文档首页/ 安全云脑 SecMaster/ 产品介绍/ 经验包/ 内置检查项
更新时间:2025-08-07 GMT+08:00
查看PDF
分享

内置检查项

安全云脑支持检测云服务关键配置项,通过执行扫描任务,检查云服务基线配置风险状态,分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。

如需查看每个检查项目的详情,如检查状态、风险等级、检查内容等信息,请在检查项目详情页面进行查看,具体操作请参见查看检查结果

本章节介绍SecMaster云服务基线检查支持的检查项目。

表1 基线检查项目

检查规范

检查类别

包含的检查项数量

安全上云合规检查1.0

身份与访问管理

12

检测

7

基础设施防护

24

数据防护

22

事件响应

13

护网检查

安全套件覆盖

8

账号加固

5

主机加固

4

Sudo漏洞

1

访问控制

1

敏感信息排查

5

华为云安全配置基线

网络

6

身份与访问管理

16

安全

14

日志与监控

17

虚拟机与容器

16

数据库

31

存储

17

企业智能

14

GDPR(General Data Protection Regulation)

第三方披露

5

数据跨境转移

6

数据使用,保留和处置

16

数据主体访问

10

通知

8

选择和同意

7

组织架构

2

经典弱口令检测

弱口令检测

1

口令复杂度策略检测

口令复杂度

5

PCI-DSS

维护信息安全政策

8

实施强有力的访问控制措施

16

建立和维护安全网络和系统

10

维护漏洞管理计划

4

定期监控和测试网络

11

保护账户数据

5

其他

2

NIST SP 800-53

系统和服务采购

1

项目管理

3

评估、授权和监控

3

审计与问责

7

媒体介质保护

2

系统和通信保护

9

事件与响应

1

物理环境保护

2

规划和策略

2

系统和信息完整性

5

访问控制

5

风险评估

2

配置管理

7

意识与培训

3

识别与认证

6

安全上云合规检查—身份与访问管理

表2 身份与访问管理风险项检查项目

检查项目

检查内容

IAM用户启用检查

启用统一身份认证(Identity and Access Management,IAM)服务后,系统默认用户组admin中的IAM用户,可以使用华为云所有服务。

检查所有IAM用户列表,是否已启用至少两个IAM用户,以及IAM用户所属的用户组是否都为admin用户组。

IAM用户开启登录保护检查

在IAM的安全设置中启用登录保护后,登录时还需要通过虚拟MFA或短信或邮件验证,再次确认登录者身份,进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,保护您安全使用云产品。

检查在IAM的安全设置中是否开启登录保护。

IAM用户开启操作保护检查

在IAM的安全设置中开启操作保护后,主账户及子用户在控制台进行敏感操作(如:删除弹性云服务器、解绑弹性IP等)时,将通过虚拟MFA、手机短信或邮件再次确认操作者身份,进一步提高账号安全性,有效保护您安全使用云产品。

检查IAM用户是否开启操作保护。

管理员账号AK/SK启用检查

访问密钥(AK/SK,Access Key ID/Secret Access Key)是账号的长期身份凭证。

由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账号不启用AK/SK身份凭证。

检查管理员账户是否启用访问密钥。

IAM用户密码配置检查

IAM用户的密码策略建议设置强密码策略。建议满足以下要求:包含以下字符中的3种:大写字母、小写字母、数字和特殊字符;密码最小长度为8;新密码不能与最近的历史密码相同(重复次数设置为3)

检查IAM用户的密码策略是否符合要求。

IAM登录验证策略(账号锁定策略)检查

拥有安全管理员权限(Security Administrator权限)的用户可以设置登录验证策略来提高用户信息和系统的安全性。

IAM允许用户设置账号锁定策略,即如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。

建议设置为在60分钟内登录失败5次,用户被锁定。

检查账号锁定策略是否设置为在60分钟内登录失败5次,用户被锁定。

IAM登录验证策略(账号锁定时限)检查

拥有安全管理员权限(Security Administrator权限)的用户可以设置登录验证策略来提高用户信息和系统的安全性。

用户可设置账号锁定策略,即如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。

IAM应允许用户设置账号锁定时间,且在此期间用户将无法输入密码。账号锁定时限建议设置为15分钟。

检查账号锁定时限是否设置为15分钟。

IAM密码策略(防止密码重复使用)检查

IAM允许用户设置密码策略。

启用防止密码重复使用规则后,新密码不能与最近使用的密码相同。

检查IAM密码策略是否启用密码重复使用规则,且重复次数小于五次。

会话超时策略检查

IAM允许用户设置会话到期时间。如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。

检查会话时限是否设置为15分钟。

账号停用策略检查

IAM用户可以通过使用用户名和密码登录华为云控制台。如果用户在90天或更长时间内未登录对应的控制台,建议禁用该用户的控制台访问权限。

检查账号停用策略是否启用,且有效期设置为90天。

IAM用户密码强度检查

IAM用户的登录密码建议设置为安全程度强的密码。

IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使账号更安全,建议您定期更换密码以保护账号安全。

检查IAM用户的密码强度是否为最高级别。

CBH实例登录开启多因子认证检查

通过Web浏览器或SSH客户端登录CBH实例时应开启用户的多因子认证,进一步提高堡垒机账号安全性。多因子认证方式有:手机短信、手机令牌、USBKey、动态令牌。

检查CBH实例是否已开启多因子认证。

安全上云合规检查—检测

表3 检测风险项检查项目

检查项目

检查内容

ELB健康状态检查

弹性负载均衡(Elastic Load Balance,ELB)定期向后端服务器发送请求健康检查,通过健康检查来判断后端服务器是否可用。

如果判断出后端服务器健康检查异常,ELB会将异常后端服务器的流量分发到正常后端服务器。

当异常后端服务器恢复正常运行后,ELB会自动恢复其承载业务流量能力。

检查所有ELB实例是否开启健康检查功能,以及检查后端服务器状态是否正常。

CTS启用检查

云审计服务(Cloud Trace Service,CTS)可以将当前账户下所有的操作记录在追踪器中,通过查询和审计操作记录,实现安全分析、资源变更、合规审计、问题定位等。

检查是否已经开通CTS,以及检查是否有一个追踪器的状态为正常。

OBS桶日志记录启用检查

对象存储服务(Object Storage Service,OBS)的桶日志记录,指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。

检查所有OBS桶,是否开启日志记录功能。

数据库安全审计启用检查(云上RDS场景)

数据库安全审计提供旁路模式审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警,对数据库的内部违规和不正当操作进行定位追责。

检查是否已启用数据库安全审计。

云监控服务启用检查

云监控(Cloud Eye)服务为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况,并及时收到异常告警做出反应,保证业务顺畅运行。

检查是否已启用云监控服务。

云监控服务中的主机监控检查

主机监控针对主机提供多层次指标监控,包括基础监控、操作系统监控和进程监控。

基础监控为用户提供免安装的基础指标监控服务;操作系监控和进程监控通过在主机中安装开源插件,为用户主机提供系统级、主动式、细颗粒度的监控服务。

检查主机监控中的弹性云服务器是否已安装监控插件。

云监控服务中站点监控检查

站点监控用于模拟真实用户对远端服务器的访问,从而探测远端服务器的可用性、连通性等问题。

检查是否配置站点监控。

安全上云合规检查—基础设施防护

表4 基础设施防护风险项检查项目

检查项目

检查内容

绑定EIP的ECS配置密钥对登录检查

当存在ECS对外暴露EIP的情况下,为安全起见,弹性云服务器登录时应使用密钥方式进行身份验证。

日志指标过滤和告警事件(VPC更改)检查

日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因VPC更改而产生的日志和告警事件。

日志指标过滤和告警事件(网络网关更改)检查

日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因网络网关更改而产生的日志和告警事件。

日志指标过滤和告警事件(子网更改)检查

日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因子网更改而产生的日志和告警事件。

日志指标过滤和告警事件(VPN更改)检查

日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

检查CTS中是否存在因VPN更改而产生的日志和告警事件。

ELB实例(共享型)启用访问控制检查

共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。

检查弹性负载均衡(Elastic Load Balance,ELB)实例,是否开启访问控制策略。

网络ACL规则配置检查

网络ACL是对子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL,可以增加额外的安全防护层,实现更精细、更复杂的安全访问控制。

检查是否配置网络ACL规则。

用于VPC对等连接路由表检查

对等连接是指两个VPC之间的网络连接,因此用于对等连接的路由表应满足最小访问权限。

本端路由的目的地址尽量限定在最小子网网段内,对端路由的目的地址尽量限定在最小子网网段内。

检查用于对等连接的路由表是否满足最小访问权限。

VPC规划检查

如果在当前区域下有多套业务部署,且希望不同业务之间进行网络隔离时,则可为每个业务在当前区域建立相应的VPC。

两个VPC之间可以采用对等连接进行互连。

VPC具有区域属性,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通,同一个VPC下的不同可用区之间内网互通。

检查VPC规范是否合理。

WAF启用(云模式/独享模式/ELB模式)检查

启用Web应用防火墙(Web Application Firewall, WAF)服务后,网站所有的公网流量都会先经过Web应用防火墙,恶意攻击流量在Web应用防火墙上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

检查是否已启用WAF。

WAF回源配置检查(未配置ELB)

使用Web应用防火墙(Web Application Firewall, WAF)服务后,需配置源站服务器只允许来自WAF的访问请求访问源站,既可保障访问不受影响,又能防止源站IP暴露。

未使用弹性负载均衡(Elastic Load Balance,ELB)情况下,检查在ECS关联的安全组源地址中,是否添加WAF回源IP。

WAF防护策略配置(地理位置访问控制)检查

WAF的防护策略应配置地理位置访问控制,可针对指定国家、地区的来源IP自定义访问控制。配置后,可以进一步减小业务网站的攻击面(检测版和专业版暂不支持该功能)。

Web基础防护配置检查

Web基础防护支持“拦截”(发现攻击行为后立即阻断并记录)和“仅记录”(发现攻击行为后只记录不阻断攻击)模式,检测版仅支持“仅记录”模式。

WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式,开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。

检查是否已开启Web基础防护并设置为拦截模式。

VSS启用检查

漏洞扫描服务(Vulnerability Scan Service)是针对网站进行漏洞扫描的一种安全检测服务,可以帮助快速检测出网站存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

检查是否已启用VSS服务。

Anti-DDoS流量清洗启用检查

DDoS原生基础防护(Anti-DDoS流量清洗)服务为华为云内公网IP资源,提供网络层和应用层的DDoS攻击防护,并提供攻击拦截实时告警,有效提升用户带宽利用率,保障业务稳定可靠。

检查是否已启用Anti-DDoS流量清洗服务。

DDoS高防启用检查

DDoS高防(Advanced Anti-DDoS,AAD)是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。

检查是否已启用DDoS高防。

云堡垒机启用检查

云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的账号、授权、认证和审计管理服务。启用后,可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计,不仅能保障系统运行安全,且满足相关合规性规范。

检查是否已启用云堡垒机服务。

主机安全防护启用检查

企业主机安全(Host Security Service,HSS)是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。

主机实例应安装HSS且开启防护,版本要求至少为企业版(旗舰版、网页防篡改版更优)。

检查主机是否开启主机安全防护。

HSS网页防篡改启用与防护目录配置检查

网页防篡改可实时监控网站目录,并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。

有网站或者关键系统防篡改需求,以及有应用安全防护需求的主机,应开启HSS中的网络防篡改防护并配置好防护目录。

检查主机是否开启网络防篡改防护且已配置好防护目录。

主机紧急修复漏洞检查

企业主机安全(Host Security Service,HSS)提供漏洞管理功能,检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。

检查HSS中是否存在紧急修复漏洞。

CDN访问控制配置检查

当客户CDN需要对访问者身份进行识别和过滤,限制部分用户访问,提高CDN的安全性,应配置防盗链与IP黑名单。

检查CDN是否配置访问控制规则。

安全上云合规检查—数据防护

表5 数据防护风险项检查项目

检查项目

检查内容

ELB证书有效性检查

弹性负载均衡(Elastic Load Balance,ELB)支持两种类型的证书,服务器证书和CA证书。配置HTTPS监听器时,需要为监听器绑定服务器证书,如果开启双向认证功能,还需要绑定CA证书。

检查所有ELB中的证书是否有效可用。如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。

CDN证书有效性检查

通过配置加速域名的HTTPS证书,并将其部署在全网CDN节点,实现HTTPS安全加速。

检查CDN中证书是否均在有效期内,如果SSL证书过期且未及时更新,用户访问网站时会显示“网站的安全证书已过期”的告警信息。

SSL证书有效性检查

SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Socket Layer)证书管理平台。SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。SSL证书超出有效期,将无法正常使用SSL证书。

检查所有SSL证书(检查已签发状态SSL证书,如果SSL证书未签发则默认为检查合格)状态是否在有效期内。

RDS数据库绑定EIP时的安全设置检查

当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当RDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

DDS数据库绑定EIP时安全设置检查

当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当DDS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

DCS数据库绑定EIP时的安全设置检查

当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当DCS数据库配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

云数据库GaussDB绑定EIP时的安全设置检查

当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,需要最小化控制访问源以及开启SSL通道、更改默认数据库端口。

检查当云数据库GaussDB配置公网连接时,是否限制访问源以及开启SSL、更改默认端口。

RDS数据库绑定EIP检查

当云数据库RDS(Relational Database Service,简称RDS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当RDS数据库配置,是否开通公网连接方式。

DDS数据库绑定EIP检查

当文档数据库服务(Document Database Service)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当DDS数据库配置,是否开通公网连接方式。

DCS数据库绑定EIP检查

当分布式缓存服务(Distributed Cache Service,简称DCS)配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当DCS数据库配置,是否开通公网连接方式。

云数据库GaussDB绑定EIP检查

当云数据库GaussDB配置公网连接时,业务数据会在公网上进行传输,数据容易泄露,因此,不建议数据库开通公网连接方式。

检查当云数据库GaussDB配置,是否开通公网连接方式。

RDS数据库实例安全组规则检查

检查关系型数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。当源地址为0.0.0.0/0或空时,代表未设置IP访问的限制,数据库将会有高安全风险。不安全规则示例:方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1~65535或者数据库业务端口,如3306。

GaussDB数据库实例安全组规则检查

安全组入方向规则应满足最小化访问控制原则。

一般地,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

OBS桶服务端加密检查

OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将数据加密后存储到OBS桶中,提高数据的安全性。

检查所有OBS桶是否开启服务端加密。

OBS桶的ACL权限检查

OBS桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。

匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限,表示所有人无需经过任何身份验证即可访问OBS桶。

检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。

MySQL数据库实例root用户远程登录控制检查

MySQL数据库实例的root应做好远程登录的控制,限制仅应用端、DAS管理网段等业务需要方可登录,防止root账号被暴力破解。

RDS数据库实例安全组入方向规则检查

安全组入方向规则应满足最小化访问控制原则。

一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

检查云数据库(Relational Database Service,RDS)实例所关联的安全组入方向规则是否按最小化访问控制。

DCS数据库实例安全组入方向规则检查

安全组入方向规则应满足最小化访问控制原则。

一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组入方向规则是否按最小化访问控制。

DDS数据库实例安全组入方向规则检查

安全组入方向规则应满足最小化访问控制原则。

一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24

IPv6:源地址为::/0

检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组入方向规则是否按最小化访问控制。

RDS数据库实例安全组端口开放检查

检查云数据库(Relational Database Service,RDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。

不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如3306。

检查RDS实例是否开放非必要的端口。

DCS数据库实例安全组端口开放检查

检查分布式缓存服务(Distributed Cache Service,DCS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。

不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如6379。

检查DCS实例是否开放非必要的端口。

DDS数据库实例安全组端口开放检查

检查文档数据库服务(Document Database Service,DDS)实例所关联的安全组规则是否存在不安全规则,即检查安全组规则的允许范围是否超过使用范围。

不安全规则示例:方向为入方向,端口为1~65535或者非数据库业务端口,如8635。

检查DDS实例是否开放非必要的端口。

安全上云合规检查—事件响应

表6 事件响应风险项检查项目

检查项目

检查内容

云硬盘备份开启检查

云备份(Cloud Backup and Recovery)可以为云硬盘(Elastic Volume Service,EVS)提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。

检查所有是否开启云硬盘备份。

OBS桶跨区域复制检查

OBS跨区域复制能够提供跨区域数据容灾的能力,通过创建跨区域复制规则,在同一个账号下,将一个桶(源桶)中的数据自动、异步地复制到不同区域的另外一个桶(目标桶)中,满足用户数据复制到异地进行备份的需求。

检查所有OBS桶是否开启跨区域复制。

云审计服务关键操作通知启用检查

云审计服务在记录某些特定关键操作时,支持对这些关键操作通过消息通知服务实时向相关订阅者发送通知,该功能由云审计服务触发,消息通知服务(SMN)完成通知发送。

云日志服务LTS的日志转储(OBS/DIS)检查

主机和云服务的日志数据上报至云日志服务后,默认存储时间为7天。超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),云日志服务提供转储功能,可以将日志转储至其他云服务中进行长期保存。

检查LTS是否已配置日志转储(OBS/DIS)。

ECS/BMS实例的云服务器备份检查

云备份(Cloud Backup and Recovery, CBR)为云内的弹性云服务器(Elastic Cloud Server, ECS)、云耀云服务器(Hyper Elastic Cloud Server,HECS)、裸金属服务器(Bare Metal Server, BMS)(下文统称为服务器)提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。

