安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计:
测评过程;
1、是否具有审计功能:
服务器默认具有审计功能
2、审计策略是否开启:
使用命令查看 /etc/default/login文件 SYSLOG=YES/NO(YES则为开启审计、NO为未开启审计)
输入svcs | grep auditd,查看守护进程是否正常运行
3、审计对象是否全面:
启用日志审计服务后,默认审计对象为所有服务器中用户
4、是否对重要的用户行为和重要安全事件进行审计,审计范围有哪些:
查看/etc/syslog.conf文件,其中包含err;kern.debug;daemon.notic;mail.crit/var/log/messages;
查看/etc/security/audit_control文件,包含dir:/var/audit flags:lo minfree:20 naflags:lo plugin:name=audit_syslog.so.1;p_flags=lo,fc,fd,fm,fw
1、2、3、4项均符合为符合
1项不符合则判定为不符合,并且该项之后的测评项也均为不符合
2、3、4项均不符合为不符合
其他情况均为部分符合
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息:
测评过程;
审计记录包含哪些,是否包含时间的日期和时间、用户、事件类型、时间是否成功等其他与审计相关的信息:
用命令 /var/adm/wtmpx,查看文件中存储的日志记录
(相当于历史记录,记录着所有登陆过主机的用户、时间、来源等内容,可用last命令查看)
通常默认包括了时间日期、类型、事件、uid等信息
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等:
测评过程;
1、审计记录会受到未预期的删除、修改或覆盖:
使用ls -l/var/adm/wtmpx命令查看日志存储文件的权限和所属者(文件权限小于等于644且归属root账户或指定的审计账户);
2、审计记录是否定期备份:
现场询问对接人员并核查是否对审计记录进行备份保存,查看保存的文件;
3、审计记录留存时间是否大于6个月(满足则写,没有满足则不写):
使用命令aureport -t,查看/var/adm/wtmpx文件中日志记录的存储时间范围,是否满足6个月
1、2、3项均符合为符合
1、2、3项均不符合为不符合
其他情况均为部分符合
d)应对审计进程进行保护,防止未经授权的中断。
测评过程;
测试审计进程能否受到未经授权的中断:
通常root账户是默认具备终止进程的权限的,可查看/etc/default/login文件权限是否设置合理,是否对普通用户具备执行权限,可通过相关命令中断审计
入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序:
测评过程;
1、是否遵循最小安装原则:
如若是命令界面,使用rpm -qa查看已安装的软件,是否存在与系统业务无关的软件;
若是图形界面,则查看所安装的应用程序是否均为业务所需(例如在服务器上安装了QQ或者淘宝,就是不行的);
2、是否未安装非必要的组件和应用程序:
核查已安装的组件及应用程序,是否遵循最小化安装,未安装多余的插件等
1、2项均符合为符合
1、2项均不符合为不符合
其他情况均为部分符合
b)应关闭不需要的系统服务、默认共享和高危端口:
测评过程;
1、是否未安装多余的系统服务:
使用命令svcs -a
查看所有正在运行的服务,是否存在多余的、与系统业务不相关的服务(需现场与运维人员进行核对);
2、是否未开启默认共享:
使用命令smbclient -L //IP,查看是否具备默认共享文件
3、是否不存在多余(高危)的端口:
使用命令netstat -an 查看处于监听状况(listening)的端口,是否是多余、高危的端口(需现场与运维人员核对);
1、2、3项均符合为符合
1、2、3项均不符合为不符合
其他情况均为部分符合
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制:
测评过程;
1、是否限制终端接入方式或网络地址范围:
现场询问及核查是否对服务器的接入方式或网络地址范围进行了限制(例如限制了IP地址、限制了必须通过VPN、通过堡垒机等等);
2、网络地址范围是否限制合理:
结合实际接入方式判断是否限制合理
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求:
测评过程;
服务器此项不适用,此项通常为针对应用软件提出的要求
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞:
测评过程;
1、访谈管理员是否定期对设备进行了漏洞扫描或者渗透测试,核查漏扫报告是否存在高风险漏洞(管理员定期进行了漏洞扫描,且不存在高风险漏洞)
2、如漏扫/渗透报告存在高风险漏洞,访谈管理员是否在经过充分的测试和评估后及时修补了漏洞(管理员定期对高风险漏洞进行了修补)
1、2符合则符合
1或2不符合则不符合
