安全防护检查表
安全防护检测表
- SQL-server 完整检查表
- Tomcat 完整检查表
- WAF 完整检查表
- Weblogic 完整检查表
- windows 完整检查表
- 防火墙完整检查表
- IDS 完整检查表
- Linux 完整检查表
SQL-server 完整检查表
| 分类 | 测评项 | 预期结果 | 评估操作示例 | 检查情况 | 结果 | 整改建议 |
|---|---|---|---|---|---|---|
| 身份鉴别 | SQL Server用户身份验证方式 | SQL Server和Windows结合验证 | 企业管理器>右键单击服务器属性>安全性>服务器身份验证 | 选择SQLserver和Windows结合的验证方式 | ||
| 身份鉴别 | 查看是否存在空口令用户 | 不存在空口令用户 | 新建查询:use master;select name,password from syslogins where password is null; | 在企业管理器>安全性>找到登录名>右键属性>SQLserver身份验证中设置新的密码 | ||
| 身份鉴别 | sa账户口令强度 | 口令长度至少10位以上,包含数字,字母(大小写),特殊字符三种形式 | 询问管理员口令的强度 | 在企业管理器>安全性>登录名>sa账户>右键属性>修改密码符合要求 | ||
| 身份鉴别 | SQLserver账户口令强度 | 口令长度至少10位以上,包含数字,字母(大小写),特殊字符三种形式 | 询问管理员口令的强度 | 在企业管理器>安全性>找到登录名>右键属性>修改密码符合要求 | ||
| 身份鉴别 | 远程超时设置 | 远程登录超时时间一般为20分钟 | 在企业管理器>右键服务器属性>高级>远程登录超时值 | 在企业管理器>右键服务器属性>高级>远程登录超时值,直接修改保存 | ||
| 身份鉴别 | 远程查询超时设置 | 远程查询超时设置为300秒 | 在企业管理器>右键服务器属性>连接>远程查询超时值 | 在企业管理器>右键服务器属性>连接>远程查询超时值,直接修改后保存 | ||
| 身份鉴别 | 数据库身份鉴别方式是否采用除用户名/密码外其他鉴别方式 | 采用了除用户名/密码之外的第二种方式 | 可以询问管理员或在登录时查看 | 对于等保三级系统必须采用两种或两种以上的身份鉴别方式;对于非等保三级的系统我们只是建议采用多种身份鉴别方式,也可以加强密码强度 | ||
| 访问控制 | 应启用访问控制功能,依据安全策略控制用户的访问权限 | 明确了各账户的权限 | 在企业管理器>安全性>登录名>每个用户的属性中,我们可以看到该用户的服务器角色和拥有的权限,如:db_securityadmin,db_owner(全部权限) | 根据实际需求,对每个用户的访问权限进行限制,对敏感的文件夹限制访问用户的权限 | ||
| 访问控制 | 每个登录用户的角色和权限应该是该用户所需的最小权限 | 每个用户都只有该用户功能所需的权限,没有其他特殊权限 | 访谈管理员,了解每个用户的作用、权限,并在企业管理器中对每个用户的权限进行查看:企业管理器>安全性>登录名>右键用户属性>用户映射,查看每个用户的权限 | 给予账户所需最小权限,避免出现特权用户 | ||
| 访问控制 | 应实现操作系统和数据库系统特权用户由不同用户担任 | 操作系统和数据库的特权用户的权限必须分离,避免一些特权用户拥有过大的权限,减少人为误操作 | 询问管理员,操作系统管理员和数据库管理员是否分离 | 分离数据库和操作系统的特权用户,不能使一个用户权限过大 | ||
| 访问控制 | 应及时删除多余的、过期的账户 | 不存在多余、过期和共享账户 | 在企业管理器中新建查询,输入:select name from syslogins 查所有的用户名 | 删除多余、过期无用的账户 | ||
| 安全审计 | 数据库审核级别 | 数据库登录审核全部开启 | 企业管理器>右键单击服务器属性>安全性>登录审核 | 企业管理器>右键单击服务器属性>安全性>登录审核选择:成功和失败得登录都审核 | ||
| 安全审计 | SQL日志记录是否包括重要用户行为(如登录系统、增加/删除用户等)、系统资源异常和重要系统命令的使用(如xp_cmdshell存储过程)的日志记录 | 审计功能已开启,包括:登录系统、增加/删除用户等)、系统资源异常和重要系统命令的使用(如xp_cmdshell存储过程) | 企业管理器>管理>SQLserver日志 | 对每个命令的操作都要进行记录,可以在安全性>审核,新建审核来对系统的操作进行记录 | ||
| 安全审计 | 审计记录应包括事件的日期、触发事件的主体与客体标识、事件类型、事件结果 | 审计记录信息中应包括日期、时间、事件类型、主体标识(如用户名等)、客体标识(如数据库表、字段戒记录等)和事件操作结果等内容 | 管理>SQLserver日志>选择当前日期的日志打开 | 若未开启日志记录则开启 | ||
