网络安全品级保护测评——主机安全（三级）详解

网络安全品级保护测评——主机安全（三级）详解

近来去了项目组打杂，偷学了些对服务器做整改的等保要求，写下一篇废话，看完了就可以跟我一起打杂了。
一、主机安全概念

主机指我们整个体系内里的操作体系（windows、linux），包括服务器和运维终端，在测评里主机安全被归类为安全计算环境模块（网络设备、安全设备、应用体系、数据都归在这个安全计算环境模块）。
主机安全也就是在主机层面上所做的安全措施，包括身份辨别措施、暗码复杂度、暗码定期更换、登录失败处理、空闲超时退出、启用的长途管理协议、账户权限分配、日志审计功能启用、入侵/杀毒软件安装和更新、数据传输/存储的完整性和保密性、剩余信息清除等。这些措施都可以在我们主机上进行配置，当然了，假如在主机层面无法完成，也可以在网络层进行一些补偿措施。
二、测评要求及建议

等保三级主机测评要求分为身份辨别、访问控制、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、备份恢复测试、剩余信息保护这九大控制点，共有32个测评项。下面临一些常见且容易整改的测评项做下分析。
1、身份辨别

身份辨别共四个测评项，主要几点：暗码复杂度、暗码定期更换、登录失败处理、空闲操作超时退出、长途管理传输防窃听、双因子。
（1）暗码复杂度、暗码定期更换
整改措施：暗码需包罗数字、巨细写字母、特别字符，长度8位以上；暗码应定期更换，每90天更换一次。
这项措施主要是为了让所使用的暗码“长”、“不易推测”，防止口令暴力破解。
（2）登录失败处理、空闲操作超时退出
整改措施：账户连续登录失败5-10次，锁定账户肯定时间（1-30分钟）；登录后无操作5-15分钟，自动退出登录状态。
这项措施也是为了防止口令暴力破解，连续登录失败锁定账户可以避免攻击者多次推测你的暗码。
（3）长途管理传输防窃听
整改措施：使用加密传输协议，如SSH或RDP加密等。
这项措施主要是防止攻击者通过网络抓包获取到账号暗码，登录时传输的账号暗码假如是明文传输，拿到数据包就拿到了暗码。
（4）双因子辨别
整改措施：除了我们常用的账号暗码进行认证之外还须要增加一种身份辨别措施，如指纹、证书、人脸等。而且要求两种认证方式同时通过才能进行登录，也就是说两种认证方式必须是“且”关系而不是“或”关系。
这项措施是为了增加身份辨别的安全性，也就是再加一道保险锁，避免攻击者拿到了你的账号暗码就能直接登录你的主机。
2、访问控制

