随着科技的飞速发展和社会的持续进步,我们见证了云服务、大数据、物联网、移动互联及工业控制等新技术的广泛应用。在这样的技术浪潮下,原有的等保1.0系列标准已难以满足新时代的需求,其适用性、时效性、易用性及可操作性均需升级改进。尤其当以“勒索病毒”为代表的新型网络攻击事件席卷全球时,传统安全防护手段已无法有效保护网络空间安全。网络安全保护体系急需全面升级,以配合《网络安全法》的实施。
接下来,基于我多年的等保测评经验,我将为大家详细解读等保测评2.0的有关内容。
一、安全审计功能
1.1 审计覆盖
应启用安全审计功能,Windows操作系统的安全审计功能(即Windows Event Log服务)默认是自动开启的,主要用户需具备管理员权限。这一设置确保了系统对所有用户的操作和重要安全事件进行全面审计。
1.2 审计策略
审计应覆盖到每个用户,Windows默认设置在此方面表现良好。我们可以通过查看审核策略中的九项策略属性说明,来确认哪些策略是覆盖所有用户的。例如,登录事件的审计通常是针对所有用户的。
1.3 重要事件审计
对于重要的用户行为和安全事件,需要进行特别审计。在Windows中,这通常需要手动开启,建议为所有可能的重要事件开启审计策略,以确保安全事件的全面记录。
二、审计记录要求
2.1 全面性
审计记录应包含事件的日期和时间、用户、事件类型、事件是否成功等关键信息。这样的记录有助于在发生安全事件时迅速定位源头,为后续的追查和分析提供便利。
三、审计记录与进程的保护
3.1 记录保护
3.2 进程保护
应对审计进程进行保护,防止未经授权的中断。在Windows系统中,通过默认的安全设置和权限管理,确保只有具备相应权限的用户才能关闭或中断审计服务。