物流平台网络安全等级保护整改方案
2020-09-24 16:58
等级保护办理一共五个环节,就等保整改这个环节而言,企业需要按照整改清单,将不符合项变为符合。此前,针对某物流平台存在的系统主要安全问题,青莲网络一站式安全专家全程参与,提供信息安全专业化技术支持和指导,配合客户进行高效整改并满足等保合规,顺利解决测评实施过程中暴露的问题并使得系统成功通过网络安全等保测评。以下是青莲网络当时提供的整改建议/方案:
一、网络设备和安全设备
1.设备未配置合规的密码有效期策略。上述问题的存在,使恶意用户能够较为容易的访问设备并实施恶意操作,对相关设备的正常运行造成影响,存在设备被未授权访问、操作的可能性。
建议:启用所有登录模式的身份鉴别,删除或重命名默认账户,制定相关管理制度,规范口令的最小长度、复杂度与生存周期,并根据管理制度要求,合理配置账户口令策略,提高口令质量。
2.设备未配置鉴别失败处理功能。设备存在不合规的登录操作超时及自动退出策略。登录验证可能被恶意用户猜测获得,合法用户身份被仿冒,导致设备被非授权访问
建议:开启失败登录处理功能,如限制非法登录次数、自动退出功能、锁定时间。
3.设备未设定有效的终端接入方式及范围限制措施。网络层未针对地址范围等条件限制终端登录。恶意用户可使用任意终端/,尝试非授权访问设备。
建议:限制可登录设备的管理终端地址,仅允许特定的地址登录。
二、服务器和终端
1.操作系统未采用两种或两种以上的身份鉴别技术。存在口令被恶意用户猜测获得,合法用户身份被仿冒,一旦该鉴别信息被非授权人员获取,可能对系统造成较大威胁,导致系统被非授权访问的可能性。
建议:重要核心设备、操作系统等增加除用户名/口令以外的身份鉴别技术,如密码/令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度。
2.系统未修改默认账户的默认口令。默认用户及口令可能被恶意用户猜测获得,或帐号被滥用,导致被非授权访问。
建议:修改服务器的默认管理员(root)口令,删除或禁用系统中多余或过期的帐户并对帐户的口令进行修改,使口令达到一定的强度及复杂度,不易被恶意用户猜测。
3.系统特权用户的权限未分离为系统管理、安全管理、安全审计、系统操作等方面的权限,未按最小投权原则分配,存在赋予一般用户管理员权限,赋予用户不必要的操作权限等风险。操作系统未严格限制系统默认账户的权限,系统账户权限混乱,可能导致系统无法在访问控制层面形成权限相互制约。
建议:实现管理用户的权限分离,避免存在特权用户。
三、应用和数据
1.数据库系统配置不合规的密码有效周期策略,使恶意用户能够较为容易的访问数据库等资源并实施恶意操作,对相关系统的正常运行造成影响,存在系统被未授权访问、操作的可能性。
建议:数据库系统刪除或重命名默认账户,制定相关管理制度,规范口令的最小长度、复杂度与生存周期,并根据管理制度要求,合理配置账户口令策略,提高口令质量。
2.数据库系统未配置鉴别失败处理功能。登录验证可能被恶意用户猜测获得,合法用户身份被仿冒,导致系统被非授权访问。
建议:数据库系统开启失败登录处理功能,如限制非法登录次数、自动退出功能、锁定时间等。
3.数据库系统未釆用两种或两种以上的身份鉴别技术。存在口令被恶意用户猜测获得,合法用户身份被仿冒的可能性。一旦该鉴别信息被非授权人员获取,可能对系统造成较大威胁,导致系统被非授权访问的可能性。
建议:数据库系统重要核心设备、数据库系统等增加除用户名/口令以外的身份鉴别技术,如密码」令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力。