| 资源控制 | 是否在防火墙或其他网络设备/安全设备上限制终端登录,防止数据库被非授权访问 | 数据库的访问受到限制 | 询问管理员是否在防火墙等安全设备上对数据库的访问做了限制 | 建议在安全设备上对数据库的访问做限制 | ||
| 资源控制 | 数据库是否设置登录终端操作超时锁定时间 | 查询结果remote login timeout的run_value有最大时间的限制 | sp_configure ‘remote login timeout (s)’ | 在企业管理器>右键服务器属性>连接>使用查询调控器防止查询长时间运行,直接修改后保存 |
Tomcat 完整检查表
| 分类 | 检查选项 | 评估操作示例 | 符合情况 | 加固操作示例 |
|---|---|---|---|---|
| 身份鉴别 | TOMCAT Manager 密码是否已设置密码(非空或非用户名与密码一样) | Windows版本检查${CATALINA_HOME}/conf/tomcat-users.xml中, |
密码包含数字,字母,特殊字符三种形式,长度不小于8位 | |
| 身份鉴别 | 是否启用安全域验证(BASIC、DIGEST、FORM其中之一) | Windows版本:检查tomcat/conf/web.xml文件,auth-method方法为哪种,Linux版本中:cat CATALINA_HOME/conf/web.xml | grep auth-method查看 | 1.BASIC(基本验证):通过HTTP验证,需要提供base64编码文本的用户口令 2.DIGEST(摘要验证):通过HTTP验证,需要提供摘要编码字符串的用户口令 3.FORM(表单验证):在网页的表单上要求提供密码,根据系统实际需求进行调整。 | |
| 访问控制 | 是否指定TOMCAT Manager 管理IP地址 | Windows版本:检查${CATALINA_HOME}/conf/server.xml,Host name=“IP地址”,Linux版本:cat CATALINA_HOME/conf/server.xml | grep Hostname | 指定特定的IP地址作为Tomcat的登录地址 | |
| 访问控制 | 是否修改远程关闭服务器的命令 | Windows版本:检查tomcat/conf/server.xml中,shutdown=“字符串”,Linux版本中:cat CATALINA_HOME/conf/server.xml | grep shutdown | 将shutdown字符串设置得更复杂一些,避免过于简单轻易被人远程关闭 | |
| 访问控制 | 是否tomcat中禁止浏览目录下的文件, listings值为false | Windows版本中:检查/tomcat/conf/web.xml中, |
将listings的值设为false | |
| 日志审计 | 是否启用日志功能 | Windows版本:检查tomcat/conf/server.xml,ctrl+F搜索logs字段,在 |
一般默认设置如:–> 日志启用时应无 此两个标志符 | |
| 日志审计 | 日志是否启用详细记录选项,pattern值为各种% | Windows版本:检查tomcat/conf/server.xml中,pattern="%h %l %u %t",每个字母代表记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中Linux版本中:cat $CATLINA_HOME/conf/server.xml | grep pattern | 标准默认的配置是这样: |
|
| 安全防护 | 错误信息是否自定义 | 检查conf/web.xml,在最后 一行之前加入以下内容: |
将错误信息页面转到自己自定义的界面中,防止信息泄露,在最后一行之前加入以下内容: |
|
| 安全防护 | 更改默认管理端口 | 检查conf/server.xml中,搜索"connection port",默认是8080,要求修改为其他未占用的端口,linux版本中:cat tomcat/conf/server.xml |grep ‘Connector port’ | Windows版本:记事本代开server.xml,修改connection port端口号为其他端口,保存退出。Linux版本:vim编辑server.xml,修改端口号,qw保存退出。 | |
| 安全防护 | 超时自动登出 | Windows版本:检查/tomcat/conf/server.xml,ConnectionTimeout字段的大小,默认是20000秒,要求修改为300秒,Linux版本:cat tomcat/conf/server.xml |grep connectionTimeout | Windows版本:记事本代开server.xml,修改ConnectionTimeout字段为300,保存退出。Linux版本:vim编辑server.xml,修改ConnectionTimeout,qw保存退出。 | |
| 剩余信息保护 | 是否禁止把session写入文件 | 检查conf/web.xml |
