久久久亚洲精品成人,色五月丁香六月欧美综合,午夜影视啪啪免费体验区,噜噜综合亚洲AV中文无码

安全資訊

等級(jí)保護(hù)測評(píng):主機(jī)安全

本篇將會(huì)介紹等級(jí)保護(hù)中對(duì)主機(jī)層面的安全要求,文中內(nèi)容全是本人個(gè)人觀點(diǎn),如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ),從合規(guī)角度解讀要求。

正文

本部分從主機(jī)安全層面解讀標(biāo)準(zhǔn)要求。部分內(nèi)容與網(wǎng)絡(luò)部分會(huì)有重疊,要求一樣,但是基于主機(jī)層面的。

7.1.3.1 身份鑒別(S3)

a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別;

b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn),口令應(yīng)有復(fù)雜度要求并定期更換;

c) 應(yīng)啟用登錄失敗處理功能,可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施;

d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施,防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;

e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。

f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。

身份鑒別部分要求基本同網(wǎng)絡(luò)設(shè)備一樣,重點(diǎn)在于:

1) 用戶身份標(biāo)識(shí)唯一,用戶名具有一定代表性,內(nèi)部人員能夠從名稱分辨賬戶用于哪些系統(tǒng)或操作;不同權(quán)限/分組或系統(tǒng)的用戶名原則上不能重復(fù),不能多人使用;

2) 密碼8位以上(含8位),至少包含3種字符的組合;(這里提一句,最近都在宣傳無密碼登錄系統(tǒng)和管理平臺(tái),預(yù)計(jì)未來會(huì)成為趨勢,好處是可以不用再去記復(fù)雜的密碼,也可以防止爆破、撞庫一類的盜號(hào)行為,系統(tǒng)也不用存儲(chǔ)用戶的密碼信息。

3) 主機(jī)同樣要做好登陸失敗處置策略,要求(1)密碼輸入超過N此后,自動(dòng)鎖定該賬戶M分鐘(通常是N=5,M>15,只是建議,不是要求);(2)登陸后無操作,S分鐘后要自動(dòng)斷開(一般是S<5);

4) 如無特殊業(yè)務(wù)需求,不建議開放遠(yuǎn)程管理接口;如果需要,不能采用直接登陸方式,要先登陸堡壘機(jī)(或者先跳板機(jī)再轉(zhuǎn)堡壘機(jī);再或者非重要服務(wù)器,至少要先登陸跳板機(jī)而后再訪問服務(wù)器),再訪問需要操作的服務(wù)器;并且連接路徑必須進(jìn)行加密;

5)主機(jī)登陸同樣采用雙因素認(rèn)證(堡壘機(jī))。

7.1.3.2 訪問控制(S3)

a) 應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對(duì)資源的訪問;

b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;

c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離;

d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令;

e)應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。

f) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記;

g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作;

訪問控制部分要求的也比較多,逐條說明。

a) 這里的資源指的是客體(信息),就是對(duì)于不同用戶的訪問權(quán)限要進(jìn)行控制,避免越權(quán);

b) 此項(xiàng)也是強(qiáng)調(diào)越權(quán),要求最小化權(quán)限分配,只要能夠滿足工作需要即可,盡可能細(xì)化權(quán)限管理(網(wǎng)絡(luò)和安全設(shè)備上這點(diǎn)不太容易做,但是主機(jī)層面是可以的,只是大家嫌麻煩都不愿意去做);提到的權(quán)限分離,就是避免一個(gè)賬戶擁有過多權(quán)限(比如超管,管理員賬戶),一般情況對(duì)于這種高權(quán)限賬戶使用前都是要走流程的,不會(huì)作為日常運(yùn)維的賬戶來使用;

c) 此項(xiàng)是說系統(tǒng)和數(shù)據(jù)庫賬戶不能由同一賬戶管理;舉個(gè)例子,以前安裝MS SQL的時(shí)候,會(huì)問你是不是要?jiǎng)?chuàng)建混合登錄賬戶,就是可以以windows賬戶登錄數(shù)據(jù)庫,這種設(shè)置一般不建議;

