(1)密码繁芜度、密码定期改换密码需包含数字、大小写字母、分外字符,长度8位以上;密码应定期改换,每90天改换一次。这项方法紧张是为了让所利用的密码“长”、“不易预测”,防止口令暴力破解。
(2)登录失落败处理、空闲操作超时退出账户连续登录失落败5-10次,锁定账户一定韶光(1-30分钟);登录后无操作5-15分钟,自动退出登录状态。这项方法也是为了防止口令暴力破解,连续登录失落败锁定账户可以避免攻击者多次预测你的密码。
(3)远程管理传输防窃听利用加密传输协议,如SSH或RDP加密等。这项方法紧张是防止攻击者通过网络抓包获取到账号密码,登录时传输的账号密码如果是明文传输,拿到数据包就拿到了密码。
(4)双因子鉴别除了我们常用的账号密码进行认证之外还须要增加一种身份鉴别方法,如指纹、证书、人脸等。而且哀求两种认证办法同时通过才能进行登录,也便是说两种认证办法必须是“且”关系而不是“或”关系。这项方法是为了增加身份鉴别的安全性,也便是再加一道保险锁,避免攻击者拿到了账号密码就能直接登录主机。
2、访问掌握访问掌握共七个测评项,包括账号权限分配、默认账号名和口令修正、多余账号打消、账号权限分离、授权主体确定、访问粒度细化、安全标记。
(1)账号权限分配给各个利用的账号都分配一定权限,避免涌现无权限的账户或过高权限账户。(主机方面只要账户创建都至少会默认一个普通账户权限,紧张是须要避免给普通账户分配过高权限)这项方法是为了给不同账户一个权限区分,避免全是高权限账户,随意马虎对系统涌现因操作失落误造成的增编削查。
(2)默认账号名和口令修正重命名默认账户adminstratos、root等并修正他们的默认口令。对没办法修正默认账户名的(linux系统的root就改不了),可以禁止默认账号远程登录。(有些测评机构会认为纵然修正了账户名,但是用常见的账户名如admin、sys等也弗成。)这项方法也是为了防止口令爆破,如果利用默认账户名,攻击者就只须要重复考试测验口令。改了默认账户名攻击者就须要账户名、口令一起猜,可以加大攻击难度。
(3)多余账号打消删掉不用的账号。这项方法依然是为避免账号密码预测,以及避免账号已经被攻击者利用了却创造不了。多一个账号,攻击者就多一分预测成功的概率。而且多余账号没有人用也没人在意,攻击者假如已经拿到了这个账号的密码,再你的系统里进进出出跟穿着夜行衣一样。
(4)账号权限分离划分系统管理员、审计管理员、安全管理员账户,并分配不同权限使其可以相互制约。这项方法是为了避免一个账户独大,如果攻击者拿到了一个账户就有了系统全部权限。账户分权限,就像一个公司里有业务部、有技能部还有个监视全体员工的人事部一样。
(5)授权主体确定一个账户进行访问掌握策略的配置。(这项实际测评中不须要该,一样平常默认权限最高的系统管理员或者安全管理员)这项方法是为了避免管理混乱,同一套策略假如每个账户都可以修正,一个改一点,听谁的?确定一个账户进行策略配置,其他账户遵守策略就可以。
(6)访问粒度细化账户为主体,可访问的系统资源(文件、进程等)为客体,现在的操作系统基本上都能达到主体为用户级,客体为文件级或进程级,实际测评中不须要改。这项方法是为了可以更好的进行授权,便是一间城堡三个区,四百间屋子,我给你哪间屋子钥匙你就能进哪间,其他的进不去。(钥匙便是权限、屋子便是系统资源)
(7)安全标记开启强访问掌握。这时候无论是账户还是系统资源都是主体,访问须要双方授权,而不是单方面授权。这项须要借助第三方工具,没有钱是整改不了的,一样平常为必丢的分数。这项方法是为了在访问上再加一道安全锁。一间城堡两个人,四百间屋子,每间屋子里面都有个扣脚大汉。你手上拿着钥匙,大汉手上拿着可进入的职员名单。我给你哪间屋子钥匙你不一定能进,必须要你的名字同时在大汉手上的职员名单里,大汉才会让你进去。而且这里钥匙和名单也是“且”关系而不是“或”关系。
3、安全审计安全审计共四个测评项,包括日志审计启用及覆盖类型、审计记录完善度、审计记录存储、审计进程保护。
(1)日志审计启用及覆盖类型开启系统审计功能,审计类型包括系统运行状态、登录审计、访问审计、参数修正审计等,且审计该当要覆盖到所有的账户。这项方法是为了系统操作所有变革都可以有迹可循,说白了便是给系统开监控,做了什么、发生了什么都给记录下来。
