等級保護測評:主機安全
本篇將會介紹等級保護中對主機層面的安全要求,文中內容全是本人個人觀點,如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎,從合規(guī)角度解讀要求。
正文
本部分從主機安全層面解讀標準要求。部分內容與網絡部分會有重疊,要求一樣,但是基于主機層面的。
7.1.3.1 身份鑒別(S3)
a) 應對登錄操作系統(tǒng)和數據庫系統(tǒng)的用戶進行身份標識和鑒別;
b) 操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點,口令應有復雜度要求并定期更換;
c) 應啟用登錄失敗處理功能,可采取結束會話、限制非法登錄次數和自動退出等措施;
d) 當對服務器進行遠程管理時,應采取必要措施,防止鑒別信息在網絡傳輸過程中被竊聽;
e) 應為操作系統(tǒng)和數據庫系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。
f) 應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。
身份鑒別部分要求基本同網絡設備一樣,重點在于:
1) 用戶身份標識唯一,用戶名具有一定代表性,內部人員能夠從名稱分辨賬戶用于哪些系統(tǒng)或操作;不同權限/分組或系統(tǒng)的用戶名原則上不能重復,不能多人使用;
2) 密碼8位以上(含8位),至少包含3種字符的組合;(這里提一句,最近都在宣傳無密碼登錄系統(tǒng)和管理平臺,預計未來會成為趨勢,好處是可以不用再去記復雜的密碼,也可以防止爆破、撞庫一類的盜號行為,系統(tǒng)也不用存儲用戶的密碼信息。
3) 主機同樣要做好登陸失敗處置策略,要求(1)密碼輸入超過N此后,自動鎖定該賬戶M分鐘(通常是N=5,M>15,只是建議,不是要求);(2)登陸后無操作,S分鐘后要自動斷開(一般是S<5);
4) 如無特殊業(yè)務需求,不建議開放遠程管理接口;如果需要,不能采用直接登陸方式,要先登陸堡壘機(或者先跳板機再轉堡壘機;再或者非重要服務器,至少要先登陸跳板機而后再訪問服務器),再訪問需要操作的服務器;并且連接路徑必須進行加密;
5)主機登陸同樣采用雙因素認證(堡壘機)。
7.1.3.2 訪問控制(S3)
a) 應啟用訪問控制功能,依據安全策略控制用戶對資源的訪問;
b)應根據管理用戶的角色分配權限,實現(xiàn)管理用戶的權限分離,僅授予管理用戶所需的最小權限;
c)應實現(xiàn)操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限分離;
d)應嚴格限制默認帳戶的訪問權限,重命名系統(tǒng)默認帳戶,修改這些帳戶的默認口令;
e)應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。
f) 應對重要信息資源設置敏感標記;
g) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作;
訪問控制部分要求的也比較多,逐條說明。
a) 這里的資源指的是客體(信息),就是對于不同用戶的訪問權限要進行控制,避免越權;
b) 此項也是強調越權,要求最小化權限分配,只要能夠滿足工作需要即可,盡可能細化權限管理(網絡和安全設備上這點不太容易做,但是主機層面是可以的,只是大家嫌麻煩都不愿意去做);提到的權限分離,就是避免一個賬戶擁有過多權限(比如超管,管理員賬戶),一般情況對于這種高權限賬戶使用前都是要走流程的,不會作為日常運維的賬戶來使用;
c) 此項是說系統(tǒng)和數據庫賬戶不能由同一賬戶管理;舉個例子,以前安裝MS SQL的時候,會問你是不是要創(chuàng)建混合登錄賬戶,就是可以以windows賬戶登錄數據庫,這種設置一般不建議;
d) 通常的做法就是直接禁用默認賬戶,如果非要用,那就重命名賬戶并設置復雜度較高的密碼,然后再行使用;
e) 此項是很多企業(yè)容易犯的錯誤,各種外包,各種測試環(huán)境,測完系統(tǒng)交付了,之前的環(huán)境就沒人管理了,不只是多余賬號,有的測試環(huán)境可以訪問生產網和辦公網,開了臨時接口也沒關,沒有防護措施,很容易被人作為跳板黑掉;就是缺乏對資產和流程的管理,產生邊緣資產,沒有人知道這些資產的狀況;這點其實很重要,引申出來的問題不僅僅是多余賬戶的事情;