d) 通常的做法就是直接禁用默認(rèn)賬戶,如果非要用,那就重命名賬戶并設(shè)置復(fù)雜度較高的密碼,然后再行使用;

e) 此項(xiàng)是很多企業(yè)容易犯的錯(cuò)誤,各種外包,各種測試環(huán)境,測完系統(tǒng)交付了,之前的環(huán)境就沒人管理了,不只是多余賬號(hào),有的測試環(huán)境可以訪問生產(chǎn)網(wǎng)和辦公網(wǎng),開了臨時(shí)接口也沒關(guān),沒有防護(hù)措施,很容易被人作為跳板黑掉;就是缺乏對(duì)資產(chǎn)和流程的管理,產(chǎn)生邊緣資產(chǎn),沒有人知道這些資產(chǎn)的狀況;這點(diǎn)其實(shí)很重要,引申出來的問題不僅僅是多余賬戶的事情;

f) 這項(xiàng)基本來說,大多數(shù)企業(yè)是直接放棄的,因?yàn)檫@項(xiàng)要求一般分?jǐn)?shù)不是很高,但做起來比較困難;敏感標(biāo)記包含物理和技術(shù)兩個(gè)方面(個(gè)人了解到的),敏感信息存儲(chǔ)的設(shè)備和介質(zhì),你在其上貼了機(jī)密描述的標(biāo)簽,這也算做了物理層面的敏感標(biāo)記;技術(shù)上,敏感信息在數(shù)據(jù)中插入自定義的標(biāo)簽或標(biāo)識(shí),做數(shù)據(jù)分類,這種也是敏感標(biāo)記;當(dāng)年能做這些的公司不多,但從當(dāng)前來看是很有必要的,最近幾年都在吹的數(shù)據(jù)生命周期,其中就包含了要求所述的內(nèi)容;

g) 前面提到的是關(guān)于讀的問題,這里說的是寫的問題;就是做好權(quán)限管理,既不能越權(quán)去讀,也不能越權(quán)去寫。

7.1.3.3 安全審計(jì)(G3)

a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;

b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;

c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等;

d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,并生成審計(jì)報(bào)表;

e)應(yīng)保護(hù)審計(jì)進(jìn)程,避免受到未預(yù)期的中斷;

f)應(yīng)保護(hù)審計(jì)記錄,避免受到未預(yù)期的刪除、修改或覆蓋等。

主機(jī)安全審計(jì)部分要求類似網(wǎng)絡(luò)部分,個(gè)別部分有些區(qū)別。

1) 審計(jì)范圍除了系統(tǒng)自身所涉及的服務(wù)器外,還要求要能夠?qū)徲?jì)到重要客戶端的系統(tǒng)用戶和數(shù)據(jù)庫用戶操作;起初以為是像淘寶那樣,要求審計(jì)每個(gè)用戶的了瀏覽、購買、登錄、退出等記錄,其實(shí)是想多了;這里要求其實(shí)是系統(tǒng)所關(guān)聯(lián)的服務(wù)器以及能夠訪問系統(tǒng)后臺(tái)的終端的審計(jì);比如管理員可以通過自己的PC訪問系統(tǒng)后臺(tái),那么這臺(tái)PC的日志都要留存,并能夠?qū)徲?jì);

2) 對(duì)于操作的審計(jì)比較好理解,就是要全面,能記錄的有用信息都要記錄,便于后續(xù)審計(jì)和安全事件的溯源;標(biāo)準(zhǔn)中提到的審計(jì)報(bào)表,就是根據(jù)日志,對(duì)操作、訪問、異常行為等進(jìn)行匯總統(tǒng)計(jì),進(jìn)行趨勢的分析,形成報(bào)告,這也是檢查時(shí)要查看的;