||
| 剩余信息保护 | 是否增强SessiionID的生成算法和长度,加密算法为SHA-512,长度为40 | 示例: |
Windows版本:记事本打开web.xml,查找SHA字段,修改为SHA-512,Length长度为40;Linux版本:vim编辑web.xml,按Windows修改,qw保存退出。 | |
| 其他安全选项 | 使用https通讯加密 | Windows版本:使用https方式登录tomcat manager管理界面,Linux版本:cat tomcat/conf/server.xml |grep scheme=”https” secure=”true” | Windows版本:(1)使用JDK自带的keytool工具生成一个证书 $JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore-keystore /path/to/my/.keystore生成keystore;.keystore 运行keystore;(2)修改tomcat/conf/server.xml配置文件,更改为使用https方式,增加如下行: |
|
| 其他安全选项 | 是否删除不需要的管理应用和帮助应用 | 根据实际需要删除 | ||
| 其他安全选项 | 是否使用普通系统帐户启动TOMCAT | 1.windows环境下打开程序-管理工具-服务-打开名称为APACHE TOMCAT 的服务选择-登录选项卡查看此帐户项为普通用户(非ADMINISTRATORS组用户和SYSTEM用户,通过检查管理员组确定该启动帐户非管理员帐户)。2. unix(linux)使用ps -ef 命令检查TOMCAT的系统进程是否由非ROOT用户启动。 | 根据实际需要设置 |
WAF 完整检查表
| 分类 | 测评项 | 预测结果 | 评估操作实例 | 检查情况 | 结果 | 整改建议 |
|---|---|---|---|---|---|---|
| 访问控制 | 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级 | 配置了合理的安全策略,只允许授权的IP地址、协议、端口通过 | ||||
| 访问控制 | 应对进出网络的信息内容进行过滤 | 过滤的内容包括 java Applet,cookie,script,object 这4种中的几种 | ||||
| 访问控制 | 应在会话处于非活跃一定时间或会话结束后终止网络连接 | 配置了会话超时管理策略,自动终止超时的网络会话 | ||||
| 访问控制 | 应限制网络最大流量数及网络连接数 | 配置了网络最大流量数及网络连接数 | ||||
| 访问控制 | 重要网段应采取技术手段防止地址欺骗 | 防火墙开启IP/MAC地址绑定方式,防止重要网段的地址欺骗 | ||||
| 安全审计 | 防火墙应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 | 对运行状况,网络流量,用户行为等都进行了记录 | ||||
| 安全审计 | 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 | 审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 | ||||
| 安全审计 | 应能够根据记录数据进行分析,并生成审计报表 | 能够根据记录数据进行分析,并生成审计报表 | ||||
| 安全审计 | 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖 | 提供用户日志的完整性检查,防止用户删除操作记录 | ||||
| 网络设备防护 | 应对登录网络设备的用户进行身份鉴别 | 通过web界面登录和通过console登录都需要账号和口令,并不存在空口令和弱口令 | ||||
| 网络设备防护 | 应对网络设备的管理员登录地址进行限制 | 控制中心远程登录时对登录地址进行限制,避免未授权访问 | ||||
| 网络设备防护 | 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别 | 尽量都采用两种鉴别技术进行身份鉴别,如动态密码,CA证书等方式 | 访谈管理员 | |||
| 网络设备防护 | 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 | 口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天 | ||||
| 网络设备防护 | 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施 | 限制非法登录次数为5次,登录超时退出时间为300秒 | ||||
| 网络设备防护 | 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听 | 通过web界面登录防火墙时使用了ssl协议进行加密处理,即https登录 |
