等級保護測評策略建議整改措施
主機安全
服務器windows
身份鑒別
b)操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求並定期更換;
整改方法:
修改配置策略:
1、查看控制面板—管理工具—本地安全策略—賬戶策略—密碼策略;
2、查看控制面板—管理工具—計算機管理—系統工具—本地用戶和組—用戶—右鍵—屬性—是否勾選“密碼永不過期”。
建議修改值:
(一)策略修改
1、密碼必須符合復雜性要求; 已啟用
2、密碼長度最小值; 12個字符
3、密碼最長使用期限; 42天
4、密碼最短使用期限; 2天
5、強制密碼歷史; 5個記住密碼
6、密碼永不過期屬性。 未勾選“密碼永不過期”
(二)使用情況
口令長度至少12位以上,由數字、特殊字符、字母(區分大小寫)組成,每三個月定期進行修改
f)應采用兩種或兩種以上的組合的鑒別技術對管理用戶進行身份鑒別。
? 整改方法:
? 驗證檢查:
1、采用令牌、USB-KEY或智能卡等身份認證技術手段對用戶進行身份鑒別
建議整改:
部署雙因素產品或者堡壘機
訪問控制
a)應啟用訪問控制功能,依據安全策略控制用戶對資源的訪問;
? 整改方法:
? 驗證檢查:
是否能提供用戶權限對照表,設置的用戶權限是否與權限表一致。
建議整改:
完善用戶權限表(紙質版或電子版)
? c)應實現操作系統和數據庫系統特權用戶的權限分離;
? 整改方法:
? 驗證檢查:
1、詢問操作系統管理員與數據庫管理員是否為同一人;
2、檢查操作系統管理員與數據庫管理員是否使用不同的賬戶登錄。
建議整改:
1、操作系統管理員與數據庫管理員不為同一人;
2、操作系統管理員與數據庫管理員使用不同的賬戶登錄。
? f)應對重要信息資源設置敏感標記;
? 整改方法:
? 驗證檢查:
1、詢問主機管理員是否定義了主機中的重要信息資源;
2、詢問主機管理員,是否為主機內的重要信息設置敏感標記。
建議整改:
暫無
? g)應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。
? 整改方法:
? 驗證檢查:
1、詢問主機管理員是否定義了敏感標記資源的訪問策略;
2、查看有敏感標記的重要信息資源是否依據訪問策略設置了嚴格的訪問權限。
建議整改:
暫無
安全審計
? a)審計範圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;
? b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;
? d)應能夠根據記錄數據進行分析,並生成審計報表;
? F)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。
? 整體考慮
? 整改方法:
? 驗證檢查:
1、查看控制面板—管理工具—本地安全策略—本地策略—審核策略;
2、詢問並查看是否有第三方審計工具或系統。
建議整改:
(一)策略修改
1、審核策略更改; 成功
2、審核登錄事件; 成功,失敗
3、審核對象訪問; 成功,失敗
4、審核過程跟蹤; 成功,失敗
5、審核目錄服務訪問;沒有定義
6、審核特權使用; 成功,失敗
7、審核系統事件; 成功
8、審核賬戶登錄事件; 成功,失敗
9、審核賬戶管理。 成功,失敗
(二)windows自身日誌查看
右鍵【我的電腦】/【此電腦】→【管理】→【事件查看器】→右鍵單擊任一事件查看器→Windows日誌,查看應用程序、安全、Setup、系統日誌的時間是否滿足存儲6個月;同時點擊應用程序、安全、Setup、系統日誌右鍵【屬性】,審計日誌的存儲大小設置滿足需求,但不得低於64M(默認是20M),達到最大日誌量後應選擇日誌滿時將其存檔,不覆蓋事件(默認是按需要覆蓋日誌(舊事件優先))
(三)設備部署
1、物理機房:部署日誌審計系統
2、上雲服務器(如阿裏雲):日誌服務
入侵防範
? a)應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間
? b)應能夠對重要程序的完整性進行檢測,並在檢測到完整性受到破壞後具有恢復的措施;
? c)操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序,並通過設置升級服務器等方式保持系統補丁及時得到更新。
? 整體考慮
? 整改方法:
? 驗證檢查:
1、詢問是否安裝了主機入侵檢測系統,並進行適當的配置;
2、查看是否對入侵檢測系統的特征庫進行定期升級;
3、查看是否在檢測到嚴重入侵事件時提供報警。
4、詢問是否對關鍵程序的完整性進行校驗;
5、管理工具—服務—查看可以使用的服務
6、監聽端口,命令行輸入“netstat -an”
7、“控制面板”—“管理工具”—“計算機管理”—“共享文件夾”
建議整改:
(一)策略修改
1、僅開啟需要的服務端口(135 137 139 445等端口建議不開啟,若業務需要,應做好系統相應補丁)