(2)审计记录完善度审计要包括日期和韶光、用户、事宜类型、事宜结果等。如果是开的主机自身审计功能一样平常不须要改,该记录的系统的都自动记录了.但如果是借助第三方审计,比如什么日志剖析与审计系统之类的,可能有些版本老旧一些就随意马虎缺日期韶光什么的。这项方法便是要审计内容有效,能让正凡人或者剖析系统看懂发生了什么事。记录事宜至少要有韶光、人物、做了什么,假如一条日志记录记了韶光、人物,却没记做了什么,要这监控也没用…
(3)审计记录存储日志转存或定期备份,留存韶光(可追溯)知足180天。日志可以转存到日志审计系统或导出来备份。这项方法便是要记录可查,由于系统涌现故障可能不是本日或者昨天造成的,可能是十天半个前的缺点设置或者十天半月前就中病毒了,但现在问题才显现出来,这时候就须要查看之前的日志,找出涌现问题的缘故原由,或者做来源追溯。等保哀求的180天是有干系法律规定的,虽然韶光我以为很长,但是也没办法了。顺便要提一下,根据我不雅观查,系统全开审计的情形下,日志量是很大的,如果是存在主机本地,还是要谨慎设置,不然一个星期磁盘就满了,根本存不了180天。
(4)审计进程保护Linux系统开auditd,Windows系统默认符合。这项方法便是哀求审计不能被随意中断,按我的理解是须要给账户配权限,不要让普通账户可以关闭审计功能。但在等保里面会将auditd进程称为审计守护进程,如果是在主机自身进行审计,哀求开启这个进程。而windows则是默认符合的。没有实验过auditd开了和没开有什么差异,以是不理解,但无所谓,我可以照做,谁让我须要拿分呢…
4、入侵戒备主机入侵戒备共六个测评项,但实际主机测评中只须要测五项,包括最小化安装、关闭多余做事和高危端口、接入地址限定、漏洞扫描、入侵检测,不适用的一项是数据输入有效性校验。
(1)最小化安装卸载不须要的程序、软件。这项方法是为了避免一些软件有漏洞或者后续被创造有漏洞,进而被攻击者利用,以是哀求不须要用到的软件、插件全部都不许可安装。
(2)关闭多余做事和端口关闭系统默认开启但不须要用到的一些进程、端口。如Linux的telnet,Windows的默认共享、高危端口135、445、137-139等等。这项方法和上面最小化安装的目的差不多,紧张是防止攻击者利用这些端口攻击打算机或者传染打算机病毒,非要说有什么其他用场,可能是不开就不占运行内存吧。
(3)接入地址限定远程管理终真个接入地址范围,仅许可特地IP远程登录。在这处的整改可以通过网络策略限定,也可以通过主机自身的访问策略设置。这项方法是为了避免打算机被考试测验造孽访问,如果主机对所有网络都开放访问,那不就所有人都可以考试测验登录你的系统主机。限定了可访问的地址仅你们办公室地址或者指定单个IP,就可以在一定程度上减少主机被攻击者考试测验访问的风险。
(4)漏洞扫描定期对主机进行漏洞扫描,扫描出有高危就修复。这项方法是为了避免系统存在已知漏洞被攻击者利用。等保测评中一方面哀求定期做漏扫,另一方面会在现场对系统再做一次漏扫,有高危就须要修复,有些漏扫设备报的高危也不一定便是高危,如果实际测试这个漏洞不好利用,是可以降风险为中危的。
(5)入侵检测主机上安装入侵检测工具,可进行入侵检测和报警。这项方法是为了在系统被入侵时能及时创造。在我们实际系统支配中我们一样平常把入侵检测支配在网络层,比如在紧张网络节点上加装一台NIPS。但我们系统同一个网络区比如说多台做事器之间或者做事器和运维办公室之间也是存在数据流的,而些数据流不一定都能经由网络上支配的NIPS,以是等保上哀求在每台主机上也安装有入侵检测工具。当前很多厂商的EDR、IPS都可以通过在主机上安装插件实现联动管理。
5、恶意代码范主机恶意代码戒备只有一个测评项,病毒戒备。
(1)病毒戒备在主机上安装杀毒软件。这项方法便是为了防病毒,跟我们平时自己电脑上装个360、火绒什么的一样。须要把稳的是我们大多数系统的主机一样平常都是支配在内网中,这样它的病毒特色库是不会自动更新的,测评中会看我们的病毒库是不是最新版,以是须要定期***离线包进行更新。
6、可信验证主机可信验证也是只有一个测评项。
(1)可信验证主机上安装可信根、可信芯片等在系统运行提高行可信验证。这项方法该当来说是防病毒和防修改的,哀求在系统运行前就先对系统做一次验证。但不得不说可信根、可信芯片这种东西先不说它技能在民用方面是否成熟,就算有,每台设备都要装,也是买不起的呀。可以说是等保的必丢分数了。
7、数据完全性主机数据完全性涉及两个测评项,包括数据传输完全性、数据存储完全性。