Weblogic 完整检查表
| 分类 | 测评项 | 预期结果 | 评估操作示例 | 检查情况 | 结果 | 整改建议 |
|---|---|---|---|---|---|---|
| 设备管理 | 管理控制台 | 控制台console重命名,禁止默认访问 | domain》高级》控制台上下文路径 | 不适用默认的console,更换为其他名称 | ||
| 用户账号与口令安全 | 口令策略 | Weblogic的登录密码长度不能小于8位 | 安全领域 > myrealm > 提供程序 > DefaultAuthenticator > 配置 > 提供程序待定 > 最小口令长度 | 修改登录密码长度不能少于8位 | ||
| 用户账号与口令安全 | 账号策略 | 封锁阈值5次、封锁持续时间30分钟、封锁重置持续时间5分钟 | 安全领域 > myrealm > 配置 > 用户封锁 | 设置密码输入错误5次后,封锁该账号30分钟 | ||
| 日志与审计 | Weblogic日志记录 | 定义日志名称及存储位置,记录相关日志,滚动文件大小为500,自动保留文件天数为7天 | Domain > 配置 > 日志记录 | 设置日志存储的位置,滚动文件大小为500,自动保留日志7天 | ||
| 日志与审计 | HTTP日志 | 定义日志名称及存储位置,记录相关日志,滚动文件大小为500,自动保留文件天数为7天 | Domain》监视 》 AdminServer 》 日志记录 》 HTTP | 设置日志存储的位置,滚动文件大小为500,自动保留日志7天 | ||
| 安全防护 | 连接会话超时控制 | 控制台连接超时时间为300秒 | Domain 》 配置 》 一般信息 》 高级 》 控制台会话超时 | 控制台超时时间为300秒 | ||
| 安全防护 | 数据传输安全 | 启用SSL监听(默认端口为7002),并修改为非7002端口 | Domain 》 服务器 》AdminServer 》 配置 》 一般信息 》 启用SSL监听端口 | 修改SSL默认监听端口》密钥库中导入SSL》在SSL服务中选定导入 | ||
| 安全防护 | SSL保护 | 启用主机名校验,通过禁用”Hostname Verification Ignored”保护SSL中间人攻击 | domain > 服务器 >AdminServer > 配置 > SSL > 高级 > 主机名验证 | 启用主机名验证 | ||
| 安全防护 | Banner信息 | 禁止发送服务标识,通过禁用配置文件“Send Server Header”,防止信息泄漏 | domain > 服务器 > AdminServer > 协议 > HTTP > 发送服务器标头不勾选 | 发送服务器头不勾选 |
windows 完整检查表
| 分类 | 测评项 | 预测结果 | 评估操作示例 | 检查情况 | 结果 | 整改建议 |
|---|---|---|---|---|---|---|
| 身份鉴别 | 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 | 1)操作系统使用口令鉴别机制对用户进行身份标识和鉴别;2)操作系统不存在密码为空的用户。 | 访谈管理员,并查看登录过程中系统账户是否使用了密码进行登录验证 | 操作系统和数据库每个用户都必须设置登录用户名和登录密码,不能存在空密码 | ||
| 身份鉴别 | 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换 | 密码启用复杂度要求;密码最小长度为8位;密码最短使用期限为1天;密码最长使用期限90天;强制密码历史为0个;用可还原的加密来储存密码已禁用; | cmd>secpol.msc>账户策略>密码策略 | 密码启用复杂度要求;密码最小长度为8位;密码最短使用期限为1天;密码最长使用期限90天;强制密码历史为0个;用可还原的加密来储存密码已禁用; | ||
| 身份鉴别 | 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 | 1.账户锁定时间10分钟;2.账户锁定阈值5次;3.重置账户锁定计数器10分钟后 | cmd>secpol.msc>账户策略>账户锁定策略 | 1.账户锁定时间10分钟;2.账户锁定阈值5次;3.重置账户锁定计数器10分钟后 | ||
| 身份鉴别 | 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听 | 客户端和服务器之间发送数据受加密保护,加密级别根据实际情况来判断,尽量符合FIPS标准 | cmd>control>管理工具>终端服务配置>连接>RDP-Tcp>右键属性>加密级别 | cmd>control>管理工具>终端服务配置>连接>RDP-Tcp>右键属性>加密级别,选择尽量高级别的加密 | ||
