康师傅的IT系统(ERP、CRM等)需满足等保2.0要求,请描述如何对核心系统进行安全加固,包括网络隔离、访问控制、安全审计,并说明如何定期进行安全评估和漏洞扫描。
康师傅控股有限公司安全专员难度:中等
答案
1) 【一句话结论】为满足等保2.0要求,核心是通过网络隔离(物理/逻辑隔离)、访问控制(身份认证+授权)、安全审计(日志记录与分析)构建纵深防御体系,并定期开展安全评估与漏洞扫描,确保ERP、CRM等核心系统数据安全与业务连续性。
2) 【原理/概念讲解】老师讲解:
等保2.0针对信息系统(如ERP、CRM)要求从技术、管理、运营三方面强化安全。技术层面需重点做三件事:
- 网络隔离:目的是阻断非授权访问,防止横向移动。分为物理隔离(如不同系统用不同网络设备,物理断开)和逻辑隔离(如VLAN划分,不同系统在不同VLAN,用防火墙隔离)。类比:医院不同科室用不同通道,防止交叉感染。
- 访问控制:核心是“谁、什么、何时、何地”能访问。常用RBAC(基于角色的访问控制,按角色分配权限,如管理员、普通用户),ABAC(基于属性的访问控制,更细粒度,如根据用户角色、设备、时间等动态授权)。类比:公司门禁,不同部门的人进不同区域,权限不同。
- 安全审计:记录系统所有操作(登录、数据访问、配置修改),用于事后追溯、异常检测。需集中存储日志,并定期分析(如用SIEM工具)。类比:超市的监控录像,记录所有进出,发现异常能追溯。
3) 【对比与适用场景】
| 隔离方式 | 定义 | 特性 | 使用场景 | 注意点 |
|---|---|---|---|---|
| 物理隔离 | 两个系统通过物理设备(如不同交换机、路由器)断开连接 | 完全隔离,无网络通信 | 核心系统与外部系统(如互联网) | 成本高,部署复杂 |
| 逻辑隔离(VLAN) | 在同一物理网络中,通过VLAN划分不同逻辑网络,用防火墙隔离 | 保留物理连接,通过策略控制 | 内部不同系统(如ERP与CRM) | 需防火墙策略严格,避免跨VLAN访问 |
| 控制技术 | 定义 | 特性 | 使用场景 | 注意点 |
|---|---|---|---|---|
| RBAC | 基于角色分配权限,用户属于角色,角色有权限 | 简单,易管理 | 企业内部用户(如管理员、业务员) | 角色划分需合理,避免权限过大 |
| ABAC | 基于用户属性(角色、设备、时间等)动态授权 | 精细,适应复杂场景 | 高安全需求系统(如核心数据) | 配置复杂,需属性管理 |
4) 【示例】
- 网络隔离(VLAN划分):
假设ERP系统在VLAN10,CRM在VLAN20,防火墙配置:permit tcp 10.1.0.0/16 10.2.0.0/16 eq 8080 # 允许ERP访问CRM的特定接口 deny ip any any # 其他访问禁止 - 访问控制(RBAC):
role admin { permissions: read, write, delete } # 管理员权限 role user { permissions: read } # 业务员仅读 user alice role admin # 用户分配角色 user bob role user - 安全审计(日志收集):
使用ELK平台收集日志:# Logstash配置 input { file { path => "/var/log/erp/access.log" } } filter { date { match => [ "log_content", "yyyy-MM-dd HH:mm:ss" ] } } output { elasticsearch { hosts => ["elasticsearch:9200"] index => "erp_audit_%{+YYYY.MM.dd}" } }
5) 【面试口播版答案】
“面试官您好,为满足等保2.0要求,核心是通过网络隔离、访问控制、安全审计构建纵深防御,并定期评估。具体来说:
网络隔离上,对ERP、CRM等核心系统采用逻辑隔离(如VLAN划分),用防火墙限制跨系统访问,比如ERP在VLAN10,CRM在VLAN20,仅允许ERP访问CRM的特定接口(如8080端口),阻断非授权通信。
访问控制方面,实施RBAC(基于角色的访问控制),定义管理员、业务员角色,管理员有读写权限,业务员仅读,通过系统权限配置,确保用户只能访问其职责范围内的资源。
安全审计则集中收集系统日志(如登录、操作日志),用ELK平台存储分析,定期检查异常行为(如多次失败登录、数据修改),并保留至少6个月日志以备追溯。
定期安全评估:每半年进行一次等保合规性检查,包括技术检测(如渗透测试)和管理评审;漏洞扫描每月一次,发现漏洞后立即修复,并跟踪修复状态。
这样能从技术、管理层面全面满足等保2.0要求,保障核心系统安全。”
6) 【追问清单】
- 问:等保2.0的具体等级(如第二级)要求是什么?
回答要点:第二级要求系统需具备身份认证、访问控制、安全审计等基本功能,数据完整性、可用性保障,定期进行安全检测。 - 问:如何处理跨部门(如财务与销售)对CRM的访问?
回答要点:通过ABAC动态授权,根据用户部门、角色、时间等属性,限制访问权限,避免越权操作。 - 问:审计日志的存储期限?
回答要点:根据等保2.0要求,日志需保留至少6个月,用于事后追溯和合规检查。 - 问:漏洞扫描工具的选择?
回答要点:选择支持Web应用、数据库、操作系统漏洞的扫描工具(如Nessus、OpenVAS),定期执行,并生成报告。 - 问:安全加固后的效果如何验证?
回答要点:通过渗透测试验证漏洞修复效果,审计日志分析异常行为,确保系统符合等保要求。
7) 【常见坑/雷区】
- 坑1:忽略等保2.0的等级分类,只说一般措施,未结合具体等级要求。
- 坑2:网络隔离仅说物理隔离,忽略逻辑隔离的重要性,导致部署复杂。
- 坑3:访问控制只提RBAC,未说明动态授权(ABAC)的适用场景,无法应对复杂业务。
- 坑4:安全审计不提日志分析,只说记录,未说明如何利用日志发现风险。
- 坑5:定期评估周期错误,如说每年一次,而等保2.0要求每半年一次。