网络安全等级保护测评——主机安全(三级)详解
近来参与了项目组的辅助工作;学习了一些针对服务器系统进行合规性优化的等保二要求;写完一篇'废话'后就明白了就可以我也能够一起参与这些辅助工作了。
一、主机安全概念
主机指整个系统内的操作平台(Windows/Linux),包含服务器与运维终端,在测评中将主机安全划分为安全计算环境模块(包括网络设备、安全设备、应用系统等数据)。
主机安全管理主要涉及以下内容:基于A+级权限的的身份识别机制、密码强度要求及定期更新密码策略;登录异常处理机制;A+级权限配置下启用远程管理协议支持;基于A+级权限配置下的账户权限分配规则;A+级权限配置下日志审计功能的开启;具备A+级权限的安全杀毒软件安装与更新;数据传输完整性与保密性保障措施;以及在必要时执行的数据清理操作等各项安全防护配置参数设置优化方案
二、测评要求及建议
等保三级主机测评规定包含身份鉴别功能作为基础保障措施,并对访问控制策略实施严格管理;同时规定了入侵防范体系的具体要求;此外还包含了恶意代码防范机制的设计标准;可信验证流程以及数据完整性保护措施也被明确为重要组成部分;数据保密性要求以及备份恢复测试方案均为必测项目;最后还包含了剩余信息保护机制的技术规范;该测评体系总共包含32个具体的测试指标;下面重点分析了几个较为常见且易于进行整改的测评项。
1、身份鉴别
身份鉴别包含四个重要指标:密码强度作为核心要素之一;建立定期更换机制以提升账户安全性;针对账户异常 login 提供详细处理流程;引入无操作长时间停留触发的退出机制;针对远程设备数据传输的安全防护措施;双因子认证作为补充验证手段。
(1)密码安全性、密码定期更新
整改措施:密码应包含字母数字及特殊符号;长度不低于8位;建议每90天更新一次。
这项措施的主要目的是确保所使用的密码"足够长"且"难以猜测"以防止被暴力破解攻击。
(2)针对账户 login 异常及长时间无操作的情况 空闲操作超时退出
整改措施:在 account 连续出现 5 至 10 次无效 login 尝试后 锁定该 account 时间为 1 至 30 分钟;在 login 后等待 5 至 15 分钟期间自动退出 session。
这项措施也是为了防止 attack 者通过反复猜测 password 来造成 system 被攻破。
(3)远程管理传输防窃听
整改措施:采用加密技术手段,如SSH或RDP加密等。
这项措施的主要目的是确保敏感信息在传输过程中的安全性。通过防止攻击者通过网络抓包获取到账号密码,在采用明文传输方式时,则数据包中包含用户的账号及密码信息。
(4)双因子鉴别
整改措施:我们通常采用账号密码作为认证手段之外还需要增添另一种身份识别方式。例如指纹、认证证书或面部识别技术等。此外,为了确保安全必须满足两种认证渠道均通过方能实现登录,这一举措旨在提升身份验证的安全性并防止单点 loginUser攻击风险。
2、访问控制
该系统的三级访问控制包含七个评价指标:用户权限配置(涵盖密码重置等基本操作)、默认用户名与密码变更操作(支持批量设置)、多余用户名自动清理流程(确保数据完整性)、用户权限独立化管理措施(防止越权操作)、责任主体明确流程(规范操作规范)、细粒度访问策略构建步骤(保障安全性)以及安全标识配置要求(提供清晰的操作指引)。
(1)账号权限分配
整改措施:为各使用账号分配相应的权限等级,并确保所有账号都有适当的保护配置。特别强调要防止将普通用户账号赋予过多的访问权利。(在主机管理中,默认情况下每个新创建的账号都会带有基础的安全属性设置)
这一措施旨在为各账号设定明确的权责界限,并保证既不全部赋予高 permissions 也不遗漏必要的安全设置。从而有效防范因操作失误导致的系统异常事件如增删修改等异常行为的发生。
(2)默认账号名及密码更改