| 身份鉴别 | 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性 | 不存在重复的用户名 | cmd>lusrmgr.msc查看“用户”中是否存在重复的用户名 | 对重复的用户名进行修改 | ||
| 身份鉴别 | 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 | 对管理员访谈,对于三级系统,必须使用两种或两种以上组合的鉴别技术实现用户身份鉴别,如密码和口令的组合使用。 | 访谈管理员 | 三级系统建议采用用户名密码+证书口令登录的方式;三级以下系统可以采用一种鉴别技术。 | ||
| 访问控制 | 是否开启默认共享 | 没有共享文件夹 | cmd>fsmgmt.msc,查看共享目录下面的文件夹的内容 | 关闭默认共享,cmd>fsmgmt.msc,点击共享,右键选择停止共享 | ||
| 访问控制 | 是否禁止ipc$空连接进行枚举 | restrictanonymous=1 | cmd>regedit>HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>LSA,找到LSA中的restrictanonymous值是否等于1 | 按照上述步骤,在注册表中修改restrictanonymous的值 | ||
| 访问控制 | 应实现操作系统和数据库系统特权用户的权限分离 | 操作系统和数据库的特权用户的权限必须分离,避免一些特权用户拥有过大的权限,减少人为误操作 | 访谈管理员 | 分离数据库和操作系统的特权用户,不能使一个用户权限过大 | ||
| 访问控制 | 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令 | 管理员账户已更改名称,禁用了guest(来宾)账号 | cmd>lusrmgr.msc>用户,管理员账号是否改名(默认为administrator),guest账户是否被禁用 | cmd>lusrmgr.msc>用户,可以修改管理员账号名称和禁用guest账户。 | ||
| 访问控制 | 应及时删除多余的、过期的帐户 | 不存在多余、过期账户 | cmd>lusrmgr.msc>用户 | cmd>lusrmgr.msc>用户,删除一些与设备运行、维护等工作无关的账号 | ||
| 安全审计 | 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 | 审计功能已开启,包括:审核策略更改、审核登录事件、审核对象访问、审核过程跟踪、审核目录服务访问、审核特权使用、审核系统事件、审核帐户登录事件、审核帐户管理等设置 | cmd>secpol.msc>本地策略>审核策略 | cmd>secpol.msc>本地策略>审核策略,设置为成功或失败 | ||
| 安全审计 | 日志记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 | 日志记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容 | cmd>eventvwr>系统,查看其中的系统日志详细信息 | |||
| 安全审计 | 日志记录缓存的大小和达到上限后的覆盖规则 | 日志存储上限为20480kb,达到存储上限后按需要覆盖事件 | cmd>eventvwr>系统>右键属性 | cmd>eventvwr>Windows日志>系统>右键属性,可自己调整日志记录规则和日志缓存大小 | ||
| 入侵防范 | 设置升级服务器等方式保持系统补丁及时得到更新 | 已经更新到最近的补丁版本 | cmd>control>添加删除程序>记录系统补丁号 | 及时更新最新的系统补丁 | ||
| 入侵防范 | 系统是否已经开启服务中一些不必要的服务 | 未开启一些不必要的服务(如Alerter,Remote Registry Service,Messenger,Task Scheduler等) | cmd>services.msc,查看正在运行的服务 | cmd>services.msc,对一些不必要的服务进行关闭 | ||
| 资源控制 | 应根据安全策略设置登录终端的操作超时锁定 | 应设置空闲的终端服务会话设置时间限制300秒 | cmd>gpedit.msc>计算机配置>管理模板>Windows组件>终端服务> | 超时时间建议设置为300秒 | ||
| 资源控制 | 应根据安全策略限制终端连接的数量 | 根据系统实际情况,建议限制终端连接数量为5个 | cmd>gpedit.msc>计算机配置>管理模板>Windows组件>终端服务> | 限制终端连接数量为5个,避免造成系统资源占用过多 | ||
| 剩余信息保护 | 应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中 | 在登录系统时不显示上次的用户登录名 | cmd>secpol.msc>本地策略>安全选项>交互式登录不显示上次的用户名是否禁用 | cmd>secpol.msc>本地策略>安全选项>交互式登录不显示上次的用户名,右键属性选择启用 | ||
