等级保护测评策略建议整改措施

主机安全

服务器windows

身份鉴别

b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

整改方法:

修改配置策略: 
1、查看控制面板—管理工具—本地安全策略—账户策略—密码策略;
2、查看控制面板—管理工具—计算机管理—系统工具—本地用户和组—用户—右键—属性—是否勾选“密码永不过期”。
建议修改值:
(一)策略修改
1、密码必须符合复杂性要求;   已启用
2、密码长度最小值;    12个字符
3、密码最长使用期限;   42天
4、密码最短使用期限;  2天
5、强制密码历史;   5个记住密码
6、密码永不过期属性。  未勾选“密码永不过期”
(二)使用情况
口令长度至少12位以上,由数字、特殊字符、字母(区分大小写)组成,每三个月定期进行修改

f)应采用两种或两种以上的组合的鉴别技术对管理用户进行身份鉴别。

•     整改方法:

•     验证检查:
1、采用令牌、USB-KEY或智能卡等身份认证技术手段对用户进行身份鉴别
建议整改:
部署双因素产品或者堡垒机

访问控制

a)应启用访问控制功能,依据安全策略控制用户对资源的访问;

•     整改方法:

•     验证检查:
是否能提供用户权限对照表,设置的用户权限是否与权限表一致。
建议整改:
完善用户权限表(纸质版或电子版)

•     c)应实现操作系统和数据库系统特权用户的权限分离;

•     整改方法:

•     验证检查:
1、询问操作系统管理员与数据库管理员是否为同一人;
2、检查操作系统管理员与数据库管理员是否使用不同的账户登录。
建议整改:
1、操作系统管理员与数据库管理员不为同一人;
2、操作系统管理员与数据库管理员使用不同的账户登录。

•     f)应对重要信息资源设置敏感标记;

•     整改方法:

•     验证检查:
1、询问主机管理员是否定义了主机中的重要信息资源;
2、询问主机管理员,是否为主机内的重要信息设置敏感标记。
建议整改:
暂无

•     g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

•     整改方法:

•     验证检查:
1、询问主机管理员是否定义了敏感标记资源的访问策略;
2、查看有敏感标记的重要信息资源是否依据访问策略设置了严格的访问权限。
建议整改:
暂无

安全审计

•     a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;

•     b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

•     d)应能够根据记录数据进行分析,并生成审计报表;

•     F)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

•     整体考虑

•     整改方法:

•     验证检查:
1、查看控制面板—管理工具—本地安全策略—本地策略—审核策略;
2、询问并查看是否有第三方审计工具或系统。
建议整改:
(一)策略修改
1、审核策略更改;   成功
2、审核登录事件;   成功,失败
3、审核对象访问;   成功,失败
4、审核过程跟踪;   成功,失败
5、审核目录服务访问;没有定义
6、审核特权使用;   成功,失败
7、审核系统事件;   成功
8、审核账户登录事件;   成功,失败
9、审核账户管理。   成功,失败
(二)windows自身日志查看
右键【我的电脑】/【此电脑】→【管理】→【事件查看器】→右键单击任一事件查看器→Windows日志,查看应用程序、安全、Setup、系统日志的时间是否满足存储6个月;同时点击应用程序、安全、Setup、系统日志右键【属性】,审计日志的存储大小设置满足需求,但不得低于64M(默认是20M),达到最大日志量后应选择日志满时将其存档,不覆盖事件(默认是按需要覆盖日志(旧事件优先))
(三)设备部署
1、物理机房:部署日志审计系统
2、上云服务器(如阿里云):日志服务

入侵防范

•     a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间

•     b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

•     c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。

•     整体考虑

•     整改方法:

•     验证检查:
1、询问是否安装了主机入侵检测系统,并进行适当的配置;
2、查看是否对入侵检测系统的特征库进行定期升级;
3、查看是否在检测到严重入侵事件时提供报警。
4、询问是否对关键程序的完整性进行校验;
5、管理工具—服务—查看可以使用的服务
6、监听端口,命令行输入“netstat -an”
7、“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”
建议整改:
(一)策略修改
1、仅开启需要的服务端口(135 137 139 445等端口建议不开启,若业务需要,应做好系统相应补丁)
2、关闭不需要的组件和应用程序,仅启用必须的功能
3、关闭默认共享文件
(二)设备和服务部署
1、物理机房:部署IDS、IPS
2、上云服务器(如阿里云):部署安骑士或态势感知、web应用防火墙、抗DDoS

