中国-三级等级保护合规检测

1 什么是等级保护

等保的全称是信息安全等级保护，是《网络安全法》规定的必须强制执行的，保障公民、社会、国家利益的重要工作。

在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统（APP）要开展等级保护工作。

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2 哪些企业需要等级保护认证

在中国，等保是规模稍大（100万用户、年营收千万、即将上市或已经上市企业等）企业必须要通过的；《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。

3 怎么做等级保护

等级保护通常需要5个步骤：

• 1.定级（企业自主定级-专家评审-主管部门审核-公安机关审核）

• 2.备案（企业提交备案材料-公安机关审核-发放备案证明）

• 3.测评（等级测评-三级每年测评一次）

• 4.建设整改（安全建设-安全整改）

• 5.监督检查（公安机关每年监督检查）

4 通过Config进行持续安全合规检测的规则集

等保3级(中国区AWS Config)

5 如何在AWS上满足三级等保要求

控制点	测评项目	合规指引	对应Config规则
安全管理中心
8.1.5.1 系统管理	a) 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；	创建一个系统管理员的角色	无
8.1.5.1 系统管理	b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。	系统管理员的权限包含资源的配置、控制、管理，用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 上一步中已经完成	无
8.1.5.2 审计管理	a) 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；	创建一个审计管理员的角色	无
8.1.5.2 审计管理	b) 应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。	审计管理员的权限包括查看日志，分析日志，存储日志，管理日志，查询日志。 上一步中已经完成	无
8.1.5.3 安全管理	a) 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计；	创建一个安全管理员的角色	无
8.1.5.3 安全管理	b) 应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。	安全管理员的权限包括安全参数配置，主体客体的安全标记能力，对主体进行授权，配置安全策略等。 可以根据需要给每一个服务加一个安全相关的权限集分配给安全管理员角色，比如AmazonEC2forSecurityManage，里面配置所有安全相关的操作，包括EC2安全组编辑权限等。如果购买了安全产品，可以将安全产品的管理权限附加到安全管理员的组里。	无
8.1.5.4 集中管控	a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；	划分一个DMZ安全区，一个应用区，一个存储区，DMZ安全区才可以连接应用区和存储区，应用区可以连存储区，应用区和存储区都是私有子网，不允许公网访问。安全组件比如堡垒机放在DMZ安全区中，可以是公有子网。 根据现有架构进行调整，可以联系SA协助设计。	无
8.1.5.4 集中管控	b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；	采用安全方式（如SSH、HTTPS、IPSec VPN等）对安全设备或安全组件进行管理； AWS服务之间使用HTTPS方式进行加密传输，可以通过AWS的等保证书证明此项要求合规。 如果第三方安全产品部署在EC2上，则访问Amazon EC2的网络是经过加密的。同样可以通过AWS的等保证书证明此项要求。	无
8.1.5.4 集中管控	c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；	通过Amazon Web Services Health Dashboard可以查看所有服务的运行状况，对于运行异常的服务可以通过EventBridge添加通知。 使用实例状态监控，对Amazon EC2的运行状况进行集中监测。 或者，通过Cloud Watch实现网络链路、安全设备、网络设备和服务器等的运行状态进行集中监测；	无
8.1.5.4 集中管控	d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；	通过CloudWatch集中收集审计日志，并定期传送到S3保存日志6个月以上。
8.1.5.4 集中管控	e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；	对安全策略（如防火墙访问控制策略、入侵保护系统防护策略、WAF安全防护策略等）进行集中管理； 推荐使用AWS Security Hub，将云原生安全和第三方安全发现的异常集中管理。如何配置参见此文档。
8.1.5.4 集中管控	f) 应能对网络中发生的各类安全事件进行识别、报警和分析。	启用Amazon GuardDuty对网络中的安全事件进行识别，报警和分析。
安全计算环境
8.1.4.1 身份鉴别	a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；	AWS 控制台： 参见IAM 身份鉴权与身份管理，创建user或者role都具有身份的唯一性。 确保IAM密码政策要求至少有一个小写字母。 确保IAM的密码政策要求至少有一个数字。 确保IAM密码政策要求至少有一个符号。 确保IAM密码政策要求至少有一个大写字母； 设置90天更换一次密码； 设置密码5次以内不允许重复。 参考IAM账户设置最佳实践修改密码策略。
8.1.4.1 身份鉴别	b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；	N/A 暂时不支持