整改措施;本措施要求对系统中的默认账户名称及密码进行更改;具体包括更换administrator、root等账户名称并相应调整其初始密码设置;对于无法更改default账户名的情况(例如:Linux系统的root就无法更改),则建议禁止default用户的远程登录功能以避免潜在的安全风险;
同时旨在增强系统防护能力以防止口令爆破攻击;如果仍采用传统常见的账户名称(如admin、sys等),则攻击者需同时尝试用户名和密码才能成功登录;
(3)多余账号清除
整改措施:删除不再需要的账号。
这项措施依然旨在防止账号密码被他人猜测以及防止已被攻击者入侵却无法及时发现的情况。拥有更多未使用的账号意味着攻击者有更多的机会尝试不同的组合来破解这些账户的安全性。由于多余账号通常未被使用且不为他人所关注,在您的系统中频繁操作就像穿夜行衣一样难以察觉。因此持续清理不必要的账号能够有效降低潜在的安全威胁风险。
(4)账号权限分离
整改措施:将各岗位职责分离设置为系统管理员、审计员、安全员等不同角色,并分别赋予其相应的操作权限以相互制衡作用。
该措施旨在防止单一账号拥有全部权限风险的出现。一旦某人获取了任一账号的操作权限,则可能获得整个系统的全部功能访问权。这种分权管理机制犹如公司内部设置有销售部、技术部以及人力资源部等职能部门般地保障了系统的安全运行与有序管理。
(5)授权主体
整改措施:指定一个账户进行访问控制策略的配置。(在本项测试中无需考虑这一点)
为避免管理混乱,在本项测试中无需考虑这一点的情况下,默认赋予最高权限的系统管理员或网络管理员即可。
为了避免管理混乱,在本项测试中无需考虑这一点的情况下,默认赋予最高权限的系统管理员或网络管理员即可。如果同一套策略如果能被每个账户独立修改,则每次仅修改一点即可。
(6)细粒度访问控制
整改措施:以账户为中心,在可访问的系统资源(如文件、进程等)之间建立关联关系,在现有操作系统中通常情况下能够实现主体为用户级、客体为文件级或进程级的操作目标,并不需要对现有机制进行调整。
这项措施的主要目的是实现更为精细的权限管理方案。具体而言,在一个模拟的城市建筑环境中,默认设置一个城堡区域包含三个区域、400个建筑单元房,在每一个建筑单元房内都配置一套独立的权限体系:如果某人拥有某套钥匙,则能够自由出入对应的建筑单元房;否则则无法进入其他区域。(其中钥匙即代表相应的权限配置,“房子”则是指系统资源的具体载体)
(7)安全标识
具体措施:实施严格的访问权限管理。无论从用户账号还是系统资源的角度来看,访问操作都需要双方都需要授权才能进行。这一措施必须依赖专业的第三方验证工具才能有效执行(无资金支持就无法实施这项措施),通常被视为重点丢分项。
该措施旨在通过多层安全防护机制确保系统的安全性。想象一下: imagine a grand fortress with two guards and four hundred rooms. Each room has a guard at the door, holding a list of authorized visitors. You receive a key to a room, but it doesn't guarantee entry unless your name also appears on the guard's visitor list. Both the key and the visitor list require simultaneous possession to grant access. This is fundamentally different from a simple "or" logic, where either condition could be met independently.