恶意代码防范

•     a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;

•     b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

•     c)应支持防恶意代码软件的统一管理。

•     整体考虑

•     整改方法:

•     验证检查:
1、查看是否安装了防恶意代码软件;
2、查看恶意代码库是否为最新;
3、主机防病毒软件是否与网络版防病毒软件相同
4、安装的防病毒软件是否支持统一管理
建议整改:
(一)设备和服务部署
1、物理机房:防病毒网关、包含防病毒模块的多功能安全网关和网络版防病毒系统,任选一种部署
2、上云服务器(如阿里云):态势感知或安骑士

资源控制

•     b)应根据安全策略设置登录终端的操作超时锁定;

•     整改方法:

•     验证检查:
1、桌面右键—个性化—屏幕保护程序;
2、在运行中输入gpedit.msc打开“组策略”,在计算机配置—管理模块—Windows组件—远程桌面服务—远程桌面会话主机—会话时间限制中,查看是否设置“活动但空闲的远程桌面服务会话时间的限制”。
建议整改:
(一)策略修改
1、启用屏保并勾选“在恢复时显示登录屏幕”
2、设置“活动但空闲的远程桌面服务会话时间的限制”(推荐值设置15分左右)1.1.2. linux

身份鉴别

•     b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

•     centos/Fedora/RHEL

•     整改方法:

•     验证检查:
1、查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期;
2、查看/etc/pam.d/system-auth,确认密码复杂度要求。
密码最长有效期PASS_MAX_DAYS;
密码最短存留期PASS_MIN_DAYS;
密码长度最小值PASS_MIN_LENS;
密码有效期警告PASS_WARN_AEG;
密码须包含大写字母个数ucredit;
密码须包含小写字母个数lcredit;
密码须包含的数字字符个数dcredit;
密码须包含的特殊符号个数ocredit。
建议整改:
(一)策略修改
1、/etc/login.defs文件中进行如下变量配置:
PASS_MAX_DAYS:90;
PASS_MIN_DAYS:2;
PASS_MIN_LENS:8;
PASS_WARN_AEG:7;
2、/etc/pam.d/system-auth文件中添加下面信息:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1ocredit=-1;
3、当前所设置的密码长度应不少于8位,具有一定的复杂度并能定期更换。

•     Ubuntu/Debian

•     整改方法:

•     验证检查:
1、查看/etc/login.defs,访谈询问当前所设置的密码长度及更换周期;
2、查看/etc/pam.d/common-password,确认密码复杂度要求。
密码最长有效期PASS_MAX_DAYS;
密码最短存留期PASS_MIN_DAYS;
密码长度最小值PASS_MIN_LENS;
密码有效期警告PASS_WARN_AEG;
密码须包含大写字母个数ucredit;
密码须包含小写字母个数lcredit;
密码须包含的数字字符个数dcredit;
密码须包含的特殊符号个数ocredit。
建议整改:
(一)策略修改
1、/etc/login.defs文件中进行如下变量配置:
PASS_MAX_DAYS:90;
PASS_MIN_DAYS:2;
PASS_MIN_LENS:8;
PASS_WARN_AEG:7;
2、/etc/pam.d/system-auth文件中添加下面信息:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1ocredit=-1;
3、当前所设置的密码长度应不少于8位,具有一定的复杂度并能定期更换。

•     c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

•     整改方法:

•     验证检查:
1、find /lib* -iname “pam_tally2.so”或find /lib* -iname “pam_tally.so”是否有改动态库
2、是否有以下参数:auth required pam_tally2.so  onerr=fail deny=X  unlock_time=Xeven_deny_root root_unlock_time=X(限制从终端登录)
3、/etc/pam.d/sshd文件中是否有以上相同参数(限制ssh登录)
建议整改:
1、centos:/etc/pam.d/system-auth或Ubuntu:/etc/pam.d/common-password文件中添加:auth required pam_tally2.so onerr=fail  deny=3  unlock_time=40 even_deny_rootroot_unlock_time=30
注意添加的位置,要写在第一行,即#%PAM-1.0的下面。
以上策略表示:普通帐户和 root 的帐户登录连续 3 次失败,就统一锁定 40 秒, 40 秒后可以解锁。
如果不想限制 root 帐户,可以把  even_deny_root root_unlock_time这两个参数去掉, root_unlock_time 表示 root 帐户的 锁定时间,onerr=fail 表示连续失败,deny=3,表示 超过3 次登录失败即锁定。
2、/etc/pam.d/sshd文件中添加相同参数
(备注:以上参数根据实际情况进行设置,至少配置/etc/pam.d/sshd文件限制ssh登录)