3) 這里是對(duì)日志和審計(jì)記錄/報(bào)告的保護(hù),要留存至少6個(gè)月的記錄,且有專人管理,有場外備份,能夠保證記錄完整性。

7.1.3.4 剩余信息保護(hù)(S3)

a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內(nèi)存中;

b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間,被釋放或重新分配給其他用戶前得到完全清除。

本項(xiàng)要求,也是關(guān)于敏感信息泄露的防護(hù)措施。從幾個(gè)方向來看吧:

1) 緩存和RAM類存儲(chǔ)還好說,一般重啟或多讀取點(diǎn)信息,之前的內(nèi)容就沒了;這種信息泄露基本都是基于動(dòng)態(tài)的,系統(tǒng)運(yùn)行過程中,被黑了才能拿到數(shù)據(jù),等保三的層面沒有要求到這么高,所以不會(huì)有硬性要求;

2) 存儲(chǔ)介質(zhì)(磁盤、U盤等)方面,如果再次投入使用,必須要做好數(shù)據(jù)清理工作,目前企業(yè)大多數(shù)還沒富裕到用完就報(bào)廢的水平,所以大多都是格式化然后分配給其他部門或人繼續(xù)使用;但眾所周知,即使低格后,很多數(shù)據(jù)還是可以恢復(fù)過來的,一般大公司的做法就是,格式化,然后滿格重復(fù)寫入垃圾數(shù)據(jù)(3-7次,看實(shí)際情況);這樣操作,基本上普通的恢復(fù)方式,恢復(fù)的大多是垃圾數(shù)據(jù),對(duì)于大多企業(yè)來說足矣;再一方面就是磁帶、CD,這類介質(zhì)還是建議一次性使用,用完直接銷毀,本身成本也不高,企業(yè)沒必要為了這點(diǎn)錢重復(fù)使用。

3) 虛擬存儲(chǔ)方面,這部分在老標(biāo)準(zhǔn)中沒有要求,但是等保2.0有明確提出,其實(shí)是在資源控制部分的要求項(xiàng),應(yīng)保證分配給虛擬機(jī)的內(nèi)存空間僅供其獨(dú)占訪問,虛擬機(jī)僅能使用為其分配的計(jì)算資源。具體技術(shù)手段,這里寫不下,我也不是做底層的,所以推薦一篇論文,有興趣的可以看看。

《虛擬機(jī)檢測技術(shù)研究》 王寶林,楊明,張永輝(解放軍理工大學(xué) 指揮自動(dòng)化學(xué)院,江蘇 南京)

7.1.3.5 入侵防范(G3)

a) 應(yīng)能夠檢測到對(duì)重要服務(wù)器進(jìn)行入侵的行為,能夠記錄入侵的源 IP 、攻擊的類型、攻擊的目的、攻擊的時(shí)間,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警;

b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測,并在檢測到完整性受到破壞后具有恢復(fù)的措施;

c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。

主機(jī)入侵防范涉及的技術(shù)太多了,這里主要說下等保要求。

a) IPS搞定一切,做好和監(jiān)控平臺(tái)的聯(lián)動(dòng)就OK,能夠短信或郵件告警;

b) 個(gè)人理解,類似于WAF的網(wǎng)頁防篡改,周期性去爬頁面進(jìn)行對(duì)比,完整性校驗(yàn),有問題馬上可以預(yù)警,這是前半部分;后半部分還要求具有恢復(fù)措施,就是應(yīng)急預(yù)案和應(yīng)急響應(yīng)團(tuán)隊(duì),尤其是政府類站點(diǎn),非常重視此類問題,一旦出現(xiàn)篡改,都會(huì)馬上啟動(dòng)應(yīng)急響應(yīng)工作;

c) 系統(tǒng)最小安裝原則,說了多少年的事,沒什么需要討論的;后半句,就是打補(bǔ)丁要及時(shí),有些主機(jī)1年不打補(bǔ)丁,在當(dāng)前這種趨勢環(huán)境下,我覺得管理者的心也是夠大的;做安全運(yùn)營和管理,還是要講求謹(jǐn)小慎微,不怕細(xì)致,穩(wěn)中發(fā)展,不能以不出事就行,出事再說的心態(tài)。(這里還有個(gè)別情況,就是系統(tǒng)老舊,一旦打了新補(bǔ)丁系統(tǒng)就無法運(yùn)行,影響業(yè)務(wù)。對(duì)于這類系統(tǒng),建議企業(yè)還是趁早重新設(shè)計(jì)研發(fā)新系統(tǒng),除非你的系統(tǒng)不需要對(duì)外連接,純封閉在內(nèi)網(wǎng)的,否則被黑是遲早的事)

