等保為“網(wǎng)絡(luò)安全等級保護(hù)”的簡稱,是對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護(hù)的一種工作。
于2016年11月7日發(fā)布,自2017年6月1日起施行的《網(wǎng)絡(luò)安全法》規(guī)定:等級保護(hù),是我國信息安全保障的基本制度。這句話是對等保最根本的定義。
根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按安全等級保護(hù)制度的要求,履行“保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”等安全保護(hù)義務(wù)。
2019年5月13號,國家市場監(jiān)督管理總局召開新聞發(fā)布會(huì),正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)信息安全等級保護(hù)基本要求》國家標(biāo)準(zhǔn),并定于2019年12月1日正式實(shí)施,標(biāo)志著“等保2.0”時(shí)代的到來。
保護(hù)對象包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計(jì)算平臺、大數(shù)據(jù)平臺、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。
保護(hù)等級越高,網(wǎng)絡(luò)越安全。等保2.0標(biāo)準(zhǔn)實(shí)際包含了多個(gè)文件,其中最重要的文件是《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》。
《信息安全等級保護(hù)管理辦法》規(guī)定,國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
信息系統(tǒng)的安全保護(hù)等級分為以下五級,一至五級等級逐級增高:
第一級,用戶自主保護(hù)級,信息系統(tǒng)受到破壞后,會(huì)對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會(huì)秩序和公共利益。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
第二級,系統(tǒng)審計(jì)保護(hù)級,信息系統(tǒng)受到破壞后,會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會(huì)秩序和公共利益造成損害,但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行指導(dǎo)。
第三級,安全標(biāo)記保護(hù)級,信息系統(tǒng)受到破壞后,會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。
第四級,結(jié)構(gòu)化保護(hù)級,信息系統(tǒng)受到破壞后,會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。
第五級,訪問驗(yàn)證保護(hù)級,信息系統(tǒng)受到破壞后,會(huì)對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。
等保系統(tǒng)定級:系統(tǒng)檢測;自主定級;新系統(tǒng)建設(shè)同時(shí)同步確定等級
等級評審:專家評審;定級報(bào)告;市級黨政機(jī)關(guān)到市信息辦備案,區(qū)縣黨政機(jī)關(guān)到區(qū)縣信息辦備案
定級備案:涉密系統(tǒng)報(bào)市和區(qū)縣國家保密工作部門、其他到公安機(jī)關(guān)辦理備案手續(xù)、受理單位備案審核
評估和整改建設(shè):評估和現(xiàn)狀檢測(可請?jiān)u估或檢測機(jī)構(gòu));制定整改方案;開展安全建設(shè)或改建,建立基礎(chǔ)安全設(shè)施以及等級保護(hù)管理制度
等級測評:開展等級測評;三級每年至少一次,四級至少每半年一次
監(jiān)督檢查:監(jiān)督、檢查、自查;整改;違法違規(guī)情況,依法處理
漏洞描述
跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意Web腳本代碼(html、javascript、css等),當(dāng)用戶瀏覽該頁面時(shí),嵌入其中的Web腳本代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的。
漏洞危害
“跨站點(diǎn)腳本編制”攻擊是一種隱私違例,可讓攻擊者獲取合法用戶的憑證,并在與特定 Web 站點(diǎn)交互時(shí)假冒這位用戶。可能會(huì)導(dǎo)致賬戶失竊;數(shù)據(jù)信息被讀取、篡改、添加或者刪除;非法轉(zhuǎn)賬;強(qiáng)制發(fā)送電子郵件;受控向其他網(wǎng)站發(fā)起攻擊等。存儲型跨站由攻擊者輸入惡意數(shù)據(jù)保存在數(shù)據(jù)庫,再由服務(wù)器腳本程序從數(shù)據(jù)庫中讀取數(shù)據(jù),然后顯示在公共顯示的固定頁面上,那么所有瀏覽該頁面的用戶都會(huì)被攻擊。該類型攻擊性非常大,危險(xiǎn)也非常大。