三级体系访问控制共七个测评项，包括账号权限分配、默认账号名和口令修改、多余账号清除、账号权限分离、授权主体确定、访问粒度细化、安全标记。
（1）账号权限分配
整改措施：给各个使用的账号都分配肯定权限，避免出现无权限的账户或过高权限账户。（主机方面只要账户创建都至少会默认一个平凡账户权限，主要是须要避免给平凡账户分配过高权限）
这项措施是为了给不同账户一个权限区分，避免全是高权限账户，容易对体系出现因操作失误造成的增编削查。
（2）默认账号名和口令修改
整改措施：重命名默认账户adminstratos、root等并修改他们的默认口令。对没办法修改默认账户名的（linux体系的root就改不了），可以禁止默认账号长途登录。（有些测评机构会认为即使修改了账户名，但是用常见的账户名如admin、sys等也不可。）
这项措施也是为了防止口令爆破，假如使用默认账户名，攻击者就只须要重复尝试口令。改了默认账户名攻击者就须要账户名、口令一起猜，可以加大攻击难度。
（3）多余账号清除
整改措施：删掉不消的账号。
这项措施依然是为避免账号暗码推测，以及避免账号已经被攻击者利用告终发现不了。多一个账号，攻击者就多一分推测成功的概率。而且多余账号没有人用也没人在意，攻击者要是已经拿到了这个账号的暗码，再你的体系里进进出出跟穿着夜行衣一样。
（4）账号权限分离
整改措施：划分体系管理员、审计管理员、安全管理员账户，并分配不同权限使其可以相互制约。
这项措施是为了避免一个账户独大，假如攻击者拿到了一个账户就有了体系全部权限。账户分权限，就像一个公司里有业务部、有技能部还有个监视全体员工的人事部一样。
（5）授权主体
整改措施：确定一个账户进行访问控制计谋的配置。（这项实际测评中不须要该，一般默认权限最高的体系管理员大概安全管理员）
这项措施是为了避免管理混乱，同一套计谋要是每个账户都可以修改，一个改一点，听谁的？确定一个账户进行计谋配置，其他账户服从计谋就可以。
（6）访问粒度细化
整改措施：账户为主体，可访问的体系资源（文件、历程等）为客体，现在的操作体系根本上都能达到主体为用户级，客体为文件级或历程级，实际测评中不须要改。
这项措施是为了可以更好的进行授权，就是一间城堡三个区，四百间房子，我给你哪间房子钥匙你就能进哪间，其他的进不去。（钥匙就是权限、房子就是体系资源）
（7）安全标记
整改措施：开启强访问控制。这时候无论是账户照旧体系资源都是主体，访问须要两边授权，而不是片面授权。这项须要借助第三方工具，没有钱是整改不了的，一般为必丢的分数。
这项措施是为了在访问上再加一道安全锁。一间城堡两个人，四百间房子，每间房子内里都有个扣脚大汉。你手上拿着钥匙，大汉手上拿着可进入的职员名单。我给你哪间房子钥匙你不肯定能进，必须要你的名字同时在大汉手上的职员名单里，大汉才会让你进去。而且这里钥匙和名单也是“且”关系而不是“或”关系。
3、安全审计

三级体系安全审计共四个测评项，包括日志审计启用及覆盖范例、审计记录完善度、审计记录存储、审计历程保护。
（1）日志审计启用及覆盖范例
整改措施：开启体系审计功能，审计范例包括体系运行状态、登录审计、访问审计、参数修改审计等，且审计应该要覆盖到全部的账户。
这项措施是为了体系操作全部变革都可以有迹可循，说白了就是给体系开监控，做了什么、发生了什么都给记录下来。
（2）审计记录完善度
整改措施：审计要包括日期和时间、用户、变乱范例、变乱效果等。假如是开的主机自身审计功能一般不须要改，该记录的体系的都自动记录了.但假如是借助第三方审计，比如什么日志分析与审计体系之类的，可能有些版本老旧一些就容易缺日期时间什么的。
这项措施就是要审计内容有用，能让正常人大概分析体系看懂发生了什么事。记录变乱至少要有时间、人物、做了什么，要是一条日志记录记了时间、人物，却没记做了什么，要这监控也没用…
（3）审计记录存储
整改措施：日志转存或定期备份，留存时间（可追溯）满足180天。日志可以转存到日志审计体系或导出来备份。
这项措施就是要记录可查，因为体系出现故障可能不是今天大概昨天造成的，可能是十天半个前的错误设置大概十天半月前就中病毒了，但现在问题才显现出来，这时候就须要查看之前的日志，找出出现问题的原因，大概做来源追溯。等保要求的180天是有相关法律规定的，固然时间我以为很长，但是也没办法了。顺便要提一下，根据我观查，体系全开审计的环境下，日志量是很大的，假如是存在主机本地，照旧要谨慎设置，不然一个星期磁盘就满了，根本存不了180天。
（4）审计历程保护
整改措施：Linux体系开auditd，Windows体系默认符合。
这项措施就是要求审计不能被随意停止，按我的理解是须要给账户配权限，不要让平凡账户可以关闭审计功能。但在等保内里会将auditd历程称为审计守护历程，假如是在主机自身进行审计，要求开启这个历程。而windows则是默认符合的。没有实行过auditd开了和没开有什么区别，所以不理解，但无所谓，我可以照做，谁让我须要拿分呢…
4、入侵防范