2、關閉不需要的組件和應用程序,僅啟用必須的功能
3、關閉默認共享文件
(二)設備和服務部署
1、物理機房:部署IDS、IPS
2、上雲服務器(如阿裏雲):部署安騎士或態勢感知、web應用防火墻、抗DDoS
惡意代碼防範
? a)應安裝防惡意代碼軟件,並及時更新防惡意代碼軟件版本和惡意代碼庫;
? b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫;
? c)應支持防惡意代碼軟件的統一管理。
? 整體考慮
? 整改方法:
? 驗證檢查:
1、查看是否安裝了防惡意代碼軟件;
2、查看惡意代碼庫是否為最新;
3、主機防病毒軟件是否與網絡版防病毒軟件相同
4、安裝的防病毒軟件是否支持統一管理
建議整改:
(一)設備和服務部署
1、物理機房:防病毒網關、包含防病毒模塊的多功能安全網關和網絡版防病毒系統,任選一種部署
2、上雲服務器(如阿裏雲):態勢感知或安騎士
資源控制
? b)應根據安全策略設置登錄終端的操作超時鎖定;
? 整改方法:
? 驗證檢查:
1、桌面右鍵—個性化—屏幕保護程序;
2、在運行中輸入gpedit.msc打開“組策略”,在計算機配置—管理模塊—Windows組件—遠程桌面服務—遠程桌面會話主機—會話時間限制中,查看是否設置“活動但空閑的遠程桌面服務會話時間的限制”。
建議整改:
(一)策略修改
1、啟用屏保並勾選“在恢復時顯示登錄屏幕”
2、設置“活動但空閑的遠程桌面服務會話時間的限制”(推薦值設置15分左右)1.1.2. linux
身份鑒別
? b)操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求並定期更換;
? centos/Fedora/RHEL
? 整改方法:
? 驗證檢查:
1、查看/etc/login.defs,訪談詢問當前所設置的密碼長度及更換周期;
2、查看/etc/pam.d/system-auth,確認密碼復雜度要求。
密碼最長有效期PASS_MAX_DAYS;
密碼最短存留期PASS_MIN_DAYS;
密碼長度最小值PASS_MIN_LENS;
密碼有效期警告PASS_WARN_AEG;
密碼須包含大寫字母個數ucredit;
密碼須包含小寫字母個數lcredit;
密碼須包含的數字字符個數dcredit;
密碼須包含的特殊符號個數ocredit。
建議整改:
(一)策略修改
1、/etc/login.defs文件中進行如下變量配置:
PASS_MAX_DAYS:90;
PASS_MIN_DAYS:2;
PASS_MIN_LENS:8;
PASS_WARN_AEG:7;
2、/etc/pam.d/system-auth文件中添加下面信息:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1ocredit=-1;
3、當前所設置的密碼長度應不少於8位,具有一定的復雜度並能定期更換。
? Ubuntu/Debian
? 整改方法:
? 驗證檢查:
1、查看/etc/login.defs,訪談詢問當前所設置的密碼長度及更換周期;
2、查看/etc/pam.d/common-password,確認密碼復雜度要求。
密碼最長有效期PASS_MAX_DAYS;
密碼最短存留期PASS_MIN_DAYS;
密碼長度最小值PASS_MIN_LENS;
密碼有效期警告PASS_WARN_AEG;
密碼須包含大寫字母個數ucredit;
密碼須包含小寫字母個數lcredit;
密碼須包含的數字字符個數dcredit;
密碼須包含的特殊符號個數ocredit。
建議整改:
(一)策略修改
1、/etc/login.defs文件中進行如下變量配置:
PASS_MAX_DAYS:90;
PASS_MIN_DAYS:2;
PASS_MIN_LENS:8;
PASS_WARN_AEG:7;
2、/etc/pam.d/system-auth文件中添加下面信息:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1ocredit=-1;
3、當前所設置的密碼長度應不少於8位,具有一定的復雜度並能定期更換。
? c)應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;
? 整改方法:
? 驗證檢查:
1、find /lib* -iname "pam_tally2.so"或find /lib* -iname "pam_tally.so"是否有改動態庫
2、是否有以下參數:auth required pam_tally2.so onerr=fail deny=X unlock_time=Xeven_deny_root root_unlock_time=X(限制從終端登錄)
3、/etc/pam.d/sshd文件中是否有以上相同參數(限制ssh登錄)
