等保测评之主机测评详解(二级)

  • 等保测评之主机测评详解(二级)
  • 服务器——Windows

身份鉴别:

测评项a):

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

整改方法:

控制面板——小图标——管理工具——本地安全策略——账户策略——密码策略;

1、密码必须符合复杂性要求;   已启用  
2、密码长度最小值;    12个字符  
3、密码最长使用期限;   42天  
4、密码最短使用期限;  2天  
5、强制密码历史;   5个记住密码  
6、密码永不过期属性。  未勾选“密码永不过期” 

测评项b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

控制面板——小图标——管理工具——本地安全策略——账户策略——账户锁定策略

测评项c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

主机的远程登录只能通过阿里云、腾讯云登陆,且登录只能为https协议

访问控制:

测评项a)应对登录的用户分配账户和权限;

要求点 1:登录用户分配账户

要求点 2:登录用户账户分配权限

计算机管理——用户和组——添加账户且分配权限——设置密码(密码符合上面要求)

测评项b) 应重命名或删除默认账户,修改默认账户的默认口令;

删除默认账户admin、user,或者修改admin账户名字

测评项c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

字面意思

测评项d)应授予管理用户所需的最小权限,实现管理用户的权限分离。

 每一个管理员用户设定一个权限,且管理员权限分离

安全审计:

测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

控制面板——管理工具——本地安全策略——本地策略——审核策略——策略的安全设置全部改为成功失败

测评项b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

测评项c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其存储文件分别是:

这三个文件的权限,在windows2008 r2中默认为:

三个文件的所有者均为:LOCAL SERVICE

eventlog应该是Windows里的一个内置安全体。

也就是从默认情况来看,只有隶属于administrators组的用户才拥有直接对文件进行删除的权限。

事件查看器权限:

在对于隶属于user的普通用户无权查看安全日志,其余日志可看但无法操作。

入侵防范:

测评项a)应遵循最小安装的原则,仅安装需要的组件和应用程序

测评项b)应关闭不需要的系统服务、默认共享和高危端口;

测评项c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

测评项d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;

测评项e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

整改方法:

验证检查:  

1、询问是否安装了主机入侵检测系统,并进行适当的配置;  

2、查看是否对入侵检测系统的特征库进行定期升级;  

3、查看是否在检测到严重入侵事件时提供报警。 

4、询问是否对关键程序的完整性进行校验; 

5、管理工具—服务—查看可以使用的服务  

6、监听端口,命令行输入“netstat -an”  

7、“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”

建议整改:

策略修改:

1、仅开启需要的服务端口(135 137 139 445等端口建议不开启,若业务需要,应做好系统相应补丁)  
2、关闭不需要的组件和应用程序,仅启用必须的功能  
3、关闭默认共享文件 

设备和服务部署:

1、物理机房:部署IDS、IPS  
2、上云服务器(如阿里云):部署安骑士或态势感知、web应用防火墙、抗DDoS

恶意代码防范:

测评项a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

  1. 查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否超过一个月。
  2. 询问系统管理员是否有统一的病毒更新策略和查杀策略。
  3. 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
  4. 询问系统管理员当发现病毒入侵行为时,如何发现,如何有效阻断等,报警机制等。
  5. 查看系统中采取何种可信验证机制,访谈管理员实现原理等。

可信验证:

测评项a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

数据完整性:

a)应采用校验技术保证重要数据在传输过程中的完整性。

1.服务器在阿里云上使用https协议进行通信,可保证重要数据在传输过程中的完整性。

2.服务器不在阿里云上采用rdp协议远程登录,并且禁用telnet。

数据备份恢复:

测评项a)应提供重要数据的本地数据备份与恢复功能;

测评项b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。

剩余信息保护:

测评项a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

测评方法:

  1. 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“账户策略”->“密码策略”,查看“用可还原的加密来存储密码”是否禁用。
  2. 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“本地策略”中的[安全选项]查看是否启用“关机:清除虚拟内存页面文件”。