| 剩余信息保护 | 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除 | 系统启用关机前清除虚拟内存页面 | cmd>secpol.msc>本地策略>安全选项>关机:清除虚拟内存页面文件 | cmd>secpol.msc>本地策略>安全选项>关机:清除虚拟内存页面文件,右键属性选择开启 |
防火墙完整检查表
| 分类 | 测评项 | 预期结果 | 评估操作示例 | 检查情况 | 结果 | 整改建议 |
|---|---|---|---|---|---|---|
| 访问控制 | 应在网络边界部署访问控制设备,启用访问控制功能 | 启用了访问控制规则 | ||||
| 访问控制 | 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级 | 配置数据流只允许授权的IP地址、协议、端口通过 | ||||
| 访问控制 | 应对进出网络的信息内容进行过滤 | 实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制 | ||||
| 访问控制 | 应在会话处于非活跃一定时间或会话结束后终止网络连接 | 防火墙配置了连接超时时间设置 | ||||
| 访问控制 | 应限制网络最大流量数及网络连接数 | 防火墙根据IP地址限制了网络连接数,对数据报文做了带宽限制 | ||||
| 访问控制 | 重要网段应采取技术手段防止地址欺骗 | 防火墙开启IP/MAC地址绑定方式,防止重要网段的地址欺骗 | ||||
| 访问控制 | 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户,并限制具有拨号访问权限的用户数量 | 对远程连接的VPN等提供用户认证功能,并限制了拥有拨号权限的用户数量 | ||||
| 安全审计 | 防火墙应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 | 对运行状况,网络流量,用户行为等都进行了记录 | ||||
| 安全审计 | 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 | 审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 | ||||
| 安全审计 | 应能够根据记录数据进行分析,并生成审计报表 | 能够根据记录数据进行分析,并生成审计报表 | ||||
| 安全审计 | 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖 | 人工不能对审计记录进行修改 | ||||
| 网络设备防护 | 应对登录网络设备的用户进行身份鉴别 | 通过web界面登录和通过console登录都需要账号和口令,并不存在空口令和弱口令 | ||||
| 网络设备防护 | 应对网络设备的管理员登录地址进行限制 | 对远程登录防火墙的登录地址进行限制,避免未授权访问 | ||||
| 网络设备防护 | 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别 | 尽量都采用两种鉴别技术进行身份鉴别 | 访谈管理员 | |||
| 网络设备防护 | 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 | 口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天 | ||||
| 网络设备防护 | 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施 | 限制非法登录次数为5次,登录超时退出时间为300秒 | ||||
| 网络设备防护 | 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听 | 通过web界面登录防火墙时使用了ssl协议进行加密处理,即https登录 |
IDS 完整检查表
| 分类 | 测评项 | 预期结果 | 评估操作示例 | 检查情况 | 结果 | 整改建议 |
|---|---|---|---|---|---|---|
| 安全审计 | 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 | 日志文件包含了设备运行状况、网络流量、用户行为 | 登录到IDS中,找到日志管理,任意查询一下日志,查看日志详情 | 日志需记录设备运行状况、网络流量、用户行为等,管理员可自行配置调整 | ||
| 安全审计 | 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 | 操作日志中应包括上述几种类型 | 登录到IDS中,找到操作日志,查看操作日志详情 | 根据不同的IDS类型,对操作日志的记录详情进行调整 | ||