建議整改:
1、centos:/etc/pam.d/system-auth或Ubuntu:/etc/pam.d/common-password文件中添加:auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_rootroot_unlock_time=30
註意添加的位置,要寫在第一行,即#%PAM-1.0的下面。
以上策略表示:普通帳戶和 root 的帳戶登錄連續 3 次失敗,就統一鎖定 40 秒, 40 秒後可以解鎖。
如果不想限制 root 帳戶,可以把 even_deny_root root_unlock_time這兩個參數去掉, root_unlock_time 表示 root 帳戶的 鎖定時間,onerr=fail 表示連續失敗,deny=3,表示 超過3 次登錄失敗即鎖定。
2、/etc/pam.d/sshd文件中添加相同參數
(備註:以上參數根據實際情況進行設置,至少配置/etc/pam.d/sshd文件限制ssh登錄)
? f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。
? 整改方法:
? 驗證檢查:
操作系統登錄是否采用口令+令牌、USB KEY等方式進行身份鑒別。
建議整改:
(一)設備或服務部署
1、物理機房:采用雙因子認證設備
2、上雲服務器(如阿裏雲):雲堡壘機
訪問控制
? a)應啟用訪問控制功能,依據安全策略控制用戶對資源的訪問;
? 整改方法:
? 驗證檢查:
是否能提供用戶權限對照表,設置的用戶權限是否與權限表一致。
建議整改:
完善用戶權限表(紙質版或電子版)
? d)應嚴格限制默認帳戶的訪問權限,重命名系統默認帳戶,修改這些帳戶的默認口令;
? 整改方法:
? 驗證檢查:
1、重命名系統默認帳戶(root);
2、修改默認帳戶的口令。
建議整改:
1、根據業務需求情況對root進行重命名,其口令必須進行修改
? f)應對重要信息資源設置敏感標記;
? 整改方法:
? 驗證檢查:
1、詢問主機管理員是否定義了主機中的重要信息資源;
2、詢問主機管理員,是否為主機內的重要信息設置敏感標記。
建議整改:
暫無
? g)應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。
? 整改方法:
? 驗證檢查:
1、詢問主機管理員是否定義了敏感標記資源的訪問策略;
2、查看有敏感標記的重要信息資源是否依據訪問策略設置了嚴格的訪問權限。
建議整改:
暫無
備註:linux系統分為Ubuntu、OpenSUSE、Fedora、Debian、RHEL、CentOS等,每個系統又分為不同的版本,因此在修改策略時需要在相同環境的測試機上進行驗證後,在正式環境中進行修改
安全審計
? a)審計範圍應覆蓋到服務器上的每個操作系統用戶和數據庫用戶;
? b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;
? c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;
? d)應能夠根據記錄數據進行分析,並生成審計報表;
? e)應保護審計進程,避免受到未預期的中斷;
? f)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。
? 整體分析
? 整改方法:
? 驗證檢查:
1、輸入service syslog/rsyslog status 、service auditd status查看進程是否存在。
2、(centos:cat /etc/syslog.conf或cat /etc/rsyslog.conf文件中應包含類似於以下值:*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages;)(Ubuntu:cat/etc/rsyslog.d/50-default.conf 文件中應包含類似於以下值:*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages;)
3、是否對審計日誌定期查看、分析,生成審計分析報表
4、是否安全額外的審計進程保護
5、查看syslog.conf、audit.conf文件中日誌信息所在文件的訪問權限,如:
ls -l /var/log/messages;
(centos:ls -l/var/log/secure);(Ubuntu:ls -l/var/log/auth.log)
ls -l /var/log/audit/audit.log;
訪談並詢問是否對審計日誌進行保護
建議整改:
(一)策略修改
1、保障rsyslog和auditd進程開啟
2、/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf文件中日誌配置如下:
# 記錄所有日誌類型的info級別以及大於info級別的信息到/var/log/messages,但是mail郵件信息,authpriv驗證方面的信息和cron時間任務相關的信息除外
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
# authpriv驗證相關的所有信息存放在/var/log/secure
authpriv.* /var/log/secure
# Log all the mail messages in one place.
# 郵件的所有信息存放在/var/log/maillog; 這裏有一個-符號, 表示是使用異步的方式記錄, 因為日誌一般會比較大
mail.* -/var/log/maillog
# Log cron stuff
# 計劃任務有關的信息存放在/var/log/cron
cron.* /var/log/cron
(備註:以上配置需要先在測試環境中驗證是否正確後,在正式環境中進行修改)
3、ls -l /var/log/messages:640; ls -l /var/log/secure:640;
ls -l /var/log/audit/audit.log:640;ls -l /var/log/auth.log 640;(備註:保持系統默認就行,唯一需要滿足的就是普通用戶對這些文件只能有讀的權限)
4、查看 /var/log/messages、/var/log/secure、/var/log/audit/audit.log、/var/log/auth.log日誌文件的內容是否被覆蓋和刪除,保存是否滿足6個月
(二)設備或服務部署
1、物理機房:日誌服務器或日誌審計系統或堡壘機
2、上雲服務器(如阿裏雲):OSS或日誌服務或jumpserver
入侵防範
? a)應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵事件時提供報警;
? 整改方法:
? 驗證檢查:
1、安裝主機入侵檢測系統並配置策略;
2、定期對主機入侵檢測系統的特征庫進行維護升級;
3、發生嚴重入侵事件時提供報警。
4、是否經常命令查看more /var/log/secure | grep refused (centos)
5、more /var/log/auth.log | grep refused (ubuntu)
6、是否啟用主機iptables防火墻規則、TCP SYN保護機制
建議整改:
(一)設備或服務部署
1、物理機房:部署入侵檢測和防禦系統(IDS、IPS或防火墻帶有入侵檢測和防禦)
2、上雲服務器(如阿裏雲):安騎士或態勢感知或其它防入侵服務
? c)操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序,並通過設置升級服務器等方式保持系統補丁及時得到更新。
? 整改方法:
? 驗證檢查:
1、對系統補丁進行評估、測試後進行安裝
2、系統遵循最小安裝原則
建議整改:
(一)策略修改
1、如需最新補丁,需要評估、測試,或者根據業務使用穩定版本補丁
2、關閉危險網絡服務:echo、login等,關閉非必要的網絡服務:talk、ntalk、sendmail等
惡意代碼防範
? a)應安裝防惡意代碼軟件,並及時更新防惡意代碼軟件版本和惡意代碼庫;
? b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫;
? c)應支持防惡意代碼軟件的統一管理。
? 整體考慮
? 整改方法:
? 驗證檢查:
1、查看是否安裝了防惡意代碼軟件;
2、查看惡意代碼庫是否為最新;
3、主機防病毒軟件是否與網絡版防病毒軟件相同
4、安裝的防病毒軟件是否支持統一管理
建議整改:
(一)設備和服務部署
1、物理機房:防病毒網關、包含防病毒模塊的多功能安全網關和網絡版防病毒系統,任選一種部署
2、上雲服務器(如阿裏雲):態勢感知或安騎士或其它防病毒服務
資源控制
? a)應通過設定終端接入方式、網絡地址範圍等條件限制終端登錄;
? 整改方法:
? 驗證檢查:
1、使用SSH登錄則查看/etc/ssh/sshd_config
2、查看/etc/hosts.allow和/etc/hosts.deny文件內是否配置可訪問的IP或通過詢問、查看方式確認是否通過網絡設備或硬件防火墻實現此項要求;
3、iptables -nvL 查看防火墻規則
建議整改:
(一)策略修改
1、/etc/ssh/sshd_config文件中PermitRootLoginno,不允許root直接登錄
2、/etc/hosts.allow和/etc/hosts.deny文件中配置可訪問的IP或者通過防火墻或跳板機或堡壘機設置訪問限制