三级体系主机入侵防范共六个测评项，但实际主机测评中只须要测五项，包括最小化安装、关闭多余服务和高危端口、接入地点限定、漏洞扫描、入侵检测，不适用的一项是数据输入有用性校验。
（1）最小化安装
整改措施：卸载不须要的步伐、软件。
这项措施是为了避免一些软件有漏洞大概后续被发现有漏洞，进而被攻击者利用，所以要求不须要用到的软件、插件全部都不允许安装。
（2）关闭多余服务和端口
整改措施：关闭体系默认开启但不须要用到的一些历程、端口。如Linux的telnet，Windows的默认共享、高危端口135、445、137-139等等。
这项措施和上面最小化安装的目的差不多，主要是防止攻击者利用这些端口攻击计算机大概感染计算机病毒，非要说有什么其他用途，可能是不开就不占运行内存吧。
（3）接入地点
整改措施：限定长途管理终端的接入地点范围，仅允许特地IP长途登录。在这处的整改可以通过网络计谋限定，也可以通过主机自身的访问计谋设置。
这项措施是为了避免计算机被尝试非法访问，假如主机对全部网络都开放访问，那不就全部人都可以尝试登录你的体系主机。限定了可访问的地点仅你们办公室地点大概指定单个IP，就可以在肯定程度上淘汰主机被攻击者尝试访问的风险。
（4）漏洞扫描
整改措施：定期对主机进行漏洞扫描，扫描出有高危就修复。
这项措施是为了避免体系存在已知漏洞被攻击者利用。等保测评中一方面要求定期做漏扫，另一方面会在现场对体系再做一次漏扫，有高危就须要修复，有些漏扫设备报的高危也不肯定就是高危，假如实际测试这个漏洞不好利用，是可以降风险为中危的。
（5）入侵检测
整改措施：主机上安装入侵检测工具，可进行入侵检测和报警。
这项措施是为了在体系被入侵时能及时发现。在我们实际体系部署中我们一般把入侵检测部署在网络层，比如在主要网络节点上加装一台NIPS。但我们体系同一个网络区比如说多台服务器之间大概服务器和运维办公室之间也是存在数据流的，而些数据流不肯定都能颠末网络上部署的NIPS，所以等保上要求在每台主机上也安装有入侵检测工具。当前很多厂商的EDR、IPS都可以通过在主机上安装插件实现联动管理。
5、恶意代码范

三级体系主机恶意代码防范只有一个测评项，病毒防范。
（1）病毒防范
整改措施：在主机上安装杀毒软件。
这项措施就是为了防病毒，跟我们平常自己电脑上装个360、火绒什么的一样。须要注意的是我们大多数体系的主机一般都是部署在内网中，如许它的病毒特性库是不会自动更新的，测评中会看我们的病毒库是不是最新版，所以须要定期下载离线包进行更新。
6、可信验证

三级体系主机可信验证也是只有一个测评项。
（1）可信验证
整改措施：主机上安装可信根、可信芯片等在体系运行进步行可信验证。
这项措施应该来说是防病毒和防窜改的，要求在体系运行前就先对体系做一次验证。但不得不说可信根、可信芯片这种东西先不说它技能在民用方面是否成熟，就算有，每台设备都要装，也是买不起的呀。可以说是等保的必丢分数了。
7、数据完整性

