等级保护测评1.0之主机安全
纪要
之前实习的单位是从事等级保护测评的,故本篇博客记录一下当时所学的,等保1.0中的主机安全;
等级保护流程:系统定级——开展等级保护测评——被测单位进行整改——等级保护复查——实现等级化防御体系
等级保护测评流程:根据系统定级情况编写过程文档——进场开展测评——测评结束,汇报问题汇总,是否能够出具测评报告(无高危风险项)——整理测评结果,录入测评工具,编写测评报告——测评报告归档
主机安全测评流程:进场后梳理客户系统涉及服务器、数据库资产,记录相关信息——查看服务器/数据库的相关配置——对服务器进行安全扫描——根据测评结果编写问题汇总。
第三级安全要求
身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
本条款主要通过查看操作系统、数据库的登录方式进行判定,主要查看是否是空口令登录,若为空则判定不符合。
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
本条款需要了解查看操作系统、数据库的密码配置中是否有强制措施,比如查看操作系统安全策略中密码必须符合复杂性要求、密码长度最小值等配置是否开启;当均未开启时判定不符合;当配置与实际使用情况不符合时,比如未开启密码复杂度要求、密码最长使用期限等配置,但实际使用的密码符合密码复杂度要求,且定期更换时,可判定此条款不符合,风险降低。主要考察口令的使用要求是否符合规范,且是否通过强制措施保证。
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
通过查看、询问等方式了解操作系统、数据库是否配置了登录失败处理措施,是不处理,或者自动退出,或锁定账户多久;若有相关措施则判定符合,没有判定不符合。
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
对于本条款测评时主要通过查看、询问对服务器进行远程管理的方式和工具是什么,并记录该工具的加密方式如何,是否符合国家/国际认定标准;若服务器不进行远程管理则判定不适用。
e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
主要查看操作系统、数据库是否有同名用户,现在一般都不会有,系统也不允许。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
三级要求对于二级多了本条款的双因子认证,需要对管理服务器、数据库人员的账户进行除用户名密码方式外再多一种认证方式,比如动态口令,短信验证码等。
访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
本条款主要考察是否依据安全策略控制每个用户的访问,主要是查看操作系统重要文件夹不同用户是否分配响应权限。
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
本条款主要考察操作系统、数据库是否根据管理员的担任角色来分配,有且仅有有对应的权限,比如审计员进分配审计权限,操作员进分配操作权限,且这两个角色需要由不同的人员来担任;若未分配不同权限账户,未由不同人员担任相应角色,均判定不符合。
c)应实现操作系统和数据库系统特权用户的权限分离;
本条款主要考察权限分离的问题,主要是操作系统不能直接登录数据库就行,不过有些客户会把数据库口令输入到启动脚本里这样就不需要口令便能直接登录,这点在测评过程中需要注意。
d)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
操作系统、数据库在创建之初便有默认的账户,比如Windows的administrator,linux的诸如bin等账户;本条款主要考察对默认账户的处理,若不更换默认口令以及默认名字,容易遭受到口令爆破等风险;系统默认口令一般都会强制修改,默认名字客户一般都不做更改,此时可判定部分符合。
e)应及时删除多余的、过期的账户,避免共享账户的存在;
本条款主要考察对账户的管理情况,比如因人员调配问题导致某个账户无人使用。需要清理掉该账户避免内部风险,且不能有共享账户的存在,比如多人使用同一账户进行管理,本条与b)条款相对应理解。
f)应对重要信息资源设置敏感标记;
主机安全中本条款和下条款至今未能理解,目前的理解为:操作系统、数据库上的某些敏感数据,需要模糊处理(比如打星号),或者低权限用户无法访问敏感级别高的数据。
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
接上条,初步理解为:客户需要拟定相关安全策略,限制客户对敏感信息的操作,比如普通用户仅能查看,或者查看部分信息,应有个标准分类不同用户。
安全审计
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
