等保簡介

等保是什么

等保為“網(wǎng)絡(luò)安全等級保護(hù)”的簡稱，是對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護(hù)的一種工作。

于2016年11月7日發(fā)布，自2017年6月1日起施行的《網(wǎng)絡(luò)安全法》規(guī)定：等級保護(hù)，是我國信息安全保障的基本制度。這句話是對等保最根本的定義。

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按安全等級保護(hù)制度的要求，履行“保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”等安全保護(hù)義務(wù)。

2019年5月13號，國家市場監(jiān)督管理總局召開新聞發(fā)布會(huì),正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)信息安全等級保護(hù)基本要求》國家標(biāo)準(zhǔn),并定于2019年12月1日正式實(shí)施,標(biāo)志著“等保2.0”時(shí)代的到來。

保護(hù)對象包括基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)、云計(jì)算平臺、大數(shù)據(jù)平臺、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。

保護(hù)等級越高，網(wǎng)絡(luò)越安全。等保2.0標(biāo)準(zhǔn)實(shí)際包含了多個(gè)文件，其中最重要的文件是《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》。

等保等級

《信息安全等級保護(hù)管理辦法》規(guī)定，國家信息安全等級保護(hù)堅(jiān)持自主定級、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息系統(tǒng)的安全保護(hù)等級分為以下五級，一至五級等級逐級增高：

第一級，用戶自主保護(hù)級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。

第二級，系統(tǒng)審計(jì)保護(hù)級，信息系統(tǒng)受到破壞后，會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會(huì)秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行指導(dǎo)。

第三級，安全標(biāo)記保護(hù)級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。

第四級，結(jié)構(gòu)化保護(hù)級，信息系統(tǒng)受到破壞后，會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。

第五級，訪問驗(yàn)證保護(hù)級，信息系統(tǒng)受到破壞后，會(huì)對國家安全造成特別嚴(yán)重?fù)p害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。

等保工作流程

等保系統(tǒng)定級：系統(tǒng)檢測；自主定級；新系統(tǒng)建設(shè)同時(shí)同步確定等級

等級評審：專家評審；定級報(bào)告；市級黨政機(jī)關(guān)到市信息辦備案，區(qū)縣黨政機(jī)關(guān)到區(qū)縣信息辦備案

定級備案：涉密系統(tǒng)報(bào)市和區(qū)縣國家保密工作部門、其他到公安機(jī)關(guān)辦理備案手續(xù)、受理單位備案審核

評估和整改建設(shè)：評估和現(xiàn)狀檢測（可請?jiān)u估或檢測機(jī)構(gòu)）；制定整改方案；開展安全建設(shè)或改建，建立基礎(chǔ)安全設(shè)施以及等級保護(hù)管理制度

等級測評：開展等級測評；三級每年至少一次，四級至少每半年一次

監(jiān)督檢查：監(jiān)督、檢查、自查；整改；違法違規(guī)情況，依法處理

常見問題及解決方案

跨站腳本漏洞(高危)

漏洞描述

跨站腳本攻擊(Cross Site Scripting)，為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意Web腳本代碼（html、javascript、css等），當(dāng)用戶瀏覽該頁面時(shí)，嵌入其中的Web腳本代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。

漏洞危害

“跨站點(diǎn)腳本編制”攻擊是一種隱私違例，可讓攻擊者獲取合法用戶的憑證，并在與特定 Web 站點(diǎn)交互時(shí)假冒這位用戶。可能會(huì)導(dǎo)致賬戶失竊；數(shù)據(jù)信息被讀取、篡改、添加或者刪除；非法轉(zhuǎn)賬；強(qiáng)制發(fā)送電子郵件；受控向其他網(wǎng)站發(fā)起攻擊等。存儲型跨站由攻擊者輸入惡意數(shù)據(jù)保存在數(shù)據(jù)庫，再由服務(wù)器腳本程序從數(shù)據(jù)庫中讀取數(shù)據(jù)，然后顯示在公共顯示的固定頁面上，那么所有瀏覽該頁面的用戶都會(huì)被攻擊。該類型攻擊性非常大，危險(xiǎn)也非常大。

解決方案

代碼中增加過濾器，限制以下字符script、src、img、onerror及字符{、}、(、)、<、>、=、,、.、;、:、\、"、'、#、!、/等，并且進(jìn)行安全性相關(guān)配置，文章后面會(huì)介紹。

注意：因?yàn)楣粽呖梢詳r截你的請求并篡改服務(wù)器的返回結(jié)果，所以最徹底的解決方案為在服務(wù)器返回后，界面繪制前進(jìn)行處理。

弱口令漏洞及登錄爆破漏洞(高危)

漏洞描述

系統(tǒng)存在大量用戶密碼強(qiáng)度弱，登錄功能可能存在暴力破解、撞庫等安全問題，攻擊者利用該漏洞獲取到弱口令賬號，可以獲取特定賬戶或應(yīng)用的訪問控制權(quán)限，如果進(jìn)一步攻擊利用可能獲取服務(wù)器控制權(quán)限。

