文章目录
本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
本节开始讲安全计算环境,这块是整个等保测评过程中最麻烦的一块,一来是涉及的内容(对象)比较多:网络设备、安全设备、终端设备、操作系统(服务器)、数据库(服务器)、业务系统(Web服务器)、中间件等,二来设计的技术比较复杂、需要进行漏扫和渗透、对于整改还涉及到部分加固的知识,三是要求项多,安全计算环境三级等保要求项有34个,是技术层面最多的。
如果包含扩展部分,安全计算环境涉及的对象包括:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。
安全通用要求的安全计算环境部分针对边界内部提出安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等,涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护和可信验证。
网络及安全设备
一般被测的等保系统中会有很多网络及安全设备测评对象,例如:核心/汇聚交换机、堡垒机、防火墙、IPS等等,要对这些测评对象进行抽查,抽查的原则在另外一篇文章里面已经有介绍,这里不赘述。下面的测评记录以华为/H3C设备为例,一些常规项例如访问控制中:a)应对登录的用户分配账户和权限,就不列举了,直接根据标准操作即可。
8.1.4.1 身份鉴别
说明:有制度或者配置密码策略定期更换密码。
采取的登录失败处理措施应考虑到设备部署的具体环境,防止攻击者利用登录失败处理功能进行拒绝服务攻击。
采用带外管理方式(out of band),在管理工具的连接为加密且物理访问控制严格的惜况下,判定为符合。
8.1.4.2 访问控制
网络/安全设备至少要有三个账号,检查设备是否对各用户采用权限分级策略。HUAWEI/H3C网络设备系统中使用dis cu命令检查local-user用户类型及其权限如下列字段:
local-user user1
authorization-attribute user-role network-admin
local-user user2
authorization-attribute user-role network-operator
local-user user3
authorization-attribute user-role role1
8.1.4.3 安全审计
HUAWEI/H3C网络设备系统中使用display info-center 查看信息中心工作状态、各信息输出通道的配置、时间戳格式及堆叠情况下的信息输出情况。
如:
Information Center:Enabled
Console:Enabled
Monitor:Enabled
Log host:Enabled
xxx.xxx.xxx.xxx
Log buffer:Enabled
Log file:Enabled
2、检查设备时间是否正确,使用dis time-range all检查系统现有时间(可选:可以使用dis cu | in ntp 或 dis ntp status查看是否正常使用ntp服务)
说明:开启日志记录功能且时间准确该项默认认符合。
HUAWEI/H3C网络设备系统中使用dis cu | in snmp命令检测community信息是否非“public”;版本 version v2以上;尽量仅为read模式。
启用日志服务器功能未设置IP为不合规项。
8.1.4.4 入侵防范
网络设备的管理系统很可能无法提供系统设计文档,只要测试验证系统确实进行了有效性检验,应该判为符合。
其它
剩下部分按标准核查即可,一些项目例如:个人信息保护对于网络及安全设备可以直接填写不适用,因为标准中对于个人信息保护控制点指明了测评对象是针对:业务应用系统和数据库管理系统等。
8.1.4.5 恶意代码防范
8.1.4.6 可信验证
8.1.4.7 数据完整性
8.1.4.8 数据保密性
8.1.4.9 数据备份恢复
8.1.4.10 剩余信息保护
8.1.4.11 个人信息保护
Windows操作系统
等保测评过程中,涉及的常见操作系统有Windows、Linux、Unix、Solaris等。以下用Windows配置为例进行讲解:
8.1.4.1 身份鉴别
2、Windows环境下,在运行中输入rundll32 netplwiz.dll, UsersRunDll,查看是否勾选了“要使用本机,用户必须输入用户名和密码”。
1、运行“gpedit.msc”计算机配置->Windows设置->安全设置>帐户策略-〉账户锁定策略
1、查看服务中是否启动了telnet服务
2、管理工具->管理服务配置,在右边“RDP-Tcp”的“属性”中的“常规”选项卡中启用了安全层参数;(win2008运行tsconfig.msc->“RDP-Tcp”的“属性”中的“常规”“安全性”选项卡中启用了安全层参数)(win2012无此选项默认符合)