7.1.3.6 惡意代碼防范(G3)

a) 應(yīng)安裝防惡意代碼軟件,并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫;

b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫;

c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。

惡意代碼防范其實(shí)在主機(jī)層面比較容易理解,第一是正版安全軟件(殺軟或者HIDS類產(chǎn)品),不要覺得安個(gè)盜版應(yīng)付一下就OK了,按正常要求作為企業(yè)不允許使用盜版軟件,只是現(xiàn)在查的不嚴(yán),哪天嚴(yán)起來怕是要后悔的;軟件版本和病毒庫更新要及時(shí),不能用IPS或FW上的惡意代碼模塊代替安全軟件,要使用不同的特征庫;再就是針對(duì)軟件要進(jìn)行統(tǒng)一管理,不能按人或按部門管理。(多說幾句,這里有企業(yè)反映過,linux系統(tǒng)安全,一般不用裝殺毒軟件,但事實(shí)證明,都是屁話,中招后爽了吧?再一方面,怕殺軟誤刪系統(tǒng)文件,導(dǎo)致業(yè)務(wù)暫停,這種情況確實(shí)存在,但是無論個(gè)人版還是企業(yè)版的殺軟可以自己定義策略,怕出問題都設(shè)置成告警,手動(dòng)處理就好了,根據(jù)業(yè)務(wù)情況,及時(shí)更改策略,有些是真實(shí)請(qǐng)求的可以加白名單)

7.1.3.7 資源控制(A3)

a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄;

b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定;

c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視,包括監(jiān)視服務(wù)器的 CPU 、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況;

d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度;

e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警 。

在老等保標(biāo)準(zhǔn)中對(duì)于資源控制還是比較容易理解的,而且也容易實(shí)現(xiàn),簡單描述一下。

a) 能夠登錄堡壘機(jī)或跳板機(jī)的主機(jī)數(shù)量不能過多,而且要限制只允許某幾個(gè)IP登錄;

b) 服務(wù)器賬戶無操作,N分鐘后自動(dòng)鎖屏(建議:通常可以設(shè)置5-15分鐘,最長不要超過30分鐘);

c) 現(xiàn)在一些大的機(jī)房都有監(jiān)控平臺(tái),即使沒有也可以用一些開源工具自己搭一個(gè);

de) 主機(jī)層面的SLA,設(shè)置不同用戶對(duì)系統(tǒng)資源調(diào)用的閾值;e中的要求可以在監(jiān)控平臺(tái)設(shè)置預(yù)警。

結(jié)尾

以上是主機(jī)安全部分的要求。推薦標(biāo)準(zhǔn)《YD/T 2701-2014》,有興趣的可以看下。

等級(jí)保護(hù)測評(píng)系列介紹

等級(jí)保護(hù)測評(píng)(一):物理安全

等級(jí)保護(hù)測評(píng)(二):網(wǎng)絡(luò)安全

等級(jí)保護(hù)測評(píng)(三):主機(jī)安全

等級(jí)保護(hù)測評(píng)(四):應(yīng)用與數(shù)據(jù)安全

等級(jí)保護(hù)測評(píng)(五):制度與人員安全

等級(jí)保護(hù)測評(píng)(六):系統(tǒng)建設(shè)管理

等級(jí)保護(hù)測評(píng)(七):系統(tǒng)運(yùn)維管理

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)

湖南省| 玉门市| 福海县| 杭州市| 浦江县| 固原市| 社旗县| 绵阳市| 应用必备| 水城县|