建设
网络安全等级保护(简称"等保")是我国网络安全的基本制度,三级(等保三级)是面向重要系统和数据的安全要求,涵盖技术要求和管理要求两大类。
1. 等保三级技术要求
| 控制域 |
主要要求 |
实施措施 |
| 安全物理环境 |
机房防盗、门禁、温湿度 |
门禁系统、监控、UPS |
| 安全通信网络 |
网络边界防护、加密传输 |
防火墙、VPN、TLS |
| 安全区域边界 |
入侵检测、病毒防护、访问控制 |
IDS/IPS、WAF、ACL |
| 安全计算环境 |
身份鉴别、访问控制、审计 |
双因素认证、堡垒机、日志审计 |
| 安全管理中心 |
集中管理、监控、告警 |
SOC、日志平台、态势感知 |
2. 技术实施清单
2.1 身份鉴别(要求:双重因子认证)
# 部署 LDAP + OTP 双因素认证
# 用户名+密码(第一因子)+ OTP 动态口令(第二因子)
# 推荐:FreeOTP / Google Authenticator + LDAP
# 配置 PAM 模块
auth required pam_google_authenticator.so secret=/etc/google_authenticator nullok
auth required pam_permit.so
2.2 访问控制(要求:最小权限原则)
# 设置 sudo 权限(仅允许特定命令)
echo "www-data ALL=(ALL) NOPASSWD: /usr/bin/systemctl status nginx, /usr/bin/systemctl restart nginx" >> /etc/sudoers.d/www-data
# 文件权限规范化
chmod 600 /etc/shadow
chmod 644 /etc/passwd
chmod 700 ~/.ssh
2.3 安全审计(要求:日志保留 6 个月以上)
# 部署 auditd 记录系统调用
auditctl -w /etc/passwd -p rwxa -k identity_change
auditctl -w /bin/su -p x -k su_executed
# 查看审计日志
ausearch -k identity_change | head -20
2.4 入侵防范(要求:入侵检测 + 自动阻断)
# 部署 OSSEC(HIDS)进行入侵检测
# 监控文件完整性、Rootkit 检测、异常命令执行
# 部署 Snort(IDS)进行网络入侵检测
# 规则更新:snort -q -u root -g snort -c /etc/snort/snort.conf
3. 安全管理要求
| 控制域 |
要求 |
落地措施 |
| 安全管理制度 |
完善的安全制度体系 |
制定安全方针、策略、操作规程 |
| 安全管理机构 |
专职安全岗位 |
安全负责人、安全审计岗 |
| 安全管理人员 |
安全培训与考核 |
年度安全培训、持证上岗 |
| 安全建设管理 |
系统上线前安全检测 |
代码审计、渗透测试、安全配置核查 |
| 安全运维管理 |
日常运维与应急 |
巡检制度、变更管理、应急预案 |
4. 测评注意事项
4.1 测评前准备
# 收集系统/应用清单
ls -1 /etc/systemd/system/*.service | xargs -I{} basename {} .service
# 收集补丁情况
dpkg -l | grep -E '^ii' | wc -l
uname -r
# 收集账号情况
awk -F: '($3>=1000){print}' /etc/passwd
# 收集日志审计情况
cat /etc/rsyslog.conf | grep -v '^#'
auditctl -s
4.2 常见扣分项
- 弱口令(123456 / admin / root)
- 开放不必要的端口(Telnet/FTP/Rlogin)
5. 下一步