等保测评--计算环境之服务器设备安全(二)
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
服务器设备Oracle
身份鉴别
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
1)访谈数据库管理员,系统用户是否已设置密码,并查看登录过程中系统账户是否使用了密码进行验证登录。
2)查看是否启用口令复杂度函数等
L3-CES1-02
应具有登录失败处理功能,请配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
1)是否启用登录失败限制策略
2)是否启用登录失败锁定策略
3)是否启用登录超时退出策略
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
1)查看initSTD.ora中REMOTE_OS_AUTHENT的赋值
2)查看listener.ora中的项目赋值
3)执行 show parameter remote_login_passwordfile。
L3-CES1-04
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访问控制
L3-CES1-05
应对登录的用户分配账户和权限。
查看每个登录用户的角色和权限,是否是该用户所需的最小权限。
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令。
以默认口令验证默认账户是否可以登录
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
1)查看是否存在过期账户,询问数据库管理员是否每个账户均为正式、有效的账户。
2)询问是否存在多人共享的账户的情况。
3)每个数据库账户应与实际用户一一对应
4)不存在多人共享账户情况
L3-CES1-08
应授予康用户所需的最小权限,实现管理用户的权限分离
询问是否由不同员工分别担任操作系统管理员与数据库管理员。
L3-CES1-09
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
询问数据库管理员,数据库系统是否由特定账户进行配置访问控制策略,具体访问控制策略是什么。
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
L3-CES1-11
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
1)是否安装安全模块
2)是否创建策略
3)是否创建级别
4)查看标签创建情况
5)询问重要数据存储表格名称
6)查看策略与模式,表的对应关系
安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
1)查看系统是否开启了安全审计功能
2)用不同的用户登录数据库系统并进行不同的操作,在Oracle数据库中查看日志记录是否满足要求。
L3-CES1-13
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息(利用命令进行测试)
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
是否严格限制用户访问审计的权限
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断。
1)询问是否严格限制管理员权限
2)用户可以重启实例关闭审计功能,查看是否成功。
入侵防范
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
Oracle数据库限制远程连接IP地址。查看配置文件参数
L3-CES1-21
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
访谈Oracle补丁升级机制,查看补丁安装情况。
数据备份恢复
L3-CES1-29
应提供重要数据的本地备份与恢复功能。
1)询问系统管理员数据库的备份和恢复策略是什么,查看是否达到上述要求。
2)核查相关文档和配置,查看是否与系统管理员回答的一致。
L3-CES1-30
应提供异地实时备份功能,利用通信网络将将重要数据实时备份至备份场地。
1)询问管理员是否提供异地提供异地数据备份的功能,是否定量传送至备用场地。
2)如果条件允许,则查看其技术措施的配置情况。
服务器设备MySQL
身份鉴别
为确保系统的安全,必需对系统中每一用户或与之相连的服务器设备进行有效的标识与鉴别,只有通过鉴别的用户才能被赋予相应的权限,进入系统并在规定的权限内操作。
L3-CES1-01
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1)尝试登录数据库,查看是否提示输入口令鉴别用户身份
2)输出用户列表,查看是否存在空口令用户
3)查询是否存在空口令用户
4)查看用户口令复杂度相关配置
L3-CES1-02
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
1)询问管理员是否采取其他手段配置数据库登录失败处理功能
2)执行show variables like '%max_connect_errors%';或核查my.cnf文件。
3)show variables like '%TIMEOUT%',查看返回值。
L3-CES1-03
当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
1)是否采用加密等安全方式对系统进行远程管理
2)查看是否支持ssl的连接特性,若为disabled,说明此功能没有激活,或执行\s查看是否启用SSL
3)如果采用本地管理方式,该项为不适用
L3-CES1-04
应采用口令,密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
1)MySQL无法集成其他身份鉴别措施,应通过对操作系统层面实现双因素;
2)访谈管理员是否采用其他技术手段实现双因素身份认证。
访问控制
L3-CES1-05
应对登录的用户分配账户和权限。
1)查看是否为网络管理员、安全管理员、系统管理员创建了不同账户
2)查看三管权限,是否分离并相互制约
L3-CES1-06
应重命名或删除默认账户,修改默认账户的默认口令
1)查看root用户是否被重命名或删除
2)若未删除,查看是否更改其默认口令,避免空口令或弱口令
L3-CES1-07
应及时删除或停用多余的、过期的账户,避免共享账户的存在
1)核查列出的账户,查看是否存在无关的账户
2)访谈网络管理员、安全管理员、系统管理员,不同用户是否采用不同账户登录系统
L3-CES1-08
应授予管理用户所需的最小权限,实现管理用户的权限分离
1)是否对用户进行角色划分,且只授予账号所需的权限
2)查看权限表,并验证用户是否具有除自身角色外的其他用户的权限
L3-CES1-09
应有授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
1)访谈管理员是否制定了访问控制策略。
2)查看用户权限列表是否与管理员制定的访问控制策略及规则一致
3)登录不同用户,验证是否存在越权访问的情形
L3-CES1-10
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
1)查看用户及数据库权限列表
2)访谈管理员并核查访问控制粒度主体是否为用户级,客体是否为数据库表级
安全审计
L3-CES1-12
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)查看日志内容是否覆盖到所有用户,记录审计记录覆盖内容
2)核查是否采取第三方工具增强MySQL日志功能。若有,记录审计记录覆盖内容
L3-CES1-13
审计记录应包括事件的日期和时间、用户、事件类型、时间是否成功及其他与审计相关的信息
1)查看日志内容是否覆盖到所有用户,记录审计记录覆盖内容
2)核查是否采取第三方工具增强MySQL日志功能。若有,记录审计记录覆盖内容
L3-CES1-14
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
1)访谈管理员对审计记录如何保护,对审计记录是否定期备份,备份策略
2)是否严格限制用户访问审计记录的权限。
L3-CES1-15
应对审计进程进行保护,防止未经授权的中断。
1)询问是否严格限制管理员、审计员权限
2)用户重启实例关闭审计功能,查看是否成功
3)测试其他人员是否可以对审计进程进行开启、关闭操作,并记录
入侵防范
L3-CES1-19
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
查看用户登录IP地址;
是否给所有用户加上IP限制,拒绝所有未知主机进行连接。
L3-CES1-21
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
1)访谈补丁审计机制,查看补丁安装情况
2)访谈数据库是否为企业版,是否定期扫描漏洞,针对高风险漏洞是否评估补丁并经测试后再进行安装。
数据备份恢复
L3-CES1-29
应提供重要数据的本地数据备份与恢复功能
询问系统管理员数据库的备份和恢复的策略是否什么。
L3-CES1-30
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
询问系统管理员是否提供异地数据备份功能,是否实时传送至备份场地。如果条件允许,则查看其实现技术措施的配置情况。