8.1.4.1 身份鉴别	c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；	控制台/IAM 客户识别数据（包括密码）将通过 TLS 1.1 和 1.2 进行传输中加密。所有 Amazon STS 终端节点都支持 HTTPS 来对传输中的数据进行加密。有关 Amazon STS 终端节点的列表，请参阅区域和终端节点。 更多信息可以参见文档：https://docs.amazonaws.cn/IAM/latest/UserGuide/data-protection.html Amazon EC2 使用 SSH 连接到 Linux 实例 如果您运行的是 Windows Server 2019 或更高版本，我们建议使用 OpenSSH，这是一款使用 SSH 协议进行远程登录的开源连接工具。 使用 OpenSSH 从 Windows 连接到 Linux 实例 物理层加密/Amazon VPC 和 Transit Gateway 跨区域对等连接提供的加密/实例之间的加密/远程访问加密 的情况说明
8.1.4.1 身份鉴别	d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别， 且其中一种鉴别技术至少应使用密码技术来实现。	启用MFA
8.1.4.2 访问控制	a) 应对登录的用户分配账户和权限；	参见IAM 身份（用户、用户组和角色）进行账户和权限的分配。
8.1.4.2 访问控制	b) 应重命名或删除默认账户，修改默认账户的默认口令；	删除根用户的访问密钥
8.1.4.2 访问控制	c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；	查找未使用的凭证，然后删除。建议未使用超过90天的删除。
8.1.4.2 访问控制	d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；	采用特权管理账号实践
8.1.4.2 访问控制	e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；	创建访问控制策略，或者也可以使用预置的策略给用户。推荐使用常用的IAM角色设置与policy示例。
8.1.4.2 访问控制	f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；	S3文件级权限控制：Amazon S3 如何授权对象操作的请求
8.1.4.2 访问控制	g) 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。	为重要资源进行标记。给资源打标签。 根据标签访问Amazon资源
8.1.4.3 安全审计	a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；	创建cloudtrail的管理事件跟踪，记录每个用户的行为和安全事件。
8.1.4.3 安全审计	b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；	CloudTrail 记录内容包含事件的日期，时间，用户，事件类型，事件是否成功等信息。
8.1.4.3 安全审计	c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；	创建CloudTrail跟踪的时候会指定存放的S3存储桶，注意存储桶保存时间要大于6个月。 CloudTrail 启用日志文件完整性验证避免未授权的删除，修改或覆盖等。
8.1.4.3 安全审计	d) 应对审计进程进行保护，防止未经授权的中断。	使用Config添加规则：cloudtrail-security-trail-enabled，并且在规则中配置自动修复。一旦发现审计被中断可以自动启用审计。参见安全合规持续监控中的#6
8.1.4.4 入侵防范	a) 应遵循最小安装的原则，仅安装需要的组件和应用程序；	N/A
8.1.4.4 入侵防范	b) 应关闭不需要的系统服务、默认共享和高危端口；	参考端口管控对VPC的安全组和NACL进行配置。 通过安全合规持续监控记录是否有开放共享的高危端口。
8.1.4.4 入侵防范	c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；	参考端口管控对VPC的安全组和NACL进行配置。
8.1.4.4 入侵防范	d) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；	API接口采用 SigV4 签名实现传输数据完整性验证；
8.1.4.4 入侵防范	e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；	主机/容器漏洞扫描：由于AWS Inspector在中国区还无法使用，因此建议购买第三方的主机漏洞扫描产品。
8.1.4.4 入侵防范	f) 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。	主机/容器入侵检测： Web应用防火墙：推荐购买并使用Amazon WAF产品扫描Web应用攻击并进行拦截。 网络入侵检测： 推荐购买第三方的网络入侵检测产品。
8.1.4.5 恶意代码防范	应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。	主机/容器杀毒： 可以选择购买第三方的杀毒软件来满足此需求。
8.1.4.6 可信验证	可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证， 并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证 结果形成审计记录送至安全管理中心。	N/A
8.1.4.7 数据完整性	a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；	EC2传输中加密； 在 Amazon Linux 2023 上配置 SSL/TLS； 在 Amazon Linux 2 上配置 SSL/TLS； 在Amazon Linux AMI 配置 SSL/TLS； API接口采用 SigV4 签名实现传输数据完整性验证； 为您的 Application Load Balancer 创建 HTTPS 侦听器 其余需要完整性验证的数据都可以使用Amazon KMS做数据完整性校验，用于验证数据未被篡改。
8.1.4.7 数据完整性	b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。	一般很少有系统能实现数据存储过程的完整性校验，但是如果通过TLS/SSL、SSH等协议，可以通过传输过程中的完整性在一定程度上弥补存储过程中的完整性，所以在测评中，如果传输过程中能保证数据完整性，那么此项一般默认符合。