Linux服务器

身份鉴别:

测评项a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

测评要求:

1) 应核查用户在登录时是否采用了身份鉴别措施;
2) 应核查用户列表,核查用户身份标识是否具有唯一性;
3) 应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户;
4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。

测评方法:

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

1)在root权限下,使用命令cat查看/etc/shadow文件中的用户名状态,要删除或停用多余的、过期的账户,不能存在空口令账户。

2)以 root 身份登录进入Linux, 查看文件内容:#cat /etc/login.defs,查看密码长度、密码有效期相关参数。

PASS_MAX_DAYS 90  #登录密码有效期应设置为90天以内;

PASS_MIN_LEN 8#登录密码最小长度应设置为8位以上

3)使用# cat /etc/pam.d/system-auth命令,查看密码复杂度命令。

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1) 以 root 身份登录进入Linux, 查看文件内容:# cat /etc/pam.d/system-auth

deny参数的值不要大于5次;unlock-time参数不要小于15分钟

2) 查看/etc/profile中的TIMEOUT环境变量,要配置超时锁定参数

export TMOUT参数的值不要大于30分钟

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

要修改root账户的口令,并禁止root用户远程登录,使用cat查看/etc/ssh/sshd_config文件中的“PermitRootLogin”参数设置为“no”,即:PermitRootLogin  no,即不许可root远程登录。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户。

管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

审计员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

安全员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

安全审计- c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

审计日志应定期进行了场外备份,如部署日志服务器,定期将审计日志存入日志服务器。

入侵防范- a)应遵循最小安装的原则,仅安装需要的组件和应用程序;

使用命令“yum list installed”查看操作系统中已安装的程序包,删除目前不需要的组件和应用程序,应用系统和数据库最好不要放在一台服务器里。

入侵防范- b)应关闭不需要的系统服务、默认共享和高危端口;

以有相应权限的身份登录进入Linux,使用命令“netstat -ntlp(展示当前开放的全部端口)”查看并确认是否开放的端口都为业务需要端口,关闭非必需的端口。

恶意代码防范- a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

建议在服务器上安装杀毒软件,如:clamav杀毒软件,做到定期杀毒,并定期更新软件版本和病毒库版本,或是购买阿里云云安全中心企业版,进行定期查杀,并解决下图的风险值。

数据备份恢复- a)应提供重要数据的本地数据备份与恢复功能;

要对本地数据进行备份,提供本地数据的备份策略,并要对备份的数据进行恢复测试,保证备份数据可用性。 

数据备份恢复- b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

要能够提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

数据备份恢复- c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

建议对服务器进行热备部署,保证系统的高可用性,或是在阿里云上进行快照备份,建立自动快照策略,备份方式为全备,在发生问题,能够及时进行恢复。

 运维终端(Windows)

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

控制面板-管理工具-本地安全策略-账户策略-密码策略

要求:密码必须符合复杂性要求     已启用

      密码长度最小值             8个字符

      密码最短使用期限           1天

      密码最长使用期限           不高于90天

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1) 控制面板-管理工具-本地安全策略-账户策略-账户锁定策略

2) 登录连接超时

右键点击桌面->“个性化” ->“屏幕保护程序”

访问控制- a)应对登录的用户分配账户和权限;

要对登录的用户进行权限划分,

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

重命名或禁用administrator账户,禁用guest账户,并删除多余的、过期的账户。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户

安全审计- a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

控制面板-管理工具-本地安全策略-本地策略-审核策略

全部审核策略改为成功、失败

安全审计- b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

控制面板-管理工具-事件查看器-Windows日志

查看是否有相应的审计日志。

入侵防范- a)应遵循最小安装的原则,仅安装需要的组件和应用程序;

控制面板-管理工具-组件服务-服务(本地)

1) 删除目前不需要的组件和应用程序。

2)控制面板-程序与功能-查看已安装的更新,要升级到最新版本

入侵防范- b)应关闭不需要的系统服务、默认共享和高危端口;

