网络安全等级保护测评——主机安全(三级)详解
网络安全等级保护测评——主机安全(三级)详解
在项目组中担任杂务工作一段时间后,在学习相关服务器安全整改方面的等保标准后(也就是完成了一定数量的学习任务后),撰写一篇简短的文章可能会有所帮助,并期待未来能与大家共同参与打杂。
一、主机安全概念
主机即指我们系统内部的操作系统运行环境(Windows、Linux),涵盖服务器端和运维终端,在测评中主机安全被划归为安全计算环境模块(网络设备、安全设备、应用系统、数据均归属该安全计算环境模块)。
主机安全主要体现在主机层面上的安全防护措施上,包括认证机制、密码强度、定期更新策略、登录异常后的重试逻辑、异常状态下的自动重启机制、远程管理功能模块配置、用户权限配置规则以及日志审计功能的开启状态等。这些基本防护手段均可以通过在本机上进行参数设置来实现;如果无法完成,则可在网络层进行相应的辅助配置以达到预期的安全防护效果。
二、测评要求及建议
等保三级主机的测评要求分为了身份鉴别能力评估、访问控制措施验证以及入侵检测与防护能力测试这三大核心维度,并包含共计32个评价项目。在实际测试中会重点考察这些指标中较为常见且易于整改的关键点
1、身份鉴别
身份鉴别涉及四个核心测评项目,在实际应用中主要涉及以下几个方面:一是评估用户的密码强度(即密码复杂度),二是实施定期更换密码机制(即进行定期的密码更新),三是完善登录异常处理流程(包括登录失败后的重试策略),四是建立空闲操作超时退出机制(防止长时间未操作导致的安全风险),五是构建远程管理与数据传输的安全防护措施(包括防止被截获或篡改的数据传输过程),六是确立双重认证机制(即双重验证方式)来提升整体的安全性
(1)密码强度与更新频率
整改措施:建议选用包含数字、大小写字母及特殊符号的复杂字符串作为密码,并确保其长度不低于8位;同时规定应定期更新密码,并建议每90天更换一次。
这项措施的主要目的是确保所使用的密码具有较高的强度与不可预测性,并防止因口令被暴力破解而造成的安全风险。
(2)异常登录处理流程及空闲操作超时退出机制
(3)远程管理传输防窃听
整改措施:采用加密传输协议进行管理操作。
这项措施旨在阻止攻击者通过捕获网络流量来获取用户的账号和密码信息。当用户的账号和密码在登录过程中以明文形式发送至服务器时,则存在被非法捕获的风险。
整改措施:除了我们常用的账号密码认证之外,还需增添一种身份鉴别手段,如指纹、证书或人脸识别技术。为确保安全,两种验证方式需同时通过才能允许登录,即两者必须满足"且"的逻辑关系而非简单的"或"关系。该措施的目的在于提高身份鉴别的安全性,相当于在原有防护基础上增设了一道以防万一的保险锁,防止被不法分子利用账号密码直接侵入主机。
2、访问控制
三级系统访问控制包含七个评价指标,在实际应用中涉及多个关键操作环节
(1)账号权限分配
整改措施:为所有使用的账号设定相应的权限以防止无权访问的情况以及权值配置不当的问题。(主机端即使在创建新用户时也会默认赋予普通用户的最低访问级别 为了确保每个用户都有独立的安全策略 我们必须禁止将普通用户的设置提升到更高水平)
通过这一措施可为各用户分配不同级别的访问权限 从而防止所有用户拥有同样的高级访问权限 这样一来 可以有效防止因操作失误导致的增删改查功能被误操作触发的情况。
(2)默认账号名称及密码进行调整
具体措施包括将 default 账号名称 adminstratos 及 root 等进行重新命名,并相应调整其初始密码设置。
对于无法更改 default 用户名的情况(例如 Linux 系统中的 root 用户无法更改),建议禁止该用户的远程登录权限。
该措施旨在增强安全性。由于攻击者只需尝试常用的用户名和密码即可破解系统的情况已有所减少。
(3)多余的账号清除工作
整改措施:删除不再需要的账户。
这项措施旨在防止账户密码被随意猜测,并防止已被黑客入侵但尚未被发现的账户风险。每个多余的账户都会增加被攻击者猜中的可能性。即便这些账户无人使用或不被关注,在被黑客获取后进入系统的行为与普通用户并无区别。