8.1.4.8 数据保密性	a) 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；	EC2传输中加密； 在 Amazon Linux 2023 上配置 SSL/TLS； 在 Amazon Linux 2 上配置 SSL/TLS； 在Amazon Linux AMI 配置 SSL/TLS； 使用 SSL/TLS 加密与数据库实例的连接； API接口采用 SigV4 签名实现传输数据保密性验证； 为您的 Application Load Balancer 创建 HTTPS 侦听器 其余需要保证传输过程中保密性的数据都可以使用Amazon KMS做数据加密。
8.1.4.8 数据保密性	b) 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。	S3存储桶使用加密保护数据； Amazon EBS 加密； 加密 Amazon RDS 资源；
8.1.4.9 数据备份恢复	a) 应提供重要数据的本地数据备份与恢复功能；	推荐使用AWS Backup创建备份计划，备份关键数据。 blog: Use backups to recover from security incidents 学习参考：Backup workshop
8.1.4.9 数据备份恢复	b) 应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；	数据库异地备份可以通过AWS Backup实现： https://docs.amazonaws.cn/aws-backup/latest/devguide/creating-a-backup-plan.html 跨region备份RDS：https://www.youtube.com/watch?v=qMN18Lpj3PE S3可以通过在 S3 存储桶中使用版本控制实现实时备份。
8.1.4.9 数据备份恢复	c) 应提供重要数据处理系统的热冗余，保证系统的高可用性。	根据实际所使用的资源了解热冗余方案。
8.1.4.10 剩余信息保护	a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；	通过管理流程确保鉴别信息不使用则删除；
8.1.4.10 剩余信息保护	b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。	通过管理流程确保保存有敏感数据的存储空间比如S3存储桶，RDS实例或者EBS卷在项目不再维护的时候得到清除。
8.1.4.11 个人信息保护	a) 应仅采集和保存业务必需的用户个人信息；	N/A
8.1.4.11 个人信息保护	b) 应禁止未授权访问和非法使用用户个人信息。	可参考数据安全合规系统的完成个人信息保护。
安全管理中心
8.1.5.1 系统管理	a) 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；	创建系统管理员组，将人员分配在组中授予权限。这个人就能够在IAM的控制台或者CLI进行管理，开启Cloudtrail审计系统管理员的操作。前面已经有指引如何完成。
8.1.5.1 系统管理	b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。	为系统管理员添加权限策略，授权系统管理员可以管理EC2，RDS，IAM，Backup等系统资源。
8.1.5.2 审计管理	a) 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；	创建审计管理员组，将人员分配在组中授予权限。这个人就能够在IAM的控制台或者CLI进行管理，开启Cloudtrail用于审计。前面已经有指引如何完成。
8.1.5.2 审计管理	b) 应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。	为审计管理员组添加权限策略，授权审计管理员可以管理Amazon CloudWatch和Amazon CloudTrail。
8.1.5.3 安全管理	a) 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计；	创建安全管理员组，将人员分配在组中授予权限。这个人就能够在IAM的控制台或者CLI进行管理，开启Cloudtrail用于审计。前面已经有指引如何完成。
8.1.5.3 安全管理	b) 应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。	为安全管理员组添加权限策略，授权安全管理相关的权限。包括各类安全产品的管理，VPC安全组的配置，打标签等。
8.1.5.4 集中管控	a) 应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控；	设置一个DMZ区，也就是一个公有子网作为安全管理区域，用于放置安全产品，比如堡垒机。在DMZ区对安全产品进行集中管理。
8.1.5.4 集中管控	b) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理；	采用SSH、HTTPS、IPSec VPN等方式访问DMZ区的安全产品。
8.1.5.4 集中管控	c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；	Amazon CloudWatch可以集中监测亚马逊云科技公有云上的各类资源。
8.1.5.4 集中管控	d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求；	安全日志集中管控
8.1.5.4 集中管控	e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理；	采用Amazon Security Hub将安全问题集中管理。Security Hub作为云上的安全中心，支持各安全产品的安全事件（findings）的统一管理，各安全产品都支持一键配置同步findings到Security Hub服务中。 GuardDuty的威胁检测结果findings自动发送到Security Hub中。
8.1.5.4 集中管控	f) 应能对网络中发生的各类安全事件进行识别、报警和分析。	同上，采用Amazon Security Hub进行各类安全事件的分析。配置Amazon EventBridge推送报警，结合Amazon SNS topic 或者Amazon SQS queue发送告警。如何配置Security Hub的告警参见此处。