•     f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

•     整改方法:

•     验证检查:
操作系统登录是否采用口令+令牌、USB KEY等方式进行身份鉴别。
建议整改:
(一)设备或服务部署
1、物理机房:采用双因子认证设备
2、上云服务器(如阿里云):云堡垒机

访问控制

•     a)应启用访问控制功能,依据安全策略控制用户对资源的访问;

•     整改方法:

•     验证检查:
是否能提供用户权限对照表,设置的用户权限是否与权限表一致。
建议整改:
完善用户权限表(纸质版或电子版)

•     d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

•     整改方法:

•     验证检查:
1、重命名系统默认帐户(root);
2、修改默认帐户的口令。
建议整改:
1、根据业务需求情况对root进行重命名,其口令必须进行修改

•     f)应对重要信息资源设置敏感标记;

•     整改方法:

•     验证检查:
1、询问主机管理员是否定义了主机中的重要信息资源;
2、询问主机管理员,是否为主机内的重要信息设置敏感标记。
建议整改:
暂无

•     g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

•     整改方法:

•     验证检查:
1、询问主机管理员是否定义了敏感标记资源的访问策略;
2、查看有敏感标记的重要信息资源是否依据访问策略设置了严格的访问权限。
建议整改:
暂无

备注:linux系统分为Ubuntu、OpenSUSE、Fedora、Debian、RHEL、CentOS等,每个系统又分为不同的版本,因此在修改策略时需要在相同环境的测试机上进行验证后,在正式环境中进行修改

 

安全审计

•     a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;

•     b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

•     c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

•     d)应能够根据记录数据进行分析,并生成审计报表;

•     e)应保护审计进程,避免受到未预期的中断;

•     f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

•     整体分析

•     整改方法:

•     验证检查:
1、输入service syslog/rsyslog status 、service auditd status查看进程是否存在。
2、(centos:cat /etc/syslog.conf或cat /etc/rsyslog.conf文件中应包含类似于以下值:*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages;)(Ubuntu:cat/etc/rsyslog.d/50-default.conf 文件中应包含类似于以下值:*.info;mail.none;news.none;authpriv.none;cron.none/var/log/messages;)
3、是否对审计日志定期查看、分析,生成审计分析报表
4、是否安全额外的审计进程保护
5、查看syslog.conf、audit.conf文件中日志信息所在文件的访问权限,如:
ls -l /var/log/messages;
(centos:ls -l/var/log/secure);(Ubuntu:ls -l/var/log/auth.log)
ls -l /var/log/audit/audit.log;
访谈并询问是否对审计日志进行保护
建议整改:
(一)策略修改
1、保障rsyslog和auditd进程开启
2、/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf文件中日志配置如下:
# 记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages,但是mail邮件信息,authpriv验证方面的信息和cron时间任务相关的信息除外
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
# The authpriv file has restricted access.
# authpriv验证相关的所有信息存放在/var/log/secure
authpriv.*                                             /var/log/secure
# Log all the mail messages in one place.
# 邮件的所有信息存放在/var/log/maillog; 这里有一个-符号,表示是使用异步的方式记录,因为日志一般会比较大
mail.*                                                 -/var/log/maillog
# Log cron stuff
# 计划任务有关的信息存放在/var/log/cron
cron.*                                                 /var/log/cron
(备注:以上配置需要先在测试环境中验证是否正确后,在正式环境中进行修改)
3、ls -l /var/log/messages:640; ls -l /var/log/secure:640;
ls -l /var/log/audit/audit.log:640;ls -l /var/log/auth.log 640;(备注:保持系统默认就行,唯一需要满足的就是普通用户对这些文件只能有读的权限)
4、查看 /var/log/messages、/var/log/secure、/var/log/audit/audit.log、/var/log/auth.log日志文件的内容是否被覆盖和删除,保存是否满足6个月
(二)设备或服务部署
1、物理机房:日志服务器或日志审计系统或堡垒机
2、上云服务器(如阿里云):OSS或日志服务或jumpserver 
入侵防范