| 安全审计 | 应能够根据记录数据进行分析,并生成审计报表 | IDS应该能够根据记录数据进行分析,生成审计报表 | ||||
| 网络设备防护 | 应对登录网络设备的用户进行身份鉴别 | 每个账户都有对应的口令,不存在空口令和弱口令 | 用不同的账户和口令登录到系统中 | 每个用户都要设置口令,不能存在空口令 | ||
| 网络设备防护 | 应对网络设备的管理员登录地址进行限制 | 只有固定的IP地址才能以管理员的权限登录到系统中 | 登录到系统中>系统管理>管理员>管理员设置中有允许登录IP | 登录到系统中>系统管理>管理员>管理员设置中将允许登录IP设置为固定的IP地址 | ||
| 网络设备防护 | 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别 | 采用了两种及两种以上组合鉴别技术进行身份鉴别 | 在登录过程中可以知道 | 根据实际需求,建议尽量都选用两种或两种以上的组合鉴别技术进行身份鉴别 | ||
| 网络设备防护 | 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 | 口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天 | 登录到系统中>系统管理>管理员>登录参数设置 | 建议整改为口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天 | ||
| 网络设备防护 | 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施 | 限制非法登录次数为5次,登录超时退出时间为300秒 | 登录到系统中>系统管理>管理员>登录参数设置 | 建议设置为限制非法登录次数为5次,登录超时退出时间为300秒,避免非法登录的风险 | ||
| 网络设备防护 | 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听 | 应采用SSL加密方式对传输数据进行加密 | 使用https+IP登录到管理后台,能成功登录就是采用了SSL | 登录到系统中>系统管理>管理员>web访问协议设置中选择启用https |
Linux 完整检查表
| 分类 | 测评项 | 预期结果 | 评估操作示例 | 检查情况 | 结果 | 整改建议 |
|---|---|---|---|---|---|---|
| 身份鉴别 | 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 | 1)操作系统使用口令鉴别机制对用户进行身份标识和鉴别;2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)操作系统不存在密码为空的用户。 | cat /etc/passwd,cat /etc/shadow 查看文件中各用户名状态 | 操作系统和数据库每个用户都必须设置登录用户名和登录密码,不能存在空密码 | ||
| 身份鉴别 | 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换 | 密码策略如下:PASS_MAX_DAYS 90(生命期最大为90天) PASS_MIN_DAYS 0(密码最短周期0天) PASS_MIN_LEN 10(密码最小长度10位) PASS_WARN_AGE 7(密码到期前7天提醒) 口令复杂度: 口令长度8位以上,并包含数字、字母、特殊字符三种形式 | more /etc/login.defs | 密码最大生存周期为90天;密码最短修改周期为0天,可以随时修改密码;密码最小长度为10位,包含数字,特殊字符,字母(大小写)三种形式;密码到期前7天必须提醒 | ||
| 身份鉴别 | 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 | 1)操作系统已启用登陆失败处理、结束会话、限制非法登录次数等措施;2)当超过系统规定的非法登陆次数或时间登录操作系统时,系统锁定或自动断开连接 | cat /etc/pam.d/system-auth,查看相应的登录设置 | 建议限制,密码过期后重设的密码不能和前三次的密码相同 | ||
| 身份鉴别 | 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听 | 1)操作系统使用SSH协议进行远程连接;2)若未使用SSH方式进行远程管理,则查看是否使用telnet方式进行远程管理; | 查看是否运行SSH: cat service -status-all | grep sshd; 查看是否使用telnet方式:cat service -status -all | grep running; | 系统远程登录时要采取SSH方式登录或采用密文传输信息,保障信息的安全性 | ||
