qidao123.com技术社区-IT企服评测·应用市场
标题:
网络安全品级掩护测评——主机安全(三级)详解
[打印本页]
作者:
知者何南
时间:
2024-11-9 21:45
标题:
网络安全品级掩护测评——主机安全(三级)详解
网络安全品级掩护测评——主机安全(三级)详解
最近去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了。
一、主机安全概念
主机指我们整个体系里面的操纵体系(windows、linux),包罗服务器和运维终端,在测评里主机安全被归类为安全盘算情况模块(网络设备、安全设备、应用体系、数据都归在这个安全盘算情况模块)。
主机安全也就是在主机层面上所做的安全步伐,包罗身份鉴别步伐、密码复杂度、密码定期更换、登录失败处置惩罚、空闲超时退出、启用的远程管理协议、账户权限分配、日志审计功能启用、入侵/杀毒软件安装和更新、数据传输/存储的完整性和保密性、剩余信息清除等。这些步伐都可以在我们主机上进行配置,当然了,假如在主机层面无法完成,也可以在网络层进行一些补偿步伐。
二、测评要求及建议
等保三级主机测评要求分为身份鉴别、访问控制、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、备份恢复测试、剩余信息掩护这九大控制点,共有32个测评项。下面临一些常见且容易整改的测评项做下分析。
1、身份鉴别
身份鉴别共四个测评项,重要几点:密码复杂度、密码定期更换、登录失败处置惩罚、空闲操纵超时退出、远程管理传输防窃听、双因子。
(1)密码复杂度、密码定期更换
整改步伐:密码需包罗数字、巨细写字母、特别字符,长度8位以上;密码应定期更换,每90天更换一次。
这项步伐重要是为了让所使用的密码“长”、“不易猜测”,防止口令暴力破解。
(2)登录失败处置惩罚、空闲操纵超时退出
整改步伐:账户连续登录失败5-10次,锁定账户一定时间(1-30分钟);登录后无操纵5-15分钟,自动退出登录状态。
这项步伐也是为了防止口令暴力破解,连续登录失败锁定账户可以避免攻击者多次猜测你的密码。
(3)远程管理传输防窃听
整改步伐:使用加密传输协议,如SSH或RDP加密等。
这项步伐重要是防止攻击者通过网络抓包获取到账号密码,登录时传输的账号密码假如是明文传输,拿到数据包就拿到了密码。
(4)双因子鉴别
整改步伐:除了我们常用的账号密码进行认证之外还需要增加一种身份鉴别步伐,如指纹、证书、人脸等。而且要求两种认证方式同时通过才能进行登录,也就是说两种认证方式必须是“且”关系而不是“或”关系。
这项步伐是为了增加身份鉴别的安全性,也就是再加一道保险锁,避免攻击者拿到了你的账号密码就能直接登录你的主机。
2、访问控制
三级体系访问控制共七个测评项,包罗账号权限分配、默认账号名和口令修改、多余账号清除、账号权限分离、授权主体确定、访问粒度细化、安全标志。
(1)账号权限分配
整改步伐:给各个使用的账号都分配一定权限,避免出现无权限的账户或过高权限账户。(主机方面只要账户创建都至少会默认一个平常账户权限,重要是需要避免给平常账户分配过高权限)
这项步伐是为了给不同账户一个权限区分,避免满是高权限账户,容易对体系出现因操纵失误造成的增删改查。
(2)默认账号名和口令修改
整改步伐:重定名默认账户adminstratos、root等并修改他们的默认口令。对没办法修改默认账户名的(linux体系的root就改不了),可以克制默认账号远程登录。(有些测评机构会以为纵然修改了账户名,但是用常见的账户名如admin、sys等也不行。)
这项步伐也是为了防止口令爆破,假如使用默认账户名,攻击者就只需要重复尝试口令。改了默认账户名攻击者就需要账户名、口令一起猜,可以加大攻击难度。
(3)多余账号清除
整改步伐:删掉不消的账号。
这项步伐依然是为避免账号密码猜测,以及避免账号已经被攻击者使用了却发现不了。多一个账号,攻击者就多一分猜测乐成的概率。而且多余账号没有人用也没人在意,攻击者要是已经拿到了这个账号的密码,再你的体系里进收支出跟穿着夜行衣一样。