三级体系主机数据完整性涉及两个测评项，包括数据传输完整性、数据存储完整性。
（1）数据传输完整性
整改措施：使用SSH、RDP进行长途管理。
这项措施是为了避免数据传输过程大量丢包或被截获窜改后重放，也就是对传输协议有肯定要求。服务器上的重要数据包括它的配置数据、辨别数据，这些数据传输主要是在长途运维时，所以对长途管理所用的协议作出要求。至于主机上存储的应用体系的业务数据也是重要数据，但业务数据会被归类到应用体系去测评，在主机测评里不做要求。
（2）数据存储完整性
整改措施：使用第三方工具进行存储完整性校验。
这项措施是为了包管数据的完整性，在主机中辨别数据存储会默认有一个加密算法，Linux是SHA512，Windows是NTLM
Hash，但这两个算法对辨别信息的作用到底是保密照旧校验是存在争议的，所以这分可能得可能不得，要看测评机构的标准。而配置数据存储完整性，须要借助第三方工具完成，一般在三级体系里都做不到。
8、数据保密性

三级体系主机数据完整性涉及两个测评项，包括数据传输保密性、数据存储保密性。
（1）数据传输保密性
整改措施：使用SSH、RDP（RDP注意要开启加密）进行长途管理。
这项措施是为了避免数据传输过程被截获后读取，也就是不能明文传输。服务器上的重要数据包括它的配置数据、辨别数据，但是配置数据是没有保密性要求的（配置数据存储同样没有保密性要求），所以要看的只是长途管理时辨别数据的加密。
（2）数据存储保密性
整改措施：使用暗码算法对辨别数据（账号的暗码）进行存储加密。
这项措施是为了包管数据的完整性，在主机中辨别数据存储会默认有一个加密算法，Linux是SHA512，Windows是NTLM Hash。
9、数据备份恢复

三级体系主机数据备份恢复涉及三个测评项，而实际测评当中只需测两个，包括数据定期备份、设备冗余，不适用项是异地备份。
（1）定期备份
整改措施：对主机的主要配置数据进行定期备份，并定期进行备份恢复测试。
这项措施是为了当主机配置遭到破坏或窜改时能根据备份的数据快速恢复体系功能，备份恢复测试则是为了确保备份文件是有用的，不然真的要用的时候发现一堆备份文件没一个是能用的就完蛋了。至于什么是主要配置数据，这个须要根据你须要的功能去辨认，比如说是一台搭应用的服务器，那设置了开放端口、脚本的文件就是主要配置文件。而实际使用或备份操作当中很难把某些配置文件单独进行备份（须要用备份工具），甚至可能配置文件全都备份了，到要做恢复的时候实在也没什么用，原来就几个配置项，还不如手动重新配。而且进行备份恢复测试的话也不可能在使用着的服务器上直接测试，须要别的花大成本搭测试环境。所以假如是捏造服务器就定期做个快照，物理服务器的话这分可以放弃，不消这么折腾。
（2）设备冗余
整改措施：重要设备进行双机热冗余部署或集群部署。
这项措施是为了当一台设备出问题时另一台设备能支撑起功能，不影响体系继承运行，一般在主机测评里把应用服务器、数据库服务器作为重要设备对待。在一些要求高可用的体系里（比如民生、金融、重要工业等大型体系），会要责备部会影响业务使用的服务器都须要做热冗余。这里须要注意，热冗余和冷备份是有区别的，一个可能是同时运行（或无缝衔接），一个是一台挂掉后再启用另一台。
10、剩余信息保护