3、安全审计
三级系统的安全审计包含四个评估指标:一是启用日志审计功能并明确覆盖范围或类型划分;二是实施完整的数据记录质量评估;三是建立严格的数据存储规范性检查;四是确保所有操作流程的安全性得到有效保护
日志审计功能已成功开通并涵盖范围已明确配置
(2) 审计记录完善度
整改措施: 审计内容应涵盖时序信息(日期和时间)、操作者、事件类型以及事件结果等方面。对于内置的安全审计功能(即宿主机本身配置的安全审计),通常无需进行额外修改即可正常运行;而对于依赖第三方安全审计工具(如日志分析型安全审计系统等工具),建议确保其版本更新以获取必要的时序信息。需要注意的是,在部分老旧版本中可能因兼容性问题导致缺失相关时序数据。
该措施的核心目标是确保所有的安全日志具有清晰明了的内容,并能方便运维人员或安全分析系统快速理解相关事件的情况。具体来说,在一条完整的日志记录中应包含发生的时间节点、操作者以及所执行的具体操作内容等要素。只有当一条日志至少包含了发生时间和操作者信息,并明确描述了做了什么之后才能真正发挥监控作用。
(3)审计记录存储
具体措施包括数据迁移或定期备份操作;其中一项核心措施是确保留存期限达到至少一个月以上,并且具有可追溯性;所有重要日志需至少每月进行一次全面审查;建议将重要数据迁移到专用的日志审计系统中进行长期存储;同时也可以考虑将部分关键信息导出至外部服务器以备不时之需;此外还需要建立完善的监控机制来及时发现异常情况并采取相应应对措施;对于主机本地的日志管理建议特别谨慎操作以避免潜在风险;按照相关法规规定需至少保持一个月以上的数据冗余;
(4)审计进程保护
整改措施:Linux系统启用auditd服务(...),Windows系统保持默认状态(...)。
这项措施旨在确保审计功能不会被意外中断,在我的理解中是通过为账户分配权限来实现的。具体而言,在等保标准下将auditd进程定义为主机自身的"审计守护进程"(auditing guardian process)。如果是在主机内部进行审计,则需要开启auditd;而对于Windows,默认情况下已满足条件(...)。实际测试中尚未发现开启与不开启之间的明显差异。
4、入侵防范
三级系统主机入侵防范涉及五个主要测评指标:最小化安装配置、关闭多余服务以及高危端口、接入地址限制、漏洞扫描和入侵检测。其中一项不适用的是数据输入有效性校验。
(1)降低系统资源占用
整改措施:为了解除不必要的程序和软件配置。
这项措施旨在防止潜在的安全风险...漏洞...进而被攻击者利用;通过限制仅允许运行必要的软件和服务来降低安全威胁。
整改措施:关闭无需使用的默认开启进程及端口设置。例如,在Linux系统中使用telnet协议,在Windows系统中则有默认共享功能以及高危端口135、445和137-139等配置项需要特别注意。
这项措施与前面所述的最小化安装目的基本相同。其主要目的是阻止攻击者通过这些配置项入侵计算机或传播病毒性程序。如果说还有其他用途的话,则可能就是出于节省运行内存的需求而被关闭。
(3)接入地址
整改措施:限制远程管理终端的接入地址范围,仅允许特地IP远程登录。在这处的整改可以通过网络策略限制,也可以通过主机自身的访问策略设置。
这项措施是为了避免计算机被尝试非法访问,如果主机对所有网络都开放访问,那不就所有人都可以尝试登录你的系统主机。限制了可访问的地址仅你们办公室地址或者指定单个IP,就可以在一定程度上减少主机被攻击者尝试访问的风险。
(4)漏洞扫描
整改措施:定期对主机执行漏洞扫描任务,并在检测到存在高风险漏洞时进行修复处理。
该措施旨在防止系统内部已知存在的安全漏洞被攻击者利用。
为了确保安全评估的有效性,在等保测评过程中不仅要求定期执行漏 scan 任务,在现场还会对系统进行额外的一次漏洞扫描检查。
