网络安全等级掩护测评——主机安全(三级)详解
迩来去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了。
一、主机安全概念
主机指我们整个系统里面的操作系统(windows、linux),包括服务器和运维终端,在测评里主机安全被归类为安全盘算环境模块(网络装备、安全装备、应用系统、数据都归在这个安全盘算环境模块)。
主机安全也就是在主机层面上所做的安全措施,包括身份鉴别措施、暗码复杂度、暗码定期更换、登录失败处置惩罚、空闲超时退出、启用的长途管理协议、账户权限分配、日记审计功能启用、入侵/杀毒软件安装和更新、数据传输/存储的完备性和保密性、剩余信息清除等。这些措施都可以在我们主机上进行设置,固然了,假如在主机层面无法完成,也可以在网络层进行一些赔偿措施。
二、测评要求及发起
等保三级主机测评要求分为身份鉴别、访问控制、入侵防范、恶意代码防范、可信验证、数据完备性、数据保密性、备份规复测试、剩余信息掩护这九大控制点,共有32个测评项。下面临一些常见且容易整改的测评项做下分析。
1、身份鉴别
身份鉴别共四个测评项,重要几点:暗码复杂度、暗码定期更换、登录失败处置惩罚、空闲操作超时退出、长途管理传输防窃听、双因子。
(1)暗码复杂度、暗码定期更换
整改措施:暗码需包罗数字、巨细写字母、特殊字符,长度8位以上;暗码应定期更换,每90天更换一次。
这项措施重要是为了让所利用的暗码“长”、“不易猜测”,防止口令暴力破解。
(2)登录失败处置惩罚、空闲操作超时退出
整改措施:账户连续登录失败5-10次,锁定账户一定时间(1-30分钟);登录后无操作5-15分钟,主动退出登录状态。
这项措施也是为了防止口令暴力破解,连续登录失败锁定账户可以制止攻击者多次猜测你的暗码。
(3)长途管理传输防窃听
整改措施:利用加密传输协议,如SSH或RDP加密等。
这项措施重要是防止攻击者通过网络抓包获取到账号暗码,登录时传输的账号暗码假如是明文传输,拿到数据包就拿到了暗码。
(4)双因子鉴别
整改措施:除了我们常用的账号暗码进行认证之外还必要增加一种身份鉴别措施,如指纹、证书、人脸等。而且要求两种认证方式同时通过才气进行登录,也就是说两种认证方式必须是“且”关系而不是“或”关系。
这项措施是为了增加身份鉴别的安全性,也就是再加一道保险锁,制止攻击者拿到了你的账号暗码就能直接登录你的主机。
2、访问控制
三级系统访问控制共七个测评项,包括账号权限分配、默认账号名和口令修改、多余账号清除、账号权限分离、授权主体确定、访问粒度细化、安全标记。
(1)账号权限分配
整改措施:给各个利用的账号都分配一定权限,制止出现无权限的账户或过高权限账户。(主机方面只要账户创建都至少会默认一个平凡账户权限,重要是必要制止给平凡账户分配过高权限)
这项措施是为了给不同账户一个权限区分,制止全是高权限账户,容易对系统出现因操作失误造成的增编削查。
(2)默认账号名和口令修改
整改措施:重定名默认账户adminstratos、root等并修改他们的默认口令。对没办法修改默认账户名的(linux系统的root就改不了),可以克制默认账号长途登录。(有些测评机构会以为即使修改了账户名,但是用常见的账户名如admin、sys等也不行。)
这项措施也是为了防止口令爆破,假如利用默认账户名,攻击者就只必要重复尝试口令。改了默认账户名攻击者就必要账户名、口令一起猜,可以加大攻击难度。
(3)多余账号清除
整改措施:删掉不用的账号。
这项措施依然是为制止账号暗码猜测,以及制止账号已经被攻击者利用了结发现不了。多一个账号,攻击者就多一分猜测乐成的概率。而且多余账号没有人用也没人在意,攻击者要是已经拿到了这个账号的暗码,再你的系统里进进出出跟穿着夜行衣一样。
(4)账号权限分离
整改措施:划分系统管理员、审计管理员、安全管理员账户,并分配不同权限使其可以相互制约。
这项措施是为了制止一个账户独大,假如攻击者拿到了一个账户就有了系统全部权限。账户分权限,就像一个公司里有业务部、有技能部另有个监视全体员工的人事部一样。
(5)授权主体
整改措施:确定一个账户进行访问控制策略的设置。(这项现实测评中不必要该,一般默认权限最高的系统管理员大概安全管理员)
这项措施是为了制止管理混乱,同一套策略要是每个账户都可以修改,一个改一点,听谁的?确定一个账户进行策略设置,其他账户遵守策略就可以。
(6)访问粒度细化
整改措施:账户为主体,可访问的系统资源(文件、进程等)为客体,现在的操作系统基本上都能达到主体为用户级,客体为文件级或进程级,现实测评中不必要改。
这项措施是为了可以更好的进行授权,就是一间城堡三个区,四百间房子,我给你哪间房子钥匙你就能进哪间,其他的进不去。(钥匙就是权限、房子就是系统资源)
(7)安全标记
