b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
整改方法:
修改配置策略:1、查看控制面板—管理工具—本地安全策略—账户策略—密码策略;2、查看控制面板—管理工具—计算机管理—系统工具—本地用户和组—用户—右键—属性—是否勾选“密码永不过期”。建议修改值:(一)策略修改1、密码必须符合复杂性要求;已启用2、密码长度最小值;12个字符3、密码最长使用期限;42天4、密码最短使用期限;2天5、强制密码历史;5个记住密码6、密码永不过期属性。未勾选“密码永不过期”(二)使用情况口令长度至少12位以上,由数字、特殊字符、字母(区分大小写)组成,每三个月定期进行修改
f)应采用两种或两种以上的组合的鉴别技术对管理用户进行身份鉴别。
验证检查:1、采用令牌、USB-KEY或智能卡等身份认证技术手段对用户进行身份鉴别建议整改:部署双因素产品或者堡垒机
访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
验证检查:是否能提供用户权限对照表,设置的用户权限是否与权限表一致。建议整改:完善用户权限表(纸质版或电子版)
c)应实现操作系统和数据库系统特权用户的权限分离;
f)应对重要信息资源设置敏感标记;
验证检查:1、询问主机管理员是否定义了主机中的重要信息资源;2、询问主机管理员,是否为主机内的重要信息设置敏感标记。建议整改:暂无
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
验证检查:1、询问主机管理员是否定义了敏感标记资源的访问策略;2、查看有敏感标记的重要信息资源是否依据访问策略设置了严格的访问权限。建议整改:暂无
安全审计
a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
d)应能够根据记录数据进行分析,并生成审计报表;
F)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
整体考虑
入侵防范
b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
验证检查:1、询问是否安装了主机入侵检测系统,并进行适当的配置;2、查看是否对入侵检测系统的特征库进行定期升级;3、查看是否在检测到严重入侵事件时提供报警。4、询问是否对关键程序的完整性进行校验;5、管理工具—服务—查看可以使用的服务6、监听端口,命令行输入“netstat-an”7、“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”建议整改:(一)策略修改1、仅开启需要的服务端口(135137139445等端口建议不开启,若业务需要,应做好系统相应补丁)2、关闭不需要的组件和应用程序,仅启用必须的功能3、关闭默认共享文件(二)设备和服务部署1、物理机房:部署IDS、IPS2、上云服务器(如阿里云):部署安骑士或态势感知、web应用防火墙、抗DDoS
恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
c)应支持防恶意代码软件的统一管理。
验证检查:1、查看是否安装了防恶意代码软件;2、查看恶意代码库是否为最新;3、主机防病毒软件是否与网络版防病毒软件相同4、安装的防病毒软件是否支持统一管理建议整改:(一)设备和服务部署1、物理机房:防病毒网关、包含防病毒模块的多功能安全网关和网络版防病毒系统,任选一种部署2、上云服务器(如阿里云):态势感知或安骑士
资源控制
centos/Fedora/RHEL
验证检查:1、查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期;2、查看/etc/pam.d/system-auth,确认密码复杂度要求。密码最长有效期PASS_MAX_DAYS;密码最短存留期PASS_MIN_DAYS;密码长度最小值PASS_MIN_LENS;密码有效期警告PASS_WARN_AEG;密码须包含大写字母个数ucredit;密码须包含小写字母个数lcredit;密码须包含的数字字符个数dcredit;密码须包含的特殊符号个数ocredit。建议整改:(一)策略修改1、/etc/login.defs文件中进行如下变量配置:PASS_MAX_DAYS:90;PASS_MIN_DAYS:2;PASS_MIN_LENS:8;PASS_WARN_AEG:7;2、/etc/pam.d/system-auth文件中添加下面信息:passwordrequisitepam_cracklib.sominlen=8ucredit=-1lcredit=-1dcredit=-1ocredit=-1;3、当前所设置的密码长度应不少于8位,具有一定的复杂度并能定期更换。
Ubuntu/Debian
验证检查:1、查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期;2、查看/etc/pam.d/common-password,确认密码复杂度要求。密码最长有效期PASS_MAX_DAYS;密码最短存留期PASS_MIN_DAYS;密码长度最小值PASS_MIN_LENS;密码有效期警告PASS_WARN_AEG;密码须包含大写字母个数ucredit;密码须包含小写字母个数lcredit;密码须包含的数字字符个数dcredit;密码须包含的特殊符号个数ocredit。建议整改:(一)策略修改1、/etc/login.defs文件中进行如下变量配置:PASS_MAX_DAYS:90;PASS_MIN_DAYS:2;PASS_MIN_LENS:8;PASS_WARN_AEG:7;2、/etc/pam.d/system-auth文件中添加下面信息:passwordrequisitepam_cracklib.sominlen=8ucredit=-1lcredit=-1dcredit=-1ocredit=-1;3、当前所设置的密码长度应不少于8位,具有一定的复杂度并能定期更换。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
验证检查:1、重命名系统默认帐户(root);2、修改默认帐户的口令。建议整改:1、根据业务需求情况对root进行重命名,其口令必须进行修改
备注:linux系统分为Ubuntu、OpenSUSE、Fedora、Debian、RHEL、CentOS等,每个系统又分为不同的版本,因此在修改策略时需要在相同环境的测试机上进行验证后,在正式环境中进行修改