•     a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;

•     整改方法:

•     验证检查:
1、安装主机入侵检测系统并配置策略;
2、定期对主机入侵检测系统的特征库进行维护升级;
3、发生严重入侵事件时提供报警。
4、是否经常命令查看more /var/log/secure | grep  refused (centos)
5、more /var/log/auth.log | grep  refused (ubuntu)
6、是否启用主机iptables防火墙规则、TCP SYN保护机制
建议整改:
(一)设备或服务部署
1、物理机房:部署入侵检测和防御系统(IDS、IPS或防火墙带有入侵检测和防御)
2、上云服务器(如阿里云):安骑士或态势感知或其它防入侵服务

•     c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。

•     整改方法:

•     验证检查:
1、对系统补丁进行评估、测试后进行安装
2、系统遵循最小安装原则
建议整改:
(一)策略修改
1、如需最新补丁,需要评估、测试,或者根据业务使用稳定版本补丁
2、关闭危险网络服务:echo、login等,关闭非必要的网络服务:talk、ntalk、sendmail等

 

恶意代码防范

•     a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;

•     b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

•     c)应支持防恶意代码软件的统一管理。

•     整体考虑

•     整改方法:

•     验证检查:
1、查看是否安装了防恶意代码软件;
2、查看恶意代码库是否为最新;
3、主机防病毒软件是否与网络版防病毒软件相同
4、安装的防病毒软件是否支持统一管理
建议整改:
(一)设备和服务部署
1、物理机房:防病毒网关、包含防病毒模块的多功能安全网关和网络版防病毒系统,任选一种部署
2、上云服务器(如阿里云):态势感知或安骑士或其它防病毒服务

 

资源控制

•     a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;

•     整改方法:

•     验证检查:
1、使用SSH登录则查看/etc/ssh/sshd_config
2、查看/etc/hosts.allow和/etc/hosts.deny文件内是否配置可访问的IP或通过询问、查看方式确认是否通过网络设备或硬件防火墙实现此项要求;
3、iptables -nvL 查看防火墙规则
建议整改:
(一)策略修改
1、/etc/ssh/sshd_config文件中PermitRootLoginno,不允许root直接登录
2、/etc/hosts.allow和/etc/hosts.deny文件中配置可访问的IP或者通过防火墙或跳板机或堡垒机设置访问限制
3、上云的服务器:安全组或VPC或云防火墙进行设置
4、防火墙规则根据业务需求进行配置

•     b)应根据安全策略设置登录终端的操作超时锁定;

•     整改方法:

•     验证检查:
1、查看etc/profile文件中是否设置TMOUT
建议整改:
(一)策略修改
1、etc/profile文件中添加TMOUT,TMOUT=600(备注:根据业务进行设定)

•     d)应限制单个用户对系统资源的最大或最小使用限度;

•     整改方法:

•     验证检查:
1、查看 /etc/security/limits.conf 文件,访谈系统管理员针对系统资源采取的保障措施。
fsize 用户创建的文件大小限制;
core 生成的core文件大小的限制;
cpu 用户进程可用cpu的限定值;
data 进程数据段大小的限定值;
stack 进程堆栈段大小的限定值;
rss 进程常驻内存段的限定值;
nofiles 进程中打开文件的最大数量。
建议整改:
1、根据实际需求对文件中的各个变量参数进行合理设置
2、采用zabbix或者云监控等手段进行监控

1.2.数据库

1.2.1.    SQL数据库

  • 身份鉴别

•     b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

•     整改方法:

•     验证检查:
1、打开Microsoft SQL Server Management Studio,对象资源管理器中–安全性–登录名,
右键各个用户–属性–常规–强制实施密码策略、强制密码过期策略;
2、(数据库部署的操作系统中)控制面板–管理工具–本地安全设置–帐户策略–密码策略:
(1)、密码必须符合复杂性要求;
(2)、密码长度最小值;
(3)、密码最长使用期限;
(4)、密码最短使用期限;
(5)、强制密码历史;
3、在SQL 查询分析器中执行 Use master; Select name,Password from syslogins where password is null 或 使用数据库扫描软件,查看扫描结果中是否存在空口令/弱口令的用户。
建议整改:
(一)策略修改
1、每个用户需要勾选“强制实施密码策略”;
2、密码必须符合复杂性要求已启用,密码长度最小值0个字符,密码最短使用期限0天,密码最长使用期限42天,0个记住密码
3、未发现弱口令、空口令用户