整改措施:开启强访问控制。这时候无论是账户照旧系统资源都是主体,访问必要双方授权,而不是单方面授权。这项必要借助第三方工具,没有钱是整改不了的,一般为必丢的分数。
这项措施是为了在访问上再加一道安全锁。一间城堡两个人,四百间房子,每间房子里面都有个扣脚大汉。你手上拿着钥匙,大汉手上拿着可进入的人员名单。我给你哪间房子钥匙你不一定能进,必须要你的名字同时在大汉手上的人员名单里,大汉才会让你进去。而且这里钥匙和名单也是“且”关系而不是“或”关系。
3、安全审计
三级系统安全审计共四个测评项,包括日记审计启用及覆盖类型、审计记录完善度、审计记录存储、审计进程掩护。
(1)日记审计启用及覆盖类型
整改措施:开启系统审计功能,审计类型包括系统运行状态、登录审计、访问审计、参数修改审计等,且审计应该要覆盖到所有的账户。
这项措施是为了系统操作所有变化都可以有迹可循,说白了就是给系统开监控,做了什么、发生了什么都给记录下来。
(2)审计记录完善度
整改措施:审计要包括日期和时间、用户、事故类型、事故结果等。假如是开的主机自身审计功能一般不必要改,该记录的系统的都主动记录了.但假如是借助第三方审计,比如什么日记分析与审计系统之类的,大概有些版本老旧一些就容易缺日期时间什么的。
这项措施就是要审计内容有效,能让正凡人大概分析系统看懂发生了什么事。记录事故至少要偶尔间、人物、做了什么,要是一条日记记录记了时间、人物,却没记做了什么,要这监控也没用…
(3)审计记录存储
整改措施:日记转存或定期备份,留存时间(可追溯)满足180天。日记可以转存到日记审计系统或导出来备份。
这项措施就是要记录可查,由于系统出现故障大概不是本日大概昨天造成的,大概是十天半个前的错误设置大概十天半月前就中病毒了,但现在问题才显现出来,这时候就必要查看之前的日记,找出出现问题的原因,大概做泉源追溯。等保要求的180天是有相关法律规定的,固然时间我以为很长,但是也没办法了。趁便要提一下,根据我观查,系统全开审计的情况下,日记量是很大的,假如是存在主机本地,照旧要审慎设置,否则一个星期磁盘就满了,根本存不了180天。
(4)审计进程掩护
整改措施:Linux系统开auditd,Windows系统默认符合。
这项措施就是要求审计不能被随意制止,按我的理解是必要给账户配权限,不要让平凡账户可以关闭审计功能。但在等保里面会将auditd进程称为审计守护进程,假如是在主机自身进行审计,要求开启这个进程。而windows则是默认符合的。没有实验过auditd开了和没开有什么区别,以是不理解,但无所谓,我可以照做,谁让我必要拿分呢…
4、入侵防范
三级系统主机入侵防范共六个测评项,但现实主机测评中只必要测五项,包括最小化安装、关闭多余服务和高危端口、接入地址限定、漏洞扫描、入侵检测,不适用的一项是数据输入有效性校验。
(1)最小化安装
整改措施:卸载不必要的程序、软件。
这项措施是为了制止一些软件有漏洞大概后续被发现有漏洞,进而被攻击者利用,以是要求不必要用到的软件、插件全部都不答应安装。
(2)关闭多余服务和端口
整改措施:关闭系统默认开启但不必要用到的一些进程、端口。如Linux的telnet,Windows的默认共享、高危端口135、445、137-139等等。
这项措施和上面最小化安装的目的差不多,重要是防止攻击者利用这些端口攻击盘算机大概感染盘算机病毒,非要说有什么其他用途,大概是不开就不占运行内存吧。
(3)接入地址
整改措施:限定长途管理终端的接入地址范围,仅答应专程IP长途登录。在这处的整改可以通过网络策略限定,也可以通过主机自身的访问策略设置。
这项措施是为了制止盘算机被尝试非法访问,假如主机对所有网络都开放访问,那不就所有人都可以尝试登录你的系统主机。限定了可访问的地址仅你们办公室地址大概指定单个IP,就可以在一定程度上减少主机被攻击者尝试访问的风险。
(4)漏洞扫描
整改措施:定期对主机进行漏洞扫描,扫描出有高危就修复。
这项措施是为了制止系统存在已知漏洞被攻击者利用。等保测评中一方面要求定期做漏扫,另一方面会在现场对系统再做一次漏扫,有高危就必要修复,有些漏扫装备报的高危也不一定就是高危,假如现实测试这个漏洞欠好利用,是可以降风险为中危的。
(5)入侵检测
整改措施:主机上安装入侵检测工具,可进行入侵检测和报警。
这项措施是为了在系统被入侵时能及时发现。在我们现实系统部署中我们一般把入侵检测部署在网络层,比如在重要网络节点上加装一台NIPS。但我们系统同一个网络区比如说多台服务器之间大概服务器和运维办公室之间也是存在数据流的,而些数据流不一定都能颠末网络上部署的NIPS,以是等保上要求在每台主机上也安装有入侵检测工具。当前很多厂商的EDR、IPS都可以通过在主机上安装插件实现联动管理。
5、恶意代码范
三级系统主机恶意代码防范只有一个测评项,病毒防范。
(1)病毒防范
整改措施:在主机上安装杀毒软件。