三级体系主机剩余信息保护涉及两个测评项，包罗辨别信息存储空间清除、敏感数据存储空间清除。
（1）辨别信息存储空间清除
整改措施：清除登录界面的账户名和口令，windows开启“交互式登录：不显示最后的用户名”。
这项措施的本意是辨别信息清除时要包管硬盘或内存上的存放的辨别信息要完全清除。以我个人的理解这项实在是为了防止通过技能本事对数据进行恢复，从而获取数据，就像我们平常电脑上删除的数据假如没有覆盖掉实在是可以恢复的一样。而在实际操作当中要怎么去辨别数据真的完全被清除了呢？用工具？看操作体系的开发文档有没有写？写了就肯定是真的吗？太困难，所以衍生了一个接近但又不完全是的测评方法——用户退出后清除登录界面的账户名和暗码以及授权信息。Linux一般用SSH，不要记住暗码就可以了，windows有个配置项是“交互式登录：不显示最后的用户名”要开启。
（2）敏感数据存储空间清除
整改措施：windows开启“关机：清除捏造内存页面文件”，Linux配置HISTSIEZ参数。
这项措施和上一项辨别信息存储空间清除是类似的目的，只不过范围扩大了一点，上一项是主要对辨别信息，而这一项是对全部的敏感数据（配置数据、操作指令、存储的重要数据等），发展过程也和上一项差不多，说白了就是实际太难操作。测评中会查抄windows的“关机：清除捏造内存页面文件”配置，Linux的HISTSIEZ参数配置。
以上就是三级等保测评主机涉及的全部测评项。测评当中的涉及设备测评（网络设备、安全设备）都是大同小异的。整篇文章内容均为我去项目组打杂后的个人理解，可以参考，但不肯定就正确，有错误的地方接待指正。
题外话

初入计算机行业的人大概大学计算机相关专业结业生，很多因缺少实战经验，就业到处碰钉子。下面我们来看两组数据：
2023届天下高校结业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全职员缺口将达327万。
一方面是每年应届结业生就业形势严峻，一方面是网络安全人才百万缺口。
6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业陈诉》《2023年中国高职生就业陈诉》）正式发布。
2022届大学结业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届根本持平，高职自动化类月收入增长显着，2022届反超铁道运输类专业（5295元）排在第一位。
具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技能、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技能虽是比年新增专业但表现亮眼，已跻身2022届本科结业生结业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提拔到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中心人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而天下各大学校每年培养的职员不到1.5W人。猎聘网《2021年上半年网络安全陈诉》推测2027年网安人才需求300W，现在从事网络安全行业的从业职员只有10W人。

行业发展空间大，岗位非常多
网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、劫难恢复专业职员、实战攻防专业职员…
职业增值潜力大
网络安全专业具有很强的技能特性，尤其是把握工作中的核心网络架构、安全技能，在职业发展上具有不可替换的竞争上风。
随着个人能力的不停提拔，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受各人接待的主要原因。
从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技能愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习路线图

行业发展空间大，岗位非常多
网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、劫难恢复专业职员、实战攻防专业职员…
职业增值潜力大
网络安全专业具有很强的技能特性，尤其是把握工作中的核心网络架构、安全技能，在职业发展上具有不可替换的竞争上风。
随着个人能力的不停提拔，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受各人接待的主要原因。
从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技能愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。
1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，假如你能学完它们，你去就业和接私活完全没有问题。
2.视频教程

网上固然也有很多的学习资源，但根本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲授。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试底子、漏洞详解、计算机底子知识等，都是网络安全入门必知必会的学习内容。
3.技能文档和电子书

技能文档也是我自己整理的，包括我到场大型网安行动、CTF和挖SRC漏洞的经验和技能要点，电子书也有200多本，由于内容的敏感性，我就不逐一展示了。
4.工具包、面试题和源码

“工欲善其事必先利其器”我为各人总结出了最受接待的几十款款黑客工具。涉及范围主要集中在 信息网络、Android黑客工具、自动化工具、网络钓鱼等，感爱好的同学不容错过。
还有我视频里讲的案例源码和对应的工具包，须要的话也可以拿走。
这些题目都是各人在面试深佩服、奇安信、腾讯大概其它大厂面试时常常遇到的，假如各人有好的题目大概好的见解接待分享。
参考剖析：深佩服官网、奇安信官网、Freebuf、csdn等
内容特点：条理清楚，含图像化表现更加易懂。
内容概要：包括 内网、操作体系、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包罗、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，须要点击下方链接即可前去获取
假如你对网络安全入门感爱好，那么你须要的话可以点击这里