3、上雲的服務器:安全組或VPC或雲防火墻進行設置
4、防火墻規則根據業務需求進行配置
? b)應根據安全策略設置登錄終端的操作超時鎖定;
? 整改方法:
? 驗證檢查:
1、查看etc/profile文件中是否設置TMOUT
建議整改:
(一)策略修改
1、etc/profile文件中添加TMOUT,TMOUT=600(備註:根據業務進行設定)
? d)應限制單個用戶對系統資源的最大或最小使用限度;
? 整改方法:
? 驗證檢查:
1、查看 /etc/security/limits.conf 文件,訪談系統管理員針對系統資源采取的保障措施。
fsize 用戶創建的文件大小限制;
core 生成的core文件大小的限制;
cpu 用戶進程可用cpu的限定值;
data 進程數據段大小的限定值;
stack 進程堆棧段大小的限定值;
rss 進程常駐內存段的限定值;
nofiles 進程中打開文件的最大數量。
建議整改:
1、根據實際需求對文件中的各個變量參數進行合理設置
2、采用zabbix或者雲監控等手段進行監控
1.2.數據庫
1.2.1. SQL數據庫
-
身份鑒別
? b)操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求並定期更換;
? 整改方法:
? 驗證檢查:
1、打開Microsoft SQL Server Management Studio,對象資源管理器中--安全性--登錄名,
右鍵各個用戶--屬性--常規--強制實施密碼策略、強制密碼過期策略;
2、(數據庫部署的操作系統中)控制面板--管理工具--本地安全設置--帳戶策略--密碼策略:
(1)、密碼必須符合復雜性要求;
(2)、密碼長度最小值;
(3)、密碼最長使用期限;
(4)、密碼最短使用期限;
(5)、強制密碼歷史;
3、在SQL 查詢分析器中執行 Use master; Select name,Password from syslogins where password is null 或 使用數據庫掃描軟件,查看掃描結果中是否存在空口令/弱口令的用戶。
建議整改:
(一)策略修改
1、每個用戶需要勾選“強制實施密碼策略”;
2、密碼必須符合復雜性要求已啟用,密碼長度最小值0個字符,密碼最短使用期限0天,密碼最長使用期限42天,0個記住密碼
3、未發現弱口令、空口令用戶
? c)應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;
? 整改方法:
? 驗證檢查:
1、打開Microsoft SQL Server Management Studio,對象資源管理器中--安全性--登錄名,
右鍵各個用戶--屬性--常規--強制實施密碼策略;
2、控制面板--管理工具--本地安全設置--帳戶策略--賬戶鎖定策略:
(1)、復位帳號鎖定計數器;
(2)、賬戶鎖定時間;
(3)、賬戶鎖定閥值。
建議整改:
(一)策略修改
1、每個用戶需要勾選“強制實施密碼策略”;
2、賬戶鎖定時間30分鐘,賬戶鎖定閾值5次無效登錄,重置賬戶鎖定計數器30分
? f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。
? 整改方法:
? 驗證檢查:
1、采用令牌、USB-KEY或智能卡等身份認證技術手段對用戶進行身份鑒別
建議整改:
部署雙因素產品或者堡壘機
-
訪問控制
? d)應嚴格限制默認帳戶的訪問權限,重命名系統默認帳戶,修改這些帳戶的默認口令;
? 整改方法:
? 驗證檢查:
打開Microsoft SQL Server Management Studio,對象資源管理器中--安全性--登錄名,查看是否存在sa帳號。
建議整改:
(一)策略修改
1、對sa用戶重命名
-
安全審計
? a)審計範圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;
? b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;
? c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;
? d)應能夠根據記錄數據進行分析,並生成審計報表;
? e)應保護審計進程,避免受到未預期的中斷;
? f)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。
? 整體分析
? 整改方法:
? 驗證檢查:
打開Microsoft SQL Server Management Studio,對象資源管理器中,右鍵服務器--屬性--安全性