这项措施就是为了防病毒,跟我们平常自己电脑上装个360、火绒什么的一样。必要留意的是我们大多数系统的主机一般都是部署在内网中,这样它的病毒特性库是不会主动更新的,测评中会看我们的病毒库是不是最新版,以是必要定期下载离线包进行更新。
6、可信验证
三级系统主机可信验证也是只有一个测评项。
(1)可信验证
整改措施:主机上安装可信根、可信芯片等在系统运行前进行可信验证。
这项措施应该来说是防病毒和防窜改的,要求在系统运行前就先对系统做一次验证。但不得不说可信根、可信芯片这种东西先不说它技能在民用方面是否成熟,就算有,每台装备都要装,也是买不起的呀。可以说是等保的必丢分数了。
7、数据完备性
三级系统主机数据完备性涉及两个测评项,包括数据传输完备性、数据存储完备性。
(1)数据传输完备性
整改措施:利用SSH、RDP进行长途管理。
这项措施是为了制止数据传输过程大量丢包或被截获窜改后重放,也就是对传输协议有一定要求。服务器上的重要数据包括它的设置数据、鉴别数据,这些数据传输重要是在长途运维时,以是对长途管理所用的协议作出要求。至于主机上存储的应用系统的业务数据也是重要数据,但业务数据会被归类到应用系统去测评,在主机测评里不做要求。
(2)数据存储完备性
整改措施:利用第三方工具进行存储完备性校验。
这项措施是为了保证数据的完备性,在主机中鉴别数据存储会默认有一个加密算法,Linux是SHA512,Windows是NTLM
Hash,但这两个算法对鉴别信息的作用到底是保密照旧校验是存在争议的,以是这分大概得大概不得,要看测评机构的尺度。而设置数据存储完备性,必要借助第三方工具完成,一般在三级系统里都做不到。
8、数据保密性
三级系统主机数据完备性涉及两个测评项,包括数据传输保密性、数据存储保密性。
(1)数据传输保密性
整改措施:利用SSH、RDP(RDP留意要开启加密)进行长途管理。
这项措施是为了制止数据传输过程被截获后读取,也就是不能明文传输。服务器上的重要数据包括它的设置数据、鉴别数据,但是设置数据是没有保密性要求的(设置数据存储同样没有保密性要求),以是要看的只是长途管理时鉴别数据的加密。
(2)数据存储保密性
整改措施:利用暗码算法对鉴别数据(账号的暗码)进行存储加密。
这项措施是为了保证数据的完备性,在主机中鉴别数据存储会默认有一个加密算法,Linux是SHA512,Windows是NTLM Hash。
9、数据备份规复
三级系统主机数据备份规复涉及三个测评项,而现实测评当中只需测两个,包括数据定期备份、装备冗余,不适用项是异地备份。
(1)定期备份
整改措施:对主机的重要设置数据进行定期备份,并定期进行备份规复测试。
这项措施是为了当主机设置遭到粉碎或窜改时能根据备份的数据快速规复系统功能,备份规复测试则是为了确保备份文件是有效的,否则真的要用的时候发现一堆备份文件没一个是能用的就完蛋了。至于什么是重要设置数据,这个必要根据你必要的功能去识别,比如说是一台搭应用的服务器,那设置了开放端口、脚本的文件就是重要设置文件。而现实利用或备份操作当中很难把某些设置文件单独进行备份(必要用备份工具),甚至大概设置文件全都备份了,到要做规复的时候其实也没什么用,本来就几个设置项,还不如手动重新配。而且进行备份规复测试的话也不大概在利用着的服务器上直接测试,必要另外花大成本搭测试环境。以是假如是捏造服务器就定期做个快照,物理服务器的话这分可以放弃,不用这么折腾。
(2)装备冗余
整改措施:重要装备进行双机热冗余部署或集群部署。
这项措施是为了当一台装备出问题时另一台装备能支撑起功能,不影响系统继续运行,一般在主机测评里把应用服务器、数据库服务器作为重要装备对待。在一些要求高可用的系统里(比如民生、金融、重要工业等大型系统),会要求所有会影响业务利用的服务器都必要做热冗余。这里必要留意,热冗余和冷备份是有区别的,一个大概是同时运行(或无缝衔接),一个是一台挂掉后再启用另一台。
10、剩余信息掩护
三级系统主机剩余信息掩护涉及两个测评项,包罗鉴别信息存储空间清除、敏感数据存储空间清除。
(1)鉴别信息存储空间清除
整改措施:清除登录界面的账户名和口令,windows开启“交互式登录:不表现最后的用户名”。
这项措施的本意是鉴别信息清除时要保证硬盘或内存上的存放的鉴别信息要完全清除。以我个人的理解这项其实是为了防止通过技能本领对数据进行规复,从而获取数据,就像我们平常电脑上删除的数据假如没有覆盖掉其实是可以规复的一样。而在现实操作当中要怎么去鉴别数据真的完全被清除了呢?用工具?看操作系统的开发文档有没有写?写了就一定是真的吗?太困难,以是衍生了一个接近但又不完全是的测评方法——用户退出后清除登录界面的账户名和暗码以及授权信息。Linux一般用SSH,不要记住暗码就可以了,windows有个设置项是“交互式登录:不表现最后的用户名”要开启。
