等保簡介
等保是什么
等保為“網路安全等級保護”的簡稱,是對網路和資訊系統按照重要性等級分級別保護的一種作業,
于2016年11月7日發布,自2017年6月1日起施行的《網路安全法》規定:等級保護,是我國資訊安全保障的基本制度,這句話是對等保最根本的定義,
根據《網路安全法》的規定,網路運營者應當按安全等級保護制度的要求,履行“保障網路免受干擾、破壞或者未經授權的訪問,防止網路資料泄露或者被竊取、篡改”等安全保護義務,
2019年5月13號,國家市場監督管理總局召開新聞發布會,正式發布《資訊安全技術網路資訊安全等級保護基本要求》國家標準,并定于2019年12月1日正式實施,標志著“等保2.0”時代的到來,
保護物件包括基礎資訊網路、資訊系統、云計算平臺、大資料平臺、移動互聯、物聯網和工業控制系統等,
保護等級越高,網路越安全,等保2.0標準實際包含了多個檔案,其中最重要的檔案是《資訊安全技術網路安全等級保護基本要求》,
等保等級
《資訊安全等級保護管理辦法》規定,國家資訊安全等級保護堅持自主定級、自主保護的原則,資訊系統的安全保護等級應當根據資訊系統在國家安全、經濟建設、社會生活中的重要程度,資訊系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定,
資訊系統的安全保護等級分為以下五級,一至五級等級逐級增高:
第一級,用戶自主保護級,資訊系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益,第一級資訊系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護,
第二級,系統審計保護級,資訊系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全,國家資訊安全監管部門對該級資訊系統安全等級保護作業進行指導,
第三級,安全標記保護級,資訊系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害,國家資訊安全監管部門對該級資訊系統安全等級保護作業進行監督、檢查,
第四級,結構化保護級,資訊系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害,國家資訊安全監管部門對該級資訊系統安全等級保護作業進行強制監督、檢查,
第五級,訪問驗證保護級,資訊系統受到破壞后,會對國家安全造成特別嚴重損害,國家資訊安全監管部門對該級資訊系統安全等級保護作業進行專門監督、檢查,
等保作業流程
等保系統定級:系統檢測;自主定級;新系統建設同時同步確定等級
等級評審:專家評審;定級報告;市級黨政機關到市資訊辦備案,區縣黨政機關到區縣資訊辦備案
定級備案:涉密系統報市和區縣國家保密作業部門、其他到公安機關辦理備案手續、受理單位備案審核
評估和整改建設:評估和現狀檢測(可請評估或檢測機構);制定整改方案;開展安全建設或改建,建立基礎安全設施以及等級保護管理制度
等級測評:開展等級測評;三級每年至少一次,四級至少每半年一次
監督檢查:監督、檢查、自查;整改;違法違規情況,依法處理
常見問題及解決方案
跨站腳本漏洞(高危)
漏洞描述
跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,惡意攻擊者往Web頁面里插入惡意Web腳本代碼(html、javascript、css等),當用戶瀏覽該頁面時,嵌入其中的Web腳本代碼會被執行,從而達到惡意攻擊用戶的特殊目的,
漏洞危害
“跨站點腳本編制”攻擊是一種隱私違例,可讓攻擊者獲取合法用戶的憑證,并在與特定 Web 站點互動時假冒這位用戶,可能會導致賬戶失竊;資料資訊被讀取、篡改、添加或者洗掉;非法轉賬;強制發送電子郵件;受控向其他網站發起攻擊等,存盤型跨站由攻擊者輸入惡意資料保存在資料庫,再由服務器腳本程式從資料庫中讀取資料,然后顯示在公共顯示的固定頁面上,那么所有瀏覽該頁面的用戶都會被攻擊,該型別攻擊性非常大,危險也非常大,
解決方案
代碼中增加過濾器,限制以下字符script、src、img、onerror及字符{、}、(、)、<、>、=、,、.、;、:、\、"、'、#、!、/等,并且進行安全性相關配置,文章后面會介紹,