(4)账号权限分离
整改措施:设立系统管理员、审计管理员与安全管理员的独立账号,并分别赋予其不同的权限以实现相互制衡。
这项措施旨在防止出现单一控制点的风险。如果一名攻击者获取了任意一个账号,则将拥有整个系统的全部权限。采用分权管理的方式类似于公司内部设置业务部、技术部以及人事部等机构来分别管理员工的工作职责。
(5)权限管理主体
整改措施:指定一个操作账号完成访问控制策略配置流程。(在实际测试中通常不需要考虑这一点,默认情况下采用权限最高的系统管理员或安全管理员账号)
该措施旨在避免管理混乱问题,在统一设置下实现对所有账号的安全管控:即对统一设置的安全策略仅需单点修改即可实现对所有账号的安全防护——只需指定一个操作账号完成访问控制策略配置流程,则其他所有账号均需遵循该设置以确保安全防护的一致性
(6)访问粒度细化
整改措施:将账户作为主体,并赋予可访问的计算机资源(如文件、进程等)作为客体。目前大多数操作系统已实现了主体为用户级别、客体为文件级别或进程级别的配置标准,在实际测试中无需改动即可应用该措施。
这项措施的目的在于更好地实施授权管理,在城堡分成三个区域、包含几百间房屋的情况下进行说明:当你拥有某区域的钥匙时即可进入该区域的所有房屋;而其他区域则无法进入。其中钥匙代表权限配置方案中的核心要素——权限设置方式与被管理对象——即系统资源之间的对应关系
(7)安全标记
整改措施:实施严格的访问权限管理。此时无论是用户的账户还是系统的资源都应被视为主体,在执行操作时必须由双方相互授权方能完成操作。该项整改需借助专业安全评估工具完成, 无资金支持则无法开展相关工作, 通常属于高分项考核内容.
该措施旨在通过双重验证机制进一步提升系统的安全性. 一个城堡有两扇门, 四百扇门分别通向不同的房间, 每扇门内都有一名守护者. 您持有某扇门钥匙不代表就能进入对应的房间, 必须您的身份信息同时出现在守护者手中的出入列表中, 否则将无法通行. 此外, 这里对钥匙与出入列表的要求是"且"的关系而非"或"的关系
3、安全审计
三级系统安全审计包含四个评估指标:一是开启日志审计功能并确定其覆盖范围类型;二是审核记录质量水平;三是指定审核记录存储位置;四是保障审核流程的安全性。
日志审计启用及覆盖类型
(2) 审计记录完善度
整改措施:应包含日期和时间信息、操作者、事件类型及结果说明等内容。无需更改的是主机自身的监控功能;而系统端自动完成这些记录工作。若采用第三方日志分析与审计系统(如某些自动化管理平台),可能会因软件版本较旧而导致相关时间戳信息缺失。
此措施旨在确保所有审计记录清晰易懂,让普通工作人员或数据分析人员能够一目了然地了解事件经过;每条日志至少需包含发生时间和操作者信息,在完整的时间背景描述下才能发挥其作用与价值
(3)审计记录存储
整改措施:定期将日志转移至审计系统或进行备份,并确保最长留存时间为180天(便于追溯)。可以选择将日志转移至审计系统中存档或导出并保存副本。
这项措施旨在确保审计记录具有可查性。由于系统故障可能发生在较长时间之前(例如十天半之前配置错误或者在十天半月之前感染了病毒导致),因此需要通过查看之前的日志来找出问题原因或进行来源追溯。根据相关法律规定(等保要求),最长留存时间为180天是有必要的。值得注意的是,在全开审计状态下运行宿主可能会导致日志量急剧增加(虽然这听起来很长但确实有必要),因此建议谨慎设置以避免一周内磁盘空间耗尽的情况。
(4)审计进程保护
实施措施:Linux系统需开启auditd服务;Windows系统保持默认配置。
该措施旨在确保审计过程不可中断,在我的理解中即是对账户应分配适当的权限以防止普通账户可自行关闭审计功能。但在等保标准中将auditd进程定义为专门负责保护审计功能的安全守护程序;若在主机内部执行则须启动该进程;而Windows系统则已按标准配置默认设置。通过测试未发现开启或关闭auditd对系统的实际安全产生明显影响;因此虽不明确其具体作用机制但无碍于操作——毕竟考试得分才是关键嘛!