检查ECS/BMS实例是否已开启云服务器备份。

RDS数据库实例备份检查

RDS数据库实例应开启自动备份功能,以保证数据可靠性。

检查RDS数据库实例是否已开启自动备份功能。

GaussDB数据库实例备份检查

GaussDB数据库实例应开启自动备份功能,以保证数据可靠性。

检查GaussDB数据库实例是否已开启自动备份功能。

WAF全量日志功能开启检查

启用WAF全量日志功能后,可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

检查WAF是否已启用全量日志功能。

WAF防护事件告警通知开启检查

通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户,以便在发生攻击时运维人员进行及时响应,告警频率、事件类型可以根据业务场景进行调整。

检查WAF防护事件是否已开启告警通知。

数据库安全审计日志备份检查

数据库安全审计支持将数据库的审计日志备份到OBS桶,实现高可用容灾,以便可以根据需要备份或恢复数据库审计日志。

检查数据库安全审计是否已配置日志备份。

数据库安全审计告警通知设置检查

通过设置告警通知,当数据库发生设置的告警事件时,您可以收到DBSS发送的告警通知,及时了解数据库的安全风险。

检查数据库安全审计是否设置告警通知。

云硬盘可用备份检查

云备份(Cloud Backup and Recovery)可以为云硬盘(Elastic Volume Service, EVS)提供简单易用的备份服务,当发生病毒入侵、人为误删除、软硬件故障等事件时,可将数据恢复到任意备份点。

检查云硬盘中是否有可用备份,以便用于恢复。

RDS数据库实例备份检查

云数据库(Relational Database Service,RDS)支持数据库实例的备份和恢复,以保证数据可靠性。RDS数据库实例默认开启数据自动备份策略,备份周期默认每天备份数据一次。

检查所有RDS实例,是否开启自动备份功能。

DDS数据库开启自动备份

文档数据库服务(Document Database Service,DDS)支持数据库实例的备份和恢复,以保证数据可靠性。DDS数据库实例开启数据自动备份策略后,备份周期默认每天备份数据一次。

检查所有DDS实例是否开启自动备份功能。

护网检查—安全套件覆盖

表7 安全套件覆盖风险项检查项目

检查项目

检查内容

主机防护状态检查

企业主机安全(Host Security Service,HSS)是提升主机整体安全性的服务,通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。

检查主机是否已开启防护。

主机Agent状态检查

企业主机安全(Host Security Service,HSS)是一个用于全面保障主机整体安全的服务,能帮助您高效管理主机的安全状态,并构建服务器安全体系,降低当前服务器面临的主要安全风险。

在主机中安装Agent后,您的主机才能受到HSS的保护。

检查主机Agent是否为在线状态。

主机安全检测状态检查

企业主机安全(Host Security Service,HSS)将实时检测主机中的风险和异常操作,在每日凌晨将对主机执行全面扫描。执行配置检测后,您可以根据检测结果中的相关信息,修复主机中含有风险的配置项或忽略可信任的配置项。

检查主机的检测结果是否存在异常。

WAF(云模式)基础防护配置检查

Web基础防护开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。

检查WAF在云模式下是否已开启Web基础防护。

WAF(云模式)防护策略配置检查

Web基础防护支持“拦截”(发现攻击行为后立即阻断并记录)和“仅记录”(发现攻击行为后只记录不阻断攻击)模式,检测版仅支持“仅记录”模式。

WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式,开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。

检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。

WAF(独享模式)基础防护配置检查

Web基础防护开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。

检查WAF在独享模式下是否已开启Web基础防护。

WAF(独享模式)防护策略配置检查

Web基础防护支持“拦截”(发现攻击行为后立即阻断并记录)和“仅记录”(发现攻击行为后只记录不阻断攻击)模式,检测版仅支持“仅记录”模式。

WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式,开启后,默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。

检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。

主机Agent版本检查

在主机中安装Agent后,您的主机将受到HSS云端防护中心全方位的安全保障,在安全控制台可视化界面上,您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。

企业主机安全有基础版、企业版、旗舰版和网页防篡改版四个版本。

基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。

检查所有主机Agent是否为企业版及以上版本。

护网检查—账号加固

表8 账号加固风险项检查项目

检查项目

检查内容

管理员账号AK/SK启用检查

访问密钥(AK/SK,Access Key ID/Secret Access Key)是账号的长期身份凭证。

由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账号不启用AK/SK身份凭证。

检查管理员账户是否启用访问密钥。

主机弱密码检查

HSS提供基线检查功能,主动检测主机中口令复杂度策略,给出修改建议,帮助用户提升口令安全性检测口令是否属于常用的弱口令,针对弱口令提示用户修改,防止账户口令被轻易猜解。

检查主机是否存在弱口令。

委托账号检查

通过创建委托,可以将资源共享给其他账号,或委托更专业的人或团队来代为管理资源。被委托方使用自己的账号登录后,切换到委托方账号,即可管理委托方委托的资源,避免委托方共享自己的安全凭证(密码/密钥)给他人,确保账号安全。

在云服务环境中,如果创建委托给个人账号,可能会导致不可信,因此不建议委托给个人账号。

检查是否存在个人委托账号。

全局服务中的委托权限配置检查

检查全局服务中的委托权限是否存在Security Administrator,Tenant Administrator。

项目服务中的委托权限配置检查

检查项目服务中的委托权限是否存在Security Administrator,Tenant Administrator。

护网检查—主机加固

表9 主机加固风险项检查项目

检查项目

检查内容

主机高危端口暴露检查

HSS提供资产管理功能,主动检测主机中的开放端口,及时发现主机中含有风险的各项资产。

如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。

检查所有主机是否在对外开放或未最小化开放的高危端口。

CCE集群Kubernetes版本检查

云容器引擎(Cloud Container Engine,简称CCE)提供高度可扩展的、高性能的企业级Kubernetes集群,支持运行Docker容器。借助云容器引擎,您可以在华为云上轻松部署、管理和扩展容器化应用程序。

当CCE集群Kubernetes版本低于1.15,有安全漏洞风险,建议您进行升级。

检查CCE集群Kubernetes版本是否在1.15以下。

VPC配置(对等连接)检查

对等连接是指两个VPC之间的网络连接。您可以使用私有IP地址在两个VPC之间进行通信,就像两个VPC在同一个网络中一样。您可以在自己的VPC之间创建对等连接,也可以在自己的VPC与同一区域内其他的VPC之间创建对等连接。

检查VPC是否已经创建对等连接,如果已创建,则检查是否开放或未最小化高危端口。

VPC配置(VPN网关)检查

VPN网关是虚拟私有云中建立的出口网关设备,通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。

检查VPC是否已经创建了VPN网关。

护网检查—Sudo漏洞

表10 Sudo漏洞风险项检查项目

检查项目

检查内容

检查主机是否存在Sudo漏洞

HSS提供漏洞管理功能,检测Linux软件漏洞,通过与漏洞库进行比对,检测出系统和官方软件(非绿色版、非自行编译安装版;例如:SSH、OpenSSL、Apache、MySQL等)存在的漏洞,帮助用户识别出存在的风险。

检查所有主机是否存在Sudo漏洞。

护网检查—访问控制

表11 访问控制风险项检查项目

检查项目

检查内容

安全组入方向规则控制检查

安全组入方向规则应满足最小化访问控制原则。

一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24。

IPv4:源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24。

IPv6:源地址为::/0。

护网检查—敏感信息排查

表12 敏感信息排查风险项检查项目

检查项目

检查内容

OBS桶的ACL权限检查

OBS桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。

匿名用户指未注册华为云的普通访客。如果OBS桶的ACL赋予了匿名用户桶的访问权限或ACL访问权限,表示所有人无需经过任何身份验证即可访问OBS桶。

检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。

OBS桶日志记录启用检查

对象存储服务(Object Storage Service,OBS)的桶日志记录,指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。

检查所有OBS桶,是否开启日志记录功能。

数据库中敏感信息检查

数据安全中心服务(Data Security Center,DSC)根据敏感数据发现策略来识别数据库中的敏感数据,基于多种预置脱敏算法+用户自定义脱敏算法,实现全栈敏感数据防护。

检查数据库中是否存在敏感信息。

OBS中敏感信息检查

数据安全中心服务(Data Security Center,DSC)根据敏感数据发现策略来识别数据库中的敏感数据,基于多种预置脱敏算法+用户自定义脱敏算法,实现全栈敏感数据防护。

检查OBS中是否存在敏感信息。

ES中敏感信息检查

数据安全中心服务(Data Security Center,DSC)根据敏感数据发现策略来识别数据库中的敏感数据,基于多种预置脱敏算法+用户自定义脱敏算法,实现全栈敏感数据防护。

检查ES中是否存在敏感信息。

华为云安全配置基线—网络

表13 网络风险项检查项

检查子项目

检查项目

确保限制SSH的Internet公网访问

SSH协议多作用于远程连接并管理主机,默认端口为22,在网络攻击中经常作为资源扫描和暴力破解的入口。

配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的SSH协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。

确保安全组不允许源地址0.0.0.0/0访问远程管理端口及高危端口

配置VPC安全组规则时,建议在安全组入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。

源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。

高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。

远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。

确保子网ACL不允许源地址0.0.0.0/0访问远程管理端口及高危端口

配置VPC子网的网络ACL规则时,建议在网络ACL入方向规则中不应该对外远程管理端口、高危端口,如业务所必需,建议根据最小化开放原则开放此类端口。

源地址为 0.0.0.0/0 或::/0,公网地址掩码小于32以及内网地址掩码小于24即被视为不满足最小化访问控制原则。

高危端口至少包括:20、21、135、137、138、139、445、389、593、1025。

远程管理端口包括:23、177、513、4899、6000~6063、5900、5901。

确保限制RDP的Internet公网访问

RDP协议作用于远程桌面连接并管理主机,默认端口为3389,在网络攻击中经常作为资源扫描和暴力破解的入口。配置VPC子网的网络ACL规则/安全组时,禁止配置源地址为 0.0.0.0/0 或者::/0 的RDP协议相关端口规则。如业务所必须,需要按照白名单的形式配置特定的源IP。

启用ELB监听器的访问控制

ELB负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。

访问流量的IP先通过白名单或黑名单访问控制,然后负载均衡转发流量,通过安全组安全规则限制,所以安全组的规则设置是不会影响负载均衡的白名单或黑名单设置访问控制。

访问控制只限制实际业务的流量转发,不限制ping命令操作,被限制的IP仍可以ping通后端服务器。

对于共享型负载均衡实例来说,需要创建监听器并添加后端云服务器,才可以ping通。

对于独享型负载均衡实例来说,创建完监听器,不需要添加后端云服务器,即可以ping通。

确保VPC对等连接满足最小化访问控制

对等连接是指两个VPC之间的网络连接,对于对等连接的路由应该满足最小访问权限原则。

建议本端路由的目的地址最好限定在最小子网网段内,对端路由的目的地址最好限定在最小子网网段内。

华为云安全配置基线—身份与访问管理

表14 身份与访问管理风险项检查项

检查子项目

检查项目

设置初始IAM用户时,避免对具有控制台密码的用户设置访问密钥

为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不要设置访问密钥。

启用访问密钥保护

为了提高账号资源的安全性,需开启访问密钥保护功能。“访问密钥保护”功能默认为关闭状态。开启该功能后,仅管理员才可以创建、启用/停用或删除 IAM 用户的访问密钥。

启用用户登录保护

为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,用户可在 IAM 的安全设置中开启登录保护。开启后用户登录时除了需要口令认证还需要通过虚拟 MFA 或短信或邮件验证,以再次确认登录者身份。

确保IAM密码每180天或更短时间轮换一次

IAM 用户的密码有效期策略必须设置,建议满足以下要求:

设置密码过期后,系统强制要求修改密码(密码有效期设置为 180 天或更短时间)。

确保设置密码最短使用时间

IAM 用户密码最短使用时间策略必须设置,建议满足以下要求:

设置密码最短使用时间,必须超过设置的时间,才能进行修改(最短使用时间设置为 5 分钟)。

确保IAM密码策略要求最小长度为8或更大

密码策略

IAM 用户的密码策略应设置强密码策略,建议满足以下要求:

密码长度不小于 8 位。

启用用户操作保护

为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。

确保任何单个IAM用户仅有一个可用的活动访问密钥

为了提高账号资源的安全性,建议单个 IAM 用户仅有一个可用的活动访问密钥。

确保IAM密码策略要求符合密码复杂度

IAM 用户的密码策略应设置强密码策略,建议满足以下要求:

  • 包含以下字符中的 3-4 种:大写字母、小写字母、数字和特殊字符。
  • 密码中允许同一字符连续出现次数(最大次数设置为1)。

确保管理员账号已启用MFA

虚拟Multi-Factor Authentication(MFA)是多因素认证方式的一种,用户需要先在智能设备上安装一个MFA应用程序(例如:“华为云”手机应用程序),才能绑定虚拟MFA设备。绑定MFA后,用户在登录时或进行敏感操作前需输入MFA随机产生的6位数字认证码。MFA设备可以基于硬件也可以基于软件,目前华为云仅支持基于软件的虚拟MFA。用户登录Console控制台必须启用MFA,保证安全登录。

确保IAM密码策略防止密码重复使用

IAM 用户的密码策略应设置强密码策略,建议满足以下要求:

新密码不能与最近的历史密码相同(重复次数设置为 3)。

配置IAM的网络访问控制策略

管理员可以设置访问控制策略,限制用户只能从特定 IP 地址区间、网段及 VPC Endpoint 访问华为云:

  1. 允许访问的 IP 地址区间:限制用户只能从设定范围内的 IP 地址访问华为云,可以在0.0.0.0~255.255.255.255 之间设置。默认值为0.0.0.0~255.255.255.255。如不设置或设置为默认值,意味着用户的 IAM 用户可以从任意地方访问华为云。
  2. 允许访问的 IP 地址或网段:限制用户只能从设定的 IP 地址或网段访问华为云,例如:10.10.10.10/32。
  3. 允许访问的 VPC Endpoint:仅在“API 访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API,例如:0ccad098-b8f4-495a-9b10-613e2a5exxxx 访问控制生效条件:
    1. 控制台访问:仅对账号下的IAM用户登录对应的控制台生效,对账号本身不生效。
    2. API 访问:仅对账号下的IAM用户通过API网关访问API接口生效,修改后2小时内生效。

确保管理员账号禁用AK/SK

为了进一步提高账号安全性,有效确保用户安全地使用云产品,用户可在 IAM 中开启操作保护。开启后,主账号及子用户在控制台进行敏感操作时(例如:删除弹性云服务器、弹性 IP 解绑等),将通过虚拟 MFA 或手机短信或邮件再次确认操作者的身份。

确保不创建允许“*:*”管理权限的IAM策略

为了提高账号资源的安全性,不创建允许“*:*”管理权限的 IAM 策略。

配置登录验证策略

管理员可以设置登录验证策略,包括“会话超时策略”、“账号锁定策略”、“账号停用策略”、“最近登录提示”、“登录验证提示”。

  1. 会话超时策略:如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。管理员可以设置会话超时的时长,会话超时时长默认为1个小时,可以在15分钟~24小时之间进行设置。
  2. 账号锁定策略:如果在限定时间长度内达到登录失败次数后,用户会被锁定一段时间,锁定时间结束后,才能重新登录。管理员可以设置账号锁定时长、锁定前允许的最大登录失败次数、重置账号锁定计数器的时间:
    • 账号锁定时长(分钟):默认为 15 分钟,可以在 15~30 分钟之间进行设置。
    • 锁定前允许的最大登录失败次数:默认为 5 次,可以在 3~10 次之间进行设置。
    • 重置账号锁定计数器的时间:默认为 15 分钟,可以在 15~60 分钟之间进行设置。
  3. 账号停用策略:如果 IAM 用户在设置的有效期内没有通过界面控制台或者API访问华为云,将会被停用。账号停用策略默认关闭,管理员可以选择开启,并在 1~240 天之间进行设置。该策略仅对账号下的 IAM 用户生效,对账号本身不生效。IAM用户被停用后,可以联系管理员重新启用。
  4. 最近登录提示:如果开启最近登录提示,用户登录成功后,将在“登录验证”页面中看到上次登录成功时间,最近登录提示可以帮助用户查看是否存在异常登录信息,如果存在不是本人的登录信息,建议立即修改密码。最近登录提示默认关闭,管理员可以选择开启。
  5. 登录验证提示:管理员可以在最近登录提示中进行公告,例如欢迎语,或者提示用户谨慎删除资源等。登录验证提示默认关闭,管理员可以选择开启。开启后,用户将在“登录验证”页面中看到公告信息。

确保不创建非管理员权限的IAM用户

“admin”为缺省用户,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为了更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。

华为云安全配置基线—安全

表15 安全风险项检查项

检查子项目

检查项目

启用勒索病毒防护(旗舰版/容器版/网页防篡改版)

勒索病毒入侵主机后,会对主机数据进行加密勒索,导致主机业务中断、数据泄露或丢失,主机所有者即使支付赎金也可能难以挽回所有损失,因此勒索病毒是当今网络安全面临的最大挑战之一。企业主机安全支持静态、动态勒索病毒防护,定期备份主机数据,可以帮助您抵御勒索病毒,降低业务损失风险。