注意:因為攻擊者可以攔截你的請求并篡改服務器的回傳結果,所以最徹底的解決方案為在服務器回傳后,界面繪制前進行處理,
弱口令漏洞及登錄爆破漏洞(高危)
漏洞描述
系統存在大量用戶密碼強度弱,登錄功能可能存在暴力破解、撞庫等安全問題,攻擊者利用該漏洞獲取到弱口令賬號,可以獲取特定賬戶或應用的訪問控制權限,如果進一步攻擊利用可能獲取服務器控制權限,
漏洞危害
攻擊者利用弱口令可以通過暴力破解登錄到系統,獲取特定賬戶或應用的訪問控制權限,如果進一步攻擊利用可能獲取服務器控制權限,
解決方案
限制修改用戶密碼時新密碼強度,比如要求密碼必須包含大小寫字母,數字和特殊符號,長度必須在八位以上,
強制用戶定期修改密碼,密碼過期后不可登錄,需修改密碼后才可繼續使用系統,
限制同一個賬戶只能有一個客戶端同時在線,登錄成功后,需要將其它的同賬戶Session強制退出,
登錄時需要輸入圖形或短信驗證碼才可登錄,
限制賬戶登錄失敗次數,當同一個賬戶連續失敗次數超出限制時,鎖定此賬戶,解鎖或重置密碼后才可繼續使用,
限制同一IP一定時間間隔的登錄失敗次數,當同一個IP連續失敗次數超出限制時,鎖定此IP一段時間,待鎖定時間結束后鎖定IP才可繼續登錄,
與用戶賬號密碼相關的介面需要采用AES或其它加密演算法加密后傳輸,
用戶名列舉漏洞(中危)
漏洞描述
網站的用戶驗證功能沒做限制或錯誤資訊未模糊,導致用戶被列舉,
漏洞危害
攻擊者可以通過列舉用戶獲得平臺注冊的用戶名,為下一步密碼爆破做準備,
解決方案
模糊化錯誤提示資訊,如不論賬號不存在、密碼錯誤均提示賬號密碼錯誤,
郵件DDOS漏洞(高危)
漏洞描述
通過測驗發找回密碼處頁面需獲取郵件驗證碼才能登錄,由于沒有設定時間與次數限制,攻擊者可以截取郵件驗證碼的請求并進行重放,可以短時間內發送大量騷擾用戶,
漏洞危害
攻擊者可利用此漏洞,輸入任意的郵箱,并重復提交請求,以達到騷擾用戶的目的,
解決方案
驗證碼存盤至資料庫時需要增加郵箱地址及發送時間,
當發送驗證碼時,需要判斷資料庫是否存在相同郵箱的驗證碼,并且發送的間隔時間不可小于1分鐘,
越權漏洞(高危)
漏洞描述
在Web程式中由于權限控制不當,導致用戶可以訪問到本身沒有權限訪問的資料即使越權訪問,
越權訪問通常分為水平越權訪問和垂直越權訪問,垂直越權訪問指低權限賬戶可越權訪問需要高權限才能訪問的功能,水平越權訪問指同權限的不同的賬戶的資料互相訪問,如A用戶可以訪問B用戶的資料、訂單等
漏洞危害
嘗試修改查詢資料的編號,或權限標識來越權訪問,
解決方案
當用戶訪問系統物件時,需要根據操作的實際場景進行權限判斷,如果用戶沒有當前操作權限時,終止操作并提示用戶,
加密會話cookie中缺少Secure屬性(高危)
漏洞描述
由于這個cookie不包含“secure”屬性,因此,也可能在未加密的會話程序中將它發送到站點,任何以明文形式發送到服務器的 cookie、會話令牌或用戶憑證之類的資訊都可能被竊取,并在稍后用于身份盜竊或用戶偽裝,
漏洞危害
可能會竊取或操縱客戶會話和 cookie,它們可能用于模仿合法用戶,從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執行事務,
解決方案
當網站網路協議為https時,添加cookie必須相應地設定“secure”屬性,防止以未加密的方式發送cookie,
缺少“HTTP Strict-Transport-Security”回應頭(低危)
漏洞描述
HTTP嚴格傳輸安全(HSTS)是保護安全(HTTPS)Web站點不被降級到不安全HTTP的機制,該機制使Web服務器能指示器客戶端(Web瀏覽器或其他用戶代理程式)在與服務器互動時始終使用安全 HTTPS 連接,而絕不使用不安全的 HTTP 協議HTTP嚴格傳輸安全策略由服務器用于通過名為“Strict-Transport-Security”的回應頭與其客戶機通信,該頭的值為客戶機應僅使用HTTPS訪問服務器的時間段,其他頭屬性包括“includeSubDomains”和“preload”,
漏洞危害
容易使HTTPS降級到HTTP,從而繞過HTTP的安全機制,
解決方案