1、登錄審核;
2、啟用C2審核跟蹤。
建議整改:
(一)策略修改
1、勾選僅限失敗的登錄, 勾選啟用C2審核跟蹤
(二)設備和服務部署
部署數據庫審計系統
1.2.2. mysql數據庫
-
身份鑒別
? b)操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求並定期更換;
? 整改方法:
? 驗證檢查:
1、使用的口令(如默認帳號root)是否復雜度,並且是否定期進行更換
建議整改:
(一)策略修改
1、用戶口令長度8位,至少由字母、數字及字符兩種以上的組合;
2、定期更換口令。
? c)應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;
? 整改方法:
? 驗證檢查:
1、是否有登錄失敗處理措施
建議整改:
使用了第三方技術實現了登錄失敗處理功能。
? e)應為操作系統和數據庫系統的不同用戶分配不同的用戶名,確保用戶名具有唯一性;
? 整改方法:
? 驗證檢查:
1、否存在多個用戶使用同一帳號的情況。
建議整改:
1、不使用同一帳號進行管理
? f)應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。
? 整改方法:
? 驗證檢查:
1、是否采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別,且其中一種是不可偽造的
建議整改:
1、采用令牌、USB-KEY或智能卡進行身份鑒別(部署雙因子認證產品)
-
安全審計
? a)審計範圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶;
? b)審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件;
? c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;
? d)應能夠根據記錄數據進行分析,並生成審計報表;
? e)應保護審計進程,避免受到未預期的中斷;
? f)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。
? 整體分析
? 整改方法:
? 驗證檢查:
1、是否數據庫日誌和審計功能是否開啟
2、是否對審計數據進行分析,並生成報表
3、是否避免審計記錄被刪除、修改或覆蓋,是否至少滿足6個月
4、是否定期進行數據備份,是否有數據恢復措施
建議整改:
(一)產品或服務部署
數據庫審計系統
? 日誌或自帶審計系統對性能影響巨大,產生大量文件消耗硬盤空間,事實上中大型系統都不能使用,或只能在排查問題時偶爾使用;日誌系統不直觀、易篡改、不完整、難管理;無法自動智能設置規則; 另外,從安全管控的標準及法規角度來看,也需要第三方獨立的審計設備。
-
入侵防範
? a)應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵事件時提供報警;
? b)應能夠對重要程序的完整性進行檢測,並在檢測到完整性受到破壞後具有恢復的措施;
? c)操作系統應遵循最小安裝的原則,僅安裝需要的組件和應用程序,並通過設置升級服務器等方式保持系統補丁及時得到更新。
? 整體分析
? 整改方法:
? 建議整改:
(一)產品或服務部署
數據庫防火墻
2. 應用安全
2.1. 身份鑒別
b)應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別
整改方法:
驗證檢查:
1、是否采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別
建議整改:
1、采用雙因素認證產品
d)應提供登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;
e)應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能,並根據安全策略配置相關參數。
整體分析
整改方法:
驗證檢查:
1、連續多次輸入口令錯誤,是否有賬號鎖定或者退出客戶端登錄等措施
建議整改:
1、多次輸入錯誤口令,系統應該鎖定賬號和退出客戶端等措施
2.2. 安全審計
a)應提供覆蓋到每個用戶的安全審計功能,對應用系統重要安全事件進行審計;
b)應保證無法單獨中斷審計進程,無法刪除、修改或覆蓋審計記錄;
c)審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等;