(2)敏感数据存储空间清除
整改措施:windows开启“关机:清除捏造内存页面文件”,Linux设置HISTSIEZ参数。
这项措施和上一项鉴别信息存储空间清除是类似的目的,只不过范围扩大了一点,上一项是重要对鉴别信息,而这一项是对所有的敏感数据(设置数据、操作指令、存储的重要数据等),发展过程也和上一项差不多,说白了就是现实太难操作。测评中会检查windows的“关机:清除捏造内存页面文件”设置,Linux的HISTSIEZ参数设置。
以上就是三级等保测评主机涉及的所有测评项。测评当中的涉及装备测评(网络装备、安全装备)都是大同小异的。整篇文章内容均为我去项目组打杂后的个人理解,可以参考,但不一定就精确,有错误的地方接待指正。
下面给各人总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你根本差,假如能趁着网安良好的发展势头不停学习,日后跳槽大厂、拿到百万年薪也不是不大概!
【点击这里,先领资料再阅读哦~】
初级网工
1、网络安全理论知识(2天)
①了解行业相关配景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗出测试基础(一周)
①渗出测试的流程、分类、尺度
②信息网络技能:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、盘算机网络基础(一周)
①盘算机网络基础、协媾和架构
②网络通讯原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技能与网络安全防御技能
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗出(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗出工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,假如学到这里,你基本可以从事一份网络安全相关的工作,比如渗出测试、Web 渗出、安全服务、安全分析等岗位;假如等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
【“脚本小子”成上进阶资源领取】
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程本领是“脚本小子”和真正黑客的本质区别。在现实的渗出测试过程中,面临复杂多变的网络环境,当常用工具不能满足现实需求的时候,往往必要对现有工具进行扩展,大概编写符合我们要求的工具、主动化脚本,这个时候就必要具备一定的编程本领。在分秒必争的CTF竞赛中,想要高效地利用自制的脚本工具来实现各种目的,更是必要拥有编程本领.
零基础入门,发起选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE猛烈推荐Sublime; ·Python编程学习,学习内容包罗:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并誊写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架大概Python框架 (可选); ·了解Bootstrap的结构大概CSS。
8、超级网工
这部门内容对零基础的同砚来说还比力遥远,就不睁开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交换一下。
网络安全学习路线&学习资源
扫描下方卡片可获取最新的网络安全资料合集(包括200本电子书、尺度题库、CTF赛前资料、常用工具、知识脑图等)助力各人提升进阶!
结语
网络安全财产就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正直,我国的人才更多的属于歪路左道(很多白帽子大概会不服气),因此在未来的人才培养和建设上,必要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“主动化”的“体系、建设”,才气解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技能分享!本书的目的决不是为那些怀有不良动机的人提供及技能支持!也不承担由于技能被滥用所产生的连带责任!本书的目的在于最大限度地唤醒各人对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济丧失!!!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
