本策略建立了系统层的规划、建设、运行、变更、废弃等各阶段的安全保障要求。
安全要求
2.1系统安全规划策略
系统硬件采购必须符合杭州市长征中学的信息安全策略或其他策略,并符合长期需求。
系统硬件采购必须考虑:新设备在满足功能需要的同时,应有优秀的性能和足够的容量,以避免影响数据处理;数据必须有适当的保护策略,以避免丢失或意外/不可预测的破坏;系统必须有较大的冗余(电源、CPU以及其他组件)来避免出现突然的意外事件。
系统硬件采购时,必须通过结构评估,应尽量获得最好的价格,性能,可靠性,容错性和售后技术支持,包括相应的技术文档或IT使用文档,以降低购买硬件设备的风险。
系统服务器操作系统应选用正版软件并且遵守软件规定的最终用户使用协议,禁止使用盗版软件。
关键业务系统服务器的操作系统选型必须符合国际B1级(如UNIX)以上标准,客户端操作系统须符合国际C2级(如Windows)以上标准。
系统服务器操作系统应该避免选用新开发的、尚未成熟稳定的系统软件。
应充分考虑所选主机硬件、操作系统和业务软件的兼容性。
在新系统的安装过程中,应严格按照实施计划进行,并对每一步实施,都进行详细记录,最终形成实施报告。
在新系统安装完成,投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并做详细记录,最终形成测试报告。测试机构应由专业的信息安全测试机构或第三方安全咨询机构进行。
在新系统安装完成,测试通过,投入使用前,应删除测试用户和口令,最小化合法用户的权限,最优化配置。
新系统安装后,应及时对系统软件、文件和重要数据进行备份。
新系统安装后,应立即更改操作系统以及应用服务默认的配置和策略,并进行备份。
2.2系统运行与维护安全策略
禁止主机系统上开放具有“写”权限的共享目录,如果确实必要,可临时开放,但要设置强共享口令,并在使用完之后立刻取消共享;应禁止不被系统明确使用的服务、协议和设备的特性,避免使用不安全的服务,例如:SNMP、RPC、Telnet、Finger、Echo、Chargen、RemoteRegistry、Time、NIS、NFS、R系列服务等。
应严格并且合理的分配服务安装分区或者目录的权限,如果可能的话,给每项服务安装在独立分区;取消或者修改服务的banner信息;避免让应用服务运行在root或者administrator权限下。
应严格控制重要文件的许可权和拥有权,重要的数据应当加密存放在主机上,取消匿名FTP访问,并合理使用信任关系。
应至少每天1次,对所有主机设备进行检查,确保各设备都能正常工作;应通过各种手段监控主机系统的CPU利用率、进程、内存和启动脚本等的使用状况,在发现异常系统进程或者系统进程数量异常变化时,或者CPU利用率,内存占用量等突然异常时,应立即上报信息安全工作组,并同时采取适当控制措施,并记录备案。
当主机系统出现以下现象之一时,必须进行安全问题的报告和诊断:
系统中出现异常系统进程或者系统进程数量有异常变化。
系统突然不明原因的性能下降。
系统不明原因的重新启动。
系统崩溃,不能正常启动。
系统中出现异常的系统账号
系统账号口令突然失控。
系统账号权限发生不明变化。
系统中文件出现不明原因的改动。
系统时钟出现不明原因的改变。
发现系统不明原因的在扫描网络上其它主机。
系统能跟踪各种非法请求并记录某些文件的使用情况。根据系统的位置,若错误的口令被连续地使用若干次后,系统应采取相应措施,如封锁那个终端,记录所用终端及用户名,并立即报警。
系统软件安装之后,应立即进行备份;在后续使用过程中,在系统软件的变更以及配置的修改之前和之后,也应立即进行备份工作;应至少每年1次对重要的主机系统进行灾难影响分析,并进行灾难恢复演习。
应至少每年1次对整个网络进行风险评估,每次风险评估时,手工检查的比例应不低于10%,渗透测试的比例应不低于5%;风险评估后应在10个工作日内完成对网络的修补和加固,并进行二次评估。
2.3系统变更安全策略
系统维护人员应在主机设备接入、系统配置变更、废弃等变更操作前进行数据备份,为一些关键的主机设备准备备件,保证一些常用主机设备的库存,以便在不成功的情况下及时进行恢复。
任何新的主机系统接入、配置变更、废弃前,都应做好详细的应急预案,以备紧急情况时的应用,这些重大变更必须做到一人操作一人监督的管理。
新的主机系统在正式上架运行前应由系统维护人员进行功能测试,由信息安全员进行安全测试并确认签字后方能正式运行使用。严禁在不测试或测试不成功的情况下接入网络。信息安全员需要测试的内容如下:
查看硬件和软件系统的运行情况是否正常、稳定;