解決方案
代碼中增加過濾器,限制以下字符script、src、img、onerror及字符{、}、(、)、<、>、=、,、.、;、:、\、"、'、#、!、/等,并且進(jìn)行安全性相關(guān)配置,文章后面會(huì)介紹。
注意:因?yàn)楣粽呖梢詳r截你的請求并篡改服務(wù)器的返回結(jié)果,所以最徹底的解決方案為在服務(wù)器返回后,界面繪制前進(jìn)行處理。
漏洞描述
系統(tǒng)存在大量用戶密碼強(qiáng)度弱,登錄功能可能存在暴力破解、撞庫等安全問題,攻擊者利用該漏洞獲取到弱口令賬號,可以獲取特定賬戶或應(yīng)用的訪問控制權(quán)限,如果進(jìn)一步攻擊利用可能獲取服務(wù)器控制權(quán)限。
漏洞危害
攻擊者利用弱口令可以通過暴力破解登錄到系統(tǒng),獲取特定賬戶或應(yīng)用的訪問控制權(quán)限,如果進(jìn)一步攻擊利用可能獲取服務(wù)器控制權(quán)限。
解決方案
限制修改用戶密碼時(shí)新密碼強(qiáng)度,比如要求密碼必須包含大小寫字母,數(shù)字和特殊符號,長度必須在八位以上。
強(qiáng)制用戶定期修改密碼,密碼過期后不可登錄。需修改密碼后才可繼續(xù)使用系統(tǒng)。
限制同一個(gè)賬戶只能有一個(gè)客戶端同時(shí)在線,登錄成功后,需要將其它的同賬戶Session強(qiáng)制退出。
登錄時(shí)需要輸入圖形或短信驗(yàn)證碼才可登錄。
限制賬戶登錄失敗次數(shù),當(dāng)同一個(gè)賬戶連續(xù)失敗次數(shù)超出限制時(shí),鎖定此賬戶,解鎖或重置密碼后才可繼續(xù)使用。
限制同一IP一定時(shí)間間隔的登錄失敗次數(shù),當(dāng)同一個(gè)IP連續(xù)失敗次數(shù)超出限制時(shí),鎖定此IP一段時(shí)間,待鎖定時(shí)間結(jié)束后鎖定IP才可繼續(xù)登錄。
與用戶賬號密碼相關(guān)的接口需要采用AES或其它加密算法加密后傳輸。
漏洞描述
網(wǎng)站的用戶驗(yàn)證功能沒做限制或錯(cuò)誤信息未模糊,導(dǎo)致用戶被枚舉。
漏洞危害
攻擊者可以通過枚舉用戶獲得平臺注冊的用戶名,為下一步密碼爆破做準(zhǔn)備。
解決方案
模糊化錯(cuò)誤提示信息,如不論賬號不存在、密碼錯(cuò)誤均提示賬號密碼錯(cuò)誤。
漏洞描述
通過測試發(fā)找回密碼處頁面需獲取郵件驗(yàn)證碼才能登錄,由于沒有設(shè)置時(shí)間與次數(shù)限制,攻擊者可以截取郵件驗(yàn)證碼的請求并進(jìn)行重放,可以短時(shí)間內(nèi)發(fā)送大量騷擾用戶。
漏洞危害
攻擊者可利用此漏洞,輸入任意的郵箱,并重復(fù)提交請求,以達(dá)到騷擾用戶的目的。
解決方案
驗(yàn)證碼存儲至數(shù)據(jù)庫時(shí)需要增加郵箱地址及發(fā)送時(shí)間。
當(dāng)發(fā)送驗(yàn)證碼時(shí),需要判斷數(shù)據(jù)庫是否存在相同郵箱的驗(yàn)證碼,并且發(fā)送的間隔時(shí)間不可小于1分鐘。
漏洞描述
在Web程序中由于權(quán)限控制不當(dāng),導(dǎo)致用戶可以訪問到本身沒有權(quán)限訪問的數(shù)據(jù)即使越權(quán)訪問。
越權(quán)訪問通常分為水平越權(quán)訪問和垂直越權(quán)訪問,垂直越權(quán)訪問指低權(quán)限賬戶可越權(quán)訪問需要高權(quán)限才能訪問的功能,水平越權(quán)訪問指同權(quán)限的不同的賬戶的數(shù)據(jù)互相訪問,如A用戶可以訪問B用戶的資料、訂單等
漏洞危害
嘗試修改查詢數(shù)據(jù)的編號,或權(quán)限標(biāo)識來越權(quán)訪問。
解決方案
當(dāng)用戶訪問系統(tǒng)對象時(shí),需要根據(jù)操作的實(shí)際場景進(jìn)行權(quán)限判斷,如果用戶沒有當(dāng)前操作權(quán)限時(shí),終止操作并提示用戶。
漏洞描述
由于這個(gè)cookie不包含“secure”屬性,因此,也可能在未加密的會(huì)話過程中將它發(fā)送到站點(diǎn)。任何以明文形式發(fā)送到服務(wù)器的 cookie、會(huì)話令牌或用戶憑證之類的信息都可能被竊取,并在稍后用于身份盜竊或用戶偽裝。
漏洞危害
可能會(huì)竊取或操縱客戶會(huì)話和 cookie,它們可能用于模仿合法用戶,從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。
解決方案
當(dāng)網(wǎng)站網(wǎng)絡(luò)協(xié)議為https時(shí),添加cookie必須相應(yīng)地設(shè)置“secure”屬性,防止以未加密的方式發(fā)送cookie。
漏洞描述