當網站網路協議為https時,通過向web應用程式回應添加“Strict-Transport-Security”回應頭來實施HTTP嚴格傳輸安全策略,
<httpProtocol> <customHeaders> <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Security/HTTP_Strict_Transport_Securit
缺少“X-XSS-Protection”回應頭(低危)
漏洞描述
檢測到服務器的回應未包含HTTP X-XSS-Protection回應頭,HTTP X-XSS-Protection回應頭是Internet Explorer,Chrome和Safari的一個功能,當檢測到跨站腳本攻擊 (XSS)時,瀏覽器將停止加載頁面,雖然這些保護在現代瀏覽器中基本上是不必要的,當網站實施一個強大的Content-Security-Policy來禁用行內的JavaScript ('unsafe-inline')時,他們仍然可以為尚不支持CSP的舊版瀏覽器的用戶提供保護,
漏洞危害
用戶更容易受到XSS攻擊的威脅,
解決方案
將X-XSS-Protection屬性設定為“X-XSS-Protection: 1; mode=block”,當檢測到XSS攻擊時阻止頁面加載,
<httpProtocol> <customHeaders> <add name="X-XSS-Protection" value="1; mode=block" /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-XSS-Protection
缺少“X-Content-Type-Options”回應頭(低危)
漏洞描述
檢測到服務器的回應未包含X-Content-Type-Options回應頭,某些瀏覽器會啟用MIME-sniffing來猜測一些錯誤或者未定義Content-Type的資源的型別,決議內容并且執行,攻擊者常常會利用瀏覽器的這個特性繞過MIME型別的限制進行攻擊,我們可以利用X-Content-Type-Options回應頭來禁用瀏覽器的型別猜測行為,
漏洞危害
更容易加載不可信的外部資源,
解決方案
在服務器中配置X-Content-Type-Options回應頭為“nosniff”,
<httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Content-Type-Options
缺少“Content-Security-Policy”回應頭(低危)
漏洞描述
檢測到服務器的回應未包含Content-Security-Policy回應頭,Content-Security-Policy實質就是白名單制度,開發者明確告訴客戶端,哪些外部資源可以加載和執行,等同于提供白名單,它的實作和執行全部由瀏覽器完成,開發者只需提供配置,Content-Security-Policy大大增強了網頁的安全性,攻擊者即使發現了漏洞,也沒法注入腳本,除非還控制了一臺列入了白名單的可信主機,
漏洞危害
更容易加載不可信的外部資源,
解決方案
在服務器中配置Content-Security-Policy回應頭,如有單點登錄,須添加單點登錄地址,
<httpProtocol> <customHeaders> <add name="Content-Security-Policy" value="default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; " /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy
JQuery版本過低(中危)
漏洞描述
檢測到網站使用的JQuery版本過低,當前最新JQuery版本為3.4.1,過低的JQuery版本存在正則過濾缺陷,容易造成Dom型跨站點腳本編制漏洞,
漏洞危害
容易造成Dom型跨站點腳本編制漏洞,
解決方案
升級JQuery為3.4.1或以其它庫將其代替,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/2290.html
標籤:訊息安全
上一篇:DC1