查看OS版本和补丁是否最新;
OS是否存在已知的系统漏洞或者其他安全缺陷。
设备在修复过程中需要更换主要部件的,经拱墅区智慧教育发展中心按规定报批同意后方可进行。当主机系统的硬件存在变更情况时,应遵循“先废弃,再接入”的策略。
主机系统废弃的安全考虑应有一套完整的流程,防止废弃影响到其他系统。
2.4操作系统安全配置策略
1.Windows系统安全配置管理策略
在应用以下安全策略之前应根据业务系统的实际情况进行操作,注意实施操作后对业务的风险。
物理安全策略
应设置BIOS口令以增加物理安全。
应禁止远程用户使用光驱和软驱。
补丁管理策略
对于不能访问Internet的Windows系统,应采用手工打补丁的方式。
帐户与口令策略
所有帐户均应设置口令。
应将系统管理员账号administrator重命名。
应禁止Guest账号。
应启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”。
在信息安全组批准下,应定期利用口令破解软件进行口令模拟破解测试,在发现脆弱性口令后及时通告并采取强制性的补救修改措施。
网络服务策略
应尽可能减少网络服务,关闭不必要的服务。
应通过修改注册表项,调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应限制使用SNMP服务。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5校验等功能。
文件系统策略
所有分区均应使用NTFS。
尽量使用磁盘配额管理、文件加密(EFS)等功能。
应卸载OS/2和POSIX操作环境子系统。
应将所有常用的管理工具放在%systemroot%外的特殊目录下,并对其进行严格的访问控制,保证只有管理员才具有执行这些工具的权限。
应关闭NTFS生成8.3文件名格式。
应设置访问控制列表(ACL),对重要的目录、文件进行访问权限的限制。
日志策略
应启用系统和文件审核功能,包括应用程序日志、安全日志、系统日志、以及各种服务的日志。
应更改日志存放的目录,并及时监控,特别是安全日志、系统日志。对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
安全性增强策略
对于独立服务器应直接检查本地的策略和配置。对于属于域的服务器,应检查域控制器上对计算机的域管理策略。检查内容主要为用户、用户组及其权限管理策略。
应限制对注册表的访问,严禁对注册表的匿名访问,严禁远程访问注册表,并对关键注册表项进行访问控制,以防止它们被攻击者用于启动特洛伊木马等恶意程序。
应定期检查注册表启动项目,避免系统被安装非法的自启动程序。
应隐含最后登陆用户名,避免攻击者猜测系统内的用户信息。
应删除Windows主机上所有默认的网络共享。
应关闭对Windows主机的匿名连接。
对于不需要共享服务的主机,应彻底关闭文件和打印机共享服务。
应限制Pcanywhere等远程管理工具的使用,如确实需要,应使用最新版本,完整安装补丁程序并经过评测,获得信息安全工作组的许可;并使用Pcanywhere加密方式进行管理。
应安装防病毒软件,并及时更新软件版本和病毒库。
尽量安装防火墙。
2.UNIX系统安全管理策略
应及时安装系统最新补丁。
应及时升级服务至最新版本。
去除不需要的帐户、修改默认帐号的shell变量。
除root外,不应存在其他uid=0的帐户。
应设置超时自动注销登陆,减少安全隐患。
应限制可以su为root的组。
应禁止root远程登陆。
应启用inetd进站连接日志记录,增强审计功能。
应调整优化TCP/IP参数,来提高系统抵抗DoS攻击的能力。
应调整TCP/IP参数,禁止IP源路由。
应调整内核参数打开“TCP随机序列号”功能。
尽量使系统root用户初始创建权限(umask)为077。
尽量使用磁盘配额管理功能。
去除适当文件的set-uid和set-gid位。
应限制/etc目录的可写权限。
增强对关键文件的执行权限控制。
为不同的挂载点指派不同的属性。
应对ssh、su登陆日志进行记录。
除日志服务器外,应禁止syslogd网络监听514端口。
对于重要主机设备,应建立集中的日志管理服务器,实现对重要主机设备日志的统一管理,以利于对主机设备日志的审查分析。
只允许root执行crontab命令。
应保证bashshell保存少量的(或不保存)命令。
应禁止GUI登陆。
应隐藏系统提示信息。
尽量安装第三方安全增强软件。
操作系统在作业正常或非正常结束以后,能清除分配给该作业的全部临时工作区域。