e)应保护审计进程,避免受到未预期的中断;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
整体分析
验证检查:1、安装主机入侵检测系统并配置策略;2、定期对主机入侵检测系统的特征库进行维护升级;3、发生严重入侵事件时提供报警。4、是否经常命令查看more/var/log/secure|greprefused(centos)5、more/var/log/auth.log|greprefused(ubuntu)6、是否启用主机iptables防火墙规则、TCPSYN保护机制建议整改:(一)设备或服务部署1、物理机房:部署入侵检测和防御系统(IDS、IPS或防火墙带有入侵检测和防御)2、上云服务器(如阿里云):安骑士或态势感知或其它防入侵服务
验证检查:1、对系统补丁进行评估、测试后进行安装2、系统遵循最小安装原则建议整改:(一)策略修改1、如需最新补丁,需要评估、测试,或者根据业务使用稳定版本补丁2、关闭危险网络服务:echo、login等,关闭非必要的网络服务:talk、ntalk、sendmail等
验证检查:1、查看是否安装了防恶意代码软件;2、查看恶意代码库是否为最新;3、主机防病毒软件是否与网络版防病毒软件相同4、安装的防病毒软件是否支持统一管理建议整改:(一)设备和服务部署1、物理机房:防病毒网关、包含防病毒模块的多功能安全网关和网络版防病毒系统,任选一种部署2、上云服务器(如阿里云):态势感知或安骑士或其它防病毒服务
验证检查:1、查看etc/profile文件中是否设置TMOUT建议整改:(一)策略修改1、etc/profile文件中添加TMOUT,TMOUT=600(备注:根据业务进行设定)
d)应限制单个用户对系统资源的最大或最小使用限度;
验证检查:1、查看/etc/security/limits.conf文件,访谈系统管理员针对系统资源采取的保障措施。fsize用户创建的文件大小限制;core生成的core文件大小的限制;cpu用户进程可用cpu的限定值;data进程数据段大小的限定值;stack进程堆栈段大小的限定值;rss进程常驻内存段的限定值;nofiles进程中打开文件的最大数量。建议整改:1、根据实际需求对文件中的各个变量参数进行合理设置2、采用zabbix或者云监控等手段进行监控
1.2.数据库
1.2.1.SQL数据库
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
验证检查:1、使用的口令(如默认帐号root)是否复杂度,并且是否定期进行更换建议整改:(一)策略修改1、用户口令长度8位,至少由字母、数字及字符两种以上的组合;2、定期更换口令。
e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
验证检查:1、否存在多个用户使用同一帐号的情况。建议整改:1、不使用同一帐号进行管理
验证检查:1、是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,且其中一种是不可伪造的建议整改:1、采用令牌、USB-KEY或智能卡进行身份鉴别(部署双因子认证产品)
验证检查:1、是否数据库日志和审计功能是否开启2、是否对审计数据进行分析,并生成报表3、是否避免审计记录被删除、修改或覆盖,是否至少满足6个月4、是否定期进行数据备份,是否有数据恢复措施建议整改:(一)产品或服务部署数据库审计系统
日志或自带审计系统对性能影响巨大,产生大量文件消耗硬盘空间,事实上中大型系统都不能使用,或只能在排查问题时偶尔使用;日志系统不直观、易篡改、不完整、难管理;无法自动智能设置规则;另外,从安全管控的标准及法规角度来看,也需要第三方独立的审计设备。
建议整改:(一)产品或服务部署数据库防火墙
2.应用安全
2.1.身份鉴别
b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别
验证检查:1、是否采用两种或两种以上组合的鉴别技术实现用户身份鉴别建议整改:1、采用双因素认证产品
验证检查:1、检查系统是否在数据输入界面对无效或非法的数据进行校验2、是否对数据的格式或长度进行校验3、检查系统返回的错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等4、若系统有上传功能,尝试上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe等可执行文件后,确认在服务器端是否可直接运行建议整改:1、注册用户是否可以'—'、‘1=1’等恒等式用户名2、上传给服务器的参数(如查询关键字、url中的参数等)中包含特殊字符是否能正常处理3、不存在SQL注入、XSS跨站脚本等漏洞4、部署WAF或网页防篡改等第三方产品
建议整改:网络和安全设备的策略配置文件进行异地备份,数据库数据进行异地备份;
建议整改:1、对监测和告警记录有定期的分析报告和对应措施
建议整改:1、定期的网络设备扫描,并有扫描报告和整改结果
建议整改:1、用户单位定期检查违反规定拨号上网或其他违反网络安全策略的行为
建议整改:1、定期扫描系统漏洞,及时安装安全补丁,及时进行漏洞修补
建议整改:1、及时做补丁修补,且安装前补丁经过测试和系统备份
建议整改:1、定期对运行日志和审计数据进行分析
建议整改:1、有专人对网络和主机进行恶意代码检测,并保存检测记录
建议整改:1、对系统内的恶意代码防范产品的升级情况予以定期检查和记录,并对安全日志进行定期分析并形成报告
建议整改:1、定期对应急预案进行演练,并保留演练记录
建设整改:有产品选型测试记录或选型报告、候选产品名单(或候选供应商名录)并定期更新
建议整改:1、在软件开发协议中,规定开发单位提供软件源代码,并进行后门审查
建议整改:1、委托公认的第三方测评单位对系统进行安全测评,并有测试报告
建议整改:1、有定期安全技能和知识的考核,有考核记录2、有定期对关键岗位的安全考试,有考核记录
建议整改:1、对培训的记录和结果归档保存
建议整改:1、配备安全管理员,安全管理员可兼任非系统维护工作
建议整改:1、关键岗位设置多人或AB角
建议整改:1、保存审批记录
建议整改:1、定期召开信息安全会议,保存有会议纪要
建议整改:1、聘请信息安全专家
建议整改:1、定期进行安全检查,有检查内容及结果记录文档
建议整改:1、内部或上级单位定期全面检查,或行业主管部门委托第三方进行检查
建议整改:1、保存有安全检查记录和检查报告
建议整改:1、没有至少评审一次2、至少有评审记录
建议整改:1、每年至少评审一次2、文件修改记录3、文件评审记录