等保测评--计算环境之服务器设备安全(一)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
服务器设备 Linux
身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并要求定期更换。
1)访谈系统管理员系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。
2)以有权限的账户身份登录操作系统后,使用命令more查看/etc/shadow文件,核查系统是否存在空口令账户。
3)使用命令more查看/etc/login.defs文件,查看是否设置密码长度和定期更换要求。
使用命令more查看/etc/pam.d/system-auth文件,查看密码长度和复杂度要求。
4)核查是否存在旁路或身份鉴别措施可绕过的安全风险
1、登录需要密码
2、不存在空口令账户
3、等处类似反馈信息
4、不存在绕过的安全风险
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
1)系统配置并启用了登录失败处理功能
2)以root身份进入Linux,查看文件内容
3)查看/etc/profie中的TIMEOUT环境变量,是否配置超时锁定参数
1、查看登录失败处理了功能相关参数
2、记录在文件/etc/profile中设置了超时锁定参数,在profile下设置TIMEOUT=300s
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
1)以root身份进入Linux
查看是否运行了sshd
查看相关端口是否打开
若未使用ssh方式进行远程连接,则查看是否使用了Telnet服务
2)可使用wireshark等抓包工具,查看协议是否加密
3)本地化管理,N/A
1、使用ssh方式进行远程管理,防止鉴别信息在蹿升过程中被窃听。Telnet默认不符合
2、通过抓包工具,截获信息为密文,无法读取,协议为加密
3、本地化管理,N/A
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,是否由一种鉴别方法在鉴别过程中使用了密码技术。
除口令外,采用另一种鉴别机制,此机制采用了密码技术,如调用密码机或采取SM1-SM4等算法。
访问控制
L3-CES1-05
应对登录用户分配账户和权限。
以有相应权限的身份登录进入Linux,使用“ls -l 文件名”命令,查看重要文件和目录权限设置是否合理
重点查看文件和目录权限是否设置合理。
配置文件权限值不能大于644
对于可执行文件不能大于755
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认密码
1)以有相应权限的身份进入Linux,查看/etc/shadow文件,是否存在默认、无用的用户。
2)查看root账户是否能够进行远程登录
1、不存在默认无用的账户
2、使用more命令查看sshd配置文件中,不许可root远程登录
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
1)核查是否不存在多余或过期的账户,默认账户是否被禁用,特权账号是否被删除
2)应访谈网络管理员、安全管理员、系统管理员不同用户是否采用不同账户登陆系统
1、禁用或删除都不需要的系统默认账户
2、各类管理员均使用自己分配的特定权限账户登录,不存在多余、过期账户
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离。
1)查看/etc/passwd/文件中的非默认用户,询问各账户的权限,是否实现管理用户的权限分离。
2)查看/etc/sudo.conf文件,核查root级用户权限都授予了哪些账户
1、各用户均具备最小权限,不与其他用户权限交叉。设备下可支持新建多用户角色功能。
2、管理员权限仅分配root用户。
L3-CES1-09
应有授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
1)访谈系统管理员,是否指定授权人对操作系统访问控制权限进行配置
2)核查账户权限配置,是否依据安全策略配置各账户的访问规则
1、由专门的安全员负责对访问控制权限的授权工作
2、各账户权限配置,均是基于安全员的安全策略配置进行的访问控制
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
查看重要文件和目录权限设置是否合理,重点查看文件和目录权限是否被修改过。
由管理用户进行用户访问权限分配进行设置,依据访问控制策略,对各类文件和数据库表级进行访问。重要文件和目录权限均在合理范围内,用户可根据对文件不同的权限进行操作
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
1)明确系统中是否有敏感信息;
2)在主体用户或进程划分级别并设置敏感标记,在客体文件设置敏感标记;
3)应测试是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略;
4)以有相应权限的身份登录进入Linux,查看/etc/selinux/config文件中的SELINUX参数的设定。
Linux服务器默认关闭SELinux服务。或采取第三方主机加固系统或对操作系统内核进行第二次开发加固,并实际查看系统可视化界面。
安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
1)以root身份登录进入Linux,查看服务进程
2)若运行了安全审计服务,则查看安全审计的守护进程是否正常
3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具
4)以root身份登录进入Linux查看安全事件配置
1、开启审计进程
2、Linux服务器默认开启守护进程
3、audit.rules中记录了对文件和底层调用的相关记录,记录的安全事件较为全面
L3-CES1-13
审计记录应包括事件的日期和事件,用户、事件类型、事件是否成功及其他与审计相关的信息
查看审计日志(ausearch -ts today、tail -20 /var/log/audit/audit.log)
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果。
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送到日志服务器上等,并使用syslog方式或SNMP方式将日志发送到日志服务器。如果部署了日志服务器,登录日志服务器查看被测操作系统的日志是否在收集的范围内。
操作系统日志定期备份,并定期将本地存储日志转发至服务器。
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断