(1)数据传输完全性利用SSH、RDP进行远程管理。这项方法是为了避免数据传输过程大量丢包或被截获修改后重放,也便是对传输协议有一定哀求。做事器上的主要数据包括它的配置数据、鉴别数据,这些数据传输紧张是在远程运维时,以是对远程管理所用的协议作出哀求。至于主机上存储的运用系统的业务数据也是主要数据,但业务数据会被归类到运用系统去测评,在主机测评里不做哀求。
(2)数据存储完全性利用第三方工具进行存储完全性校验。这项方法是为了担保数据的完全性,在主机中鉴别数据存储会默认有一个加密算法,Linux是SHA512,Windows是NTLMHash,但这两个算法对鉴别信息的浸染到底是保密还是校验是存在争议的,以是这分可能得可能不得,要看测评机构的标准。而配置数据存储完全性,须要借助第三方工具完成,一样平常在三级系统里都做不到。
8、数据保密性主机数据完全性涉及两个测评项,包括数据传输保密性、数据存储保密性。
(1)数据传输保密性利用SSH、RDP(RDP把稳要开启加密)进行远程管理。这项方法是为了避免数据传输过程被截获后读取,也便是不能明文传输。做事器上的主要数据包括它的配置数据、鉴别数据,但是配置数据是没有保密性哀求的(配置数据存储同样没有保密性哀求),以是要看的只是远程管理时鉴别数据的加密。
(2)数据存储保密性利用密码算法对鉴别数据(账号的密码)进行存储加密。这项方法是为了担保数据的完全性,在主机中鉴别数据存储会默认有一个加密算法,Linux是SHA512,Windows是NTLM Hash。
9、数据备份规复主机数据备份规复涉及三个测评项,而实际测评当中只需测两个,包括数据定期备份、设备冗余,不适用项是异地备份。
(1)定期备份对主机的紧张配置数据进行定期备份,并定期进行备份规复测试。这项方法是为了当主机配置遭到毁坏或修改时能根据备份的数据快速规复系统功能,备份规复测试则是为了确保备份文件是有效的,不然真的要用的时候创造一堆备份文件没一个是能用的就塌台了。至于什么是紧张配置数据,这个须要根据你须要的功能去识别,比如说是一台搭运用的做事器,那设置了开放端口、脚本的文件便是紧张配置文件。而实际利用或备份操作当中很难把某些配置文件单独进行备份(须要用备份工具),乃至可能配置文件全都备份了,到要做规复的时候实在也没什么用,本来就几个配置项,还不如手动重新配。而且进行备份规复测试的话也不可能在利用着的做事器上直接测试,须要其余花大本钱搭测试环境。以是如果是虚拟做事器就定期做个快照,物理做事器的话这分可以放弃,不用这么折腾。
(2)设备冗余主要设备进行双机热冗余支配或集群支配。这项方法是为了当一台设备出问题时另一台设备能支撑起功能,不影响系统连续运行,一样平常在主机测评里把运用做事器、数据库做事器作为主要设备看待。在一些哀求高可用的系统里(比如民生、金融、主要工业等大型系统),会哀求所有会影响业务利用的做事器都须要做热冗余。这里须要把稳,热冗余和冷备份是有差异的,一个可能是同时运行(或无缝衔接),一个是一台挂掉后再启用另一台。
10、剩余信息保护主机剩余信息保护涉及两个测评项,包含鉴别信息存储空间打消、敏感数据存储空间打消。
(1)鉴别信息存储空间打消打消登录界面的账户名和口令,windows开启“交互式登录:不显示末了的用户名”。这项方法的本意是鉴别信息打消时要担保硬盘或内存上的存放的鉴别信息要完备打消。以我个人的理解这项实在是为了防止通过技能手段对数据进行规复,从而获取数据,就像我们平时电脑上删除的数据如果没有覆盖掉实在是可以规复的一样。而在实际操作当中要怎么去鉴别数据真的完备被打消了呢?用工具?看操作系统的开拓文档有没有写?写了就一定是真的吗?太困难,以是衍生了一个靠近但又不完备是的测评方法——用户退出后打消登录界面的账户名和密码以及授权信息。Linux一样平常用SSH,不要记住密码就可以了,windows有个配置项是“交互式登录:不显示末了的用户名”要开启。
(2)敏感数据存储空间打消windows开启“关机:打消虚拟内存页面文件”,Linux配置HISTSIEZ参数。这项方法和上一项鉴别信息存储空间打消是类似的目的,只不过范围扩大了一点,上一项是紧张对鉴别信息,而这一项是对所有的敏感数据(配置数据、操作指令、存储的主要数据等),发展过程也和上一项差不多,说白了便是实际太难操作。测评中会检讨windows的“关机:打消虚拟内存页面文件”配置,Linux的HISTSIEZ参数配置。
以上是三级等保测评主机涉及的所有测评项。测评当中的涉及设备测评(网络设备、安全设备)都是大同小异的。整篇文章可参考,但不一定精确,有缺点的地方欢迎示正。