(4)账号权限分离
整改步伐:划分体系管理员、审计管理员、安全管理员账户,并分配不同权限使其可以相互制约。
这项步伐是为了避免一个账户独大,假如攻击者拿到了一个账户就有了体系全部权限。账户分权限,就像一个公司里有业务部、有技能部还有个监督全体员工的人事部一样。
(5)授权主体
整改步伐:确定一个账户进行访问控制计谋的配置。(这项实际测评中不需要该,一样平常默认权限最高的体系管理员大概安全管理员)
这项步伐是为了避免管理杂乱,同一套计谋要是每个账户都可以修改,一个改一点,听谁的?确定一个账户进行计谋配置,其他账户服从计谋就可以。
(6)访问粒度细化
整改步伐:账户为主体,可访问的体系资源(文件、进程等)为客体,现在的操纵体系基本上都能到达主体为用户级,客体为文件级或进程级,实际测评中不需要改。
这项步伐是为了可以更好的进行授权,就是一间城堡三个区,四百间房子,我给你哪间房子钥匙你就能进哪间,其他的进不去。(钥匙就是权限、房子就是体系资源)
(7)安全标志
整改步伐:开启强访问控制。这时候无论是账户照旧体系资源都是主体,访问需要双方授权,而不是单方面授权。这项需要借助第三方工具,没有钱是整改不了的,一样平常为必丢的分数。
这项步伐是为了在访问上再加一道安全锁。一间城堡两个人,四百间房子,每间房子里面都有个扣脚大汉。你手上拿着钥匙,大汉手上拿着可进入的人员名单。我给你哪间房子钥匙你不一定能进,必须要你的名字同时在大汉手上的人员名单里,大汉才会让你进去。而且这里钥匙和名单也是“且”关系而不是“或”关系。
3、安全审计
三级体系安全审计共四个测评项,包罗日志审计启用及覆盖类型、审计记载完善度、审计记载存储、审计进程掩护。
(1)日志审计启用及覆盖类型
整改步伐:开启体系审计功能,审计类型包罗体系运行状态、登录审计、访问审计、参数修改审计等,且审计应该要覆盖到所有的账户。
这项步伐是为了体系操纵所有变革都可以有迹可循,说白了就是给体系开监控,做了什么、发生了什么都给记载下来。
(2)审计记载完善度
整改步伐:审计要包罗日期和时间、用户、事件类型、事件结果等。假如是开的主机自身审计功能一样平常不需要改,该记载的体系的都自动记载了.但假如是借助第三方审计,好比什么日志分析与审计体系之类的,大概有些版本老旧一些就容易缺日期时间什么的。
这项步伐就是要审计内容有效,能让正常人大概分析体系看懂发生了什么事。记载事件至少要有时间、人物、做了什么,要是一条日志记载记了时间、人物,却没记做了什么,要这监控也没用…
(3)审计记载存储
整改步伐:日志转存或定期备份,留存时间(可追溯)满意180天。日志可以转存到日志审计体系或导出来备份。
这项步伐就是要记载可查,由于体系出现故障大概不是今天大概昨天造成的,大概是十天半个前的错误设置大概十天半月前就中病毒了,但现在问题才显现出来,这时候就需要检察之前的日志,找出出现问题的原因,大概做来源追溯。等保要求的180天是有相干法律规定的,虽然时间我以为很长,但是也没办法了。顺便要提一下,根据我观查,体系全开审计的情况下,日志量是很大的,假如是存在主机当地,照旧要审慎设置,不然一个星期磁盘就满了,根本存不了180天。
(4)审计进程掩护
整改步伐:Linux体系开auditd,Windows体系默认符合。
这项步伐就是要求审计不能被随意停止,按我的明白是需要给账户配权限,不要让平常账户可以关闭审计功能。但在等保里面会将auditd进程称为审计保卫进程,假如是在主机自身进行审计,要求开启这个进程。而windows则是默认符合的。没有实验过auditd开了和没开有什么区别,以是不明白,但无所谓,我可以照做,谁让我需要拿分呢…
4、入侵防范
三级体系主机入侵防范共六个测评项,但实际主机测评中只需要测五项,包罗最小化安装、关闭多余服务和高危端口、接入地址限定、漏洞扫描、入侵检测,不适用的一项是数据输入有效性校验。
(1)最小化安装
整改步伐:卸载不需要的步调、软件。
这项步伐是为了避免一些软件有漏洞大概后续被发现有漏洞,进而被攻击者使用,以是要求不需要用到的软件、插件全部都不允许安装。
(2)关闭多余服务和端口