4、入侵防范
三阶系统主机入侵防御体系共计设置了六个评估指标,但经过实践验证,在实际操作中通常只需关注五个关键指标:首先是最小化不必要的安装程序,其次是关闭多余的服务配置,然后是对高危端口进行严格防护,接着是合理设置网络接入地址范围,同时需完成网络漏洞扫描与入侵检测工作。其中例外的评估指标是数据输入的有效性校验
(1)最小化地进行安装
整改措施:通过卸载多余的应用程序和软件来实现这一目标。
为了防止某些软件存在缺陷以及未来可能发现缺陷从而成为攻击者的利用工具,因此规定所有无需使用的软件及插件均不得进行任何安装操作。
(2)关闭多余服务和端口
整改措施:关闭预设启动但无实际需求的应用程序和服务。例如,在Linux系统中使用telnet协议,在Windows系统中,默认共享功能及高危端口(包括但不限于135、445号以及137-139号段)。
这项措施与前面所述的最小化安装方法具有相似性,并主要针对的是防止潜在威胁利用这些服务进行攻击或传播恶意软件。即使没有其他功能存在,则关闭后也不会占用内存资源。
整改措施:限定远程管理终端的接入IP地址范围,并仅允许特定IP进行远程登录操作;在此处采取措施的方式包括通过制定网络策略来实现对远程管理终端的控制以及通过配置主机自身的访问权限来实现对远程连接的管理;此外该措施的目的在于防止计算机遭受未经授权的网络攻击;具体而言如果将主机对外部设备不加控制地全部开放网络接口那么就会存在被各种攻击手段试图侵入的可能性;因此采取将可连接的所有外部设备限定在你们办公室内部使用的IP地址范围内并单独分配给某个设备或用户群体等手段能够在一定程度上降低遭受恶意攻击的风险
(4)漏洞排查
整改措施:定期执行漏洞排查工作,在发现存在高危漏洞时及时修复。
这项措施旨在防止系统因已知存在潜在威胁而遭受攻击者的侵袭。等保测评体系要求组织定期进行漏洞排查(漏扫),同时在现场也会再次进行全面排查(漏扫)。如果有发现存在高危问题,则应立即修复;对于某些设备报告的高危问题不一定属于高危级别,在实际测试后若该漏洞无法有效利用,则可将其降级为中等风险(中危)。
整改措施:在主机上配置侵入式防护系统(NIDS),该系统能够实现防护与告警功能。
这项措施旨在快速响应潜在的安全威胁。通常情况下,在我们的实际系统部署中,我们会将侵入式防护设备部署在网络层次面上,在主要网络节点处安装NIDS设备。
然而, 在同一个网络区域内(例如多台服务器之间或服务器与运维办公室之间的数据流),这些流量并不都经过我们在网络层面部署的NIDS设备. 因此, 在等保标准下要求每台主机都配备有侵入式防护设备.
当前多数厂商提供的EDR(端点行为分析与响应) 和 IPS(互联网安全套件) 产品可以通过在主机上安装相应的软件插件来实现联动管理.
5、恶意代码范
三级系统主机恶意代码防范只有一个测评项,病毒防范。
防止病毒感染为主。
具体措施是:在计算机主机上安装杀毒软件。
这一措施的主要目的是抵御病毒感染。
为了提高防护效果和稳定性,
值得注意的是大多数计算机系统的主机通常部署于内网环境中,
因此其病毒特征库不会自动同步更新,
测试时我们会检查我们的病毒库是否为最新版本,
因此建议定期下载官方离线版本进行更新。
6、可信验证
三级系统主机可信验证也是只有一个测评项。
(1)可信验证
7、数据完整性
三级系统主机的数据完整性涵盖了两个测评维度:传输过程中的数据完整度以及存储过程中的数据完整度
确保数据传输的完整无损
措施采用:通过SSH和RDP协议实现远程管理手段
防止在数据分析过程中因网络丢包或被恶意截获篡改后再次发送的数据问题
对通信协议提出了相应的要求
服务器端存储的关键信息包括配置参数与标识信息
这些关键信息主要用于远程运维场景中的传递与管理
因此对用于远程管理的通信协议提出了具体的技术规范要求
而这些业务系统的运行状态及关键指标会被纳入应用系统监控范围...但不纳入主机本身的性能评估指标中
(2)数据存储完整性
整改措施:借助专业第三方工具完成数据完整性校验。
这项措施旨在确保数据存储的安全性和一致性,在主机环境中,默认会采用加密技术保护存储数据。其中Linux系统采用的是SHA-256算法进行哈希值计算(简称为SHA512),而Windows系统则采用NTLM协议生成哈希值。然而,在功能定位上这两个算法存在明显差异:一种侧重于保密性控制(密钥管理),另一种则主要用于身份认证(认证验证)。因此,在实际应用中这两个指标的具体意义仍存在一定的争议性问题,则需参考相关测评标准才能确定其适用性范围。对于配置数据存储完整性而言,则需要依赖专业的第三方工具支持,并且目前该功能在多数三级系统中尚无法实现完整配置
8、数据保密性
三级系统主机的数据完整性涵盖了两个重要测评指标:一是数据传输过程中的保密措施;二是数据存储过程中的保密措施。
确保信息传输的安全性
