主机安全测评

• 前言
  • 主机相关知识点
    • 主机按照其规模或系统功能来区分，可分为巨型、大型、中型、小型、微型计算机和单片机。
    • 主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现，主机测评主要是依据基本要求对主机安全进行符合性检查。
    • 目前运行在主机上的主流操作系统有Window、Linux、SunSolaris、IBMAIX、HP-Uinx等。
  • 测评对象是主机上各种类型的操作系统

    

    • C2指通过注册过程控制、审计安全相关事件以及资源隔离使单个用户为其行为负责的操作系统
  • 基本要求中主机个级别的控制点和要求项对比

    

  • MMC

    

    • 是用来创建、保存、打开管理工具的控制台，可在其中添加各种管理工具插件来实现对软硬件和系统的管理。
    • MMC本身不具备管理功能，而是通过各个管理单元来完成的。
• 测评准备工作
  • 信息收集
    • 服务器设备名称、型号、所属网络区域、操作系统版本、IP地址、安装应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门……。
  • 测评指导书准备
    • 根据信息收集的内容，结合主机所属等级，编写测评指导书。
    • 注意：测评方法、步骤一定要明确、清晰。
• 现场测评内容与方法

  

  • 现场测评内容与方法——身份鉴别
    • 应对登录操作系统和数据库系统的用户进行身份标识和鉴别
      • 条款理解

        

        • 用户的身份标识和鉴别，就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的身份是否属实的过程。
      • 检查方法

        

        • Windows:
          • 访谈系统管理员系统用户是否已经设置密码，并查看登陆过程中系统账户是否使用了密码进行验证登陆。
        • Linux:
          • 采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中个用户名状态。
      • 条款理解
        • 要求系统应具有一定的密码策略，如设置密码历史记录、密码最长使用期限、密码最短修改期限、最短密码长度、密码复杂度要求、启用密码可逆加密。
      • 检查方法

        

        

        • Windows:
          • 本地安全策略->账户策略-> 密码策略中的相关项目。
        • Linux:
          • 采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/login.defs文件中相关配置参数。
    • 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。
      • 条款理解
        • 要求系统应具有一定的登录控制功能，可以通过适当的配置“账户锁定策略”来对用户的登录进行限制。如账户锁定阀值、账户锁定时间等。
      • 检查方法

        

        

        

        • Windows:
          • 本地安全策略->账户策略-> 账户锁定策略中的相关项目。
        • Linux:
          • 采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/pam.d/system-auth文件中相关配置参数。
    • 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输中被窃听。
      • 条款理解
        • 为方便管理员进行管理操作，众多服务器采用了网络登录的方式进行远程管理操作，如Linux可以使用telnet登录，Windows使用远程终端服务。基本要求规定这些传输的数据需要进行加密处理，目的是为了保障账户和口令的安全。
      • 检查方法
        • Windows:
          • 确认操作系统版本
          • 确认终端系统服务器使用了SSL加密
          • 确认客户端使用了SSL加密
        • Linux:
          • 在root权限下，使用命令more、cat或vi查看是否运行了 sshd服务。
          • 若未使用ssh方式进行管理，则查看是否使用了telnet方式进行远程管理。
    • 为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。
      • 检查方法
        • Windows:
          • 管理工具->计算机管理-> 本地用户和组中的“用户”。
        • Linux:
          • 采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd文件中用户名信息。
    • 应采用两种或两种以上的组合鉴别技术对管理用户进行身份鉴别。
      • 条款理解
        • 对三级以上的操作系统应使用两种或两种以上的组合鉴别技术实现用户身份鉴别，如密码和令牌的组合使用。
      • 检查方法
        • 访谈系统管理员，询问系统处用户名口令外有无其他身份鉴别方法，如有没有令牌等。
    • 小结
      • 在三级系统中，身份鉴别共有6个检查项，分别是身份标识、密码口令的复杂度、登录失败处理、远程管理的传输模式、用户名的唯一性以及身份鉴别的组合技术。
  • 现场测评内容与方法——访问控制
    • 应启用访问控制功能，依据安全策略控制用户对资源的访问。
      • 条款理解
        • 访问控制是安全防范和保护的主要策略，其主要任务是保证系统资源不被非法使用和服务。目的在于通过限制用户对特定资源的访问，保护系统资源。对于本项而言，主要涉及两个方面：
          • 文件权限
          • 默认共享
      • 检查方法
        • Windows