整改步伐:关闭体系默认开启但不需要用到的一些进程、端口。如Linux的telnet,Windows的默认共享、高危端口135、445、137-139等等。
这项步伐和上面最小化安装的目标差不多,重要是防止攻击者使用这些端口攻击盘算机大概感染盘算机病毒,非要说有什么其他用途,大概是不开就不占运行内存吧。
(3)接入地址
整改步伐:限定远程管理终端的接入地址范围,仅允许特地IP远程登录。在这处的整改可以通过网络计谋限定,也可以通过主机自身的访问计谋设置。
这项步伐是为了避免盘算机被尝试非法访问,假如主机对所有网络都开放访问,那不就所有人都可以尝试登录你的体系主机。限定了可访问的地址仅你们办公室地址大概指定单个IP,就可以在一定程度上淘汰主机被攻击者尝试访问的风险。
(4)漏洞扫描
整改步伐:定期对主机进行漏洞扫描,扫描出有高危就修复。
这项步伐是为了避免体系存在已知漏洞被攻击者使用。等保测评中一方面要求定期做漏扫,另一方面会在现场对体系再做一次漏扫,有高危就需要修复,有些漏扫设备报的高危也不一定就是高危,假如实际测试这个漏洞不好使用,是可以降风险为中危的。
(5)入侵检测
整改步伐:主机上安装入侵检测工具,可进行入侵检测和报警。
这项步伐是为了在体系被入侵时能及时发现。在我们实际体系部署中我们一样平常把入侵检测部署在网络层,好比在重要网络节点上加装一台NIPS。但我们体系同一个网络区好比说多台服务器之间大概服务器和运维办公室之间也是存在数据流的,而些数据流不一定都能经过网络上部署的NIPS,以是等保上要求在每台主机上也安装有入侵检测工具。当前很多厂商的EDR、IPS都可以通过在主机上安装插件实现联动管理。
5、恶意代码范
三级体系主机恶意代码防范只有一个测评项,病毒防范。
(1)病毒防范
整改步伐:在主机上安装杀毒软件。
这项步伐就是为了防病毒,跟我们平常自己电脑上装个360、火绒什么的一样。需要注意的是我们大多数体系的主机一样平常都是部署在内网中,如许它的病毒特性库是不会自动更新的,测评中会看我们的病毒库是不是最新版,以是需要定期下载离线包进行更新。
6、可信验证
三级体系主机可信验证也是只有一个测评项。
(1)可信验证
整改步伐:主机上安装可信根、可信芯片等在体系运行进步行可信验证。
这项步伐应该来说是防病毒和防窜改的,要求在体系运行前就先对体系做一次验证。但不得不说可信根、可信芯片这种东西先不说它技能在民用方面是否成熟,就算有,每台设备都要装,也是买不起的呀。可以说是等保的必丢分数了。
7、数据完整性
三级体系主机数据完整性涉及两个测评项,包罗数据传输完整性、数据存储完整性。
(1)数据传输完整性
整改步伐:使用SSH、RDP进行远程管理。
这项步伐是为了避免数据传输过程大量丢包或被截获窜改后重放,也就是对传输协议有一定要求。服务器上的重要数据包罗它的配置数据、鉴别数据,这些数据传输重要是在远程运维时,以是对远程管理所用的协议作出要求。至于主机上存储的应用体系的业务数据也是重要数据,但业务数据会被归类到应用体系去测评,在主机测评里不做要求。
(2)数据存储完整性
整改步伐:使用第三方工具进行存储完整性校验。
这项步伐是为了保证数据的完整性,在主机中鉴别数据存储会默认有一个加密算法,Linux是SHA512,Windows是NTLM
Hash,但这两个算法对鉴别信息的作用到底是保密照旧校验是存在争议的,以是这分大概得大概不得,要看测评机构的标准。而配置数据存储完整性,需要借助第三方工具完成,一样平常在三级体系里都做不到。
8、数据保密性
三级体系主机数据完整性涉及两个测评项,包罗数据传输保密性、数据存储保密性。
(1)数据传输保密性
整改步伐:使用SSH、RDP(RDP注意要开启加密)进行远程管理。
这项步伐是为了避免数据传输过程被截获后读取,也就是不能明文传输。服务器上的重要数据包罗它的配置数据、鉴别数据,但是配置数据是没有保密性要求的(配置数据存储同样没有保密性要求),以是要看的只是远程管理时鉴别数据的加密。
(2)数据存储保密性
整改步伐:使用密码算法对鉴别数据(账号的密码)进行存储加密。