存在高风险漏洞时需立即采取修复措施。
部分漏 scan 设备报告的‘高风险’可能并非实际威胁。
如果无法有效利用该漏洞提升系统的防御能力,则其威胁级别可归类为中等风险。
(5)入侵检测
整改措施:在主机上安装入侵检测设备能够实现网络监控与异常响应。
该措施的主要目的是快速识别并应对潜在的安全威胁。
在实际应用中我们通常将入侵检测系统部署在网络层关键节点位置并配置一台NIP设备作为核心监控单元。
我们的系统在同一个网络区域内可能存在多台服务器之间的数据交互以及服务器与运维办公室之间的通信流量。
这些数据流并非全都经过网络上部署的NIP设备进行监控所以等保标准下要求所有主机都配备有入侵检测设备以确保全面的安全防护需求。
目前市面上主流的EDR和IPS产品通常支持通过主机端插件实现多级安全防护功能从而提高整体网络安全水平。
5、恶意代码范
三级系统主机恶意代码防范只有一个测评项,病毒防范。
病毒防范措施是通过配置杀毒软件来实现的。
该方法的目的在于防止病毒感染。
这一措施类似于我们在电脑上通常安装的杀毒软件如360和火绒等。
需要注意的是大多数系统的主机通常部署在内网环境中。
这样的内网环境会导致其内置的病毒特征库无法自动更新。
测试时我们会检查我们的杀毒软件是否为最新版本。
因此需要定期下载离线版本进行更新维护。
6、可信验证
三级系统主机可信验证也是只有一个测评项。
(1)可信验证
整改措施:该系统需在运行前进行可信验证,在此过程中安装可信根、可信芯片等硬件设备。
这项措施不仅具备防病毒和防篡改的作用,并要求所有设备均需配备上述技术保障措施。然而实际上,在民用领域此类技术尚处于成熟阶段(即便如此),因此对每一台设备都配备该系统显得力不从心。这在一定程度上会导致等保标准下的分数出现明显下降风险。
7、数据完整性
三级系统的主机数据完整性涵盖了两项核心指标,分别是数据传输的完整程度和数据存储的完整状态。
(1)确保信息完整性
整改措施:采用SSH与RDP方式实现远程管理。
该措施旨在防止因网络传输中的大量丢包或被窃取及重传导致的数据损坏风险,并对所采用的远程管理协议提出相应要求。为了确保远程管理的有效性与安全性,
对使用的网络通信协议提出相应要求。
然而,在主机内部存储的应用系统核心业务信息同样重要。
尽管这些商业机密会用于应用层面的评估分析,
但在主机层面的监控评估中无需过多关注。
(2)数据存储的安全性
整改措施:采用独立第三方软件进行数据验证操作。
该措施旨在确保系统中的敏感信息不会因意外操作而造成损失,在运行环境中,默认情况下会对所有文件进行身份认证工作。其中,在Linux系统中通常采用SHA512算法,在Windows系统中则基于NTLM协议生成一个唯一标识符(Hash值)。但目前尚不清楚这种哈希值的作用性质究竟是用于保密还是用于校验目的?这一问题的答案将直接影响最终得分结果如何确定?而实现这一目标通常依赖于专业的第三方软件支持——目前这一功能在普通服务器环境中难以实现
8、数据保密性
三级系统主机的数据完整性涵盖了两个测评维度:数据传输的保密性和数据存储的保密性。
(1)数据传输保密性
整改措施:为防止网络攻击或敏感信息泄露而采用SSH和RDP协议进行远程管理,并建议在RDP端开启加密以确保传输的安全性。
这些重要信息包括服务器的配置参数和敏感日志记录等关键信息。需要注意的是,在服务器上存储的数据中有一些不需要严格保密的信息。特别地,在进行远程管理时必须对这些鉴别信息采取严格的加密措施。
整改措施:采用密码算法对认证信息(账户密码)实施存储层面的安全防护措施。
该项措施旨在确保重要信息不被泄露或篡改,并通过系统默认设置对所有敏感信息应用统一的安全防护机制。