启用CBH并开启多因子认证

启用云堡垒机(Cloud Bastion Host,CBH)可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。为了进一步提高堡垒机账号安全性,用户可启用云堡垒机服务(CBH)的多因子认证功能。启用后,用户通过Web浏览器或SSH客户端登录CBH实例时需进行多因子认证。多因子认证方式包括:手机短信、手机令牌、USBKey、动态令牌。

启用企业主机安全 HSS(基础版/专业版/企业版/旗舰版)

主机实例(例如:ECS、BMS)应安装企业主机安全防护(HSS)且开启防护,全面识别并管理主机资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系。

启用WAF防护事件告警通知

通过对攻击日志进行通知设置,WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式(例如邮件或短信)发送给用户。

配置WAF回源IP(源站服务器部署在ECS)

回源 IP是WAF用来代理客户端请求服务器时用的源 IP,在服务器看来,接入WAF后所有源 IP都会变更为WAF的回源 IP,真实的客户端 IP会被加载HTTP头部的字段中。当WAF后未配置ELB,应配置只允许WAF的回源 IP访问ECS。

启用SecMaster高危告警自动通知

启用安全云脑(SecMaster)的高危告警自动通知,当检测到高危告警时,用户可以及时收到邮件/短信通知,从而快速处置和响应。

启用WAF对Web基础防护的拦截模式

Web基础防护支持“拦截”和“仅记录”模式。“仅记录”模式仅会记录攻击行为,并不会对攻击行为进行阻断,建议开启Web基础防护的“拦截”模式,以在发现攻击后立即阻断并记录。

启用云防火墙 CFW功能

对于有弹性公网 IP(EIP)对外暴露业务的用户,建议启用云防火墙(CFW)。启用后,所有经过EIP的公网出入流量都会先经过CFW,恶意攻击流量会被CFW检测并阻断,而正常流量返回给业务服务器,从而确保业务服务器安全、稳定、可用。

启用Web应用防火墙功能

对于有Web业务的用户,要求启用Web应用防火墙服务(WAF)。启用后,网站所有的公网流量都会先经过WAF,恶意攻击流量会被WAF检测并过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。

启用CFW告警通知

通过创建告警规则完成对日志的实时监控,当日志中的出现满足设定规则时产生告警,并通过短信或邮件的方式通知用户,可以用来实时监控日志中出现的异常信息。

启用DEW凭据托管功能

启用数据加密服务(Data Encryption Workshop,DEW)凭据托管功能,实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。

配置WAF地理位置访问策略

用户可以通过WAF配置地理位置访问控制规则,以实现对指定国家、地区的来源IP的自定义访问控制。

配置WAF回源IP(源站服务器部署在ELB)

回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变更WAF的回源IP,真实的客户端IP会被加载HTTP头部的字段中。当WAF后配置了ELB,应配置只允许WAF的回源IP访问ELB。

启用HSS网页防篡改功能

应开启HSS中的网络防篡改防护,以保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。

华为云安全配置基线—日志与监控

表16 日志与监控风险项检查项

检查子项目

检查项目

启用RDS数据库审计功能

当用户开通SQL审计功能,系统会将所有的SQL操作记录下来存入日志文件,方便用户下载并查询。SQL审计功能默认关闭,启用该功能可能会有一定的性能影响。

启用DBSS数据库安全审计告警通知功能

通过设置告警通知,当数据库发生设置的告警事件时,用户可以收到DBSS发送的告警通知,及时了解数据库的安全风险。否则,无论是否有危险,用户都只能登录管理控制台自行查看,无法收到告警信息。

启用DBSS数据库安全审计功能

数据库应开通数据库审计功能,数据库安全服务(DBSS)的数据库安全审计提供旁路模式审计功能,通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警,对数据库的内部违规和不正当操作进行定位追责。

确保存储日志的OBS桶为非公开可读

确保存储审计日志的桶,非公开可读,防止审计日志被非法访问。

启用CTS

用户开通云审计服务(CTS)后,系统会自动创建一个追踪器,该追踪器会自动识别并关联当前租户所使用的所有云服务,并将当前租户的所有操作记录在该追踪器中。CTS服务具备对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。

启用CTS的关键操作通知功能

关键操作包含高危操作(重启虚拟机、变更安全配置等)、成本敏感操作(创建、删除高价资源等)、业务敏感操作(网络配置变更等)。下面列出部分云服务的关键操作项:

  • IAM:createUser、deleteUser、createAgency、DeleteAgency 等
  • ECS:rebootServer、updateSecurityGroup、removeSecurityGroup 等
  • VPC:modifySecurityGroup 等
  • CTS:updateTracker、deleteTracker 等
  • OBS:setBucketAcl、setBucketPolicy 等

启用CTS的关键操作通知功能后,CTS会对这些关键操作通过消息通知服务(SMN)实时向相关订阅者发送通知,该功能由CTS触发,SMN完成通知发送。

CTS中需要开启关键操作通知,配置操作类型建议设置为自定义(包括删除、创建、登录)。在录入某些关键操作时,CTS可以通过SMN实时向订阅者发送通知。该功能由CTS触发,SMN发送通知。如Root Login,即企业管理员有登录事件时发送通知;或CTS更改意味着当CTS跟踪器发生更改时发送通知。

启用OBS桶日志功能

出于分析或审计等目的,用户可以开启 OBS 桶日志记录功能。通过访问日志记录,桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。当用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶中。

开启日志文件加密存储

将审计日志转储到OBS,可以配置加密存储,防止文件被非法访问。

启用WAF全量日志功能

启用WAF全量日志功能后,可以将攻击日志、访问日志记录到LTS中。通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。开启全量日志功能是将WAF日志记录到LTS,不影响WAF性能。

启用LTS日志转储

主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此,对于需要长期存储的日志数据,应在LTS中配置日志转储。LTS支持将日志转储至以下云服务:

  • OBS:提供日志存储功能,长期保存日志。
  • 数据接入服务(DIS):提供日志长期存储能力和丰富的大数据分析能力。

启用VPC流量日志功能

VPC流日志功能可以记录虚拟私有云中的流量信息,帮助用户优化安全组和防火墙控制规则、监控网络流量、进行网络攻击分析等。当用户想要了解虚拟私有云网卡的流量详情时,用户可以通过LTS实时查看虚拟私有云的网卡日志数据。

启用LTS主机全量日志功能

当用户选择了主机接入方式时,LTS可以将主机待采集日志的路径配置到日志流中,ICAgent将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位发往LTS,用户可以在LTS控制台实时查看日志。

确保LTS存储时长满足需求

主机和云服务的日志数据上报至云日志服务(LTS)后,在默认存储事件过期后会被自动删除。因此,需要用户根据业务需求配置存储时长。

启用ELB访问日志记录功能

ELB在外部流量分发时,会记录HTTP(S)详细的访问日志记录,如URI请求、客户端 IP和端口、状态码。ELB日志可用于审计,也可用于通过时间和日志中的关键词信息搜索日志,同时,也可以通过各种SQL聚合函数来分析某段时间内的外部请求统计数据,以掌握真实用户的网站使用频率等。

启用FuctionGraph函数日志功能

出于分析或审计等目的,用户可以开启FunctionGraph日志功能。通过访问日志记录,函数的拥有者可以分析函数执行过程,快速定位问题。

启用CFW日志管理能力

将攻击事件日志、访问控制日志、流量日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的CFW日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

开启日志文件完整性校验

将审计日志转储到OBS,可以同步开启文件校验,保障审计文件的完整性,防止文件被篡改。

华为云安全配置基线—虚拟机与容器

表17 虚拟机与容器风险项检查项

检查子项目

检查项目

云容器引擎 CCE

启用HSS的容器安全版

企业主机安全(Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、容器安全和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。推荐启用HSS服务保护CCE集群中的Node节点及之上的容器。

禁止容器获取宿主机元数据

租户使用CCE集群作为共享资源池来构建高阶服务,且允许高阶服务的最终用户在集群中创建不可控的容器负载时,应限制容器访问所在宿主机的元数据。

启用LTS服务并采集容器日志

云日志服务(Log Tank Service,简称LTS)用于收集来自主机和云服务的日志数据,通过海量日志数据的分析与处理,可以将云服务和应用程序的可用性和性能最大化,为您提供实时、高效、安全的日志处理能力,帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。

建议统一采集容器日志(包括容器标准输出、容器内的日志文件、节点日志文件和Kubernetes事件)并上报到LTS。

禁止使用CCE已经EOS的K8S集群版本

集群版本EOS后,CCE将不再支持对该版本的集群创建,同时不提供相应的技术支持,包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持,不再适用于CCE服务SLA保障。

请留意CCE Console公告栏或CCE官方资料中的Kubernetes版本策略,在集群生命周期截止前参考集群升级等资料及时完成升级。

集群apiserver不要暴露到公网

Kubernetes API具备访问控制能力,但偶尔存在一些无访问控制的CVE漏洞,同时为减少攻击者刺探Kubernetes API版本,建议非必须不要为集群绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。

限制业务容器访问管理面

在节点上的业务容器无需访问kube-apiserver时,建议禁止节点上的容器网络流量访问到kube-apiserver。

及时处置CCE在官网发布的漏洞

CCE服务会不定期发布涉及的漏洞,用户需及时关注和处理。对于高危漏洞,当Kubernetes社区发现漏洞并发布修复方案后,CCE一般在1个月内进行修复,修复策略与社区保持一致。在CCE官方未彻底修复漏洞前,请租户参考CCE官方提供的消减措施为最大化降低漏洞带来的影响。

集群节点不要暴露到公网

节点对公网暴露后,攻击者可通过互联网发起攻击,攻破节点后可能会进一步控制集群。

如非必需,集群节点不建议绑定EIP,以减少攻击面。在必须绑定EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。

在使用CCE集群过程中,由于业务场景需要,在节点上配置了kubeconfig.json文件,kubectl使用该文件中的证书和私钥信息可以控制整个集群。在不需要时,请清理节点上的/root/.kube目录下的目录文件,防止被恶意用户利用:

rm -rf /root/.kube

加固K8S集群所在VPC的安全组规则

CCE作为通用的容器平台,安全组规则的设置适用于通用场景。用户可根据安全需求,通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。

弹性云服务器 ECS

确保ECS内的重置密码插件更新到最新版本

弹性云服务器提供一键式重置密码功能。当弹性云服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给弹性云服务器设置新密码。及时更新重置密码插件可确保漏洞及时得到修复。

在ECS内设置防火墙策略限制对元数据的访问

弹性云服务器元数据包含了弹性云服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。

在ECS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。

确保私有镜像开启了加密

镜像加密支持私有镜像的加密。在创建弹性云服务器时,用户如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,从而实现弹性云服务器系统盘的加密。

使用密钥对安全登录ECS

密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。

密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。

由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解造成的账户密码泄露,从而提高Linux云服务器的安全性。

裸金属服务器 BMS

使用密钥对安全登录BMS

密钥对,即SSH密钥对,是为用户提供远程登录云服务器的认证方式,是一种区别于传统的用户名和密码登录的认证方式。

密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。

由于密钥对可以让用户无需输入密码登录到Linux云服务器,因此,可以防止由于密码被拦截、破解,造成的账户密码泄露,从而提高Linux云服务器的安全性。

确保BMS内的重置密码插件更新到最新版本

裸金属服务器提供一键式重置密码功能。当裸金属服务器的密码丢失或过期时,如果提前安装了一键式重置密码插件,则可以应用一键式重置密码功能,给裸金属服务器设置新密码。

及时更新重置密码插件可确保漏洞及时得到修复。

在BMS内设置防火墙策略限制对元数据的访问

裸金属服务器元数据包含了裸金属服务器在云平台的基本信息,例如云服务 ID、主机名、网络信息等,亦可能包含敏感信息,GuestOS的多用户设计会导致元数据访问范围开放过大,租户APP的SSRF漏洞也可能导致元数据泄露。

在BMS内设置防火墙策略限制对元数据的访问,可以限制元数据访问范围,消减元数据泄露风险。

华为云安全配置基线—数据库

表18 数据库风险项检查项

检查子项目

检查项目

RDS for MySQL

配置合理的安全组规则

安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,保障数据库的安全性和稳定性。

避免绑定EIP直接通过互联网访问

避免RDS for MySQL部署在互联网或者DMZ里,应该将RDS for MySQL部署在公司内部网络,使用路由器或者防火墙技术把RDS for MySQL保护起来,避免直接绑定EIP方式从互联网访问RDS for MySQL。通过这种方式防止未授权的访问及DDoS攻击等。

开启加密通信

如果未启用TLS加密连接,那么在MySQL客户端和服务器之间以明文形式传输数据,容易受到窃听、篡改和“中间人”攻击。如果您是通过像Internet这样的非安全网络连接到MySQL服务器,那么启用TLS加密连接就显得非常重要。

禁止使用默认端口

MySQL的默认端口是3306,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。

开启透明数据加密功能

对数据文件执行实时 I/O 加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密,能有效保护数据库及数据文件的安全。

数据库版本更新到最新版本

MySQL社区有新发CVE漏洞时,会及时分析漏洞的影响,依据漏洞实际风险的影响大小决定补丁发布计划。建议及时升级修复,避免漏洞影响数据的安全。

开启数据库审计日志

审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。

RDS for PostgreSQL 数据库

开启备份功能设置合理的备份策略

定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。

开启用户登录时日志记录功能

为了保证数据库的安全性和可追溯性,登录者所有的操作都会记录,以达到安全审计的目的。log_connections可以记录每次尝试连接到服务器的连接认证日志,log_disconnections记录用户注销时的日志,当受到攻击或者内部员工误操作而造成重要的数据丢失时,能够及时定位登录的IP地址。

禁止使用默认端口

PostgreSQL的默认端口是5432,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。

配置合理的安全组规则

安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,保障数据库的安全性和稳定性。

配置客户端认证超时时间

authentication_timeout控制完成客户端认证的时间上限,单位是秒。该参数可以防止客户端长时间占用连接通道,默认是60s。

限制连接数据库的IP地址

如果对连接数据库的IP地址不设置限制,全网都可访问,直接会增大攻击面。

开启数据库审计日志

通过将PostgreSQL审计扩展(pgAudit)与RDS for PostgreSQL数据库实例一起使用,可以记录用户对数据库的所有相关操作,通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。

数据库版本更新到最新版本

PostgreSQL社区当前 9.5/9.6/10 版本已经EOL,社区已不再维护,云上 9.5/9.6 版本已经发布EOS公告。使用较老的版本可能存在漏洞,运行最新版本的软件可以避免受到某些攻击。

GaussDB 数据库

数据库连接的最大并发连接数配置

如果GaussDB连接数过高,会消耗服务器大量资源,导致操作响应变慢,同时要根据操作系统环境来设置最大连接数,如果高于操作系统接收的最大线程数,设置无效。

通过设置最大连接数,可以避免出现DDoS攻击,同时可以用最合理的方式利用系统的资源,达到最佳的OPS响应能力。

权限管理

防止PUBLIC拥有CREATE权限,导致数据库任何账户都可以在PUBLIC模式下创建表或者其他数据库对象,需要对PUBLIC的权限进行限制

开启数据库审计日志

审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。

安全认证配置

为了保证用户体验,同时为了防止账户被人通过暴力破解,GaussDB设置了账户登录重试次数及失败后自动解锁时间的保护措施。

用户密码的安全策略

用户密码存储在系统表pg_authid中,为防止用户密码泄露,GaussDB对用户密码进行加密存储,所采用的加密算法由配置参数password_encryption_type决定;

GaussDB数据库用户的密码都有密码有效期,可以通过参数password_notify_time提醒客户修改密码,如果需要修改密码有效期,可以通过修改password_effect_time来更改。

WAL归档配置

WAL(Write Ahead Log)即预写式日志,也称为Xlog。

开启备份功能设置合理的备份策略

当数据库或表被恶意或误删除,虽然GaussDB支持高可用,但备机数据库会被同步删除且无法还原。因此,数据被删除后只能依赖于实例的备份保障数据安全。

DDS 文档数据库

开启加密通信

如果未启用TLS加密连接,那么在MongoDB客户端和服务器之间以明文形式传输数据,容易受到窃听、篡改和“中间人”攻击。

如果您是通过像Internet这样的非安全网络连接到MongoDB服务器,那么启用TLS加密连接就显得非常重要。

开启备份功能设置合理的备份策略

DDS实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。

禁止使用默认端口

MongoDB的默认端口是27017,使用默认端口容易被监听,存在安全隐患,推荐使用非默认端口。

补丁升级

DDS支持补丁升级,版本升级涉及新功能添加、问题修复,同时可以提升安全能力、性能水平。

关闭脚本运行功能

启用javascriptEnabled选项security.javascriptEnabled,可以在mongodb服务端运行javascript脚本,存在安全风险,禁用javascriptEnabled选项,mapreduce、group命令等将无法使用。

如果您的应用中没有mapreduce等操作的需求,为了安全起见,建议关闭javascriptEnabled选项。

设置秒级监控和告警规则

DDS默认支持对实例进行监控,当监控指标的值超出设置的阈值时就会触发告警,系统会通过SMN自动发送报警通知给云账号联系人,帮助您及时了解DDS实例的运行状况。

限制最大连接数

如果MongoDB的连接数过高,首先会消耗服务器过多的资源,导致ops(query、insert、update、delete)等反应变慢,同时要根据操作系统环境来设置最大连接数,如果高于操作系统接收的最大线程数,设置无效。通过设置最大连接数,可以避免出现DOS攻击,同时可以用最合理的方式利用系统的资源,达到最佳的OPS响应能力。