1)访谈对审计进程监控和保护的措施。
2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合理
3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
1、审计进程不可以非审计人员权限修改
2、部署有第三方审计工具,可实时记录审计日志,管理员不可对日志进行删除
入侵防范
L3-CES1-17
应遵循最小安装原则,仅安装需要的组件和应用程序
1)访谈安装系统时是否遵循最小化安装原则,查看安装操作手册
2)使用命令“yum list installed”查看操作系统中已安装的程序包,询问是否有目前不需要的组件和应用程序。
1、系统安装遵循最小化安装原则
2、不存在业务所不需要的组件和应用程序
L3-CES1-18
应关闭不需要的系统服务、默认共享和高危端口
1)"service -status-all | grep running"查看是否已经关闭危险的网络服务。
2)"netstart -ntlp"查看并确认是否开放 端口都为业务需要端口,是否已经关闭非必需的端口
Linux不存在共享问题
1、关闭了系统多余服务、危险服务和进程
2、关闭了多余端口
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
1)查看在/etc/host.deny中是否有“ALL:ALL”,禁止所有的请求;在/etc/hosts.allow中是否有:sshd:192.168.1.10/255.255.255.0
2)是否采用了从防火墙设置了对接入终端的限制
1、“more /etc/hosts.allow”查看是否有如下配置IP及其访问方式,:sshd:192.168.1.10/255.255.255.0
2、对终端接入方式,网络地址范围等条件进行限制。通过RADUS、堡垒主机、安全域、防火墙等运维方式实现对终端接入方式的限制
L3-CES1-21
应能发现可能存在的已知漏洞,并在经过充分测试评估后及时修补漏洞
1)查看甲方自查的漏扫报告或通过第三方检查的漏洞报告,有无高风险漏洞
2)系统有无漏洞测试环境,补丁更新机制和流程如何
3)访谈补丁升级机制,查看补丁安装情况
1、有运维团队定期进行漏洞扫描,发现安全风险,及时修补
2、更新补丁时间为最近,对补丁进行控制和管理
L3-CES1-22
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
1)访谈并查看入侵检测的措施,“more /var/log/secure | grep refused”查看入侵的重要线索
2)查看是否启用了主机防火墙、TCP SYN保护机制等设置
3)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况,是否具备报警功能。
4)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统
1、入侵的重要路径均deny,不存在系统入侵的可能性。
2、开启主机防火墙相关配置
3、安装有基于主机的IDS设备
4、若主机未部署主机IDS设备,可在网络链路上查看是否是IDS、IPS。发生入侵事件时,记录报警措施等。
恶意代码防范
L3-CES1-23
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断.
1)核查操作系统中安装了什么防病毒软件,访谈管理员病毒库是否经常更新,核查病毒库最新版本,更新日期是否超过一个星期。
2)核查操作系统是否实现了可信验证机制,能够对系统程序、应用程序和重要配置文件参数进行可信执行验证。
1、部署有网络版防病毒软件,病毒库最新,支持防恶意代码的统一管理
2、部署有主动免疫可信验证机制,可对病毒入侵进行及时阻断
可信验证
L3-CES1-24
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。并将验证结果形成审计记录送至安全管理中心。
1)核查服务器的启动,是否实现可信验证的检测过程,查看对哪些系统引导程序、系统程序或重要配置参数进行可信验证。
2)修改其中的重要系统引导程序之一和应用程序之一,核查是否能够检测到并进行报警。
3)是否将验证结果形成审计记录送至安全管理中心。
1、服务器具有可信根芯片或硬件
2、启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量
3、在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
4、安全管理中心可以接收设备的验证结果记录
数据备份回复
L3-CES1-31
应提供重要数据处理系统的冗余,保证系统的高可用性。
1)访谈系统管理员哪些是重要的数据处理系统,重要数据处理系统是否有备份机制,是否采用本地热备份站点备份或异地活动互援备份。
2)核查设备列表,重要数据处理系统是否采用热备服务器。
1、对重要数据,如用户数据,鉴别数据等定期进行备份,通过磁带备份到本地。
2、对于重要设备,采取热备、集群、负载均衡等高可用方式。
服务器 Windows
身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1)用户需要输入用户名和密码才能登录
2)Windows默认用户名具有唯一性
3)检查本地有哪些用户,并尝试空口令登录
4)查看密码策略
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1)打开密码策略
2)查看等到时间长短以及在恢复时登录显示屏幕选项是否打勾
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
1)若为本地管理或kvm等硬件管理方式,此要求默认满足
2)若采用远程管理,则需采用带加密管理的远程管理方式
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用两种或两种以上的鉴别技术,是否有一种鉴别方法在鉴别过程中使用了密码技术。
访问控制
L3-CES1-05
应对登录的用户分配账户和权限
访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。
各用户具备最小角色,分别登录;不存在匿名用户,默认用户只许可管理员登录
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令
命令行输入“lusrmgr.msc”,弹出“本地用户和组”,查看“本地用户和组->用户”中的相关项目
1、查看用户列表中默认账户administrator,是否被禁用或重命名
2、询问是否已修改账户默认口令
3、查看是否已经禁用guest账户
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