8.1.4.2 访问控制
1、系统关键目录(C盘、应用软件安装目录、缴据文件存放目录等),everyone用户没有写入权。
2、使用命令#net share检置是否关闭多余的默认共享其它文件共享。
3、检查是否关闭不必要的端口,如有特殊情况请说明,使用命令:netstat-an,端口列表为:
137,138,139,445(可选),123,1900。
4、运行compmgmt.msc检查是否禁用多余服务:
Alerter、Clipbook、Computer、Browser、Messenger、Remote、Registry Service、Routing and Remote Access、Simple Mail Trasfer Protocol(SMTP)(可选)、Simple Network Management Protocol(SNMP) Trap(可选)、Telnet、World Wide Web、Publishing Service(可选)、Print Spooler、Automatic Updates(可选)、Terminal Service(可选)。
【说明】1、如果系统确需要使用到上述服务或者共享,应访谈系统管理员使用上述服务以及共享在系统应用当中的实际用途以及不能关闭或者删除的理由。
2、未提供权限表,但不同的用户使用不同的帐户登录系统结果判定为部分符合。
3、仅设置一个Administrator账户结果判定为不符合。
1、运行“compmgmt.msc”在计算机管理-〉本地用户和组->用户
1、运行“compmgmt.msc”在计算机管理-〉本地用户和组->用户
2、查看用户分组情况,询问是否按最小授权原则分配用户权限。查看用户分组情况。打开组策略编辑器一Windows-安全设置中-本地策略-用户权利指派。
【说明】采用单独的审计系统接收及完成日常审计工作可视为审计部分的权限分离
1)查看操作系统功能手册或相关文档,确认操作系统是否具备对信息资源设置敏感标记功能。
2)询问管理员是否对重要信息资源设置由专用安全设备生成的敏感标记,列如:等级分类可置为非密、秘密、机密、绝密等。
【说明】Windows系统默认无敏感标记功能,需第三方系统辅助实现(如采用堡垒机标记敏感信息及操作)。Linux可以开启SELinux
8.1.4.3 安全审计
1、运行“gpedit.msc”在计算机配置->Windows设置-〉安全设置->本地策略->审核策略,启用相关策略。
2、或采用第三方的审计工具,并覆盖所有用户操作。
1、日志最大容量满足要求(事件查看器中右键配置):
应用日志50M-1024M、安全日志50M-1024M、系统日志50M-1024M。
2、日志要求保存6个月以上。
3、应部署统一日志服务器对服务器日志进行统一存储管理。
【说明】检查日志服务器中的日志是否不能被删除,是否只有审计员才有权限查看(如果日志能删除,或者除审计员以外其他角色的管理员能查看,则为不符合)
1、运行regedit,并查看
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\system
下面是否有名为RestrictGuestAccess的键值且为1
2、运行“gpedit.msc”计算机配置->Windows设置->安全设置->本地策略->用户权利指派->管理审核和安全日志,查看是否除审计员、administrators外其他用户无权限。
8.1.4.4 入侵防范
应检查是否删除多余组件和应用程序,并禁用服务,“管理工具-〉服务->查看可以使用的服务”。
1、Windows Server2000/2003系统应启用TCP/IP筛选功能对接入终端控制,在“本地连接->属性->TCP/IP协议属性->高级->选项->TCP/IP筛选”中进行配置。
2、Windows Server 2008应在:“控制面板->防火墙->高级设置->入站规则”中进行配置。
3、可通过网络安全设备限制访问本机的IP地址。
4、主机服务器可通过IT运维审计系统统一集中管理。
8.1.4.10 剩余信息保护
a)查看操作系统用户的鉴别信息在分配给其他用户前是否释放,运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,检查系统是否启用“不显示上次的用户名”。
b)查看操作系统用户的鉴别信息在分配给其他用户前是否释放,运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,检查系统是否启用“关机前清除虚拟内存页面”。
其它
8.1.4.5 恶意代码防范
8.1.4.6 可信验证
8.1.4.7 数据完整性
8.1.4.8 数据保密性
8.1.4.9 数据备份恢复
8.1.4.11 个人信息保护
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