开启数据库审计日志

审计功能可以记录用户对数据库的所有相关操作。通过查看审计日志,您可以对数据库进行安全审计、故障根因分析等操作,提高系统运维效率。

开启磁盘加密

通过启用磁盘加密,可以提高数据安全性,但对数据库读写性能有少量影响。

华为云安全配置基线—存储

表19 存储风险项检查项

检查子项目

检查项目

对象存储服务 OBS

使用OBS的服务端加密存储对象

启用OBS桶的服务端加密后,用户在上传对象时,数据会在服务端加密成密文后存储。

合规场景开启WORM功能

OBS提供了合规模式的WORM(Write Once Read Many)功能,即一次写入多次读取,可以确保指定时间内不能覆盖或删除指定对象版本的数据。

在需要在线预览OBS对象的场景使用自定义域名

基于安全合规要求,华为云对象存储服务 OBS禁止通过OBS的默认域名在线预览桶内对象,即使用上述域名从浏览器访问桶内对象(如视频、图片、网页等)时,不会显示对象内容,而是以附件形式下载;在用户需要在线预览OBS对象的场景,建议使用自定义域名实现。

禁用匿名访问

OBS桶对于匿名用户禁用对外公开访问的权限,可以防止桶中数据被开放给所有人,保护私有数据不泄露(静态网站等需要对外开放的场景例外)。

使用OBS的数据临时分享功能来快速分享指定数据

当需要将存放在OBS中对象(文件或文件夹)分享给其他用户时,可以使用OBS的数据临时分享功能,分享的URL可指定有效期,过期自动失效。

使用双端固定对OBS的资源进行权限控制

设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源,设置桶策略可以限定OBS中的桶被特定VPC中的服务器访问,实现访问控制的双向限定。

启用多版本控制功能

利用OBS多版本控制功能,可以在一个桶中保留一个对象的多个版本,提升数据异常场景快速恢复能力。

启用防盗链功能

建议启动OBS提供的防盗链能力,可以防止用户在OBS的数据被其他人盗链。

使用桶策略限制对OBS桶的访问必须使用HTTPS协议

通过桶策略中的SecureTransport条件限制必须使用HTTPS协议对该桶进行操作,可确保数据上传下载的传输安全。

避免在私有桶创建公开对象

避免在OBS桶中对匿名用户提供对象的公共读权限,可以防止对象被对外开放给所有人员,防止对象数据泄漏。

启用跨区域复制功能

启用跨区域复制功能,可为用户提供的跨区域数据容灾能力。

弹性文件服务 SFS

确保SFS Turbo文件系统是加密的

SFS Turbo文件系统加密保护您的静态数据。SFS Turbo文件系统加密特性在数据从您的应用写入到SFS Turbo文件系统时自动加密,从SFS Turbo文件系统读取数据时自动解密。

云硬盘 EVS

确保云硬盘是加密的

云硬盘加密保护您的静态数据。云硬盘加密特性在数据从云服务器写入到云硬盘时自动加密,从云硬盘读取数据时自动解密。

云备份 CBR

开启跨区域复制备份功能

开启跨区域复制功能,更安全可靠。

开启强制备份

开启强制备份,最大限度保障用户数据的安全性和正确性,确保业务安全。

备份数据删除建议开启二次确认

为防止备份数据误删,建议开启二次确认机制。

承载备份数据的云硬盘选择加密盘

CBR备份磁盘可选为加密磁盘,成为加密备份。此特性无法手动加密和取消加密备份。

华为云安全配置基线—企业智能

表20 企业智能风险项检查项

检查子项目

检查项目

云数据仓库 DWS

开启集群数据加密功能

DWS可以为集群启用数据库加密,以保护静态数据,避免拖库等安全问题。

开启DWS数据库审计日志

DWS支持数据库操作审计日志,与管控面的审计互相独立,可以记录数据库内部各个用户的操作记录。

建议按需开启需要记录的操作日志,方便追溯历史数据的操作,保证数据安全。

开启DWS管理控制台审计日志

GaussDB(DWS)通过云审计服务(Cloud Trace Service,CTS)记录GaussDB(DWS)管理控制台的关键操作事件,比如创建集群、创建快照、扩容集群、重启集群等。

记录的日志可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。开启后方便进行控制台操作审计及问题定位。

开启DWS数据库审计日志转储

DWS的数据库审计日志可以记录数据库中的连接和用户活动相关信息。这些审计日志信息有助于监控数据库以确保安全或进行故障排除或定位历史操作记录,默认存储在数据库中。可以将审计日志转储到OBS中,确保审计日志有备份,且更方便用户操作查看审计日志。

开启DWS三权分立模式

默认情况下,创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员,能够创建其他用户和查看数据库的审计日志,即权限不分立,三权分立模式为关闭。

为了保护集群数据的安全,GaussDB(DWS)支持对集群设置三权分立,使用不同类型的用户分别控制不同权限的模式。

开启SSL加密传输功能

SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输,建议配置开启。

AI 开发平台 ModelArts

使用IP白名单的方式接入notebook

Notebook实例支持通过SSH方式直接连接,通过keypair方式进行认证。除此之外,对于安全性要求更强的用户,建议配置IP白名单的方式,进一步限制能接入该实例的终端节点。

对不同的子用户,使用独立的委托

要使用ModelArts的资源,需要得到用户的委托授权。

为了控制各子用户之间权限,建议租户在ModelArts全局配置功能中给各子用户分配委托权限时,分开授权,不要多个子用户共用一个委托凭证。

使用专属资源池

在使用训练、推理、开发环境时,建议生产环境下使用专属资源池,它在提供独享的计算资源情况下,还可以提供更强更安全的资源隔离能力。

自定义镜像使用非root用户运行

自定义镜像支持自行开发Dockerfile,并推送到SWR。

出于权限控制范围的考虑,建议用户在自定义镜像时,显式定义默认运行的用户为root用户,以降低容器运行时的安全风险。

开启“严格模式”

使用ModelArts的资源时,需要对不同的子用户分配不同的委托授权,达到最小化授权。

MapReduce 服务 MRS

集群EIP安全组管控

MRS集群支持绑定EIP,绑定EIP后,并开通安全组后,可以使用EIP访问MRS集群Manager管理界面,也可以使用SSH登录到MRS集群节点。因此,需要做好安全组管控,不要将不可信的IP加入到安全组的规则中,允许其访问。此外,需要放通的IP,也要控制端口范围,按需放开,不建议直接放开所有端口。

管控数分设

MRS集群的常用部署模板“管控合设”“管控分设”“数据分设”,为了数据节点和管控节点的隔离,建议使用“管控分设”“数据分设”方式。

开启Kerberos认证

MRS集群组件使用Kerberos认证。

Kerberos认证开启时,用户需要通过认证后才可以访问组件对应资源,若不开启Kerberos认证,访问组件将不需要认证和鉴权,会给集群带来风险。

GDPR-第三方披露

表21 第三方披露风险项检查项目

检查项目

检查内容

您作为数据控制者,在将数据披露、公开给第三方之前是否告知数据主体并获取数据主体同意。

您作为数据控制者,在将数据披露、公开给第三方之前是否告知数据主体并获取数据主体同意。

检查所有向第三方披露、公开个人数据的场景,数据披露、公开之前是否告知数据主体并获取数据主体同意。

当您作为数据控制者委托第三方处理个人数据时,是否与第三方签署了合同协议(数据处理协议DPA),明确第三方作为数据处理者的责任和义务。

当您作为数据控制者委托第三方处理个人数据时,是否与第三方签署了合同协议(数据处理协议DPA),明确第三方作为数据处理者的责任和义务。

检查是否通过合同协议在以下方面明确作为数据处理者的责任与义务:

  • 处理的个人数据的类型。
  • 数据处理的目的和性质。
  • 数据处理的责任和义务界定。
  • 数据处理的方式、保留期限、存储位置。
  • 数据处理的安全保护措施。
  • 数据子处理者的存在。
  • 数据主体类型。
  • 数据处理的法律约束。

您作为数据控制者或数据处理者,向第三方披露个人信息时,是否通过合同协议约束第三方或联合控制者的角色责任和数据保护措施,并在披露个人信息的第三方发生变更时及时做出响应。

您作为数据控制者或数据处理者,向第三方披露个人信息时,是否通过合同协议约束第三方或联合控制者的角色责任和数据保护措施,并在披露个人信息的第三方发生变更时及时做出响应。

  • 检查是否通过合同协议约束第三方或联合控制者的角色责任和数据保护措施。
  • 检查在第三方或联合控制者发生变更时,是否存在以下机制:
    • 作为数据控制者时,应重新获取个人信息主体的同意。
    • 作为数据处理者时,应重新获取数据控制者正式授权。

若您在数据处理活动中承担数据处理者角色,是否建立机制,在第三方请求贵公司披露个人信息时通知数据控制者。

在数据处理活动中承担数据处理者角色,在第三方请求披露个人信息时是否通知数据控制者。

对于将个人数据披露/公开给第三方的场景,您作为数据控制者是否提供将更正、清除个人数据或限制处理的信息告知第三方的机制。

对于将个人数据披露/公开给第三方的场景,您作为数据控制者是否提供将更正、清除个人数据或限制处理的信息告知第三方的机制。

  • 检查是存在第三方披露的场景。
  • 检查是否存在告知第三方进行数据同步的机制。

GDPR-数据跨境转移

表22 数据跨境转移风险项检查项目

检查项目

检查内容

您的业务涉及数据跨境时,是否有完整的流程和制度来确保数据跨境满足GDPR要求。

检查是否通过制度规范数据跨境流程,并安排相关人员审核相关文档,监督流程实施。

当您的业务涉及数据跨境时,您是否考虑对个人数据进行过滤或匿名化处理,确保不能以任何方式还原个人数据,再按照非个人数据跨境传输。

当您的业务涉及数据跨境时,您是否考虑对个人数据进行过滤或匿名化处理,确保不能以任何方式还原个人数据,再按照非个人数据跨境传输。

  • 检查在不影响业务的情况下是否可以将个人数据进行过滤和匿名化处理。
  • 检查是否对个人数据进行过滤和匿名化处理。

当您的业务涉及个人数据跨境时,您是否满足数据传入方所在国家列属于欧盟委员会在其网站上公布的充分性决议清单中的要求。

当您的业务涉及个人数据跨境时,您是否满足数据传入方所在国家列属于欧盟委员会在其网站上公布的充分性决议清单中的要求。

  • 检查数据传入方所在国家是否属于欧盟委员会在其网站上公布的充分性决议清单中。
  • 检查是否有数据传输过程是否安全可控,并保留相关记录。

当您的业务涉及个人数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,您是否提供适当的保障措施并为数据主体提供可执行的权利与有效的法律救济措施。

当您的业务涉及个人数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,您是否提供适当的保障措施并为数据主体提供可执行的权利与有效的法律救济措施。

  • 检查是否根据签署数据保护标准条款(SCC)来提供适当的保障。
  • 检查第三国法律是否会影响SCC的有效性,采取适当的补充措施保证可以提供适当的保障。
  • 检查是否有数据传输过程是否安全可控,并保留相关记录。

当您的业务涉及数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,以及缺乏适当保障的情况下,数据的跨境传输是否满足GDPR要求。

当您的业务涉及数据跨境时且数据传入方所在国家不属于欧盟委员会在其网站上公布的充分性决议清单中,以及缺乏适当保障的情况下,数据的跨境传输是否满足GDPR要求。

  • 检查是否存在数据跨境前获取数据主体单独同意的机制。
  • 检查是否有数据传输过程是否安全可控,并保留相关记录。

您作为数据处理者,主动将数据跨境转移,需获得数据控制者的同意。

您作为数据处理者,主动将数据跨境转移,需获得数据控制者的同意。

检查在数据跨境相关流程中是否存在获取数据控制者同意的机制。

GDPR-数据使用,保留和处置

表23 数据使用,保留和处置风险项检查项目

检查项目

检查内容

您在收集个人信息时是否仅收集与处理目的相关且必要的个人数据,个人数据收集范围、使用目的不得超出隐私声明和用户协议,符合最小化原则。

您在收集个人信息时是否仅收集与处理目的相关且必要的个人数据,个人数据收集范围、使用目的不得超出隐私声明和用户协议,符合最小化原则。

检查在收集个人信息时是否已遵循最小化原则,收集个人信息的最小化原则包括:

  • 收集个人信息的类型仅为实现产品或服务功能所必须的。
  • 收集个人信息的频率仅为实现产品或服务功能所必须的最低频率。
  • 收集个人信息的数量要控制在满足目的范围内的最少数量。

您在处理特殊类型个人数据及社保号、身份证号、银行卡号、护照号时,是否采用比普通个人数据更高级别的安全措施进行保护。

您在处理特殊类型个人数据及社保号、身份证号、银行卡号、护照号时,是否采用比普通个人数据更高级别的安全措施进行保护。

  • 检查是否存在处理特殊类型个人数据的场景 。
  • 检查针对特殊类型数据是否采取了严格的安全措施,比如加密保存传输,访问控制等。

对于收集和处理个人数据的系统,您是否提供个人数据备份和恢复的机制,能够恢复系统中存储的个人数据。

对于收集和处理个人数据的系统,您是否提供个人数据备份和恢复的机制,能够恢复系统中存储的个人数据。

检查系统是否提供个人数据备份和恢复机制。

您是否对高风险场景进行识别(特殊个人数据处理,批量个人数据)通过实施技术措施,以确保数据在传输的真实性、保密性和完整性。

您是否对高风险场景进行识别(特殊个人数据处理,批量个人数据)通过实施技术措施,以确保数据在传输的真实性、保密性和完整性。

  • 检查是否采取技术措施确保数据传输时的真实性、保密性和完整性,技术措施包括但不限于以下:
    • 在通信前对通信双方进行认证,确保通信的真实。
    • 使用安全的协议(包括TLS、IPSec、SSH等),确保协议支持安全的版本与配置
  • 检查是否有禁止使用不安全的协议:SSL2.0,SSL3.0,TLS1.0,TLS1.1,SSHv1,IKEv1等。

系统的默认设置是否保护隐私。

系统的默认设置是否保护隐私。

检查系统所有默认设置,是否选择最安全的选项。比如:

  • 如匿名化、假名化、加密等应默认设置成开启状态。
  • 一些非基本业务的隐私敏感功能应默认关闭,如人脸识别。
  • 如果处于非保护状态可能导致数据主体隐私的泄露或造成其他损失。数据主体对于客户有明确要求或者符合业界惯例的情况,可以按照客户要求或业界惯例执行,其中对于客户的明确要求,应该将该要求提交客户需求管理流程(例如合同提交到合同评审流程),并按照流程评审结果执行。

对于个人数据公开、共享的场景,是否使用假名化、匿名化等技术降低个人数据重标识或泄露的风险。

对于个人数据公开、共享的场景,是否使用假名化、匿名化等技术降低个人数据重标识或泄露的风险。

对于收集和处理个人数据的系统,须提供最终用户对个人数据的访问控制机制。

对于收集和处理个人数据的系统,须提供最终用户对个人数据的访问控制机制。

检查所有访问个人数据的接口是否存在合适的认证和鉴权机制。

对于收集和处理个人数据的系统中,是否对数据主体对个人数据的操作进行日志记录。

对于收集和处理个人数据的系统中,是否对数据主体对个人数据的操作进行日志记录。

检查是否对个人数据的操作进行日志记录。

您是否提供假名化或加密的机制对个人数据进行保护。

您是否提供假名化或加密的机制对个人数据进行保护。

  • 检查系统是否提供假名化或加密机制。
  • 检查个人数据是否假名化或加密传输和存储。

是否可以通过DPIA来证明您满足GDPR要求。

是否可以通过DPIA来证明您满足GDPR要求。

  • 建议进行数据保护影响评估(DPIA)。
  • 检查是否建立与监管机构进行咨询的具体机制,如果DPIA表明数据处理将会给数据主体的个人数据安全带来较高风险,则控制者应当在进行数据处理之前与监管机构进行协商和咨询。

您作为数据控制者,是否对涉及其决策对自然人产生法律影响或类似重大影响的用户画像、大规模系统监控、大规模敏感数据处理、数据跨境转移、向第三方披露等业务场景,进行数据保护影响评估(DPIA)。

您作为数据控制者,是否对涉及其决策对自然人产生法律影响或类似重大影响的用户画像、大规模系统监控、大规模敏感数据处理、数据跨境转移、向第三方披露等业务场景,进行数据保护影响评估(DPIA)。

  • 检查内部是否对其决策对自然人产生法律影响或类似重大影响的用户画像、大规模系统监控、大规模敏感数据处理、数据跨境转移、向第三方披露等场景进行数据保护影响评估,留有记录。
  • 检查针对隐私影响评估识别出的风险,是否采取合理的风险应对措施。

对于提供自动化决策的系统,如用户画像(Profiling)等,您是否为用户提供退出的机制。

对于提供自动化决策的系统,如用户画像(Profiling)等,您是否为用户提供退出的机制。

  • 检查是否提供自动化决策的机制。
  • 检查是否在用户反对自动化决策时,可以提供数据主体可以拒绝自动化决策的机制(确保数据主体可以不受此机制影响)。

您是否已制定合适的个人信息保留期限和提供删除或者匿名化超过存留期的个人数据的机制。

您是否已制定合适的个人信息保留期限和提供删除或者匿名化超过存留期的个人数据的机制。

  • 检查是否已制定个人信息保留期限或策略。
  • 检查制定的个人信息保留期限或策略是否合理,可参考以下方面:
    • 遵从当地适用的法律法规和行业规范。
    • 考虑个人数据当前和未来价值,以及个人数据被用于或最初被收集的商业目的。
    • 考虑留存个人数据的成本、风险和责任,包括为保障数据主体权利而做的努力(如访问权)。
    • 确保个人数据“准确、最新”的难易程度。
  • 当个人信息已达到保留期限或策略时,是否对个人信息进行删除或去标识化处理,可参考以下情况:
    • 当个人信息不再用于原有的目的,或已达到个人信息制定的保留期限或策略时,对此类个人信息进行删除或去标识化处理,包括因处理个人信息而生成的临时文件。