在命令行输入“netstat –an”,查看列表中的监听端口,是否包括高危端口,如TCP 135、139、445、593、1025端口,UDP 135、137、138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口,关闭这些端口。

入侵防范-e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

要在运维终端上安装杀毒软件,定期进行杀毒,并将杀毒软件升级到最新的版本

恶意代码防范- a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

要在运维终端上安装杀毒软件,定期进行杀毒,并将杀毒软件升级到最新的版本。

数据库:

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

要对登录的用户进行身份鉴别,用户登录密码要具有复杂度要求,密码长度不少于8位,密码组成为大小写字母、数字和特殊字符,密码定期更换时间不长于90天。

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

要具有登录失败处理能力,如:登录失败3次后,锁定账户10分钟;设置登录连接超时时间为30分钟。

访问控制- a)应对登录的用户分配账户和权限;

要对登录的用户进行权限划分,

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

要重命名默认账户,并修改默认口令,或是删除或禁用默认账户。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户。

安全审计- a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

审计范围要覆盖到每个用户,并能对用户的登录、删除和修改等用户行为和重要安全事件进行审计

安全审计- b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

数据库要有审计记录产生,审计日志要包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

安全审计- c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

审计日志应定期进行了场外备份,如部署日志服务器,定期将审计日志存入日志服务器。

数据完整性- b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性- b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

建议采用密码技术保证重要数据在存储过程中的完整性和保密性,(如:使用AES、RSA、3DES等)包括但不限于鉴别数据、重要业务数据和重要个人信息等。用户个人信息不能是以明文的形式进行存储的。

数据备份恢复- a)应提供重要数据的本地数据备份与恢复功能;

要对本地数据进行备份,提供本地数据的备份策略,并要对备份的数据进行恢复测试,保证备份数据可用性。

数据备份恢复- b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

要能够提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

个人信息保护- b)应禁止未授权访问和非法使用用户个人信息。

要对采集的用户个人信息进行加密存储或是对存储用户个人信息文件进行权限设置,只允许管理员进行访问。

应用系统:

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

要对登录的用户进行身份鉴别,用户登录密码要具有复杂度要求,密码长度不少于8位,密码组成为大小写字母、数字和特殊字符,密码定期更换时间不长于90天。

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

要限制用户的非法登录次数,如:登录失败3次后,锁定账户10分钟。

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

要重命名默认账户并修改默认口令,或是删除或禁用默认账户。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户。

安全审计- c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

审计日志是否定期进行了场外备份,如部署日志服务器,定期将审计日志存入日志服务器。

数据完整性- b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性- b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

建议采用密码技术保证重要数据在存储过程中的完整性和保密性,(如:使用AES、RSA、3DES等)包括但不限于鉴别数据、重要业务数据和重要个人信息等。用户个人信息不能是以明文的形式进行存储的。

数据备份恢复- a)应提供重要数据的本地数据备份与恢复功能;

要对本地数据进行备份,提供本地数据的备份策略,并要对备份的数据进行恢复测试,保证备份数据可用性。

数据备份恢复- b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

要能够提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

个人信息保护- b)应禁止未授权访问和非法使用用户个人信息。

要对采集的用户个人信息进行加密存储或是对存储用户个人信息文件进行权限设置,只允许管理员进行访问。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/642022.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HTTP慢连接攻击的原理和防范措施

随着互联网的快速发展,网络安全问题日益凸显,网络攻击事件频繁发生。其中,HTTP慢速攻击作为一种隐蔽且高效的攻击方式,近年来逐渐出现的越来越多。 为了防范这些网络攻击,我们需要先了解这些攻击情况,这样…

Java、Spring、Dubbo三者SPI机制原理与区别

Java、Spring、Dubbo三者SPI机制原理与区别 什么是SPI SPI全称为Service Provider Interface,是一种动态替换发现的机制,一种解耦非常优秀的思想,SPI可以很灵活的让接口和实现分离,让api提供者只提供接口,第三方来实…