          

          

          • 查看是否对重要文件的访问权限进行了限制，对系统不需要的服务、共享路径等可能被非授权访问的进行了限制。
          • 管理工具->计算机管理-> 共享文件夹
          • 管理工具->服务
        • Linux
          • 采用查看方式，在root权限下，使用ls –l查看
          • /etc/passwd、/etc/shadow、/etc/rc.d、
          • /etc/profile、/etc/inet.conf、/etc/xinet.conf的权限。
    • 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。
      • 条款理解
        • 根据管理用户的角色对权限作出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块进行管理，避免出现权限漏洞，使一些高级用户拥有过大的权限。
      • 检查方法

        

        • 记录系统是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。
        • 管理工具->本地安全策略->本地策略->用户权限分配
    • 应实现操作系统和数据库系统特权用户的权限分离。
      • 条款理解
        • 操作系统特权用户可能拥有以下一些权限：安装和配置系统软硬件、建立和管理用户账户、软件升级、备份与恢复等业务。
        • 数据库系统特权用户则更多是对数据库的安装、配置、备份、迁移及数据库用户的管理。
        • 将操作系统与数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大权限，以及减少一些人为的误操作，做到职责明确。
      • 检查方法
        • 结合系统管理员的组成情况，判定是否实现了该项要求。
    • 应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令。
      • 条款理解
        • 系统默认的账户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，确认匿名/默认用户的访问权限被禁用或严格限制。
      • 检查方法

        

        • 查看默认用户名是否重命名
        • 查看guest等默认账户是否已禁用
        • 计算机管理->本地用户和组->用户-> guest
    • 应及时删除多余的、过期的账户，避免共享账户存在。
      • 检查方法
        • 查看是否存在多余的、过期的账户，避免共享账户。
    • 应对重要信息资源设置敏感标记。
    • 应依据安全策略严格控制用户对有敏感标记的重要信息资源的操作。
      • 条款理解
        • 敏感标记是强制访问控制的依据，主客体都有。敏感标记是由强认证的安全管理员设置的，通过敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。
      • 检查方法
        • 询问管理员是否对重要信息资源设置敏感标记。
        • 询问或查看目前的敏感标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等。
    • 小结
      • 在三级系统中，访问控制共有7个检查项，分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分配、默认用户的访问权限、账户的清理、重要信息资源的敏感标记设置以及对有敏感标记信息资源的访问控制。
  • 现场测评内容与方法——安全审计
    • 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
      • 条款理解
        • 安全审计是保障计算机系统本地安全和网络安全的重要技术，通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此，覆盖范围必须要到每个操作系统用户和数据库用户。
      • 检查方法

        

        • 查看系统是否开启了安全审计功能
        • 询问并查看是否有第三方审计工具或系统
    • 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
      • 条款理解
        • 有效合理的配置安全审计内容，能够及时准确的了解和判断安全事件的内容和性质，并可以极大的节省系统资源。
        • 审计日志的生成、实时报警生成、非法进程中止、非法服务中止、账户断开。
        • 审计启动关闭、身份鉴别、客体的打开、删除等，管理员的操作等。
      • 检查方法
        • Windows

          

          

          • 在“本地安全设置”中，展开“本地策略”，显示“审核策略”、“用户权限分配”以及“安全选项”。
        • Linux
          • 采用查看方式，在root权限下，查看审计服务是否启动，查看审计配置文件。
          • #service syslog status
          • #service audit status
    • 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
      • 检查方法
        • Windows
          • 事件查看器
        • Linux
          • 在root权限下，使用more、cat或vi查看/var/log/audit.d文件
    • 应能够根据记录数据进行分析，并生成审计报表。
      • 条款理解
        • 安全审计会产生各种复杂的日志信息，必须提供一种直观的分析报告以及统计报表的自动生成机制，对审计产生的记录数据进行统一管理与处理，并将日志关联起来，以保证管理员能及时、有效发现系统中各种异常状况及安全事件。
      • 检查方法
        • 检查对审计记录查看、分析和报表生成的情况。
    • 应保护审计进程，避免受到未预期的中断。
      • 条款理解
        • 保护好审计进程，当事件发生时，能够及时记录事件发生的详细内容。
    • 应保护审计记录，避免受到未预期的删除、修改或覆盖。
      • 条款理解
        • 非法用户进入系统后的第一件事就是清理系统日志和审计记录，而发现入侵最简单直接的方法就是查看系统记录和安全审计文件。因此，必须对审计记录进行安全保护，避免受到未预期的删除、修改或覆盖。
      • 检查方法