查看右侧用户列表中的用户,询问各账户的用途,确认账户是否属于多余、过期的账户或共享账户名。
不存在多余账户、测试过期账户。不存在多部门、多人共享账户情况。
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离
在命令行输入,"secpol. msc”,弹出“本地安全策略”窗口,查看“安全设置->本地策略->用户权限分配”中的相关项目。右侧的详细信息窗格即显示可配置的用户权限策略设置。
设置系统管理员、安全员、审计员角色,根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,角色的权限之间相互制约。
L3-CES1-09
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
1)访谈系统管理员,能够配置访问控制策略的用户。
2)查看重点目录的权限配置,是否依据安全策略配置访问规则
1、由安全管理员授权设置规则
2、配置主体对客体的访问控制规则,并统一管理。
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
选择重要文件和文件夹,查看访问权限设置
users权限设置合理,用户依据访问控制策略,对各类文件和数据库表级进行访问。
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感标记功能。
2)询问管理员是否对重要信息资源设置敏感标记
3)询问或查看目前的民官标记策略的相关设置
1、系统中有敏感数据,不同层面人员设置强制访问控制策略,若无敏感数据,本条N/A。
2、在主客体层面分别设置不同的敏感标记,并在基于这些标记上,由管理员设置访问控制路径、是否采取第三方主机加固系统或对操作系统内核进行二次开发加固,并实际查看系统可视化界面,部署第三方主机加固系统,可设置对主客体安全标记,并控制主体对客体的访问路径。
安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要用户行为和重要安全事件进行审计
1)查看系统是否开启安全审计功能
2)询问并查看是否有第三方审计工具或系统
1、开启了安全审计功能
2、部署第三方审计工具,实现对用户的全覆盖,主要针对用户操作行为的审计
L3-CES1-13
审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
查看审计记录是否包含要求的信息
1、Windows操作系统事件查看器中的审计记录默认满足
2、第三方审计工具中,查看审计记录,审计信息包含日期、主客体、类型等信息。
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。
2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合。
1、日志本地存储,可查看存储目录,周期和相关策略等
2、若部署有日志服务器,可查看存储路径等
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断
1)访谈是否有第三方对审计进程监控和保护的措施
2)在“管理审核和安全日志”中,查看是否只有系统审计员或系统审计员所在的用户组
1、默认符合
2、其他非审计人员不可登录和操作日志,有专人复杂审计日志的管理
入侵防范
L3-CES1-17
应遵循最小安装的原则,仅安装需要的组件和应用程序
1)查看和询问安装的组件情况。“dcomcnfg”,查看组件列表中的组件内容。询问系统管理员,安装的各组件的用途,有无多余的组件。
2)查看和询问安装的应用程序情况。
1、未安装非必要组件
2、未安装非必要应用程序
L3-CES1-18
应关闭不需要的系统服务、默认共享和高危窗口
1)查看系统服务。“services.msc”
2)查看监听端口。"netstat -an"
3)查看默认共享。"net share"
4)查看主机防火墙策略。"firewall.cpl"
1、不存在多余的服务
2、未开启不必要端口
3、未开启默认共享
4、防火墙规则中阻止访问多余的服务,或高危端口。
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
1)询问系统管理员管理终端的接入方式
查看主机防火墙对登录终端的接入方式,"firewall.cpl"
查看IP筛选器对登录终端的接入地址限制,“gpedit.msc”
2)网络方面对登录终端的接入方式和地址范围的限制
1、通过主机防火墙设置访问控制规则
2、通过网络防火墙、堡垒主机限制、IP段进行接入地址限制。
L3-CES1-21
应能发现可能存在的已知漏洞,并经过充分测试评估后,及时修补漏洞
访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新,更新的方法。
对操作系统补丁进行测试和安装,补丁情况为较新稳定版本。
L3-CES1-22
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
1)访谈系统管理员是否安装了主机入侵软件,查看已安装的主机入侵检测系统的配置情况,是否具备报警功能。
2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如IDS。
1、暂无安装主机入侵检测软件
2、网络上有IDS、IPS软件
恶意代码防范
L3-CES1-23
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
1)核查操作系统中安装了什么防病毒软件,访谈管理员病毒库是否经常更新,检查病毒库最新版本,更新日期是否超过一周
2)核查操作系统是否实现了可信验证机制,访谈管理员实现原理
3)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库
4)询问系统管理员是否有统一的病毒更新策略和查杀策略
5)当发现病毒入侵行为时,如何发现,如何有效阻断,报警机制等
1、安装有网络版的杀毒软件,病毒库最新。
2、查看系统中采取何种可信验证机制,实现原理为基于可信根IPM技术等。
3、网络版防病毒和主机防病毒均具备不同的病毒库,异构特点。
4、防病毒为网络版,统一更新病毒库。
5、发现病毒入侵,有邮件报警机制。
可信验证
L3-CES1-24
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
数据备份恢复
L3-CES1-31
应提供重要数据处理系统的热冗余,保证系统的高可用性
1)查看网络拓扑结构图,了解网络线路上服务器节点是否包括其他热备集群等高可用设备。
2)访谈管理员并查看有资产列表,待查服务器有无其他高可用方式等。
网络拓扑节点的重要服务器采取满足高可用的冗余方式,采取热备、集群等方式。