f) 這項基本來說,大多數企業(yè)是直接放棄的,因為這項要求一般分數不是很高,但做起來比較困難;敏感標記包含物理和技術兩個方面(個人了解到的),敏感信息存儲的設備和介質,你在其上貼了機密描述的標簽,這也算做了物理層面的敏感標記;技術上,敏感信息在數據中插入自定義的標簽或標識,做數據分類,這種也是敏感標記;當年能做這些的公司不多,但從當前來看是很有必要的,最近幾年都在吹的數據生命周期,其中就包含了要求所述的內容;
g) 前面提到的是關于讀的問題,這里說的是寫的問題;就是做好權限管理,既不能越權去讀,也不能越權去寫。
7.1.3.3 安全審計(G3)
a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數據庫用戶;
b)審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件;
c)審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等;
d)應能夠根據記錄數據進行分析,并生成審計報表;
e)應保護審計進程,避免受到未預期的中斷;
f)應保護審計記錄,避免受到未預期的刪除、修改或覆蓋等。
主機安全審計部分要求類似網絡部分,個別部分有些區(qū)別。
1) 審計范圍除了系統(tǒng)自身所涉及的服務器外,還要求要能夠審計到重要客戶端的系統(tǒng)用戶和數據庫用戶操作;起初以為是像淘寶那樣,要求審計每個用戶的了瀏覽、購買、登錄、退出等記錄,其實是想多了;這里要求其實是系統(tǒng)所關聯(lián)的服務器以及能夠訪問系統(tǒng)后臺的終端的審計;比如管理員可以通過自己的PC訪問系統(tǒng)后臺,那么這臺PC的日志都要留存,并能夠審計;
2) 對于操作的審計比較好理解,就是要全面,能記錄的有用信息都要記錄,便于后續(xù)審計和安全事件的溯源;標準中提到的審計報表,就是根據日志,對操作、訪問、異常行為等進行匯總統(tǒng)計,進行趨勢的分析,形成報告,這也是檢查時要查看的;
3) 這里是對日志和審計記錄/報告的保護,要留存至少6個月的記錄,且有專人管理,有場外備份,能夠保證記錄完整性。
7.1.3.4 剩余信息保護(S3)
a) 應保證操作系統(tǒng)和數據庫系統(tǒng)用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬盤上還是在內存中;
b) 應確保系統(tǒng)內的文件、目錄和數據庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除。
本項要求,也是關于敏感信息泄露的防護措施。從幾個方向來看吧:
1) 緩存和RAM類存儲還好說,一般重啟或多讀取點信息,之前的內容就沒了;這種信息泄露基本都是基于動態(tài)的,系統(tǒng)運行過程中,被黑了才能拿到數據,等保三的層面沒有要求到這么高,所以不會有硬性要求;
2) 存儲介質(磁盤、U盤等)方面,如果再次投入使用,必須要做好數據清理工作,目前企業(yè)大多數還沒富裕到用完就報廢的水平,所以大多都是格式化然后分配給其他部門或人繼續(xù)使用;但眾所周知,即使低格后,很多數據還是可以恢復過來的,一般大公司的做法就是,格式化,然后滿格重復寫入垃圾數據(3-7次,看實際情況);這樣操作,基本上普通的恢復方式,恢復的大多是垃圾數據,對于大多企業(yè)來說足矣;再一方面就是磁帶、CD,這類介質還是建議一次性使用,用完直接銷毀,本身成本也不高,企業(yè)沒必要為了這點錢重復使用。
3) 虛擬存儲方面,這部分在老標準中沒有要求,但是等保2.0有明確提出,其實是在資源控制部分的要求項,應保證分配給虛擬機的內存空間僅供其獨占訪問,虛擬機僅能使用為其分配的計算資源。具體技術手段,這里寫不下,我也不是做底層的,所以推薦一篇論文,有興趣的可以看看。
《虛擬機檢測技術研究》 王寶林,楊明,張永輝(解放軍理工大學 指揮自動化學院,江蘇 南京)
7.1.3.5 入侵防范(G3)