        

        • Windows
          • 访谈审计记录的存储、备份和保护措施，如配置日志服务器等。
        • Linux
          • 查看日志访问权限：ls – la/var/log/audit.d
          • 访谈审计记录的存储、备份和保护措施，如配置日志服务器等。
    • 小结
      • 在三级系统中，安全审计共有6个检查项，分别是审计范围、审计的事件、审计的记录格式、审计报表的生成、审计进程的保护以及审计记录的保护。
  • 现场测评内容与方法——剩余信息保护
    • 应保证操作系统或数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户之前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。
      • 条款理解
        • 剩余信息保护是指系统用户的鉴别信息存储空间，被释放或再分配给其他用户之前是否得到完全清除。
      • 检查方法

        

        • 本地安全策略->本地策略->安全选项
        • 查看是否启用“不显示上次登录名”
    • 应确保系统内的文件、目录和数据库记录等资源所在的空间被释放或重新分配给其他用户前得到完全清除。
      • 检查方法
        • Windows

          

          

          • 本地安全策略->本地策略->安全选项
          • 查看是否选中“关机前清除虚拟内存页面”
          • 本地安全策略->账户策略->密码策略
          • 查看是否选中“用可还原的加密来存储密码”
    • 满足C2级别的各种类型的操作系统

      

    • 小结
      • 在三级系统中，剩余信息保护共有2个检查项，分别是鉴别信息清空、文件记录等的清空。
  • 现场测评内容与方法——入侵防范
    • 应能够检测到对重要服务器入侵的行为，能够记录入侵的源IP、攻击的类型、目的、时间，并在发生严重入侵事件时提供报警。
      • 条款理解
        • 要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击，因此一套成熟的主机监控机制能够有效的避免、发现和阻断恶意攻击事件。
      • 检查方法
        • 询问系统管理员是否经常查看系统日志并对其分析，询问是否安装了入侵检测软件，查看已安装的主机入侵检查系统的配置情况，是否具备报警功能，并询问是否有第三方入侵检测系统，如IDS等。

          

        • 过滤不需要使用的端口
        • 过滤不需要的应用层网络服务
        • 过滤ICMP数据包
    • 应能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。
      • 条款理解
        • 对系统重要文件进行备份，或者对整个系统进行全备，有利于系统遭到破坏后能够得到及时恢复。
      • 检测方法
        • 访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查，是否对重要的配置文件进行备份。
    • 操作系统遵循最小安装原则，仅安装需要的组件和应用程序，并通过升级服务器等方式保持系统补丁得到更新。
      • 条款理解
        • 对于本项而言，主要涉及两个方面：系统服务、补丁升级。最小安装原则可以极大的降低系统遭受攻击的可能性，及时更新系统补丁，可避免遭受由系统漏洞带来的风险。
      • 检查方法
        • Windows

          

          

          • 查看系统中运行的服务，如Remote Registry是否启动。
          • 访谈并查看系统补丁升级方式，以及最新的补丁更新情况。
        • Linux
          • 访谈系统管理员是否采取了最小按照原则。
          • 确认系统目前正在运行的服务：# service --status-all | grep running,查看是否已经关闭了危险的网络服务，如echo、shell命令等。
          • 访谈并补丁升级机制，查看补丁安装情况:# rpm –qa | grep patch
    • 小结
      • 在三级系统中，入侵防范共有3个检查项，分别是入侵行为的记录和报警、重要文件的完整性保护、最小安装原则。
  • 现场测评内容与方法——恶意代码防范
    • 应安装恶意代码防范软件，并及时更新软件版本和恶意代码库。
      • 条款理解
        • 无论Windows还是Linux主机，都面临木马、蠕虫等病毒的破坏，因此一般主机都会安装反病毒软件，并通常也能及时更新病毒库。
      • 检查方法
        • 查看系统中安装了什么防病毒软件，查看更新病毒库的更新日期是否超过一周。
    • 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
      • 条款理解
        • 基于网络和基于主机的防病毒软件在系统上应构成立体的防护结构，属于深层防御的一部分。因此二者的病毒库应不同。
      • 检查方法
        • 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
    • 应支持恶意代码防范的统一管理。