这项步伐是为了保证数据的完整性,在主机中鉴别数据存储会默认有一个加密算法,Linux是SHA512,Windows是NTLM Hash。
9、数据备份恢复
三级体系主机数据备份恢复涉及三个测评项,而实际测评当中只需测两个,包罗数据定期备份、设备冗余,不适用项是异地备份。
(1)定期备份
整改步伐:对主机的重要配置数据进行定期备份,并定期进行备份恢复测试。
这项步伐是为了当主机配置遭到粉碎或窜改时能根据备份的数据快速恢复体系功能,备份恢复测试则是为了确保备份文件是有效的,不然真的要用的时候发现一堆备份文件没一个是能用的就完蛋了。至于什么是重要配置数据,这个需要根据你需要的功能去识别,好比说是一台搭应用的服务器,那设置了开放端口、脚本的文件就是重要配置文件。而实际使用或备份操纵当中很难把某些配置文件单独进行备份(需要用备份工具),乃至大概配置文件全都备份了,到要做恢复的时候实在也没什么用,本来就几个配置项,还不如手动重新配。而且进行备份恢复测试的话也不大概在使用着的服务器上直接测试,需要另外花大本钱搭测试情况。以是假如是虚拟服务器就定期做个快照,物理服务器的话这分可以放弃,不消这么折腾。
(2)设备冗余
整改步伐:重要设备进行双机热冗余部署或集群部署。
这项步伐是为了当一台设备出问题时另一台设备能支持起功能,不影响体系继续运行,一样平常在主机测评里把应用服务器、数据库服务器作为重要设备对待。在一些要求高可用的体系里(好比民生、金融、重要工业等大型体系),会要求所有会影响业务使用的服务器都需要做热冗余。这里需要注意,热冗余和冷备份是有区别的,一个大概是同时运行(或无缝衔接),一个是一台挂掉后再启用另一台。
10、剩余信息掩护
三级体系主机剩余信息掩护涉及两个测评项,包罗鉴别信息存储空间清除、敏感数据存储空间清除。
(1)鉴别信息存储空间清除
整改步伐:清除登录界面的账户名和口令,windows开启“交互式登录:不显示最后的用户名”。
这项步伐的本意是鉴别信息清除时要保证硬盘或内存上的存放的鉴别信息要完全清除。以我个人的明白这项实在是为了防止通过技能本领对数据进行恢复,从而获取数据,就像我们平常电脑上删除的数据假如没有覆盖掉实在是可以恢复的一样。而在实际操纵当中要怎么去鉴别数据真的完全被清除了呢?用工具?看操纵体系的开发文档有没有写?写了就一定是真的吗?太困难,以是衍生了一个接近但又不完满是的测评方法——用户退出后清除登录界面的账户名和密码以及授权信息。Linux一样平常用SSH,不要记着密码就可以了,windows有个配置项是“交互式登录:不显示最后的用户名”要开启。
(2)敏感数据存储空间清除
整改步伐:windows开启“关机:清除虚拟内存页面文件”,Linux配置HISTSIEZ参数。
这项步伐和上一项鉴别信息存储空间清除是类似的目标,只不外范围扩大了一点,上一项是重要对鉴别信息,而这一项是对所有的敏感数据(配置数据、操纵指令、存储的重要数据等),发展过程也和上一项差不多,说白了就是实际太难操纵。测评中会查抄windows的“关机:清除虚拟内存页面文件”配置,Linux的HISTSIEZ参数配置。
以上就是三级等保测评主机涉及的所有测评项。测评当中的涉及设备测评(网络设备、安全设备)都是大同小异的。整篇文章内容均为我去项目组打杂后的个人明白,可以参考,但不一定就正确,有错误的地方接待指正。
网络安全工程师(白帽子)企业级学习路线
第一阶段:安全基础(入门)
第二阶段:Web排泄(初级网安工程师)
第三阶段:进阶部分(中级网络安全工程师)
学习资源分享
学习操持安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整归并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方相助二维码免费领取哦,无偿分享!!!
假如你对网络安全入门感兴趣,那么你需要的话可以
点击这里
欢迎光临 qidao123.com技术社区-IT企服评测·应用市场 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
