等级保护测评策略建议整改措施

 

主机安全

 服务器windows

身份鉴别

b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

整改方法：

修改配置策略：  
1、查看控制面板—管理工具—本地安全策略—账户策略—密码策略；  
2、查看控制面板—管理工具—计算机管理—系统工具—本地用户和组—用户—右键—属性—是否勾选“密码永不过期”。  
建议修改值：  
（一）策略修改  
1、密码必须符合复杂性要求；   已启用  
2、密码长度最小值；    12个字符  
3、密码最长使用期限；   42天  
4、密码最短使用期限；  2天  
5、强制密码历史；   5个记住密码  
6、密码永不过期属性。  未勾选“密码永不过期” 
（二）使用情况  
口令长度至少12位以上，由数字、特殊字符、字母（区分大小写）组成，每三个月定期进行修改

f)应采用两种或两种以上的组合的鉴别技术对管理用户进行身份鉴别。

•     整改方法：

•     验证检查：  
1、采用令牌、USB-KEY或智能卡等身份认证技术手段对用户进行身份鉴别  
建议整改：  
部署双因素产品或者堡垒机

访问控制

a)应启用访问控制功能，依据安全策略控制用户对资源的访问；

•     整改方法：

•     验证检查：  
是否能提供用户权限对照表，设置的用户权限是否与权限表一致。  
建议整改：  
完善用户权限表（纸质版或电子版）

•     c)应实现操作系统和数据库系统特权用户的权限分离；

•     整改方法：

•     验证检查：  
1、询问操作系统管理员与数据库管理员是否为同一人；  
2、检查操作系统管理员与数据库管理员是否使用不同的账户登录。  
建议整改：  
1、操作系统管理员与数据库管理员不为同一人； 
2、操作系统管理员与数据库管理员使用不同的账户登录。

•     f)应对重要信息资源设置敏感标记；

•     整改方法：

•     验证检查：  
1、询问主机管理员是否定义了主机中的重要信息资源；  
2、询问主机管理员，是否为主机内的重要信息设置敏感标记。  
建议整改：  
暂无

•     g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

•     整改方法：

•     验证检查：  
1、询问主机管理员是否定义了敏感标记资源的访问策略；  
2、查看有敏感标记的重要信息资源是否依据访问策略设置了严格的访问权限。  
建议整改：  
暂无

安全审计

•     a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；

•     b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

•     d)应能够根据记录数据进行分析，并生成审计报表；

•     F)应保护审计记录，避免受到未预期的删除、修改或覆盖等。

•     整体考虑

•     整改方法：

•     验证检查：  
1、查看控制面板—管理工具—本地安全策略—本地策略—审核策略；  
2、询问并查看是否有第三方审计工具或系统。 
建议整改：  
（一）策略修改  
   1、审核策略更改；   成功  
   2、审核登录事件；   成功，失败  
   3、审核对象访问；   成功，失败  
   4、审核过程跟踪；   成功，失败  
   5、审核目录服务访问；没有定义  
   6、审核特权使用；   成功，失败  
   7、审核系统事件；   成功  
   8、审核账户登录事件；   成功，失败  
   9、审核账户管理。   成功，失败  
（二）windows自身日志查看  
右键【我的电脑】/【此电脑】→【管理】→【事件查看器】→右键单击任一事件查看器→Windows日志，查看应用程序、安全、Setup、系统日志的时间是否满足存储6个月；同时点击应用程序、安全、Setup、系统日志右键【属性】，审计日志的存储大小设置满足需求，但不得低于64M（默认是20M），达到最大日志量后应选择日志满时将其存档，不覆盖事件（默认是按需要覆盖日志（旧事件优先））  
（三）设备部署  
1、物理机房：部署日志审计系统  
2、上云服务器（如阿里云）：日志服务

入侵防范

•     a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间

•     b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；

•     c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

•     整体考虑

•     整改方法：

•     验证检查：  
1、询问是否安装了主机入侵检测系统，并进行适当的配置；  
2、查看是否对入侵检测系统的特征库进行定期升级；  
3、查看是否在检测到严重入侵事件时提供报警。 
4、询问是否对关键程序的完整性进行校验； 
5、管理工具—服务—查看可以使用的服务  
6、监听端口，命令行输入“netstat -an”  
7、“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”  
建议整改：  
（一）策略修改  
1、仅开启需要的服务端口（135 137 139 445等端口建议不开启，若业务需要，应做好系统相应补丁）  
2、关闭不需要的组件和应用程序，仅启用必须的功能  
3、关闭默认共享文件  
（二）设备和服务部署  
1、物理机房：部署IDS、IPS  
2、上云服务器（如阿里云）：部署安骑士或态势感知、web应用防火墙、抗DDoS

恶意代码防范

•     a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；

•     b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；

•     c)应支持防恶意代码软件的统一管理。

•     整体考虑

•     整改方法：

•     验证检查：  
1、查看是否安装了防恶意代码软件； 
2、查看恶意代码库是否为最新；  
3、主机防病毒软件是否与网络版防病毒软件相同 
4、安装的防病毒软件是否支持统一管理 
建议整改：  
（一）设备和服务部署  
1、物理机房：防病毒网关、包含防病毒模块的多功能安全网关和网络版防病毒系统，任选一种部署  
2、上云服务器（如阿里云）：态势感知或安骑士

资源控制

•     b)应根据安全策略设置登录终端的操作超时锁定；

•     整改方法：

•     验证检查：  
1、桌面右键—个性化—屏幕保护程序；  
2、在运行中输入gpedit.msc打开“组策略”，在计算机配置—管理模块—Windows组件—远程桌面服务—远程桌面会话主机—会话时间限制中，查看是否设置“活动但空闲的远程桌面服务会话时间的限制”。  
建议整改：  
（一）策略修改  
1、启用屏保并勾选“在恢复时显示登录屏幕”  
2、设置“活动但空闲的远程桌面服务会话时间的限制”（推荐值设置15分左右）1.1.2. linux

身份鉴别

•     b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；