本条款主要考察操作系统和数据库是否开启审计功能,简而言之就是看日志是否记录到了所有用户;Windows通过查看每个用户里的本地策略里的审核策略是否开启,linux主要通过查看audit和syslog进程是否在工作;数据库主要查看是否配置有日志的相关参数,如果找不到或客户无法证明则判定不符合;若客户部署了第三方审计工具,需要记录该工具的名称功能等。
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
本条款主要考察操作系统和数据库开启的审计功能是否完善,审计的内容是否全面,而不是单单审计登录成功或失败事件;本条款需要客户的审计内容包含以上,简单来说就是重要用户干了什么,哪些重要的命令(新增用户、修改权限等)被使用了,系统的资源是否异常;Windows系统可通过查看本地策略里的审核策略看是否都进行了审核,linux系统默认符合,mysql数据库默认符合;若不包含以上或仅包含部分,判定不符合或部分符合;若客户部署了第三方审计工具,需要记录该工具能够审计到哪些内容。
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
本条款主要考察审计的记录是否全面,概括来说就是需要审计到哪个账户在什么时间点干了什么事,操作结果如何;Windows可通过事件查看器来查看,默认符合,linux系统默认符合,mysql数据库默认符合;若客户部署了第三方审计工具,需要记录该工具审计记录包含哪些内容。
d)应能够根据记录数据进行分析,并生成审计报表;
安全审计这一块是必须要客户购买审计工具的,这一条就是针对所购买的审计工具是否能生成报表,以便发生安全风险时进行分析;主要查看该工具是否能生成类似柱状饼图的图表。
e)应保护审计进程,避免受到未预期的中断;
Windows、linux、mysql本身能满足该要求,默认符合。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
本条也是针对用户是否购买了第三方审计工具,若购买了,且审计到相应设备了则符合。
剩余信息保护
a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
本条款主要考察能否发现并利用历史用户所产生的的数据;Windows主要查看本地策略中的安全选项“不显示上次登录名”是否启用;linux系统通过查看历史文件判别是否符合。
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
本条款主要考察能否发现并利用历史用户所产生的的数据;Windows主要查看本地策略中的安全选项“关机前清除虚拟内存页面”和“用可还原的加密来存储密码”是否启用;linux系统通过查看历史文件判别是否符合。
入侵防范
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
本条款主要考察是否采取相关措施检测入侵行为,如部署IPS,检测到的记录是否完善,发生安全威胁时能否及时响应。
b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
本条款主要考察是否能够检测程序被篡改,如MD5文件值校验等,且是否拥有备份在被篡改时进行恢复。
c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
本条款主要考察操作系统是否最小化安装,如是否安装了多余不需要的且存在风险服务;多余且危险端口139、445等是否开启;是否定期更新操作系统补丁,重要补丁(永恒之蓝等)是否更新。
恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
本条款主要考察是否安全杀毒软件,普通人一般使用的个人360不符合要求,火绒安全、360杀毒符合要求。
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
主机和网络所使用防恶意代码产品的恶意代码库应不同,一般会符合。
c)应支持防恶意代码的统一管理。
本条款主要考察能否对服务器进行统一查杀,统一更新等。
访问控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
本条款主要考察对服务器远程管理的方式,如是否仅限定某几台电脑远程管理,或仅能通过堡垒机远程管理。
b) 应根据安全策略设置登录终端的操作超时锁定;
本条款主要考察操作系统、数据库是否设置超时锁定,远程管理的时候是否配置了空闲会话限制,简单说就是是否设置了长时间不操作远程是否会退出或锁定。
c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
本条款主要考察是否对服务器资源进行监控,当达到阈值时报警。
d)应限制单个用户对系统资源的最大或最小使用限度;
本条款主要考察是否限制单个用户使用的资源大小,避免资源滥用。
e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
本条款主要考察是否对服务器资源进行监控,当达到阈值时报警。