首先我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。这章介绍的是第一级别安全计算环境的七个控制点分别为身份鉴别访问控制入侵防范恶意代码防范、可信验证、数据完整性、数据备份恢复。首先什么是安全计算环境一句话安全计算环境就是你的“计算设备”本身服务器、个人电脑、云主机等以及它上面运行的“东西”操作系统、应用软件、数据所处的安全状态。控制点1.身份鉴别这是安全计算环境最基础的控制点目的是分清楚每个访问者的身份确保操作者不会是攻击者对于如何达到要求下方有张表格具体要求通俗理解常见实现方式身份标识唯一性每个用户有独一无二的账号不能共用创建独立账号不用“admin/123456”这种通用账户口令复杂度密码不能太简单要求至少8位包含大小写/数字/特殊字符口令定期更换密码要定期换设置90天或180天有效期登录失败处理输错多次要锁住连续5次失败锁定15分钟超时自动退出人走了要自动登出设置15分钟无操作自动锁屏第二控制点是访问控制这是在鉴别身份后根据你的身份来决定你能做什么。注意这里的要求是针对计算环境内部的操作系统、数据库、应用系统级别的权限控制与之前网络边界的“五元组ACL”不同。具体要求表格如下。具体要求通俗理解常见实现方式分配账户和权限每个人只有完成工作所需的最小权限普通用户不能装软件、改系统设置重命名/删除默认账户出厂自带的admin/guest要处理掉改掉Administrator名字禁用Guest修改默认口令初始密码必须改安装系统时强制要求改密码删除多余/过期账户离职员工、临时账号要及时清理定期审计账号人走号销避免共享账户不能几个人用同一个账号每个人独立账号可追溯第三控制点是入侵防范作为第一级要求核心是减少攻击面而不是主动检测攻击核心是让自己没有太多可攻击处。具体要求表格如下。具体要求通俗理解最小安装只装必须的软件不装游戏、下载工具、远程控制工具等关闭不需要的系统服务关掉打印服务如果不需要、关掉文件共享如果不需要关闭默认共享Windows的C、D、D这类隐藏共享要关掉关闭高危端口关掉135、139、445、3389等容易被攻击的端口这些端口大多是为了满足一些同样可以用来攻击的服务开启的第四控制点是恶意代码防范第一级明确要求安装防恶意代码软件杀毒软件并定期更新病毒库。需要注意的是免费杀毒也合规Windows自带Defender满足要求且必须开启自动更新建议定期执行全盘扫描。第五控制点是可信验证还是老样子。‘可’这个控制点在第一级是可选的不强制。作用是在系统启动时检查引导程序和系统程序有没有被篡改。如果做发现异常时需要有报警机制。第六控制点是数据完整性这个和之前的要求是一样的第一级别只要求传输过程不要求存储过程只要求校验防意外传错不要求加密防人为篡改。正如我们在《安全通信网络》一篇中提到的第一级对数据传输只要求校验防传错不要求加密防篡改。计算环境的数据完整性要求与此一致不额外增加存储加密的负担。”这样能强化系列感让读者看到你每一篇之间是有逻辑衔接的。第七控制点是数据备份恢复要求“重要数据的本地数据备份与恢复功能”。本地备份指备份到同一机房的另一台设备、同一服务器的另一块硬盘、或同一云可用区的另一个存储桶。小结第一级“安全计算环境”的核心定位一句话把你的电脑/服务器收拾干净管好账号密码装好杀毒软件做好备份。这些要求不需要昂贵的设备只需要良好的运维习惯。对于个人博客、小型展示网站这类第一级系统按照这些要求做一遍基本就能满足合规底线。