      

      • 条款理解
        • 一个机构的病毒管理应满足“木桶原理”，只有当所有主机都及时更新了病毒库才能做到防止病毒的入侵。因此应有统一的病毒管理策略。例如：统一更新、定时查杀等。
      • 检查方法
        • 询问系统管理员是否有统一的病毒更新策略和查杀策略。
    • 小结
      • 在三级系统中，恶意代码入侵防范共有3个检查项，分别是安装防恶意代码软件，主机防恶意代码库与网络防恶意代码库的差别、防恶意代码软件的统一管理。
  • 现场测评内容与方法——系统资源控制
    • 应通过设定终端接入方式、网络地址范围等条件限制终端登录。
      • 条款理解
        • 系统资源是指CPU、存储空间、传输带宽等软硬件资源。通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大的节省系统资源，保证系统的可用性，同时也提高了系统的安全性。对于Windows系统自身来说，可以通过主机防火墙或TCP/IP筛选来实现以上功能。
      • 检查方法
        • 询问并查看系统是否开启了主机防火墙或TCP/IP筛选功能。
        • 询问并查看是否通过网络设备或硬件防火墙实现了此项要求功能。
    • 根据安全策略设置登录终端的操作超时锁定。
      • 条款理解
        • 如果系统管理员在离开系统之前忘记注销管理员账户，那么可能存在被恶意用户利用或被其他非授权用户误用的可能性，从而给系统带来不可控的安全隐患。
      • 检查方法

        

        • 查看登录终端是否开启了带密码的屏幕保护功能。
        • gpedit->计算机配置->管理模板->Windows组件->终端服务->会话,查看在是否配置了空闲的会话继续留在服务器上的最长时间。
    • 应对重要服务器进行监视、包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。
      • 条款理解
        • 对主机的监控除了人工监控之外，另一方面是自动监控。主要方法是设定资源报警阀值，以便在资源超过规定数值时发出报警。
      • 检查方法
        • 询问系统管理员查看主机资源的情况。
        • 询问是否有第三方工具实现上述要求。
    • 限制单个用户对系统资源的最大或最小使用限度。
      • 条款理解
        • 一个服务器上可能有很多用户，如果不对每个用户进行限制，则很容易导致DDOS攻击等，最终是系统资源耗尽。
      • 检查方法

        

        • 访谈管理员针对系统资源控制的管理措施，如：了解用户磁盘配额的设置。
    • 应能够对系统的服务水平降低到预先规定的最小值时，进行检测和报警。
      • 条款理解
        • 当系统的服务水平降低到预先规定的最小值时，如磁盘空间不足、CPU利用率过高，硬件发生故障灯，通过报警机制，将问题发给相关负责人进行处理。
      • 检查方法

        

        

        • 询问管理员日常如何监控服务水平，如有第三方监控程序，查看其功能。
    • 小结
      • 在三级系统中，系统资源控制共有5个检查项，分别是接入控制、超时锁定、主机资源监控、单个资源利用、系统服务水平监控和报警。
  • 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。
    • 条款理解
      • 对于可用性要求较高的系统，仅进行数据备份是远远不够的，还必须进行系统备份。系统备份策略包括本地和远程两种。其中，本地备份主要是使用容错技术和冗余配置来应对硬件故障；远程备份主要用于灾难事件，有热站和冷战两种选择。
    • 检查方法
      • 访谈是否具有备份机制，查看备份功能的实现方式，可参考以下备份方式：
        • 本地备份、本地保存的冷备份
        • 本地备份、异地保存的冷备份
        • 本地热备份
        • 异地互援备份