HTTP嚴(yán)格傳輸安全(HSTS)是保護(hù)安全(HTTPS)Web站點(diǎn)不被降級到不安全HTTP的機(jī)制。該機(jī)制使Web服務(wù)器能指示器客戶端(Web瀏覽器或其他用戶代理程序)在與服務(wù)器交互時(shí)始終使用安全 HTTPS 連接,而絕不使用不安全的 HTTP 協(xié)議HTTP嚴(yán)格傳輸安全策略由服務(wù)器用于通過名為“Strict-Transport-Security”的響應(yīng)頭與其客戶機(jī)通信。該頭的值為客戶機(jī)應(yīng)僅使用HTTPS訪問服務(wù)器的時(shí)間段。其他頭屬性包括“includeSubDomains”和“preload”。
漏洞危害
容易使HTTPS降級到HTTP,從而繞過HTTP的安全機(jī)制。
解決方案
當(dāng)網(wǎng)站網(wǎng)絡(luò)協(xié)議為https時(shí),通過向web應(yīng)用程序響應(yīng)添加“Strict-Transport-Security”響應(yīng)頭來實(shí)施HTTP嚴(yán)格傳輸安全策略。
<httpProtocol> <customHeaders> <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Security/HTTP_Strict_Transport_Securit
漏洞描述
檢測到服務(wù)器的響應(yīng)未包含HTTP X-XSS-Protection響應(yīng)頭。HTTP X-XSS-Protection響應(yīng)頭是Internet Explorer,Chrome和Safari的一個(gè)功能,當(dāng)檢測到跨站腳本攻擊 (XSS)時(shí),瀏覽器將停止加載頁面。雖然這些保護(hù)在現(xiàn)代瀏覽器中基本上是不必要的,當(dāng)網(wǎng)站實(shí)施一個(gè)強(qiáng)大的Content-Security-Policy來禁用內(nèi)聯(lián)的JavaScript ('unsafe-inline')時(shí),他們?nèi)匀豢梢詾樯胁恢С諧SP的舊版瀏覽器的用戶提供保護(hù)。
漏洞危害
用戶更容易受到XSS攻擊的威脅。
解決方案
將X-XSS-Protection屬性設(shè)置為“X-XSS-Protection: 1; mode=block”,當(dāng)檢測到XSS攻擊時(shí)阻止頁面加載。
<httpProtocol> <customHeaders> <add name="X-XSS-Protection" value="1; mode=block" /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-XSS-Protection
漏洞描述
檢測到服務(wù)器的響應(yīng)未包含X-Content-Type-Options響應(yīng)頭。某些瀏覽器會(huì)啟用MIME-sniffing來猜測一些錯(cuò)誤或者未定義Content-Type的資源的類型,解析內(nèi)容并且執(zhí)行,攻擊者常常會(huì)利用瀏覽器的這個(gè)特性繞過MIME類型的限制進(jìn)行攻擊。我們可以利用X-Content-Type-Options響應(yīng)頭來禁用瀏覽器的類型猜測行為。
漏洞危害
更容易加載不可信的外部資源。
解決方案
在服務(wù)器中配置X-Content-Type-Options響應(yīng)頭為“nosniff”。
<httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Content-Type-Options
漏洞描述
檢測到服務(wù)器的響應(yīng)未包含Content-Security-Policy響應(yīng)頭。Content-Security-Policy實(shí)質(zhì)就是白名單制度,開發(fā)者明確告訴客戶端,哪些外部資源可以加載和執(zhí)行,等同于提供白名單。它的實(shí)現(xiàn)和執(zhí)行全部由瀏覽器完成,開發(fā)者只需提供配置。Content-Security-Policy大大增強(qiáng)了網(wǎng)頁的安全性。攻擊者即使發(fā)現(xiàn)了漏洞,也沒法注入腳本,除非還控制了一臺列入了白名單的可信主機(jī)。
漏洞危害
更容易加載不可信的外部資源。
解決方案
在服務(wù)器中配置Content-Security-Policy響應(yīng)頭,如有單點(diǎn)登錄,須添加單點(diǎn)登錄地址。
<httpProtocol> <customHeaders> <add name="Content-Security-Policy" value="default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; " /> </customHeaders> </httpProtocol>
請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy
漏洞描述
檢測到網(wǎng)站使用的JQuery版本過低,當(dāng)前最新JQuery版本為3.4.1。過低的JQuery版本存在正則過濾缺陷,容易造成Dom型跨站點(diǎn)腳本編制漏洞。
漏洞危害
容易造成Dom型跨站點(diǎn)腳本編制漏洞。
解決方案
升級JQuery為3.4.1或以其它庫將其代替。