其余情况为部分符合
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
测评过程;
1、询问是否具有入侵检测功能:
询问及查看是否安装了主机型入侵检测系统(网络入侵检测设备不算);
2、与现场人员进行核对,查看是否具备实时入侵告警信息,记录通过何种形式进行告警(例如手机短信、邮件等):
1、2项均符合为符合
1项不符合则该项判定为不符合
其他情况均为部分符合
恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
测评过程;
1、询问是否安装有主机防病毒软件:
与对接人员进行访谈,是否安装了主机防病毒软件,采用ps -ef | grep XXX(软件进程名称,可以只输入部分名称就可以显示),查看软件进程是否正常运行;(例如ps -ef | grep clam /clamav/cla);
2、主机防病毒软件病毒库版本,更新时间:
使用命令XXX -V,查看是否定期对软件病毒库进行更新(例如,安装了clamav防病毒软件,则需使用clamdscan -V 命令查看当前病毒库版本是否更新(不一定是最新,但是应该在现场测评1个月内,具体的不同的防病毒软件需与现场运维人员核实对应软件的名称)
3、是否具有相应杀毒记录:
让现场对接人员将杀毒记录找出来进行核对
1、2、3项均符合为符合
1、2、3项均不符合为不符合
其他情况均为部分符合
可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
测评过程;
1、询问是否部署可信验证技术的设备
查看是否部署相应的可信验证设备,如果有则该点符合
2、查看相应的可信验证设备是否具备以下功能
是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数等进行可信验证,如果具有以上功能则该点符合
3、验证检测到计算设备的可信性受到破坏后是否进行报警
能够检测可信性受到破坏后进行报警,如果可以报警则该点符合
1、2、3项均符合为符合
1不符合 或2、3均不符合则为不符合
其他情况均为部分符合
数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等:
测评过程;
1、是否涉及远程管理:
首先需要明确一点,测评服务器的时候,此项只考虑服务器自身的数据传输情况,服务器只有在远程连接时涉及到了账户口令(鉴别数据)的传输验证过程
2、是否采用校验技术或密码技术保证传输过程中的完整性:
核查远程管理时是否采用加密的协议,例如SSH
1、2项均符合为符合
1项不符合,则未涉及远程管理,此项不适用
2项不符合,则该测评项判定为不符合
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
测评过程;
Solaris服务器操作系统自身机制则满足此项要求,故可不做测评直接判定符合
数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等:
测评过程;
1、是否涉及远程管理:
首先需要明确一点,测评服务器的时候,此项只考虑服务器自身的数据传输情况,服务器只有在远程连接时涉及到了账户口令(鉴别数据)的传输验证过程
2、是否采用密码技术保证传输过程中的保密性:
核查远程管理时是否采用加密的协议,例如SSH
1、2项均符合为符合
1项不符合,则未涉及远程管理,此项不适用
2项不符合,则该测评项判定为不符合
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
测评过程;
Solaris服务器操作系统自身机制则满足此项要求,故可不做测评直接判定符合
数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能:
测评过程;
操作系统数据不涉及备份需求,此项不适用
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地:
测评过程;
操作系统数据不涉及异地实时备份需求,此项不适用
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
测评过程;
1、首先需要判定所测评的此台服务器是否为重要数据处理系统(重要数据处理系统通常包括:部署应用软件的关键应用服务器、进行数据存储的数据库服务器)
2、如果已判定该服务器为重要数据处理系统,则核查是否采取了热冗余的方式进行部署(例如同样功能一模一样的服务器具备2台即以上同时在运行,可以随时相互接管业务,冷备不算)
剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除:
测评过程;
Solaris操作系统自身机制即可满足此类要求
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
测评过程;
Solaris操作系统自身机制即可满足此类要求
扫一扫
974
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