      注:去标识化是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联数据主体的过程。

    • 在没有其他适用法律要求组织继续保留个人信息时,当数据主体发出删除其个人信息请求后,立即删除个人信息。
    • 在收集个人信息的方式或目的违反了法律法规要求或与数据主体的约定时,删除个人信息。

您作为数据控制者是否提供记录个人数据泄露的机制。

您作为数据控制者是否提供记录个人数据泄露的机制。

检查是否有记录个人数据泄露的机制。

您作为数据控制者是否对数据处理活动进行记录。

您作为数据控制者是否对数据处理活动进行记录。

检查是否有记录数据处理活动的机制,包括以下:

  • 个人信息处理的记录。
  • 个人信息跨境转移记录。
  • 向第三方披露的记录。
  • 数据主体的同意与撤回同意的记录。
  • 数据主体提出的请求。

您作为数据处理者是否对数据处理活动进行记录。

您作为数据处理者是否对数据处理活动进行记录。

检查是否有记录数据处理活动的机制,包括以下:

  • 个人信息处理的记录。
  • 个人信息跨境转移记录。
  • 向第三方披露的记录。

GDPR-数据主体访问

表24 数据主体访问风险项检查项目

检查项目

检查内容

对于收集、处理、存储个人数据的系统,您是否提供数据主体可以访问其个人数据的机制。

对于收集、处理、存储个人数据的系统,您是否提供数据主体可以访问其个人数据的机制。

检查是否提供数据主体可以访问数据主体提供的个人数据的机制。检查数据主体是否可以从系统获取确认他的个人数据是否在被处理,并能够访问个人数据和以下信息:

  • 处理数据的目的。
  • 相关个人数据的类别。
  • 已经或者将要将个人数据向其披露的数据接收者或其分类,特别是第三国或国际组织的数据接收者。
  • 若有可能,访问个人数据将被存储的预设期限;若不可能,访问决定期限的通常标准。
  • 数据主体享有请求数据控制者更正、清除与数据主体相关的数据的权利,或者限制、拒绝其处理该个人数据的权利。
  • 向监管机构提出投诉的权利。
  • 若个人数据并非收集自数据主体,则可以访问有关数据来源的任何可获得的信息。
  • 包括识别分析在内的自动化决策的存在,至少可以访问关于决策中所运用的逻辑的有用信息以及该处理的重要性和其对数据主体造成的可能后果。

对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以访问其个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以访问其个人数据的机制。

检查是否提供数据主体可以访问数据主体提供的个人数据的机制。检查数据主体是否可以从系统获取确认他的个人数据是否在被处理,并能够访问个人数据和以下信息:

  • 处理数据的目的。
  • 相关个人数据的类别。
  • 已经或者将要将个人数据向其披露的数据接收者或其分类,特别是第三国或国际组织的数据接收者。
  • 若有可能,访问个人数据将被存储的预设期限;若不可能,访问决定期限的通常标准。
  • 数据主体享有请求数据控制者更正、清除与数据主体相关的数据的权利,或者限制、拒绝其处理该个人数据的权利;
  • 向监管机构提出投诉的权利。
  • 若个人数据并非收集自数据主体,则可以访问有关数据来源的任何可获得的信息。
  • 包括识别分析在内的自动化决策的存在,至少可以访问关于决策中所运用的逻辑的有用信息以及该处理的重要性和其对数据主体造成的可能后果。

对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以修改数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以修改数据主体提供的个人数据的机制。

检查是否提供数据主体可以修改数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体可以修改数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体可以修改数据主体提供的个人数据的机制。

检查是否提供数据主体可以修改数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以删除数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为数据控制者是否提供数据主体可以删除数据主体提供的个人数据的机制。

检查是否提供数据主体可以删除数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以删除数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您作为设备提供者是否提供数据主体或数据控制者可以删除数据主体提供的个人数据的机制。

检查是否提供数据主体可以删除数据主体提供的个人数据的机制。

对于收集、处理、存储个人数据的系统,您是否提供数据主体限制其个人数据处理机制。

对于收集、处理、存储个人数据的系统,您是否提供数据主体限制其个人数据处理机制。

检查是否提供数据主体限制其个人数据处理机制。

对于收集、处理、存储个人数据的系统,您是否提供数据主体的个人数据能够被导出的机制。

对于收集、处理、存储个人数据的系统,您是否提供数据主体的个人数据能够被导出的机制。

检查是否提供数据主体导出其个人数据处理机制。

您是否按照相应法规、标准的要求,在规定时间内响应数据主体合法请求的机制,以保障数据主体的合法权利。

您是否按照相应法规、标准的要求,在规定时间内响应数据主体合法请求的机制,以保障数据主体的合法权利。

询问内部负责个人信息合规的人员,是否按照相应法规、标准的要求提供处理数据主体合法请求的机制,检查是否对响应时间有明确的限制,以保障数据主体的合法权利,机制包括但不限于以下:

  • 告知机制。
  • 访问机制。
  • 提供副本机制。
  • 更改机制。
  • 反对机制。
  • 删除机制。
  • 撤回同意机制。
  • 注销机制。
  • 响应其他合理请求的机制。

您将个人数据使用到直接营销目的时,系统是否提供供撤销个人数据用于营销活动同意的机制并告知用户。

您将个人数据使用到直接营销目的时,系统是否提供供撤销个人数据用于营销活动同意的机制并告知用户。

  • 检查是存在否将个人数据直接使用到营销目的的场景或业务。
  • 检查系统是否提供撤销同意或退订的机制。

GDPR-通知

表25 通知风险项检查项目

检查项目

检查内容

您作为数据控制者是否向数据主体提供隐私声明。

您作为数据控制者是否向数据主体提供隐私声明。

  • 检查是否提供隐私声明。
  • 检查隐私声明中信息是否完善,隐私声明必须包括以下信息:
    • 数据控制者的身份信息和联系方式。
    • 处理个人数据的目的、方式、范围。
    • 个人数据的存储期限或决定存储期限的标准。
    • 数据主体享有向数据控制者请求访问、更正、清除个人数据的权利,限制、拒绝处理个人数据的权利以及可携带权。
    • 数据主体有权随时撤销同意。
    • 向监管机构投诉的权利。
    • 自动化决策(包括识别分析、用户画像)及可能对数据主体造成的后果。
    • 数据保护官的详细联系方式(如果适用的话)。
    • 个人数据接收者或者接受者的类型(如果有的话)。
  • 检查隐私声明是否清晰明确,且易于理解和阅读。

您作为设备供应者是否提供产品处理的个人数据的说明,并按照数据控制者的要求提供隐私声明的界面。

您作为设备供应者是否提供产品处理的个人数据的说明,并按照数据控制者的要求提供隐私声明的界面。

  • 检查是否提供个人数据说明。
  • 检查是否提供隐私声明的界面。

您作为设备供应者在从第三方获取个人数据时,是否提供产品处理的个人数据的说明。

您作为设备供应者在从第三方获取个人数据时,是否提供产品处理的个人数据的说明。

检查是否提供产品处理的个人数据的说明文档。

对于面向最终用户的系统,数据主体在注册个人信息时,您是否提供验证数据主体身份的机制。

对于面向最终用户的系统,数据主体在注册个人信息时,您是否提供验证数据主体身份的机制。

检查是否提供验证数据主体身份的机制。

您作为数据处理者在聘用另一个处理者或涉及到补充或替换其他处理者的变动,是否通知数据控制者,并获取数据控制者的书面授权

您作为数据处理者在聘用另一个处理者或涉及到补充或替换其他处理者的变动,是否通知数据控制者,并获取数据控制者的书面授权。

在处理涉及到补充或替换其他处理者的变动,检查是否有通知数据控制者,并获取数据控制者的书面授权的机制和流程。

您作为数据控制者是否有向数据主体报告个人数据泄露的机制。

您作为数据控制者是否有向数据主体报告个人数据泄露的机制。

检查是否有向数据主体报告个人数据泄露的机制或流程。

您作为数据控制者是否有向监管机构报告个人数据泄露的机制。

您作为数据控制者是否有向监管机构报告个人数据泄露的机制。

检查是否有向监管机构报告个人数据泄露的机制和流程。

您作为数据处理者是否有向数据控制者报告个人数据泄露的机制。

您作为数据处理者是否有向数据控制者报告个人数据泄露的机制。

检查是否有向数据控制者报告个人数据泄露的机制和流程。

GDPR-选择和同意

表26 选择和同意风险项检查项目

检查项目

检查内容

您作为数据控制者,在进行个人信息的收集、处理时,是否已征得数据主体的同意、合同协议的履行或者其他法定事由,并提供撤销同意的机制。

您作为数据控制者,在进行个人信息的收集、处理时,是否已征得数据主体的同意、合同协议的履行或者其他法定事由,并提供撤销同意的机制。

  • 检查个人信息收集流程规范相关文档,获取同意的机制是否基于数据主体的同意、合同协议的履行或者其他法定事由。
  • 检查是否存在对应退出同意的机制。

如果您处理个人数据的合法依据是“合法利益”,您是否已经进行了隐私影响评估(PIA)。

如果您处理个人数据的合法依据是“合法利益”,您是否已经进行了隐私影响评估(PIA)。

检查是否存在进行隐私影响评估(PIA)的机制和流程。

隐私政策和用户协议是否可供随时查看。

隐私政策和用户协议是否可供随时查看。

检查隐私政策和用户协议查看的位置是否方便且清晰。

您是否提供获取用户明示同意的机制(即用户主动点击),在收集用户的个人数据前(如:用户注册、首次使用APP)获取用户的同意。

您是否提供获取用户明示同意的机制(即用户主动点击),在收集用户的个人数据前(如:用户注册、首次使用APP)获取用户的同意。

检查在是否在收集个人数据前获取用户同意,获取用户同意时是否需要用户主动操作,且没有误导行为。

您在处理涉及犯罪定罪与违法的个人数据时,是否获取官方机构授权。

您在处理涉及犯罪定罪与违法的个人数据时,是否获取官方机构授权。

  • 检查是否有处理涉及犯罪定罪与违法的个人数据的场景。
  • 检查是否有获取官方机构授权的机制和流程。

您是否给数据主体提供撤销同意或退出个人数据收集的方式、渠道。数据主体撤销同意之后,产品必须禁止继续收集和使用相应的个人数据。

您是否给数据主体提供撤销同意或退出个人数据收集的方式、渠道。数据主体撤销同意之后,产品必须禁止继续收集和使用相应的个人数据。

检查是否提供部分同意和撤销同意的机制。

注:撤销同意为数据主体可以通过便捷的形式,如与提供同意保持一致的形式,撤回对其所有个人信息收集的同意。

您是否提供个人数据同意的撤销机制,撤销同意是否与表达同意一样简单。

您是否提供个人数据同意的撤销机制,撤销同意是否与表达同意一样简单。

  • 检查系统是否提供撤销同意机制(如:点击退订链接、回复退订短信、点击不同意按钮,或者是向隐私政策中预留联系方式发送申请等)。
  • 检查用户撤销同意后,是否立即停止收集和处理用户个人数据。如果由于计算周期长等合理原因而无法马上停止处理,须保证在下一周期前停止处理。
  • 检查撤销同意的方法足够明了(例如,某个APP的撤销同意的配置项处于3层以及3层菜单之内)。
  • 检查是否对用户撤销同意做记录。

GDPR-组织架构

表27 组织架构风险项检查项目

检查项目

检查内容

您作为控制者或处理者为欧盟内的数据主体提供相关商品或服务,或者监控数据主体的行为,是否以书面形式在欧盟委任一名代表。

您作为控制者或处理者为欧盟内的数据主体提供相关商品或服务,或者监控数据主体的行为,是否以书面形式在欧盟委任一名代表。

  • 检查业务中是否为欧盟内的数据主体提供相关商品或服务,或者监控数据主体的行为。
  • 检查是否在欧盟委任一名代表。

您是否委任数据保护官。

您是否委任数据保护官。

  • 检查是否委任数据保护官。
  • 检查是否发布数据保护官的详细联系方式,并向监管机构进行报告。

经典弱口令检测-弱口令检测

表28 弱口令检测风险项检查项目

检查项目

检查内容

弱口令检测

检测账号口令是否属于常用的弱口令,提示用户修改不安全的口令

口令复杂度策略检测-口令复杂度

表29 口令复杂度检测风险项检查项目

检查项目

检查内容

口令长度检测

目标服务器设置的口令长度策略是否符合标准,口令长度不能小于设定的某一个长度

大写字母检测

目标服务器设置的口令长度策略是否符合标准,口令中的大写字母个数不能小于某个数值

小写字母检测

目标服务器设置的口令长度策略是否符合标准,口令中的小写字母个数不能小于某个数值

数字检测

目标服务器设置的口令长度策略是否符合标准,口令中的数字个数不能小于某个数值

特殊字符检测

目标服务器设置的口令长度策略是否符合标准,口令中的特殊字符个数不能小于某个数值

PCI-DSS-维护信息安全政策

表30 维护信息安全政策风险项检查项目

检查项目

检查内容

您是否已准备充足的资源以确保网络安全与隐私保护管理目标的达成,制定包括对人员、技术、环境、设施、信息和财务等资源的需求预算。

检查是否制定网络安全与隐私保护的预算规划,预算规划包括人员、技术、环境、设施、信息和财务等,例如指定特定人员,每天 24 小时随时响应警报。

您是否已由管理层正式授权或指定了专门的团队或个人来负责网络安全与隐私保护工作并且明确了这些角色的具体职责和权限。
  • 检查是否有正式的文件(如职位描述、组织结构图、政策手册等)表明有特定的团队或个人被赋予了管理网络安全和隐私保护的责任。
  • 被指定负责网络安全和隐私保护工作的团队成员或个人进行交流,了解其对自己职责的理解以及如何执行这些职责。
  • 检查内部沟通记录(如会议纪要、电子邮件链),以确定管理层对网络安全和隐私保护工作的支持程度及指示传达情况。

您是否根据持续监测和定期评估中获得的信息,至少每年一次审核并更新网络安全与隐私保护的管理策略、流程、标准及相关文件,并明确制定、分发和更新相关文档的人员。
  • 检查是否有审核记录,每年审核网络安全与隐私保护管理策略、流程、标准及相关文件。
  • 检查网络安全与隐私保护的相关文件是否有指定的人员去制定、分发和更新。

您是否已识别您范围内的资产(物理设备、系统、虚拟设备、软件和数据流等),根据资产的关键性、威胁影响和可能性来确定相关的风险。

检查资产风险威胁报告,是否识别出范围内的资产,根据资产的关键性、威胁影响和可能性来确定相关的风险,其中资产包括:

  • 物理设备
  • 系统
  • 虚拟设备
  • 软件
  • 数据流等

您是否建立和维护资产清单,内容需覆盖您拥有的所有组件,且资产清单包括资产重要性、责任人、位置、状态和资产关联关系等内容。
  • 检查是否制定与维护资产清单。
  • 检查是否将拥有的所有组件均列入清单。
  • 检查资产清单是否包括资产重要性、责任人、位置、状态和资产关联关系等内容。

您是否根据制定的数据安全治理策略,应明确数据的责任归属,和数据采集、使用、存储、传输、共享、披露和销毁等数据生命周期中各方的角色、职责。
  • 检查是否制定数据管理策略。
  • 检查数据管理策略里是否有明确数据的责任归属。
  • 检查数据管理策略里是否明确数据采集、使用、存储、传输、共享、披露和销毁等数据生命周期中各方的角色、职责。
  • 如涉及处理持卡人数据,还应检查对于通过远程访问客户数据的工作人员,是否明确规定禁止将持卡人数据复制、移动和存储到本地硬盘及可移动电子媒介上。

您是否针对不同岗位制定相应的安全意识培训和岗位技能培训计划,并定期刷新计划和培训内容。
  • 检查是否有根据不同岗位举行安全意识培训和岗位技能培训的记录。
  • 检查是否有对培训计划内容更新的记录。

您是否至少每年一次或当发生重大变更时执行内部和外部审计,以确保符合安全策略、标准和要求。若您作为服务提供商,是否每季度进行一次审查并维护季度审查流程文档记录。

检查审计记录,是否每年一次或发生重大变更时执行内部和外部审计,包括但不限于以下方面:

  • 网络安全管理体系的适宜性、充分性和有效性。
  • 法律法规的遵从性。
  • 业务流程信息安全控制的有效性。

检查审计记录,作为个人数据控制者,在执行内部审计时,是否做到以下:

  • 建立自动化的审计流程、程序和系统。
  • 形成相应的审计记录或日志。
  • 加强对审计记录的保护,防止未授权的访问、篡改或删除。
  • 应及时处理审计过程中发现的个人信息违规处理行为。

如作为服务供应商,是否每季度进行一次审查并维护季度审查流程文档记录,审查内容包括但不限于:

  • 日常日志审查。
  • 防火墙规则集审查。
  • 将配置标准应用于新系统。
  • 响应安全警报。
  • 更改管理流程。

PCI-DSS-实施强有力的访问控制措施

表31 实施强有力的访问控制措施风险项检查项目

检查项目

检查内容

您是否根据业务关键性、数据敏感性等要素对资产进行分级分类和标识。

检查是否有资产分级分类记录,对资产进行分级分类和标识。

检查是否有资产标识记录,记录对资产的保护需求。

您是否至少每年一次或在重大变更时对资产进行盘点。

询问资产管理人员是否至少每年一次,对资产进行盘点。

询问资产管理人员否在重大变更时,对资产进行盘点。

您是否建立介质管理机制,对介质的使用和访问进行限制和保护,并实施物理保护和逻辑保护等措施。

询问资产管理人员是否对介质的使用采用物理、逻辑保护措施。

询问资产管理人员采用哪些措施限制介质使用。

您是否对介质的转移建立授权机制并实施了安全控制。运送过程中是否采取了保护措施。

检查介质保护策略,是否建立机制以保护存储了信息的介质:

  • 运送和转移过程中受到保护。
  • 不被未授权的访问。
  • 不当使用以及毁坏。

检查在运送或转移机制的过程中是否实施保护措施,包括但不限于以下内容:

  • 通过可靠的快递公司或其他可准确跟踪的投递方法递送介质。
  • 凡自安全区域转移介质时(包括将介质分发给个人),确保经过管理层批准。

当硬件资产下线时,您是否针对承载数据的资产,进行安全销毁,包括对数据的永久删除与介质销毁。

询问资产管理人员是否在硬件资产下线时,针对承载数据的资产,进行安全销毁。

询问资产管理人员是否采用粉碎、焚烧等方式进行物理销毁。

如果由有资质的第三方进行销毁,询问资产管理人员销毁要求是否采用物理销毁,是否获得数据销毁证明。

您是否实施了适当的用户标识管理策略,包括为用户分配了唯一账号名、唯一身份鉴别码、设置有效期,并对跨组织的账号进行标识等。

检查用户账号管理系统配置,是否满足:

  • 为用户分配唯一账号名。
  • 禁止分配已失效或已过期的用户名。
  • 禁止使用组、共享或通用用户名。
  • 设置账号有效期。

检查是否有跨组织的账号区分机制。

您是否有符合标准要求的账号登录失败自动锁定的安全控制。

检查是否有账号自动锁定的机制。

账号锁定的配置是否满足锁定6次以上尝试失败的账号,锁定持续时间至少为30分钟。

您现有的权限管理机制是否遵循了按需分配、最小授权及职责分离原则。

检查现有的权限管理规范,是否包含以下原则:

  • 按需分配,根据职位、角色以及访问的必要性对数据中心进行细粒度的物理访问授权。
  • 最小授权,根据职位、角色以及访问的必要性对数据中心进行细粒度的物理访问授权。
  • 职责分离原则,遵循不相容的职责互相分离。例如授权、签发、审核、执行、记录等工作不应由同一个人负责。

您是否已采用了基于角色或属性的访问控制机制, 定义每个角色的访问需求,根据角色需求分配访问权限。

检查权限管理策略,是否包括但不限于以下内容:

  • 定义每个角色的访问需求,包括每个角色需要访问其作业功能所需的系统组件和数据资源 ,和访问资源所需的权限级别(例如,用户、管理员等)。
  • 根据角色需求分配访问权限,例如根据个人职位分类和职能分配访问权限。

如涉及管理持卡人数据,还应检查是否限制对任何包含持卡人数据的数据库的所有访问(包括应用程序、管理员和其他所有用户的访问)。

当内外部职员工作职责发生变化时,您是否在24小时内完成账号与权限的变更。

检查转岗或离职的人员账号与权限是否在24小时内完成变更。

您的密码策略是否遵循了行业标准,并禁止使用通用、共享、与账号一样的密码。

检查系统密码策略是否满足强度要求:

  • 密码长度至少为8个字符。
  • 密码至少包含(大写字母、小写字母、数字、特殊符号)中的三种的组合。
  • 密码历史为4个。
  • 密码最小有效期限为1天。
  • 密码最大有效期限为90天,至少每90天更改一次密码。

您是否建立了密码分配的策略。例如在首次登录时分配随机的初始密码,并在首次登录后强制要求更改密码且更改后的密码应满足公司的密码复杂度要求。

检查对密码是否有管理规范相关文档,包括但不限于以下内容:

  • 首次登录时分配随机的初始密码。
  • 首次登录后强制要求更改密码,且更改后的密码满足设置的密码复杂度要求。

检查密码分配记录,是否对初始密码和密码复杂度有要求。

您在对验证凭证(例如密码/口令)进行传输、存储时,是否对验证凭证使用AES、RSA、IDES等加密算法进行加密,并在传输时使用加密通道。

检查密码传输和存储策略,是否对验证凭证(例如密码/口令)使用加密算法(例如AES、TDES/TDEA、RSA)等加密。

检查密码传输时是否对传输通道进行加密。

检查是否禁止未加密的静态鉴别凭证嵌入到应用、访问脚本中。

您实施多因素认证时,是否满足相应标准的要求,确保多因素认证是否绑定唯一的账号,禁止在多个账号之间共享;并且至少对其中一种鉴别技术使用密码技术来实现。

检查制定的权限管理规范中对于多因素认证鉴别因子的管理要求是否包括但不限于以下:

  • 多因素认证是否绑定唯一的账号,禁止在多个账号之间共享,且明确最小、最大有效期限,及再利用条件,当人员角色、属性发生变更时,应及时更新。
  • 是否至少对其中一种鉴别技术使用密码技术来实现。

注:多因素认证的鉴别因子为采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。

您是否至少定期,如一个月审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。

检查是否有维护所有账号与权限的清单。

检查维护清单的记录,是否至少定期审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。

您是否实施物理访问控制措施,限制对物理端口、网络插孔、无线接入点、电信线路等资产的物理访问。

检查是否制定资产的物理访问控制策略文档,文档里包括但不限于以下内容:

  • 明确物理和/或逻辑控制,限制实际接触公共网络插座交换机。
  • 限制实际接触无线访问点、网关、手持式设备、网络/通信硬件和电信线路。
  • 保护通过直接接触卡本身便可捕获支付卡数据的设备,以避免设备被篡改和替换。
  • 定期检查设备的表面,以检查篡改(例如给设备增加读卡器)或替换(例如通过检查序列号或其他设备特征确认其未被欺诈性设备调换)迹象。

检查访问控制的资产是否包括:

  • 物理端口
  • 网络插孔
  • 无线接入点
  • 网关
  • 手持设备
  • 信息系统
  • 通信硬件
  • 电信线路等

PCI-DSS-建立和维护安全网络和系统

表32 建立和维护安全网络和系统风险项检查项目

检查项目

检查内容

您是否维护数据流图和数据清单,对数据存储、处理和传输的过程、数据的位置进行记录。

检查是否有制定和维护数据流和数据清单,记录数据的位置,内容参考如下:

  • 敏感数据
  • 网络架构层面的数据流
  • 数据的位置

您是否已根据安全配置基线对所有软硬件资产进行了适当的加固处理。

检查是否有正式的安全配置基线文档,该文档应详细列出针对不同类型的软硬件资产(如操作系统、数据库、网络设备等)的具体安全配置要求。

通过自动化工具或手动方式审计现有的软硬件配置,确保它们符合既定的安全配置基线。这包括但不限于防火墙规则、用户权限设置、服务和端口的状态等。

确认在部署新系统或更新现有系统时,是否遵循了基于安全配置基线的加固步骤,并且这些步骤被纳入到变更管理流程中。

您是否已建立符合行业标准的安全配置基线,并满足以下要求:

  1. 按照最小化原则,仅启用必要且安全的服务、协议、端口等;
  1. 网络设备默认拒绝所有网络通信流量,并保持最新稳定版本;
  2. 禁用不必要的服务、协议、功能、端口等;
  3. 删除默认账号,或修改默认账号名及口令;
  4. 如需启用不安全的功能,应实施额外的安全控制措施;
  5. 时钟同步服务器符合行业标准,及使用三种同步的时间源;
  6. 保留文档化记录;
  7. 获取审批

检查是否有安全配置基线。

检查安全配置基线的配置是否满足以下要求:

  • 按照最小化原则,仅启用必要且安全的服务、协议、端口等。
  • 网络设备默认拒绝所有网络通信流量。
  • 禁用不必要的服务、协议、功能、端口等。
  • 删除默认账号,或修改默认账号名及口令。
  • 如需启用不安全的功能,应实施额外的安全控制措施。
  • 保留文档化记录。
  • 获取审批。

检查时钟同步服务器的时间源是否符合行业标准。

您是否提供自动化检查工具,集中管理安全配置基线,定期检测配置文件的更改、内容文件的完整性。

检查是否有对安全配置基线的管理与验证部署自动化检查工具。

检查自动化检查工具是否满足以下要求:

  • 定期检查配置的更改,如SAN、路由器配置。
  • 定期查检内容文件完整性,如关键系统文件、内容文件。

您是否根据风险影响分析,进行了变更与回退方案的测试,以确保对组织的运行和安全没有负面影响。

检查是否有变更与回退测试的流程规范。

检查变更与回退测试是否满足以下要求:

  • 明确测试类型和范围。
  • 执行变更与回退方案测试。
  • 对发现的问题进行整改或采取缓解措施。
  • 根据合同要求,安排云客户参与变更测试。

您是否集中部署防恶意软件工具,确保能够检测、删除和抵御所有已知类型的恶意软件或代码。

检查是否集中部署防恶意软件工具,确保能够检查、删除和抵御所有已知类型的恶意软件或代码。

检查部署的恶意软件防护工具的配置是否满足但不限于以下要求:

  • 配置自动监控,如果出现异常,可向管理员报告。
  • 配置定期执行扫描的策略。
  • 恶意软件防护工具无法被禁用或更改。
  • 至少每天或在供应商发布新的更新时,对恶意软件防护工具进行更新。
  • 至少每天更新病毒特征和行为库 。
  • 更新可以回滚,以防更新导致系统故障。

您是否在网络拓扑文档中记录网络安全相关的设计与配置信息,并保持更新。

检查是否有网络拓扑文档,文档中是否记录网络安全相关的设计与配置信息,并保持更新,文档内容是否包括但不限于以下内容:

  • 包括云服务网络逻辑架构,架构图是持续更新的,并可以追溯。
  • 包括因业务原因和授权适用的所有服务、协议和端口。
  • 显示子网的分配方式,以及网络的分区和分段方式。
  • 显示数据的存储区域。
  • 记录因采用了不安全的协议所采取的额外安全措施。

您是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控。

检查网络边界部署策略,是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控,部署的安全设备/服务包括但不限于:

  • 入侵检测/防御系统
  • 防火墙
  • 安全网关
  • 网络协议分析工具
  • 网络扫描工具
  • 网络嗅探工具

您是否对网络区域边界实施了访问控制,并设置满足行业标准要求的访问控制规则以控制数据包进出。

检查访问控制列表(ACL)是否拒绝恶意IP地址或默认拒绝受控端口和IP以外的通信。

检查访问控制列表(ACL)的维护记录,是否删除无效规则。

检查跨网络的访问是否需要经过评估与授权。

您是否根据已识别的漏洞制定了详细的修补方案,并确保所有关键资产都得到了适当的保护。

检查是否有正式的漏洞管理策略或流程文档,明确规定了如何识别、评估和修复系统中的漏洞。该文档应包括漏洞扫描工具的选择与使用、漏洞优先级排序、修补时间表及验证修补效果的方法。

查看修补计划文档和相关日志文件,确认针对每个已识别的漏洞都制定了具体的修补方案,并且这些修补活动都被详细记录下来,包括修补的具体步骤、责任人、预计完成时间和实际执行结果。

PCI-DSS-维护漏洞管理计划

表33 维护漏洞管理计划风险项检查项目

检查项目

检查内容

您是否定期对承担安全角色和关键职责的内外部员工开展岗位安全技能培训和考核,并检查对员工的绩效机制已包含信息安全的有关要求。
  • 检查是否有对担任安全角色和关键职责的人员进行岗位技能培训。
  • 检查员工的绩效考虑机制是否有包括信息安全的要求。
  • 检查技术技能考核记录,包括对开发人员进行最新的安全编码技术进行培训和考核。

您是否存在正式的设计规范和安全架构文档,指导软件开发与系统部署,涵盖了关键的安全领域,如身份验证、授权、加密、日志记录与监控等。
  • 文档审查:检查是否有详细的文档集,包括但不限于设计规范、安全架构蓝图、技术指南等。确保这些文档清晰地定义了系统的整体结构及其各个组成部分如何协同工作。
  • 内容评估:仔细审阅现有文档的内容,确认其覆盖了所有必要的安全方面,例如身份验证机制、访问控制策略、数据保护措施(如加密)、日志记录与审计功能等。
  • 版本控制检查:查看文档的版本历史记录,了解它们是否定期更新并反映了最新的技术和最佳实践。
  • 一致性验证:对比实际部署的系统架构与设计规范及安全架构文档的一致性,确保两者之间没有显著差异。

您是否制定了详细的代码编写安全规范,并确保开发人员参照这些规范进行编码,涵盖关键的安全实践如输入验证、错误处理、数据加密和会话管理等。
  • 检查是否有正式的安全编码指南或手册,其中详细描述了代码编写时应注意的安全最佳实践和标准。该文档应涵盖输入验证、错误处理、数据加密、会话管理等方面。
  • 评估现有的代码审查(Code Review)流程,确认是否包含对安全编码规范遵守情况的检查。这可以通过查看代码审查工具中的检查清单或规则集来实现。
  • 检查是否采用了静态应用安全测试(SAST)工具或其他自动化分析工具来帮助识别不符合安全编码规范的代码段。

您是否对主机、容器、服务器等实施恶意软件防护。
  • 检查是否部署恶意软件防护工具。
  • 检查是否在易受恶意软件影响的系统部署防病毒软件,并确保防病毒机制保持最新。
  • 检查恶意防护工具的部署范围、数量、病毒库更新策略。
  • 检查对外来计算机或存储设备接入系统前是否有流程机制要求对恶意代码检查。
  • 检查是否具备预防和检测常见类型的恶意攻击的工具。
  • 检查是否有恶意代码告警的相关记录,对恶意代码告警进行检查和分析。

PCI-DSS-定期监控和测试网络

表34 定期监控和测试网络风险项检查项目

检查项目

检查内容

您是否制定了渗透测试计划,并至少每年一次以及应用程序有任何重要升级或修改时,在授权后由专人对Web应用程序、内部支撑系统等进行渗透测试。
  • 询问负责渗透测试的人员,了解渗透测试计划与渗透测试流程。
  • 检查渗透测试计划文档。
  • 询问负责渗透测试的人员,当聘请第三方人员进行渗透测试时,是否检查第三方人员的资格认证。

您是否部署了变更检测机制以发现未经授权的修改,并对于此类发现进行整改。
  • 检查安全配置基线策略。
  • 检查对配置基线的偏离情况是否有进行分析整改记录,对偏离情况进行分析整改。如以下内容:
    • 在关键系统文件、配置文件或内容文件发生非授权修改(包括变更、添加和删除)时警示工作人员。
    • 软件配置至少每周执行一次关键对比。

您是否对网络设备、主机、虚拟化平台、应用软件等系统开启了日志功能。
  • 检查日志管理策略文档。
  • 检查系统类型是否满足以下要求:
    • 应用软件、杀毒软件等。
    • 网络设备,如边界、重要节点设备。
    • 主机,如服务器、虚拟化平台等。

您是否对访问控制、运维操作、敏感数据访问、系统事件等类型开启了日志功能。
  • 检查是否有日志管理策略文档。
  • 检查日志类型是否满包括以下:
    • 访问控制日志
    • 运维操作日志
    • 敏感数据访问日志
    • 系统事件日志等

您是否使用了满足相应外部标准或内部管理要求的日志管理系统,对日志进行集中收集和分析。
  • 检查是否有日志管理系统,对日志进行集中收集和分析。
  • 检查是否有日志管理系统是否满足外部标准或内部管理要求。
  • 检查是否在集中管理日志系统出现故障时,是否自动报告给相关责任人,是否有组件冗余。
  • 检查日志服务器与资产之间的身份认证是否在传输和存储使用加密技术或带外管理。

您是否定期备份日志,并对日志及其备份采取保护措施。
  • 检查是否有日志保护策略文档。
  • 检查日志保护措施是否满足以下要求。
    • 通过访问控制防止未授权更改。
    • 写入只写媒体。
    • 禁止远程访问日志服务器。
    • 当日志存储容量用完时,覆盖最早的记录。
    • 日志数据的传输与存储应与客户数据隔离。
    • 备份位于不同的物理位置。

您是否确保了安全审计日志记录保留至少一年,并且至少三个月内可在线查询或立即可从备份中恢复。
  • 检查是否有安全审计日志策略文档。、
  • 抽查是否可以立即在线查询三个月内的安全审计日志(包括联机、存档或可从备份中恢复)。
  • 抽查离线归档是否保存一年以上。