d)應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。
整體分析
整改方法:
驗證檢查:
1、是否有安全審計功能模塊,包括到每個用戶的安全審計功能(備註:用戶應該包括內部運維用戶和使用者用戶)
2、是否審計進程能中斷,審計記錄是否能被刪除、修改和覆蓋
3、審計的記錄至少包括:時間、日期、發起者信息、類型、描述和結果
4、是否對審計記錄進行查詢、分析、統計和生成審計報表
建議整改:
1、審計包括客戶及內部人員,包括應用系統的重要安全事件:賬戶建立、用戶權限分配、重要業務數據操作、用戶身份鑒別失敗等(備註:審計的內容會根據每一個行業的業務方向有所不同)
2、審計記錄至少保存6個月
3、審計記錄需要定期進行查詢、分析,生成對應的審計報表
軟件容錯
a)應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求;
b)應提供自動保護功能,當故障發生時自動保護當前所有狀態,保證系統能夠進行恢復。
整體分析
整改方法:
驗證檢查:
1、檢查系統是否在數據輸入界面對無效或非法的數據進行校驗
2、是否對數據的格式或長度進行校驗
3、檢查系統返回的錯誤信息中是否含有sql語句、sql錯誤信息以及web服務器的絕對路徑等
4、若系統有上傳功能,嘗試上傳與服務器端語言(jsp、asp、php)一樣擴展名的文件或exe等
可執行文件後,確認在服務器端是否可直接運行
建議整改:
1、註冊用戶是否可以‘—‘、‘1=1’等恒等式用戶名
2、上傳給服務器的參數(如查詢關鍵字、url中的參數等)中包含特殊字符是否能正常處理
3、不存在SQL註入、XSS跨站腳本等漏洞
4、部署WAF或網頁防篡改等第三方產品
資源控制
a)當應用系統的通信雙方中的一方在一段時間內未作任何響應,另一方應能夠自動結束會話;
b)應能夠對系統的最大並發會話連接數進行限制;
c)應能夠對單個帳戶的多重並發會話進行限制;
d)應能夠對一個時間段內可能的並發會話連接數進行限制;
e)應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額;
f)應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警;
g)應提供服務優先級設定功能,並在安裝後根據安全策略設定訪問帳戶或請求進程的優先級,根據優先級分配系統資源。
整體分析
整改方法:
驗證檢查:
1、系統是否具有超時結束會話功能
2、系統是否有最大並發會話連接數限制
3、系統是否限制單個用戶多重並發會話數
4、系統是否設置資源限額
建議整改:
1、能夠在合理的時間內結束超時空閑會話
2、禁止同一個用戶同時登錄系統操作(備註:根據自身業務情況而定)
3、能夠對一個訪問賬戶或一個請求進程占用的資源分配最大和最小限額
3. 數據庫安全及備份恢復
3.1. 備份和恢復
b)應提供異地數據備份功能,利用通信網絡將關鍵數據定時批量傳送至備用場地;
整改方法:
建議整改:
網絡和安全設備的策略配置文件進行異地備份,數據庫數據進行異地備份;
4. 系統運維管理
4.1. 監控管理和安全管理中心
b)應組織相關人員定期對監測和報警記錄進行分析、評審,發現可疑行為,形成分析報告,並采取必要的應對措施;
整改方法:
建議整改:
1、對監測和告警記錄有定期的分析報告和對應措施
c)應建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。
整改方法:
建議整改:
1、建立安全管理中心,對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理
網絡安全管理
d)應定期對網絡系統進行漏洞掃描,對發現的網絡系統安全漏洞進行及時的修補;
整改方法:
建議整改:
1、定期的網絡設備掃描,並有掃描報告和整改結果
h)應定期檢查違反規定撥號上網或其他違反網絡安全策略的行為。
整改方法:
建議整改:
1、用戶單位定期檢查違反規定撥號上網或其他違反網絡安全策略的行為
4.2. 系統安全管理
b)應定期進行漏洞掃描,對發現的系統安全漏洞及時進行修補;
整改方法:
建議整改:
1、定期掃描系統漏洞,及時安裝安全補丁,及時進行漏洞修補
c)應安裝系統的最新補丁程序,在安裝系統補丁前,首先在測試環境中測試通過,並對重要文件進行備份後,方可實施系統補丁程序的安裝;
整改方法:
建議整改:
1、及時做補丁修補,且安裝前補丁經過測試和系統備份
g)應定期對運行日誌和審計數據進行分析,以便及時發現異常行為。
整改方法:
建議整改:
1、定期對運行日誌和審計數據進行分析
4.3. 惡意代碼防範管理