主要采用SSH和RDP协议作为远程管理手段,并特别提醒,在使用RDP时需要确保其加密功能处于启用状态。
该措施的目的在于防止在未授权的情况下获取敏感信息
防止未经授权的情况下直接获取敏感信息
涉及的数据主要包括服务器系统的核心设置以及相关的身份验证信息
值得注意的是,在这些关键信息中,并非所有的内容都具有高度保密性的需求
因此,在实际操作中我们只需要关注用于远程控制的那一部分敏感信息
(2)数据存储的安全性
整改措施:通过采用密码算法对认证信息(账户密码)进行加密处理。
该措施旨在确保敏感信息的安全性,并在系统中默认采用特定的安全机制对敏感信息进行保护。
其中,在Linux系统中,默认采用SHA512算法,在Windows系统中,默认采用NTLM哈希机制。
9、数据备份恢复
三级系统主机数据备份恢复涵盖了三个关键指标,在实际操作中我们仅需进行两项评估;其中不适用的项目为异地备份。
(1)定期备份
整改措施:对主机的主要配置数据进行定期备份,并定期进行备份恢复测试。
这项措施是为了当主机配置遭到破坏或篡改时能根据备份的数据快速恢复系统功能,备份恢复测试则是为了确保备份文件是有效的,不然真的要用的时候发现一堆备份文件没一个是能用的就完蛋了。至于什么是主要配置数据,这个需要根据你需要的功能去识别,比如说是一台搭应用的服务器,那设置了开放端口、脚本的文件就是主要配置文件。而实际使用或备份操作当中很难把某些配置文件单独进行备份(需要用备份工具),甚至可能配置文件全都备份了,到要做恢复的时候其实也没什么用,本来就几个配置项,还不如手动重新配。而且进行备份恢复测试的话也不可能在使用着的服务器上直接测试,需要另外花大成本搭测试环境。所以如果是虚拟服务器就定期做个快照,物理服务器的话这分可以放弃,不用这么折腾。
(2)设备冗余
整改措施:对关键设备实施双机热备冗余部署或分布式集群部署方案。
该措施旨在确保当一台关键设备发生故障时,另一台备用设备能够无缝接管其功能以维持系统的正常运行。一般而言,在进行主机测评时将应用服务器和数据库服务器视为重点保护对象。对于对系统可靠性要求极高的领域(如民生服务、金融业以及大型工业生产系统等),通常会采用全网高可用架构并强制性配置热备冗余策略。值得注意的是,在热备冗余策略中通常会同时运行两套服务;而冷备份则是指其中一套发生故障后才会启动另一套进行接管。
10、剩余信息保护
剩余信息保护流程涉及三个一级子系统中的一个或多个部分
清除鉴别信息存储空间的具体措施包括:在Windows系统中设置交互式登录选项并启用"交互式登录:不显示最终用户名"功能。
该措施的目的在于防止通过技术手段对存储在硬盘或内存中的鉴别信息进行恢复从而获取相关数据。
类似于我们在普通文件系统中删除数据时的情况,在这种情况下一旦删除数据并未覆盖则仍然可能存在残留。
在实际操作中如何确保这些数据已经彻底清除?
是否可以通过工具进行验证?查阅相关系统文档是否明确说明了这一点?
如果文档中有明确说明则可能较为可靠。
然而由于操作复杂性较高因此我们采用了一种近似的方法:
在用户退出后清除账户名、密码及授权信息。
其中Linux系统通常使用SSH协议并且建议不要记住密码;
Windows系统则提供了"交互式登录:不显示最终用户名"这一配置选项以实现类似的效果。
(2)清空敏感数据存储空间
整改措施:Windows系统应启用"关机:清除虚拟内存页面文件"功能;Linux系统应配置HISTSIEZ参数设置。
上述措施与前一措施的目标相似,其实施过程与前者大体一致。实际上操作起来较为繁琐,在测试过程中会重点检查Windows系统的"关机:清除虚拟内存页面文件"功能设置情况以及Linux系统的HISTSIEZ参数配置情况。
这些就是我对三级等保测评主机所涉及的各项指标的全面概述。在这些测试中有关于网络设备和安全设备的测试内容都较为相似。整篇文章的内容都是我在项目组辅助工作后的个人心得体会,在参考时仅供参考但未必完全正确如有发现错误之处还请指正
学习计划安排
虽然我将整个过程划分为六个阶段,但这并不意味着必须全部完成才能开始工作;对于初级岗位而言,在第三至第四个阶段就已经具备了足够的基础.
282G
282G
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重大优惠:初级&高级全套282GB学习资源包免费领取!
①网络安全专业发展路径
②丰富的渗透测试电子书资源
③详尽的安全攻防笔记集合
④实用的安全技术面试资料包
⑤专业的安全威胁分析工具包
⑥网络防御经验分享总结
⑦实战经验丰富案例汇编
⑧安全领域权威视频课程库
⑨CTF竞赛经典题库解析集
如果你想了解网络安全的基础知识, 那么, 请点击此处👉大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享