您是否制定漏洞扫描计划,并有专人负责通过手动检测或自动的漏洞扫描工具,定期(至少每季度一次)对网络环境进行漏洞扫描。
  • 检查漏洞扫描计划文档。
  • 检查是否由具有经验和资质的专人使用漏洞扫描工具,并在发生重大变更后重新执行内部和外部扫描(重大变更:例如数据访问权限被修改或数据环境安全受到影响)。
  • 检查漏洞扫描工具是否具备以下能力:
    • 实时更新漏洞库。
    • 发现系统漏洞缺陷和不安全配置。
    • 支持标准化的漏洞检查表和扫描流程。
    • 对漏洞进行影响评估。
    • 展示已扫描的信息系统组件和已核查过的漏洞。
    • 需从正规渠道获取,商业工具要具备合法授权。
    • 不影响业务的运行。
  • 检查是否对漏洞扫描中涉及的资料严格保密,不得向未经授权的非相关人员和组织公开披露。

您是否已实施入侵检测、防火墙、DDoS防护系统等技术措施,集中监控针对网络设备、主机与容器、应用系统、安全设备的网络攻击。
  • 检查是否对网络设备、主机与容器、应用系统、安全设备等进行集中安全监控。
  • 检查是否使用如下监控技术措施:
    • 入侵检测/入侵防御
    • 防火墙
    • DDoS防护系统/设备
    • 物理访问控制
    • 逻辑访问控制
    • 检查日志,例如访问控制日志、运维操作日志、系统时间日志等
    • 沙箱
    • 网络通讯监测
    • 访问及数据传输侦测

您是否已通过安全监控平台对采集的安全日志进行持续监控,识别与记录对关键系统的未授权更改、日志文件完整性监控或更改检测、特权账号异常行为、无效逻辑访问尝试等攻击或异常行为。
  • 检查是否通过安全监控平台进行采集告警、日志。
  • 检查安全监控平台是否可以进行关联分析。
  • 检查是否识别并记录以下行为:
    • 识别与记录对关键系统的未授权更改。
    • 日志文件完整性监控或更改检测。
    • 特权账号异常行为。
    • 无效逻辑访问尝试等攻击或异常行为。

系统在发生网络攻击或异常情况时,是否触发告警并分配相关责任人对告警进行跟踪、验证和处理。
  • 检查是否有网络异常情况告警记录。
  • 检查异常情况告警分发记录,是否将告警分配给相关责任人,并对告警进行跟踪、验证和处理。

PCI-DSS-保护账户数据

表35 保护账户数据风险项检查项目

检查项目

检查内容

您是否根据数据的分级分类,识别出需要加密传输的场景。

检查是否根据数据的分级分类,识别出需要加密传输的场景,包括但不限于:

  • 通过公共网络的数据传输。
  • 非控制台访问的管理操作数据。

您是否实施技术措施,以确保数据在传输的真实性、保密性和完整性。

检查是否采取技术措施确保数据传输时的真实性、保密性和完整性,技术措施包括但不限于以下:

  • 在通信前对通信双方进行认证,确保通信的真实性。
  • 使用安全的协议(包括TLS、IPSec、SSH等),确保协议支持安全的版本与配置。

检查是否有禁止使用不安全的协议:SSL2.0,SSL3.0,TLS1.0,TLS1.1,SSHv1,IKEv1等。

您是否已实施技术措施,确保数据在存储过程中的保密性和完整性。
  • 检查是否已实施技术措施,确保数据在存储过程中的保密性和完整性。
  • 保密性技术措施参考:AES、RSA、IDES等加密算法,如涉及国家机密信息还应使用国密算法。完整性技术措施参考:哈希、签名等。
  • 如数据存储涉及到持卡人数据,检查是否使用以下任一方法使PAN在任何存储位置(包括便携式数字媒体、备份媒体和日志中)不可读:
    • 基于强加密的单向哈希(哈希必须是整个PAN)。
    • 截断(哈希不能用来替换PAN的截断段)。
    • 索引令牌和焊盘(焊盘必须安全存放)。
    • 使用强密码,并对密钥进行管理。

您是否已建立了定期识别并删除超出保留期限或不再需要的数据的机制。
  • 检查是否有正式的数据保留和删除政策,明确规定了不同类型数据的保留期限以及如何处理过期数据。
  • 查看现有的数据管理流程,确认是否存在系统化的方法用于定期识别即将到期或已过期的数据,并确保这些数据能够被及时标记出来以供审核或删除。
  • 评估所使用的数据管理和存储解决方案是否具备自动化功能来帮助识别、分类及删除不再需要的数据。例如,使用数据生命周期管理(DLM)工具或归档系统。
  • 查阅相关日志或报告,确认所有数据删除操作都有详细记录,包括执行时间、涉及的数据集、负责人员等信息。

您是否已制定密钥使用和保护策略,并贯穿其整个生命周期。

检查是否已制定满足以下要求的密钥使用和保护策略,并贯穿其整个生命周期:

  • 明确密钥主要保管人的责任,并最大限度地减少保管人数。
  • 明确密钥的生成、分发、使用、轮换、归档、销毁所需要的授权。
  • 如果手动明文进行密钥管理,应实施知识拆分和双重控制进行管理。

PCI-DSS-其他

表36 其他风险项检查项目

检查项目

检查内容

您是否对变更进行记录,并进行风险评估和分类分级。

检查是否有对变更进行风险评估与分级记录。

检查变更风险评估分析维度是否包括如下内容:

  • 受影响的设备或系统组件。
  • 复杂度。
  • 时间窗口。
  • 对基础架构、网络及上下游系统的影响,如安全隐患、兼容性问题、隐私问题等。

您是否有变更通知与实施策略,在变更实施后,对变更有效性进行验证,并同步更新配置库及适用的文件。

检查是否有变更通知与实施策略等文件,包括以下要求:

  • 对变更后的有效性进行验证,同步更新配置库,有效性验证包括变更符合安全配置基线要求,以及未对业务造成不利影响。
  • 对于未通过评审的变更,予以关闭,并保留相关文档记录。

NIST SP 800-53-系统和服务采购

表37 系统和服务采购风险项检查项目

检查项目

检查内容

您是否制定了详细的代码编写安全规范,并确保开发人员参照这些规范进行编码,涵盖关键的安全实践如输入验证、错误处理、数据加密和会话管理等。
  • 检查是否有正式的安全编码指南或手册,其中详细描述了代码编写时应注意的安全最佳实践和标准。该文档应涵盖输入验证、错误处理、数据加密、会话管理等方面。
  • 评估现有的代码审查(Code Review)流程,确认是否包含对安全编码规范遵守情况的检查。这可以通过查看代码审查工具中的检查清单或规则集来实现。
  • 检查是否采用了静态应用安全测试(SAST)工具或其他自动化分析工具来帮助识别不符合安全编码规范的代码段。

NIST SP 800-53-项目管理

表38 项目管理风险项检查项目

检查项目

检查内容

您是否已准备充足的资源以确保网络安全与隐私保护管理目标的达成,制定包括对人员、技术、环境、设施、信息和财务等资源的需求预算。

检查是否制定网络安全与隐私保护的预算规划,预算规划包括人员、技术、环境、设施、信息和财务等,例如指定特定人员,每天 24 小时随时响应警报。

您是否已由管理层正式授权或指定了专门的团队或个人来负责网络安全与隐私保护工作并且明确了这些角色的具体职责和权限。
  • 检查是否有正式的文件(如职位描述、组织结构图、政策手册等)表明有特定的团队或个人被赋予了管理网络安全和隐私保护的责任。
  • 被指定负责网络安全和隐私保护工作的团队成员或个人进行交流,了解其对自己职责的理解以及如何执行这些职责。
  • 检查内部沟通记录(如会议纪要、电子邮件链),以确定管理层对网络安全和隐私保护工作的支持程度及指示传达情况。

您是否根据制定的数据安全治理策略,应明确数据的责任归属,和数据采集、使用、存储、传输、共享、披露和销毁等数据生命周期中各方的角色、职责。
  • 检查是否制定数据管理策略。
  • 检查数据管理策略里是否有明确数据的责任归属。
  • 检查数据管理策略里是否明确数据采集、使用、存储、传输、共享、披露和销毁等数据生命周期中各方的角色、职责。
  • 如涉及处理持卡人数据,还应检查对于通过远程访问客户数据的工作人员,是否明确规定禁止将持卡人数据复制、移动和存储到本地硬盘及可移动电子媒介上。

NIST SP 800-53-评估、授权和监控

表39 评估、授权和监控风险项检查项目

检查项目

检查内容

您是否制定了渗透测试计划,并至少每年一次以及应用程序有任何重要升级或修改时,在授权后由专人对Web应用程序、内部支撑系统等进行渗透测试。
  • 询问负责渗透测试的人员,了解渗透测试计划与渗透测试流程。
  • 检查渗透测试计划文档。
  • 询问负责渗透测试的人员,当聘请第三方人员进行渗透测试时,是否检查第三方人员的资格认证。

您是否至少每年一次或当发生重大变更时执行内部和外部审计,以确保符合安全策略、标准和要求。若您作为服务提供商,是否每季度进行一次审查并维护季度审查流程文档记录。
  • 检查审计记录,是否每年一次或发生重大变更时执行内部和外部审计,包括但不限于以下方面:
    • 网络安全管理体系的适宜性、充分性和有效性。
    • 法律法规的遵从性。
    • 业务流程信息安全控制的有效性。
  • 检查审计记录,作为个人数据控制者,在执行内部审计时,是否做到以下:
    • 建立自动化的审计流程、程序和系统。
    • 形成相应的审计记录或日志。
    • 加强对审计记录的保护,防止未授权的访问、篡改或删除。
    • 应及时处理审计过程中发现的个人信息违规处理行为。
  • 如作为服务供应商,是否每季度进行一次审查并维护季度审查流程文档记录,审查内容包括但不限于:
    • 日常日志审查。
    • 防火墙规则集审查。
    • 将配置标准应用于新系统。
    • 响应安全警报。
    • 更改管理流程。

您是否根据已识别的漏洞制定了详细的修补方案,并确保所有关键资产都得到了适当的保护。
  • 检查是否有正式的漏洞管理策略或流程文档,明确规定了如何识别、评估和修复系统中的漏洞。该文档应包括漏洞扫描工具的选择与使用、漏洞优先级排序、修补时间表及验证修补效果的方法。
  • 查看修补计划文档和相关日志文件,确认针对每个已识别的漏洞都制定了具体的修补方案,并且这些修补活动都被详细记录下来,包括修补的具体步骤、责任人、预计完成时间和实际执行结果。

NIST SP 800-53-审计与问责

表40 审计与问责风险项检查项目

检查项目

检查内容

您是否根据数据的分级分类,识别出需要加密传输的场景。

检查是否根据数据的分级分类,识别出需要加密传输的场景,包括但不限于:

  • 通过公共网络的数据传输。
  • 非控制台访问的管理操作数据。

您是否对网络设备、主机、虚拟化平台、应用软件等系统开启了日志功能。

检查日志管理策略文档。

检查系统类型是否满足以下要求:

  • 应用软件、杀毒软件等。
  • 网络设备,如边界、重要节点设备。
  • 主机,如服务器、虚拟化平台等

您是否对访问控制、运维操作、敏感数据访问、系统事件等类型开启了日志功能。

检查是否有日志管理策略文档。

检查日志类型是否满包括以下:

  • 访问控制日志
  • 运维操作日志
  • 敏感数据访问日志
  • 系统事件日志等

您是否使用了满足相应外部标准或内部管理要求的日志管理系统,对日志进行集中收集和分析。
  • 检查是否有日志管理系统,对日志进行集中收集和分析。
  • 检查是否有日志管理系统是否满足外部标准或内部管理要求。
  • 检查是否在集中管理日志系统出现故障时,是否自动报告给相关责任人,是否有组件冗余。
  • 检查日志服务器与资产之间的身份认证是否在传输和存储使用加密技术或带外管理。

您是否定期备份日志,并对日志及其备份采取保护措施。

检查是否有日志保护策略文档。

检查日志保护措施是否满足以下要求:

通过访问控制防止未授权更改。

  • 写入只写媒体。
  • 禁止远程访问日志服务器。
  • 当日志存储容量用完时,覆盖最早的记录。
  • 日志数据的传输与存储应与客户数据隔离。
  • 备份位于不同的物理位置。

您是否确保了安全审计日志记录保留至少一年,并且至少三个月内可在线查询或立即可从备份中恢复。
  • 检查是否有安全审计日志策略文档。
  • 抽查是否可以立即在线查询三个月内的安全审计日志(包括联机、存档或可从备份中恢复)。
  • 抽查离线归档是否保存一年以上。

您是否已通过安全监控平台对采集的安全日志进行持续监控,识别与记录对关键系统的未授权更改、日志文件完整性监控或更改检测、特权账号异常行为、无效逻辑访问尝试等攻击或异常行为。
  • 检查是否通过安全监控平台进行采集告警、日志。
  • 检查安全监控平台是否可以进行关联分析。
  • 检查是否识别并记录以下行为:
    • 识别与记录对关键系统的未授权更改。
    • 日志文件完整性监控或更改检测。
    • 特权账号异常行为。
    • 无效逻辑访问尝试等攻击或异常行为。

NIST SP 800-53-媒体介质保护

表41 媒体介质保护风险项检查项目

检查项目

检查内容

您是否建立介质管理机制,对介质的使用和访问进行限制和保护,并实施物理保护和逻辑保护等措施。
  • 询问资产管理人员是否对介质的使用采用物理、逻辑保护措施。
  • 询问资产管理人员采用哪些措施限制介质使用。

您是否对介质的转移建立授权机制并实施了安全控制。运送过程中是否采取了保护措施。
  • 检查介质保护策略,是否建立机制以保护存储了信息的介质:
    • 运送和转移过程中受到保护。
    • 不被未授权的访问。
    • 不当使用以及毁坏。
  • 检查在运送或转移机制的过程中是否实施保护措施,包括但不限于以下内容:
    • 通过可靠的快递公司或其他可准确跟踪的投递方法递送介质。
    • 凡自安全区域转移介质时(包括将介质分发给个人),确保经过管理层批准。

NIST SP 800-53-系统和通信保护

表42 系统和通信保护风险项检查项目

检查项目

检查内容

您是否实施技术措施,以确保数据在传输的真实性、保密性和完整性。

检查是否采取技术措施确保数据传输时的真实性、保密性和完整性,技术措施包括但不限于以下:

  • 在通信前对通信双方进行认证,确保通信的真实性。
  • 使用安全的协议(包括TLS、IPSec、SSH等),确保协议支持安全的版本与配置。

检查是否有禁止使用不安全的协议:SSL2.0,SSL3.0,TLS1.0,TLS1.1,SSHv1,IKEv1等。

您是否已实施技术措施,确保数据在存储过程中的保密性和完整性。
  • 检查是否已实施技术措施,确保数据在存储过程中的保密性和完整性。
    • 保密性技术措施参考:AES、RSA、IDES等加密算法,如涉及国家机密信息还应使用国密算法。
    • 完整性技术措施参考:哈希、签名等。
  • 如数据存储涉及到持卡人数据,检查是否使用以下任一方法使PAN在任何存储位置(包括便携式数字媒体、备份媒体和日志中)不可读:
    • 基于强加密的单向哈希(哈希必须是整个PAN)。
    • 截断(哈希不能用来替换PAN的截断段)。
    • 索引令牌和焊盘(焊盘必须安全存放)。
    • 使用强密码,并对密钥进行管理。

您是否已制定密钥使用和保护策略,并贯穿其整个生命周期。

检查是否已制定满足以下要求的密钥使用和保护策略,并贯穿其整个生命周期:

  • 明确密钥主要保管人的责任,并最大限度地减少保管人数。
  • 明确密钥的生成、分发、使用、轮换、归档、销毁所需要的授权。
  • 如果手动明文进行密钥管理,应实施知识拆分和双重控制进行管理。

您是否已建立符合行业标准的安全配置基线,并满足以下要求:(1)按照最小化原则,仅启用必要且安全的服务、协议、端口等;(2)网络设备默认拒绝所有网络通信流量,并保持最新稳定版本;(3)禁用不必要的服务、协议、功能、端口等;(4)删除默认账号,或修改默认账号名及口令;(5)如需启用不安全的功能,应实施额外的安全控制措施;(6)时钟同步服务器符合行业标准,及使用三种同步的时间源;(7)保留文档化记录;(8)获取审批
  • 检查是否有安全配置基线。
  • 检查安全配置基线的配置是否满足以下要求:
    • 按照最小化原则,仅启用必要且安全的服务、协议、端口等。
    • 网络设备默认拒绝所有网络通信流量。
    • 禁用不必要的服务、协议、功能、端口等。
    • 删除默认账号,或修改默认账号名及口令。
    • 如需启用不安全的功能,应实施额外的安全控制措施。
    • 保留文档化记录。
    • 获取审批。
  • 检查时钟同步服务器的时间源是否符合行业标准。

您是否集中部署防恶意软件工具,确保能够检测、删除和抵御所有已知类型的恶意软件或代码。
  • 检查是否集中部署防恶意软件工具,确保能够检查、删除和抵御所有已知类型的恶意软件或代码。
  • 检查部署的恶意软件防护工具的配置是否满足但不限于以下要求:
    • 配置自动监控,如果出现异常,可向管理员报告。
    • 配置定期执行扫描的策略。
    • 恶意软件防护工具无法被禁用或更改。
    • 至少每天或在供应商发布新的更新时,对恶意软件防护工具进行更新。
    • 至少每天更新病毒特征和行为库 。
    • 更新可以回滚,以防更新导致系统故障。