漏洞危害

攻擊者利用弱口令可以通過暴力破解登錄到系統(tǒng)，獲取特定賬戶或應(yīng)用的訪問控制權(quán)限，如果進(jìn)一步攻擊利用可能獲取服務(wù)器控制權(quán)限。

解決方案

限制修改用戶密碼時(shí)新密碼強(qiáng)度，比如要求密碼必須包含大小寫字母，數(shù)字和特殊符號，長度必須在八位以上。

強(qiáng)制用戶定期修改密碼，密碼過期后不可登錄。需修改密碼后才可繼續(xù)使用系統(tǒng)。

限制同一個(gè)賬戶只能有一個(gè)客戶端同時(shí)在線，登錄成功后，需要將其它的同賬戶Session強(qiáng)制退出。

登錄時(shí)需要輸入圖形或短信驗(yàn)證碼才可登錄。

限制賬戶登錄失敗次數(shù)，當(dāng)同一個(gè)賬戶連續(xù)失敗次數(shù)超出限制時(shí)，鎖定此賬戶，解鎖或重置密碼后才可繼續(xù)使用。

限制同一IP一定時(shí)間間隔的登錄失敗次數(shù)，當(dāng)同一個(gè)IP連續(xù)失敗次數(shù)超出限制時(shí)，鎖定此IP一段時(shí)間，待鎖定時(shí)間結(jié)束后鎖定IP才可繼續(xù)登錄。

與用戶賬號密碼相關(guān)的接口需要采用AES或其它加密算法加密后傳輸。

用戶名枚舉漏洞(中危)

漏洞描述

網(wǎng)站的用戶驗(yàn)證功能沒做限制或錯(cuò)誤信息未模糊，導(dǎo)致用戶被枚舉。

漏洞危害

攻擊者可以通過枚舉用戶獲得平臺注冊的用戶名，為下一步密碼爆破做準(zhǔn)備。

解決方案

模糊化錯(cuò)誤提示信息，如不論賬號不存在、密碼錯(cuò)誤均提示賬號密碼錯(cuò)誤。

郵件DDOS漏洞(高危)

漏洞描述

通過測試發(fā)找回密碼處頁面需獲取郵件驗(yàn)證碼才能登錄，由于沒有設(shè)置時(shí)間與次數(shù)限制，攻擊者可以截取郵件驗(yàn)證碼的請求并進(jìn)行重放，可以短時(shí)間內(nèi)發(fā)送大量騷擾用戶。

漏洞危害

攻擊者可利用此漏洞，輸入任意的郵箱，并重復(fù)提交請求，以達(dá)到騷擾用戶的目的。

解決方案

驗(yàn)證碼存儲至數(shù)據(jù)庫時(shí)需要增加郵箱地址及發(fā)送時(shí)間。

當(dāng)發(fā)送驗(yàn)證碼時(shí)，需要判斷數(shù)據(jù)庫是否存在相同郵箱的驗(yàn)證碼，并且發(fā)送的間隔時(shí)間不可小于1分鐘。

越權(quán)漏洞(高危)

漏洞描述

在Web程序中由于權(quán)限控制不當(dāng)，導(dǎo)致用戶可以訪問到本身沒有權(quán)限訪問的數(shù)據(jù)即使越權(quán)訪問。

越權(quán)訪問通常分為水平越權(quán)訪問和垂直越權(quán)訪問，垂直越權(quán)訪問指低權(quán)限賬戶可越權(quán)訪問需要高權(quán)限才能訪問的功能，水平越權(quán)訪問指同權(quán)限的不同的賬戶的數(shù)據(jù)互相訪問，如A用戶可以訪問B用戶的資料、訂單等

漏洞危害

嘗試修改查詢數(shù)據(jù)的編號，或權(quán)限標(biāo)識來越權(quán)訪問。

解決方案

當(dāng)用戶訪問系統(tǒng)對象時(shí)，需要根據(jù)操作的實(shí)際場景進(jìn)行權(quán)限判斷，如果用戶沒有當(dāng)前操作權(quán)限時(shí)，終止操作并提示用戶。

加密會(huì)話cookie中缺少Secure屬性(高危)

漏洞描述

由于這個(gè)cookie不包含“secure”屬性，因此，也可能在未加密的會(huì)話過程中將它發(fā)送到站點(diǎn)。任何以明文形式發(fā)送到服務(wù)器的 cookie、會(huì)話令牌或用戶憑證之類的信息都可能被竊取，并在稍后用于身份盜竊或用戶偽裝。

漏洞危害

可能會(huì)竊取或操縱客戶會(huì)話和 cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。

解決方案

當(dāng)網(wǎng)站網(wǎng)絡(luò)協(xié)議為https時(shí)，添加cookie必須相應(yīng)地設(shè)置“secure”屬性，防止以未加密的方式發(fā)送cookie。

缺少“HTTP Strict-Transport-Security”響應(yīng)頭(低危)