用户实践:从 HBase 升级为OceanBase,仟传实现110000 TPS的千亿级KV性能优化

本文作者:仟传网络科技技术专家 刘贵宗 & 肖旺生 一、业务需求及选型背景 仟传网络科技(TargetSocial),是国内知名的内容社交平台整合营销服务商,为企业级客户提供高效的KOL(关键意见领袖)…

牛客周赛 Round 40(A,B,C,D,E,F)

比赛链接 官方讲解 这场简单,没考什么算法,感觉有点水。D是个分组01背包,01背包的一点小拓展,没写过的可以看看,这个分类以及这个题目本身都是很板的。E感觉就是排名放高了导致没人敢写,本质上是个找规律…

Python 基于 OpenCV 视觉图像处理实战 之 OpenCV 简单人脸检测/识别实战案例 之一 简单人脸识别

Python 基于 OpenCV 视觉图像处理实战 之 OpenCV 简单人脸检测/识别实战案例 之一 简单人脸识别 目录 Python 基于 OpenCV 视觉图像处理实战 之 OpenCV 简单人脸检测/识别实战案例 之一 简单人脸识别 一、简单介绍 二、简单人脸识别实现原理 三、简单人脸识别案例实现简单步…

【漏洞复现】锐捷 EG易网关 phpinfo.view.php 信息泄露漏洞

0x01 产品简介 锐捷EG易网关是一款综合网关产品,集成了先进的软硬件体系构架,并配备了DPI深入分析引擎、行为分析/管理引擎。这款产品能在保证网络出口高效转发的基础上,提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。 …

Github首页美化(updating)

Github首页美化 https://github.com/QInzhengk一、新建仓库二、美化Github首页主页访问量统计仓库状态统计常用语言占比统计社交链接 界面展示 https://github.com/QInzhengk 一、新建仓库 对Github首页进行美化,需要新建一个仓库名和自己 Github 用户名相同的仓库…

yolo-驾驶行为监测:驾驶分心检测-抽烟打电话检测

在现代交通环境中,随着汽车技术的不断进步和智能驾驶辅助系统的普及,驾驶安全成为了公众关注的焦点之一 。 分心驾驶,尤其是抽烟、打电话等行为,是导致交通事故频发的重要因素。为了解决这一问题,研究人员和工程师们…

kubernetes部署控制器Deployment

一、概念 在学习rc和rs控制器资源时,这两个资源都是控制pod的副本数量的,但是,他们两个有个缺点,就是在部署新版本pod或者回滚代码的时候,需要先apply资源清单,然后再删除现有pod,通过资源控制&…

南京邮电大学数学实验A答案 | 《MATLAB数学实验》第三版课后习题答案

数学实验A 本仓库收集了2024年我在学习《数学实验A》课程期间完成的作业。课程使用的教材为《MATLAB数学实验》第三版,作者为胡良剑和孙晓君教授。 这个资源库的建立初衷是为了帮助南京邮电大学的同学们在学习过程中有一个参考的依据,减少一些无端浪费…

微机原理实验二、编写一个程序,要求比较两个字符串STRING1和STRING2所含的字符是否相同,相同则显示“MATCH”,若不同则显示“NO MATCH”

微机原理实验二、编写一个程序,要求比较两个字符串STRING1和STRING2所含的字符是否相同,相同则显示“MATCH”,若不同则显示“NO MATCH” 实验目标: 编写一个程序,要求比较两个字符串STRING1和STRING2所含的字符是否相…

数字化校园引领未来

在当今科技日新月异的时代,数字化转型已成为各行各业的必然趋势,教育领域也不例外。随着信息技术的迅猛发展,数字化已经成为推动教育变革的重要力量,它不仅重塑了传统的教育模式,还为学生、教师以及整个教育生态系统带…