网络安全等级保护测评——主机安全（三级）详解

网络安全等级保护测评——主机安全（三级）详解

最近去了项目组打杂，偷学了些对服务器做整改的等保要求，写下一篇废话，看完了就可以跟我一起打杂了。

一、主机安全概念

主机指我们整个系统里面的操作系统（windows、linux），包括服务器和运维终端，在测评里主机安全被归类为安全计算环境模块（网络设备、安全设备、应用系统、数据都归在这个安全计算环境模块）。
主机安全也就是在主机层面上所做的安全措施，包括身份鉴别措施、密码复杂度、密码定期更换、登录失败处理、空闲超时退出、启用的远程管理协议、账户权限分配、日志审计功能启用、入侵/杀毒软件安装和更新、数据传输/存储的完整性和保密性、剩余信息清除等。这些措施都可以在我们主机上进行配置，当然了，如果在主机层面无法完成，也可以在网络层进行一些补偿措施。

二、测评要求及建议

等保三级主机测评要求分为身份鉴别、访问控制、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、备份恢复测试、剩余信息保护这九大控制点，共有32个测评项。下面对一些常见且容易整改的测评项做下分析。

1、身份鉴别

身份鉴别共四个测评项，主要几点：密码复杂度、密码定期更换、登录失败处理、空闲操作超时退出、远程管理传输防窃听、双因子。

（1）密码复杂度、密码定期更换
整改措施：密码需包含数字、大小写字母、特殊字符，长度8位以上；密码应定期更换，每90天更换一次。
这项措施主要是为了让所使用的密码“长”、“不易猜测”，防止口令暴力破解。

（2）登录失败处理、空闲操作超时退出
整改措施：账户连续登录失败5-10次，锁定账户一定时间（1-30分钟）；登录后无操作5-15分钟，自动退出登录状态。
这项措施也是为了防止口令暴力破解，连续登录失败锁定账户可以避免攻击者多次猜测你的密码。

（3）远程管理传输防窃听
整改措施：使用加密传输协议，如SSH或RDP加密等。
这项措施主要是防止攻击者通过网络抓包获取到账号密码，登录时传输的账号密码如果是明文传输，拿到数据包就拿到了密码。

（4）双因子鉴别
整改措施：除了我们常用的账号密码进行认证之外还需要增加一种身份鉴别措施，如指纹、证书、人脸等。而且要求两种认证方式同时通过才能进行登录，也就是说两种认证方式必须是“且”关系而不是“或”关系。
这项措施是为了增加身份鉴别的安全性，也就是再加一道保险锁，避免攻击者拿到了你的账号密码就能直接登录你的主机。

2、访问控制

三级系统访问控制共七个测评项，包括账号权限分配、默认账号名和口令修改、多余账号清除、账号权限分离、授权主体确定、访问粒度细化、安全标记。

（1）账号权限分配
整改措施：给各个使用的账号都分配一定权限，避免出现无权限的账户或过高权限账户。（主机方面只要账户创建都至少会默认一个普通账户权限，主要是需要避免给普通账户分配过高权限）
这项措施是为了给不同账户一个权限区分，避免全是高权限账户，容易对系统出现因操作失误造成的增删改查。

（2）默认账号名和口令修改
整改措施：重命名默认账户adminstratos、root等并修改他们的默认口令。对没办法修改默认账户名的（linux系统的root就改不了），可以禁止默认账号远程登录。（有些测评机构会认为即使修改了账户名，但是用常见的账户名如admin、sys等也不行。）
这项措施也是为了防止口令爆破，如果使用默认账户名，攻击者就只需要重复尝试口令。改了默认账户名攻击者就需要账户名、口令一起猜&#