a) 應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源 IP 、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警;
b) 應能夠對重要程序的完整性進行檢測,并在檢測到完整性受到破壞后具有恢復的措施;
c) 操作系統(tǒng)應遵循最小安裝的原則,僅安裝需要的組件和應用程序,并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。
主機入侵防范涉及的技術太多了,這里主要說下等保要求。
a) IPS搞定一切,做好和監(jiān)控平臺的聯(lián)動就OK,能夠短信或郵件告警;
b) 個人理解,類似于WAF的網頁防篡改,周期性去爬頁面進行對比,完整性校驗,有問題馬上可以預警,這是前半部分;后半部分還要求具有恢復措施,就是應急預案和應急響應團隊,尤其是政府類站點,非常重視此類問題,一旦出現(xiàn)篡改,都會馬上啟動應急響應工作;
c) 系統(tǒng)最小安裝原則,說了多少年的事,沒什么需要討論的;后半句,就是打補丁要及時,有些主機1年不打補丁,在當前這種趨勢環(huán)境下,我覺得管理者的心也是夠大的;做安全運營和管理,還是要講求謹小慎微,不怕細致,穩(wěn)中發(fā)展,不能以不出事就行,出事再說的心態(tài)。(這里還有個別情況,就是系統(tǒng)老舊,一旦打了新補丁系統(tǒng)就無法運行,影響業(yè)務。對于這類系統(tǒng),建議企業(yè)還是趁早重新設計研發(fā)新系統(tǒng),除非你的系統(tǒng)不需要對外連接,純封閉在內網的,否則被黑是遲早的事)
7.1.3.6 惡意代碼防范(G3)
a) 應安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫;
b) 主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫;
c) 應支持防惡意代碼的統(tǒng)一管理。
惡意代碼防范其實在主機層面比較容易理解,第一是正版安全軟件(殺軟或者HIDS類產品),不要覺得安個盜版應付一下就OK了,按正常要求作為企業(yè)不允許使用盜版軟件,只是現(xiàn)在查的不嚴,哪天嚴起來怕是要后悔的;軟件版本和病毒庫更新要及時,不能用IPS或FW上的惡意代碼模塊代替安全軟件,要使用不同的特征庫;再就是針對軟件要進行統(tǒng)一管理,不能按人或按部門管理。(多說幾句,這里有企業(yè)反映過,linux系統(tǒng)安全,一般不用裝殺毒軟件,但事實證明,都是屁話,中招后爽了吧?再一方面,怕殺軟誤刪系統(tǒng)文件,導致業(yè)務暫停,這種情況確實存在,但是無論個人版還是企業(yè)版的殺軟可以自己定義策略,怕出問題都設置成告警,手動處理就好了,根據業(yè)務情況,及時更改策略,有些是真實請求的可以加白名單)
7.1.3.7 資源控制(A3)
a) 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄;
b)應根據安全策略設置登錄終端的操作超時鎖定;
c)應對重要服務器進行監(jiān)視,包括監(jiān)視服務器的 CPU 、硬盤、內存、網絡等資源的使用情況;
d)應限制單個用戶對系統(tǒng)資源的最大或最小使用限度;
e)應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警 。
在老等保標準中對于資源控制還是比較容易理解的,而且也容易實現(xiàn),簡單描述一下。
a) 能夠登錄堡壘機或跳板機的主機數量不能過多,而且要限制只允許某幾個IP登錄;
b) 服務器賬戶無操作,N分鐘后自動鎖屏(建議:通??梢栽O置5-15分鐘,最長不要超過30分鐘);
c) 現(xiàn)在一些大的機房都有監(jiān)控平臺,即使沒有也可以用一些開源工具自己搭一個;
de) 主機層面的SLA,設置不同用戶對系統(tǒng)資源調用的閾值;e中的要求可以在監(jiān)控平臺設置預警。
結尾
以上是主機安全部分的要求。推薦標準《YD/T 2701-2014》,有興趣的可以看下。