| 身份鉴别 | 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性 | 用户的标识唯一,若系统允许用户名相同,UID不同,则UID是唯一性标识;若系统允许UID相同,则用户名是唯一性标识。 | cat /etc/passwd文件中的用户名信息,每个信息用“:”分隔开来,每个字段对应的信息为: 注册名:口令(密文用x来代替):UID:GID:用户名:用户主目录:命令解释程序Shell | UID是唯一性标识,每个用户必须采用不同的UID来区分 | ||
| 身份鉴别 | 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 | 对管理员访谈,对于三级系统,必须使用两种或两种以上组合的鉴别技术实现用户身份鉴别,如密码和口令的组合使用。 | 访谈管理员 | 三级系统建议采用用户名密码+证书口令登录的方式;三级以下系统可以采用一种鉴别技术。 | ||
| 访问控制 | 应启用访问控制功能,依据安全策略控制用户对资源的访问 | root用户: passwd文件夹只有rw-r-r权限 shadow文件夹只有r- - -权限 r=4 w=2 x=1 | 在root权限下:ls -l /etc/passwd ls -l /etc/shadow 查看用户权限。 -rw-r–r--:第一个rw表示文件所有者有读写权限; 第二个r表示与文件所有者同一组的用户只有读的权限; 第三个r表示不与文件所有者同一组的用户只有读的权限 | 根据实际需求,对每个用户的访问权限进行限制,对敏感的文件夹限制访问用户的权限 | ||
| 访问控制 | 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; | 访谈管理员,了解每个用户的作用、权限 | 给予账户所需最小权限,避免出现特权用户 | |||
| 访问控制 | 应实现操作系统和数据库系统特权用户的权限分离 | 操作系统和数据库的特权用户的权限必须分离,避免一些特权用户拥有过大的权限,减少人为误操作 | 访谈管理员 | 分离数据库和操作系统的特权用户,不能使一个用户权限过大 | ||
| 访问控制 | 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令 | 默认账户已更名,或已被禁用 | cat /etc/passwd | 严格限制默认账户的访问权限,对存在的默认账户的用户名和口令进行修改。 使用usermod -L 用户名,来锁定默认用户。 | ||
| 访问控制 | 应及时删除多余的、过期的帐户,避免共享帐户的存在 | 不存在多余、过期和共享账户 | cat /etc/passwd | 删除、禁用例如uucp,ftp等多余账户 | ||
| 安全审计 | 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户 | 系统开启了安全审计功能或部署了第三方安全审计设备 | service auditd status | 开启系统本身的安全审计功能,完整记录用户对操作系统和文件访问情况,或采用第三方的安全审计设备 | ||
| 安全审计 | 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 | 审计功能已开启,包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等设置 | ps -ef | grep auditd | 开启审计功能,记录用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等操作 | ||
| 安全审计 | 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 | 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容 | cat /etc/audit/auditd.conf cat /etc/audit/audit.rules | 记录事件产生的时间,日期,类型,主客体标识等 | ||
| 安全审计 | 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新 | 1)系统安装的组件和应用程序遵循了最小安装的原则;2)不必要的服务没有启动;3)不必要的端口没有打开; | service --status-all | grep running | 在不影响系统的正常使用的前提下,对系统的一些端口和服务可以进行关闭,避免这些端口或服务的问题导致系统问题 | ||
| 资源控制 | 应通过设定终端接入方式、网络地址范围等条件限制终端登录 | 已设定终端登录安全策略及措施,非授权终端无法登录管理 | /etc/hosts.deny、/etc/hosts.allow中对终端登录限制的相关配置参数 | 建议配置固定的终端、特定的网络范围内才能进行终端登录 | ||
| 资源控制 | 应根据安全策略设置登录终端的操作超时锁定 | 已在/etc/profile中为TMOUT设置了合理的操作超时时间 | cat /etc/profile | 超时时间建议设置为300秒 |