漏洞描述

HTTP嚴(yán)格傳輸安全(HSTS)是保護(hù)安全(HTTPS)Web站點(diǎn)不被降級到不安全HTTP的機(jī)制。該機(jī)制使Web服務(wù)器能指示器客戶端（Web瀏覽器或其他用戶代理程序）在與服務(wù)器交互時(shí)始終使用安全 HTTPS 連接，而絕不使用不安全的 HTTP 協(xié)議HTTP嚴(yán)格傳輸安全策略由服務(wù)器用于通過名為“Strict-Transport-Security”的響應(yīng)頭與其客戶機(jī)通信。該頭的值為客戶機(jī)應(yīng)僅使用HTTPS訪問服務(wù)器的時(shí)間段。其他頭屬性包括“includeSubDomains”和“preload”。

漏洞危害

容易使HTTPS降級到HTTP，從而繞過HTTP的安全機(jī)制。

解決方案

當(dāng)網(wǎng)站網(wǎng)絡(luò)協(xié)議為https時(shí)，通過向web應(yīng)用程序響應(yīng)添加“Strict-Transport-Security”響應(yīng)頭來實(shí)施HTTP嚴(yán)格傳輸安全策略。

<httpProtocol>
    <customHeaders>
        <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
    </customHeaders>
</httpProtocol>

請參閱https://developer.mozilla.org/zh-CN/docs/Security/HTTP_Strict_Transport_Securit

缺少“X-XSS-Protection”響應(yīng)頭(低危)

漏洞描述

檢測到服務(wù)器的響應(yīng)未包含HTTP X-XSS-Protection響應(yīng)頭。HTTP X-XSS-Protection響應(yīng)頭是Internet Explorer，Chrome和Safari的一個(gè)功能，當(dāng)檢測到跨站腳本攻擊 (XSS)時(shí)，瀏覽器將停止加載頁面。雖然這些保護(hù)在現(xiàn)代瀏覽器中基本上是不必要的，當(dāng)網(wǎng)站實(shí)施一個(gè)強(qiáng)大的Content-Security-Policy來禁用內(nèi)聯(lián)的JavaScript ('unsafe-inline')時(shí),他們?nèi)匀豢梢詾樯胁恢С諧SP的舊版瀏覽器的用戶提供保護(hù)。

漏洞危害

用戶更容易受到XSS攻擊的威脅。

解決方案

將X-XSS-Protection屬性設(shè)置為“X-XSS-Protection: 1; mode=block”，當(dāng)檢測到XSS攻擊時(shí)阻止頁面加載。

<httpProtocol>
    <customHeaders>
        <add name="X-XSS-Protection" value="1; mode=block" />
    </customHeaders>
</httpProtocol>

請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-XSS-Protection

缺少“X-Content-Type-Options”響應(yīng)頭(低危)

漏洞描述

檢測到服務(wù)器的響應(yīng)未包含X-Content-Type-Options響應(yīng)頭。某些瀏覽器會(huì)啟用MIME-sniffing來猜測一些錯(cuò)誤或者未定義Content-Type的資源的類型，解析內(nèi)容并且執(zhí)行，攻擊者常常會(huì)利用瀏覽器的這個(gè)特性繞過MIME類型的限制進(jìn)行攻擊。我們可以利用X-Content-Type-Options響應(yīng)頭來禁用瀏覽器的類型猜測行為。

漏洞危害

更容易加載不可信的外部資源。

解決方案

在服務(wù)器中配置X-Content-Type-Options響應(yīng)頭為“nosniff”。

<httpProtocol>
    <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff" />
    </customHeaders>
</httpProtocol>

請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Content-Type-Options

缺少“Content-Security-Policy”響應(yīng)頭(低危)

漏洞描述

檢測到服務(wù)器的響應(yīng)未包含Content-Security-Policy響應(yīng)頭。Content-Security-Policy實(shí)質(zhì)就是白名單制度，開發(fā)者明確告訴客戶端，哪些外部資源可以加載和執(zhí)行，等同于提供白名單。它的實(shí)現(xiàn)和執(zhí)行全部由瀏覽器完成，開發(fā)者只需提供配置。Content-Security-Policy大大增強(qiáng)了網(wǎng)頁的安全性。攻擊者即使發(fā)現(xiàn)了漏洞，也沒法注入腳本，除非還控制了一臺列入了白名單的可信主機(jī)。

漏洞危害

更容易加載不可信的外部資源。

解決方案

在服務(wù)器中配置Content-Security-Policy響應(yīng)頭，如有單點(diǎn)登錄，須添加單點(diǎn)登錄地址。

<httpProtocol>
    <customHeaders>
        <add name="Content-Security-Policy" value="default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; " />
    </customHeaders>
</httpProtocol>

請參閱https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy

JQuery版本過低(中危)

漏洞描述

檢測到網(wǎng)站使用的JQuery版本過低，當(dāng)前最新JQuery版本為3.4.1。過低的JQuery版本存在正則過濾缺陷，容易造成Dom型跨站點(diǎn)腳本編制漏洞。

漏洞危害

容易造成Dom型跨站點(diǎn)腳本編制漏洞。

解決方案

升級JQuery為3.4.1或以其它庫將其代替。