9、数据备份恢复
三级系统主机的数据备份恢复涵盖了三个测评指标;然而,在实际测试中仅需测试两个指标:其中包括定期数据备份和设备冗余配置;而不适用的指标是异地备份。
规定对主机的主要配置数据执行定期备份操作,并安排定期进行.backup./recovery/测试工作。
该措施旨在防止主机在发生配置损坏或被篡改时能够迅速通过备份数据复原系统功能。
具体来说,则需根据系统的功能需求来确定哪些属于重要配置数据。
例如,在搭建应用服务器的情况下,则需将开放端口、脚本文件等视为重要设置。
需要注意的是,在实际执行或管理过程中难以单独对某些特定设置进行独立复制 backup(需借助特定工具),甚至可能将所有设置都复制到 backup 存储中,
然而这样做在恢复阶段也未必有实质帮助,
毕竟关键设置并不多,
不如直接手动重新设置更为实际。
同时,在运行环境中无法直接模拟 backup 测试,
因此,在虚拟服务器环境下则可采取更为简便的方式——定时创建存储副本即可;
而对于物理服务器环境则建议放弃此类复杂操作,
因为投入的成本过高且实用性不强。
(2)设备冗余
整改措施:对重要设备实施双机热备部署或分布式集群部署。
这项措施旨在确保当一台关键设备出现故障时另一台设备能够接管其功能以维持系统正常运转,在主机的测评中将应用服务器和数据库服务器视为重要设备予以重点关注。对于那些对系统高可用性要求极高的领域如民生、金融及重要工业系统等,则要求所有对业务运行有影响的服务器都必须配备热备机制。需要注意的是,在技术术语中"热冗余"与"冷备份"存在区别:前者通常指同时运行并实现无缝切换的状态,而后者则意味着一台设备故障后需待另一台启用才能恢复工作状态。
10、剩余信息保护
三级系统主机剩余信息保护任务涵盖两项测评指标:非敏感信息存储区域清理工作以及重要数据存储区域清理任务。
鉴别信息存储空间删除
整改措施:从登录界面删除账户名称及密码,并在Windows系统中启用"交互式登录:不显示最后用户名"选项。
该措施的目的在于确保当鉴别信息被删除时,硬盘或内存中的相关信息彻底清除。我的理解是,在这种情况下应当防止任何技术手段能够恢复被删除的数据(如同个人电脑上删除文件并未真正删除时可能仍可通过特定工具进行恢复的情况)。实际操作中如何确认数据已被彻底清除呢?是否可以通过某种工具进行验证?查阅相关系统文档是否有明确说明?如果文档中有规定,则可认为确实已完全清除;否则则需要依赖其他方法来进行间接验证。鉴于此操作较为繁琐且不易完全确认效果,在此提出了一个接近但并非完全相同的替代方案——在用户退出后从登录界面删除账户名、口令以及授权信息。对于Linux系统,在终端中使用"sshd"命令并确保不再保存先前输入的密码即可实现清空;而Windows系统则有一个配置选项"交互式登录:不显示最后用户名"需要启用这一功能。
(2)敏感数据存储空间清除
整改措施: Windows启动"关机:清除虚拟内存页框"程序; Linux系统设置HISTSIEZ参数。
本措施与上一措施具有相同的目的,然而适用范围有所扩展,前者主要专注于鉴别信息,而后者则涵盖了所有敏感数据(如配置数据、操作指令以及存储的关键数据等)。两者的发展路径基本相同,只是实施起来更加复杂和技术性更强。
测评中会考察Windows系统启动时执行"关机:清除虚拟内存页框"功能的情况,同时也会审查Linux系统中设置的HISTSIEZ参数情况。
本段内容包括了三级等保测评主机所涵盖的各项测评指标。在其中的设备评测(如网络设备和安全设备)都存在一致性。整篇文章的内容主要基于我在项目组参与相关工作后所形成的个人理解和工作笔记或总结性分析。供参考使用,并非绝对正确。如有发现错误之处,请予以指正。
立即获取
立即获取
全部学习材料