b)應指定專人對網絡和主機進行惡意代碼檢測並保存檢測記錄;
整改方法:
建議整改:
1、有專人對網絡和主機進行惡意代碼檢測,並保存檢測記錄
d)應定期檢查信息系統內各種產品的惡意代碼庫的升級情況並進行記錄,對主機防病毒產品、防病毒網關和郵件防病毒網關上截獲的危險病毒或惡意代碼進行及時分析處理,並形成書面的報表和總結匯報。
整改方法:
建議整改:
1、對系統內的惡意代碼防範產品的升級情況予以定期檢查和記錄,並對安全日誌進行定期分析並形成報告
4.4. 備份與恢復管理
e)應定期執行恢復程序,檢查和測試備份介質的有效性,確保可以在恢復程序規定的時間內完成備份的恢復。
整改方法:
建議整改:
1、定期測試備份介質的有效性,定期執行恢復程序,確定在規定的時間內完成備份恢復
4.5. 應急預案管理
c)應對系統相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次;
整改方法:
建議整改:
1、對系統相關人員進行應急預案的培訓,培訓至少每年舉辦一次,並保留培訓記錄
d)應定期對應急預案進行演練,根據不同的應急恢復內容,確定演練的周期;
整改方法:
建議整改:
1、定期對應急預案進行演練,並保留演練記錄
5. 系統建設管理
5.1. 產品采購和使用
d)應預先對產品進行選型測試,確定產品的候選範圍,並定期審定和更新候選產品名單。
整改方法:
建設整改:
有產品選型測試記錄或選型報告、候選產品名單(或候選供應商名錄)並定期更新
5.2. 外包軟件開發
d)應要求開發單位提供軟件源代碼,並審查軟件中可能存在的後門。
整改方法:
建議整改:
1、在軟件開發協議中,規定開發單位提供軟件源代碼,並進行後門審查
5.3. 測試驗收
a)應委托公正的第三方測試單位對系統進行安全性測試,並出具安全性測試報告;
整改方法:
建議整改:
1、委托公認的第三方測評單位對系統進行安全測評,並有測試報告
6. 人員安全管理
6.1. 人員考核
a)應定期對各個崗位的人員進行安全技能及安全認知的考核;
b)應對關鍵崗位的人員進行全面、嚴格的安全審查和技能考核;
c)應對考核結果進行記錄並保存。
整體分析
整改方法:
建議整改:
1、有定期安全技能和知識的考核,有考核記錄
2、有定期對關鍵崗位的安全考試,有考核記錄
6.2. 安全意識的教育和培訓
d)應對安全教育和培訓的情況和結果進行記錄並歸檔保存。
整改方法:
建議整改:
1、對培訓的記錄和結果歸檔保存
7. 安全管理機構
7.1. 人員配備
b)應配備專職安全管理員,不可兼任;
整改方法:
建議整改:
1、配備安全管理員,安全管理員可兼任非系統維護工作
c)關鍵事務崗位應配備多人共同管理。
整改方法:
建議整改:
1、關鍵崗位設置多人或AB角
7.2. 授權和審批
d)應記錄審批過程並保存審批文檔。
整改方法:
建議整改:
1、保存審批記錄
7.3. 溝通和合作
a)應加強各類管理人員之間、組織內部機構之間以及信息安全職能部門內部的合作與溝通,定期或不定期召開協調會議,共同協作處理信息安全問題;
整改方法:
建議整改:
1、定期召開信息安全會議,保存有會議紀要
e)應聘請信息安全專家作為常年的安全顧問,指導信息安全建設,參與安全規劃和安全評審等。
整改方法:
建議整改:
1、聘請信息安全專家
7.4. 審核和檢查
a)安全管理員應負責定期進行安全檢查,檢查內容包括系統日常運行、系統漏洞和數據備份等情況;
整改方法:
建議整改:
1、定期進行安全檢查,有檢查內容及結果記錄文檔
b)應由內部人員或上級單位定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等;
整改方法:
建議整改:
1、內部或上級單位定期全面檢查,或行業主管部門委托第三方進行檢查
c)應制定安全檢查表格實施安全檢查,匯總安全檢查數據,形成安全檢查報告,並對安全檢查結果進行通報;
整改方法:
建議整改:
1、保存有安全檢查記錄和檢查報告
8. 安全管理制度
8.1. 制定和發布
c)應組織相關人員對制定的安全管理制度進行論證和審定;
整改方法:
建議整改:
只要有證據(郵件、會議紀要、OA系統中流轉記錄、文件評審記錄等)表明在安全管理制度發布前已進行相關的論證和審定
8.2. 評審和修訂
a)信息安全領導小組應負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定;
整改方法:
建議整改:
1、沒有至少評審一次
2、至少有評審記錄
b)應定期或不定期對安全管理制度進行檢查和審定,對存在不足或需要改進的安全管理制度進行修訂。
整改方法:
建議整改:
1、每年至少評審一次
2、文件修改記錄
3、文件評審記錄
等級保護測評策略建議整改措施