您是否在网络拓扑文档中记录网络安全相关的设计与配置信息,并保持更新。

检查是否有网络拓扑文档,文档中是否记录网络安全相关的设计与配置信息,并保持更新,文档内容是否包括但不限于以下内容:

  • 包括云服务网络逻辑架构,架构图是持续更新的,并可以追溯。
  • 包括因业务原因和授权适用的所有服务、协议和端口。
  • 显示子网的分配方式,以及网络的分区和分段方式。
  • 显示数据的存储区域。
  • 记录因采用了不安全的协议所采取的额外安全措施。

您是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控。

检查网络边界部署策略,是否在网络边界部署了安全设备/服务,确保跨边界的网络流量安全受控,部署的安全设备/服务包括但不限于:

  • 入侵检测/防御系统
  • 防火墙
  • 安全网关
  • 网络协议分析工具
  • 网络扫描工具
  • 网络嗅探工具

您是否对网络区域边界实施了访问控制,并设置满足行业标准要求的访问控制规则以控制数据包进出。
  • 检查访问控制列表(ACL)是否拒绝恶意IP地址或默认拒绝受控端口和IP以外的通信。
  • 检查访问控制列表(ACL)的维护记录,是否删除无效规则。
  • 检查跨网络的访问是否需要经过评估与授权。

您是否已实施入侵检测、防火墙、DDoS防护系统等技术措施,集中监控针对网络设备、主机与容器、应用系统、安全设备的网络攻击。
  • 检查是否对网络设备、主机与容器、应用系统、安全设备等进行集中安全监控。
  • 检查是否使用如下监控技术措施:
    • 入侵检测/入侵防御
    • 防火墙
    • DDoS防护系统/设备
    • 物理访问控制
    • 逻辑访问控制
    • 检查日志,例如访问控制日志、运维操作日志、系统时间日志等
    • 沙箱
    • 网络通讯监测
    • 访问及数据传输侦测

NIST SP 800-53-事件与响应

表43 事件与响应风险项检查项目

检查项目

检查内容

系统在发生网络攻击或异常情况时,是否触发告警并分配相关责任人对告警进行跟踪、验证和处理。
  • 检查是否有网络异常情况告警记录。
  • 检查异常情况告警分发记录,是否将告警分配给相关责任人,并对告警进行跟踪、验证和处理。

NIST SP 800-53-物理环境保护

表44 物理环境保护风险项检查项目

检查项目

检查内容

当硬件资产下线时,您是否针对承载数据的资产,进行安全销毁,包括对数据的永久删除与介质销毁。
  • 询问资产管理人员是否在硬件资产下线时,针对承载数据的资产,进行安全销毁。
  • 询问资产管理人员是否采用粉碎、焚烧等方式进行物理销毁。
  • 如果由有资质的第三方进行销毁,询问资产管理人员销毁要求是否采用物理销毁,是否获得数据销毁证明。

您是否实施物理访问控制措施,限制对物理端口、网络插孔、无线接入点、电信线路等资产的物理访问。
  • 检查是否制定资产的物理访问控制策略文档,文档里包括但不限于以下内容:
    • 明确物理和/或逻辑控制,限制实际接触公共网络插座交换机。
    • 限制实际接触无线访问点、网关、手持式设备、网络/通信硬件和电信线路。
    • 保护通过直接接触卡本身便可捕获支付卡数据的设备,以避免设备被篡改和替换。
    • 定期检查设备的表面,以检查篡改(例如给设备增加读卡器)或替换(例如通过检查序列号或其他设备特征确认其未被欺诈性设备调换)迹象。
  • 检查访问控制的资产是否包括:
    • 物理端口
    • 网络插孔
    • 无线接入点
    • 网关
    • 手持设备
    • 信息系统
    • 通信硬件
    • 电信线路等

NIST SP 800-53-规划和策略

表45 规划和策略风险项检查项目

检查项目

检查内容

您是否已经制定了网络安全与隐私保护的战略规划,并设定了明确的里程碑,同时确保这些规划和目标与企业的整体业务战略相一致。
  • 验证网络安全与隐私保护的战略规划是否真正与企业的业务战略保持一致。检查是否有定期的审查机制来确保两者的一致性,并根据业务发展的变化及时调整安全策略。
  • 查看设定的里程碑是否合理且具有可操作性。里程碑应当具体、可衡量、可实现、相关性强且时限明确(SMART原则),并能够支持实现总体战略目标。
  • 检查实际的实施进展,确认是否按照规划的时间表和里程碑推进工作。记录任何偏差或挑战,并分析其原因。

您是否存在正式的设计规范和安全架构文档,指导软件开发与系统部署,涵盖了关键的安全领域,如身份验证、授权、加密、日志记录与监控等。
  • 文档审查:检查是否有详细的文档集,包括但不限于设计规范、安全架构蓝图、技术指南等。确保这些文档清晰地定义了系统的整体结构及其各个组成部分如何协同工作。
  • 内容评估:仔细审阅现有文档的内容,确认其覆盖了所有必要的安全方面,例如身份验证机制、访问控制策略、数据保护措施(如加密)、日志记录与审计功能等。
  • 版本控制检查:查看文档的版本历史记录,了解它们是否定期更新并反映了最新的技术和最佳实践。
  • 一致性验证:对比实际部署的系统架构与设计规范及安全架构文档的一致性,确保两者之间没有显著差异。

NIST SP 800-53-系统和信息完整性

表46 系统和信息完整性风险项检查项目

检查项目

检查内容

您是否已建立了定期识别并删除超出保留期限或不再需要的数据的机制。
  • 检查是否有正式的数据保留和删除政策,明确规定了不同类型数据的保留期限以及如何处理过期数据。
  • 查看现有的数据管理流程,确认是否存在系统化的方法用于定期识别即将到期或已过期的数据,并确保这些数据能够被及时标记出来以供审核或删除。
  • 评估所使用的数据管理和存储解决方案是否具备自动化功能来帮助识别、分类及删除不再需要的数据。例如,使用数据生命周期管理(DLM)工具或归档系统。
  • 查阅相关日志或报告,确认所有数据删除操作都有详细记录,包括执行时间、涉及的数据集、负责人员等信息。

您是否部署了变更检测机制以发现未经授权的修改,并对于此类发现进行整改。
  • 检查安全配置基线策略。
  • 检查对配置基线的偏离情况是否有进行分析整改记录,对偏离情况进行分析整改。如以下内容:
    • 在关键系统文件、配置文件或内容文件发生非授权修改(包括变更、添加和删除)时警示工作人员。
    • 软件配置至少每周执行一次关键对比。

您是否已制定变更与回退方案,明确只有在评审、审批通过后才可实施方案,并采取技术手段限制未授权的变更。
  • 检查是否有制定变更与回退的流程规范。
  • 检查变更与回退方案是否采取技术手段限制未授权的变更。
  • 检查变更与回退方案是否包括但不限于以下内容:
    • 变更需求、影响分析和分类分级说明
    • 变更实施、回退的过程、方法和人员职责
    • 通知计划等

您是否根据风险影响分析,进行了变更与回退方案的测试,以确保对组织的运行和安全没有负面影响。
  • 检查是否有变更与回退测试的流程规范。
  • 检查变更与回退测试是否满足以下要求:
    • 明确测试类型和范围。
    • 执行变更与回退方案测试。
    • 对发现的问题进行整改或采取缓解措施。
    • 根据合同要求,安排云客户参与变更测试。

您是否对主机、容器、服务器等实施恶意软件防护。
  • 检查是否部署恶意软件防护工具。
  • 检查是否在易受恶意软件影响的系统部署防病毒软件,并确保防病毒机制保持最新。
  • 检查恶意防护工具的部署范围、数量、病毒库更新策略。
  • 检查对外来计算机或存储设备接入系统前是否有流程机制要求对恶意代码检查。
  • 检查是否具备预防和检测常见类型的恶意攻击的工具。
  • 检查是否有恶意代码告警的相关记录,对恶意代码告警进行检查和分析。

NIST SP 800-53-访问控制

表47 访问控制风险项检查项目

检查项目

检查内容

您是否有符合标准要求的账号登录失败自动锁定的安全控制。
  • 检查是否有账号自动锁定的机制。
  • 账号锁定的配置是否满足锁定6次以上尝试失败的账号,锁定持续时间至少为30分钟。

您现有的权限管理机制是否遵循了按需分配、最小授权及职责分离原则。

检查现有的权限管理规范,是否包含以下原则:

  • 按需分配,根据职位、角色以及访问的必要性对数据中心进行细粒度的物理访问授权。
  • 最小授权,根据职位、角色以及访问的必要性对数据中心进行细粒度的物理访问授权。
  • 职责分离原则,遵循不相容的职责互相分离。例如授权、签发、审核、执行、记录等工作不应由同一个人负责。

您是否已采用了基于角色或属性的访问控制机制, 定义每个角色的访问需求,根据角色需求分配访问权限。
  • 检查权限管理策略,是否包括但不限于以下内容:
    • 定义每个角色的访问需求,包括每个角色需要访问其作业功能所需的系统组件和数据资源 ,和访问资源所需的权限级别(例如,用户、管理员等)。
    • 根据角色需求分配访问权限,例如根据个人职位分类和职能分配访问权限。
  • 如涉及管理持卡人数据,还应检查是否限制对任何包含持卡人数据的数据库的所有访问(包括应用程序、管理员和其他所有用户的访问)。

当内外部职员工作职责发生变化时,您是否在24小时内完成账号与权限的变更。

检查转岗或离职的人员账号与权限是否在24小时内完成变更。

您是否至少定期,如一个月审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。

检查是否有维护所有账号与权限的清单。

检查维护清单的记录,是否至少定期审核一次所有账号与权限,并在审核发现账号与权限存在偏差时,于规定期限内完成整改。

NIST SP 800-53-风险评估

表48 风险评估风险项检查项目

检查项目

检查内容

您是否已识别您范围内的资产(物理设备、系统、虚拟设备、软件和数据流等),根据资产的关键性、威胁影响和可能性来确定相关的风险。

检查资产风险威胁报告,是否识别出范围内的资产,根据资产的关键性、威胁影响和可能性来确定相关的风险,其中资产包括:

  • 物理设备
  • 系统
  • 虚拟设备
  • 软件
  • 数据流等

您是否制定漏洞扫描计划,并有专人负责通过手动检测或自动的漏洞扫描工具,定期(至少每季度一次)对网络环境进行漏洞扫描。
  • 检查漏洞扫描计划文档。
  • 检查是否由具有经验和资质的专人使用漏洞扫描工具,并在发生重大变更后重新执行内部和外部扫描(重大变更:例如数据访问权限被修改或数据环境安全受到影响)。
  • 检查漏洞扫描工具是否具备以下能力:
    • 实时更新漏洞库。
    • 发现系统漏洞缺陷和不安全配置。
    • 支持标准化的漏洞检查表和扫描流程。
    • 对漏洞进行影响评估。
    • 展示已扫描的信息系统组件和已核查过的漏洞。
    • 需从正规渠道获取,商业工具要具备合法授权。
    • 不影响业务的运行。
  • 检查是否对漏洞扫描中涉及的资料严格保密,不得向未经授权的非相关人员和组织公开披露。

NIST SP 800-53-配置管理

表49 配置管理风险项检查项目

检查项目

检查内容

您是否建立和维护资产清单,内容需覆盖您拥有的所有组件,且资产清单包括资产重要性、责任人、位置、状态和资产关联关系等内容。

检查是否制定与维护资产清单。

检查是否将拥有的所有组件均列入清单。

检查资产清单是否包括资产重要性、责任人、位置、状态和资产关联关系等内容。

您是否至少每年一次或在重大变更时对资产进行盘点。

询问资产管理人员是否至少每年一次,对资产进行盘点。

询问资产管理人员否在重大变更时,对资产进行盘点。

您是否维护数据流图和数据清单,对数据存储、处理和传输的过程、数据的位置进行记录。

检查是否有制定和维护数据流和数据清单,记录数据的位置,内容参考如下:

  • 敏感数据
  • 网络架构层面的数据流
  • 数据的位置

您是否已根据安全配置基线对所有软硬件资产进行了适当的加固处理。
  • 检查是否有正式的安全配置基线文档,该文档应详细列出针对不同类型的软硬件资产(如操作系统、数据库、网络设备等)的具体安全配置要求。
  • 通过自动化工具或手动方式审计现有的软硬件配置,确保它们符合既定的安全配置基线。这包括但不限于防火墙规则、用户权限设置、服务和端口的状态等。
  • 确认在部署新系统或更新现有系统时,是否遵循了基于安全配置基线的加固步骤,并且这些步骤被纳入到变更管理流程中。

您是否提供自动化检查工具,集中管理安全配置基线,定期检测配置文件的更改、内容文件的完整性。

检查是否有对安全配置基线的管理与验证部署自动化检查工具。

检查自动化检查工具是否满足以下要求:

  • 定期检查配置的更改,如SAN、路由器配置。
  • 定期查检内容文件完整性,如关键系统文件、内容文件。

您是否对变更进行记录,并进行风险评估和分类分级。
  • 检查是否有对变更进行风险评估与分级记录。
  • 检查变更风险评估分析维度是否包括如下内容:
    • 受影响的设备或系统组件
    • 复杂度
    • 时间窗口
    • 对基础架构、网络及上下游系统的影响,如安全隐患、兼容性问题、隐私问题等

您是否有变更通知与实施策略,在变更实施后,对变更有效性进行验证,并同步更新配置库及适用的文件。

检查是否有变更通知与实施策略等文件,包括以下要求:

  • 对变更后的有效性进行验证,同步更新配置库,有效性验证包括变更符合安全配置基线要求,以及未对业务造成不利影响。
  • 对于未通过评审的变更,予以关闭,并保留相关文档记录。

NIST SP 800-53-意识与培训

表50 意识与培训风险项检查项目

检查项目

检查内容

您是否根据持续监测和定期评估中获得的信息,至少每年一次审核并更新网络安全与隐私保护的管理策略、流程、标准及相关文件,并明确制定、分发和更新相关文档的人员

检查是否有审核记录,每年审核网络安全与隐私保护管理策略、流程、标准及相关文件。

检查网络安全与隐私保护的相关文件是否有指定的人员去制定、分发和更新。

您是否针对不同岗位制定相应的安全意识培训和岗位技能培训计划,并定期刷新计划和培训内容。

检查是否有根据不同岗位举行安全意识培训和岗位技能培训的记录。

检查是否有对培训计划内容更新的记录。

您是否定期对承担安全角色和关键职责的内外部员工开展岗位安全技能培训和考核,并检查对员工的绩效机制已包含信息安全的有关要求。

检查是否有对担任安全角色和关键职责的人员进行岗位技能培训。

检查员工的绩效考虑机制是否有包括信息安全的要求。

检查技术技能考核记录,包括对开发人员进行最新的安全编码技术进行培训和考核。

NIST SP 800-53-识别与认证

表51 识别与认证风险项检查项目

检查项目

检查内容

您是否根据业务关键性、数据敏感性等要素对资产进行分级分类和标识。

检查是否有资产分级分类记录,对资产进行分级分类和标识。

检查是否有资产标识记录,记录对资产的保护需求。

您是否实施了适当的用户标识管理策略,包括为用户分配了唯一账号名、唯一身份鉴别码、设置有效期,并对跨组织的账号进行标识等。
  • 检查用户账号管理系统配置,是否满足:
    • 为用户分配唯一账号名。
    • 禁止分配已失效或已过期的用户名。
    • 禁止使用组、共享或通用用户名。
    • 设置账号有效期。
  • 检查是否有跨组织的账号区分机制。

您的密码策略是否遵循了行业标准,并禁止使用通用、共享、与账号一样的密码。

检查系统密码策略是否满足强度要求:

  • 密码长度至少为8个字符。
  • 密码至少包含(大写字母、小写字母、数字、特殊符号)中的三种的组合。
  • 密码历史为4个。
  • 密码最小有效期限为1天。
  • 密码最大有效期限为90天,至少每90天更改一次密码。

您是否建立了密码分配的策略。例如在首次登录时分配随机的初始密码,并在首次登录后强制要求更改密码且更改后的密码应满足公司的密码复杂度要求。

检查对密码是否有管理规范相关文档,包括但不限于以下内容:

  • 首次登录时分配随机的初始密码。
  • 首次登录后强制要求更改密码,且更改后的密码满足设置的密码复杂度要求。

检查密码分配记录,是否对初始密码和密码复杂度有要求。

您在对验证凭证(例如密码/口令)进行传输、存储时,是否对验证凭证使用AES、RSA、IDES等加密算法进行加密,并在传输时使用加密通道。
  • 检查密码传输和存储策略,是否对验证凭证(例如密码/口令)使用加密算法(例如AES、TDES/TDEA、RSA)等加密。
  • 检查密码传输时是否对传输通道进行加密。
  • 检查是否禁止未加密的静态鉴别凭证嵌入到应用、访问脚本中。

您实施多因素认证时,是否满足相应标准的要求,确保多因素认证是否绑定唯一的账号,禁止在多个账号之间共享;并且至少对其中一种鉴别技术使用密码技术来实现。
  • 检查制定的权限管理规范中对于多因素认证鉴别因子的管理要求是否包括但不限于以下:
    • 多因素认证是否绑定唯一的账号,禁止在多个账号之间共享,且明确最小、最大有效期限,及再利用条件,当人员角色、属性发生变更时,应及时更新。
    • 是否至少对其中一种鉴别技术使用密码技术来实现

注:多因素认证的鉴别因子为采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。
父主题: 经验包