 

•     c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

•     整改方法:

•     验证检查:
1、打开Microsoft SQL Server Management Studio,对象资源管理器中–安全性–登录名,
右键各个用户–属性–常规–强制实施密码策略;
2、控制面板–管理工具–本地安全设置–帐户策略–账户锁定策略:
(1)、复位帐号锁定计数器;
(2)、账户锁定时间;
(3)、账户锁定阀值。
建议整改:
(一)策略修改
1、每个用户需要勾选“强制实施密码策略”;
2、账户锁定时间30分钟,账户锁定阈值5次无效登录,重置账户锁定计数器30分

•     f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

•     整改方法:

•     验证检查:
1、采用令牌、USB-KEY或智能卡等身份认证技术手段对用户进行身份鉴别
建议整改:
部署双因素产品或者堡垒机

  • 访问控制

•     d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

•     整改方法:

•     验证检查:
打开Microsoft SQL Server Management Studio,对象资源管理器中–安全性–登录名,查看是否存在sa帐号。
建议整改:
(一)策略修改
1、对sa用户重命名

  • 安全审计

•     a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

•     b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

•     c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

•     d)应能够根据记录数据进行分析,并生成审计报表;

•     e)应保护审计进程,避免受到未预期的中断;

•     f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

•     整体分析

•     整改方法:

•     验证检查:
打开Microsoft SQL Server Management Studio,对象资源管理器中,右键服务器–属性–安全性
1、登录审核;
2、启用C2审核跟踪。
建议整改:
(一)策略修改
1、勾选仅限失败的登录, 勾选启用C2审核跟踪
(二)设备和服务部署
部署数据库审计系统
1.2.2. mysql数据库

  • 身份鉴别

•     b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

•     整改方法:

•     验证检查:
1、使用的口令(如默认帐号root)是否复杂度,并且是否定期进行更换
建议整改:
(一)策略修改
1、用户口令长度8位,至少由字母、数字及字符两种以上的组合;
2、定期更换口令。

•     c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

•     整改方法:

•     验证检查:
1、是否有登录失败处理措施
建议整改:
使用了第三方技术实现了登录失败处理功能。

•     e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;

•     整改方法:

•     验证检查:
1、否存在多个用户使用同一帐号的情况。
建议整改:
1、不使用同一帐号进行管理

•     f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

•     整改方法:

•     验证检查:
1、是否采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,且其中一种是不可伪造的
建议整改:
1、采用令牌、USB-KEY或智能卡进行身份鉴别(部署双因子认证产品)

  • 安全审计

•     a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

•     b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

•     c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

•     d)应能够根据记录数据进行分析,并生成审计报表;

•     e)应保护审计进程,避免受到未预期的中断;

•     f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

•     整体分析

•     整改方法:

•     验证检查:
1、是否数据库日志和审计功能是否开启
2、是否对审计数据进行分析,并生成报表
3、是否避免审计记录被删除、修改或覆盖,是否至少满足6个月
4、是否定期进行数据备份,是否有数据恢复措施
建议整改:
(一)产品或服务部署
数据库审计系统

•     日志或自带审计系统对性能影响巨大,产生大量文件消耗硬盘空间,事实上中大型系统都不能使用,或只能在排查问题时偶尔使用;日志系统不直观、易篡改、不完整、难管理;无法自动智能设置规则; 另外,从安全管控的标准及法规角度来看,也需要第三方独立的审计设备。

  • 入侵防范

•     a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;

•     b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

•     c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。

•     整体分析

•     整改方法:

•     建议整改:
(一)产品或服务部署
数据库防火墙

2.  应用安全

2.1.       身份鉴别

b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别

整改方法:

验证检查: 
1、是否采用两种或两种以上组合的鉴别技术实现用户身份鉴别
建议整改:
1、采用双因素认证产品

 

d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。

整体分析

整改方法:

验证检查: 
1、连续多次输入口令错误,是否有账号锁定或者退出客户端登录等措施
建议整改:
1、多次输入错误口令,系统应该锁定账号和退出客户端等措施

2.2.       安全审计

a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;

b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;

c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;

d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

整体分析

整改方法:

验证检查: 
1、是否有安全审计功能模块,包括到每个用户的安全审计功能(备注:用户应该包括内部运维用户和使用者用户)
2、是否审计进程能中断,审计记录是否能被删除、修改和覆盖
3、审计的记录至少包括:时间、日期、发起者信息、类型、描述和结果
4、是否对审计记录进行查询、分析、统计和生成审计报表
建议整改:
1、审计包括客户及内部人员,包括应用系统的重要安全事件:账户建立、用户权限分配、重要业务数据操作、用户身份鉴别失败等(备注:审计的内容会根据每一个行业的业务方向有所不同)
2、审计记录至少保存6个月
3、审计记录需要定期进行查询、分析,生成对应的审计报表

软件容错

a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;

b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。

整体分析

整改方法:

验证检查: 
1、检查系统是否在数据输入界面对无效或非法的数据进行校验
2、是否对数据的格式或长度进行校验
3、检查系统返回的错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等
4、若系统有上传功能,尝试上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe等
可执行文件后,确认在服务器端是否可直接运行
建议整改:
1、注册用户是否可以’—’、‘1=1’等恒等式用户名
2、上传给服务器的参数(如查询关键字、url中的参数等)中包含特殊字符是否能正常处理
3、不存在SQL注入、XSS跨站脚本等漏洞
4、部署WAF或网页防篡改等第三方产品

 

资源控制

a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;

b)应能够对系统的最大并发会话连接数进行限制;

c)应能够对单个帐户的多重并发会话进行限制;

d)应能够对一个时间段内可能的并发会话连接数进行限制;

e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;

f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警;

g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。

整体分析

整改方法:

验证检查: 
1、系统是否具有超时结束会话功能
2、系统是否有最大并发会话连接数限制
3、系统是否限制单个用户多重并发会话数
4、系统是否设置资源限额
建议整改:
1、能够在合理的时间内结束超时空闲会话
2、禁止同一个用户同时登录系统操作(备注:根据自身业务情况而定)
3、能够对一个访问账户或一个请求进程占用的资源分配最大和最小限额

3.  数据库安全及备份恢复

3.1.       备份和恢复

b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;

整改方法:

建议整改: 
网络和安全设备的策略配置文件进行异地备份,数据库数据进行异地备份;

4.  系统运维管理

4.1.       监控管理和安全管理中心

b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;

整改方法:

建议整改: 
1、对监测和告警记录有定期的分析报告和对应措施

c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。

整改方法:

建议整改: 
1、建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理

 

网络安全管理

d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;

整改方法:

建议整改: 
1、定期的网络设备扫描,并有扫描报告和整改结果

h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。

整改方法:

建议整改: 
1、用户单位定期检查违反规定拨号上网或其他违反网络安全策略的行为

4.2.       系统安全管理

b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;

整改方法:

建议整改: 
1、定期扫描系统漏洞,及时安装安全补丁,及时进行漏洞修补

c)应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;

整改方法:

建议整改: 
1、及时做补丁修补,且安装前补丁经过测试和系统备份

g)应定期对运行日志和审计数据进行分析,以便及时发现异常行为。

整改方法:

建议整改: 
1、定期对运行日志和审计数据进行分析

4.3.       恶意代码防范管理

b)应指定专人对网络和主机进行恶意代码检测并保存检测记录;

整改方法:

建议整改: 
1、有专人对网络和主机进行恶意代码检测,并保存检测记录

d)应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。

整改方法:

建议整改: 
1、对系统内的恶意代码防范产品的升级情况予以定期检查和记录,并对安全日志进行定期分析并形成报告

4.4.       备份与恢复管理

e)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。

整改方法:

建议整改: 
1、定期测试备份介质的有效性,定期执行恢复程序,确定在规定的时间内完成备份恢复

4.5.       应急预案管理

c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;

整改方法:

建议整改: 
1、对系统相关人员进行应急预案的培训,培训至少每年举办一次,并保留培训记录

d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;

整改方法:

建议整改: 
1、定期对应急预案进行演练,并保留演练记录

5.  系统建设管理

5.1.       产品采购和使用

d)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。

整改方法:

建设整改: 
有产品选型测试记录或选型报告、候选产品名单(或候选供应商名录)并定期更新

5.2.       外包软件开发

d)应要求开发单位提供软件源代码,并审查软件中可能存在的后门。

整改方法:

建议整改: 
1、在软件开发协议中,规定开发单位提供软件源代码,并进行后门审查

5.3.       测试验收

a)应委托公正的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;

整改方法:

建议整改: 
1、委托公认的第三方测评单位对系统进行安全测评,并有测试报告

6.  人员安全管理

6.1.       人员考核

a)应定期对各个岗位的人员进行安全技能及安全认知的考核;

b)应对关键岗位的人员进行全面、严格的安全审查和技能考核;

c)应对考核结果进行记录并保存。

整体分析

整改方法:

建议整改: 
1、有定期安全技能和知识的考核,有考核记录
2、有定期对关键岗位的安全考试,有考核记录

6.2.       安全意识的教育和培训

d)应对安全教育和培训的情况和结果进行记录并归档保存。

整改方法:

建议整改: 
1、对培训的记录和结果归档保存

7.  安全管理机构

7.1.       人员配备

b)应配备专职安全管理员,不可兼任;

整改方法:

建议整改: 
1、配备安全管理员,安全管理员可兼任非系统维护工作

c)关键事务岗位应配备多人共同管理。

整改方法:

建议整改: 
1、关键岗位设置多人或AB角

7.2.       授权和审批

d)应记录审批过程并保存审批文档。

整改方法:

建议整改: 
1、保存审批记录

7.3.       沟通和合作

a)应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;

整改方法:

建议整改: 
1、定期召开信息安全会议,保存有会议纪要

e)应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。

整改方法:

建议整改: 
1、聘请信息安全专家

7.4.       审核和检查

a)安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;

整改方法:

建议整改: 
1、定期进行安全检查,有检查内容及结果记录文档

b)应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;

整改方法:

建议整改: 
1、内部或上级单位定期全面检查,或行业主管部门委托第三方进行检查

c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;

整改方法:

建议整改: 
1、保存有安全检查记录和检查报告

8.  安全管理制度

8.1.       制定和发布

c)应组织相关人员对制定的安全管理制度进行论证和审定;

整改方法:

建议整改: 
只要有证据(邮件、会议纪要、OA系统中流转记录、文件评审记录等)表明在安全管理制度发布前已进行相关的论证和审定

8.2.       评审和修订

a)信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;

整改方法:

建议整改: 
1、没有至少评审一次
2、至少有评审记录

b)应定期或不定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。

整改方法:

建议整改: 
1、每年至少评审一次
2、文件修改记录
3、文件评审记录

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


随着云计算和网络技术的发展,越来越多的数据需要在服务器之间进行传输和共享。云挂机宝作为一种常见的服务器设备,具有高效、稳定的特性,使得它成为了许多企业和个人用户传输数据的首选。本文将讨论云挂机宝服务器
阿里云服务器Tomcat无法从外部访问一、环境阿里云Ubuntu 12.04.5 LTStomcat和java都是阿里云默认的7的版本,如下图二、问题部署后./startup.sh启动tomcat 之后外部访问http://ip:8080/无法访问,之后去查看防火墙关闭了Ubuntu下面的防火墙123
购买一系列的东西其实就是花钱买块区域,服务器,域名,云解析,花了好多money。。。一、租服务器百度搜索阿里云进入官网首页,点击登录进入登录页面,可以使用邮箱登录或者注册进入注册页面,填写注册信息登录成功,进入主页,点击云服务ECS,点击购买推荐或者选购配置根据实际情况选择产品,可能没有货,那么就需要更改购买条件如果是新用户,购买
前言昨天买了域名,服务器,然后搭建了环境,然后想他通过默认的端口,不用端口就访问。设置WEB项目的欢迎页在WEB-INF文件夹下有个web.xml文件(最近新建的项目不包含此文件,可以手动新建),在welcome-file-list节点中设置,代码如下 <welcome-file-list> <welcome-file>test.html</welcome-file>
前言由于服务器centos6.8安装mysql一直出现不能连接问题,然后看到一个方法,一不小心就把yum给删除了,都还原不了,很是绝望,很难受。然后没有yum这个centos就感觉废了,然后找方法装上去。 python --version查看python 版本 whereis python 查看python文件 python: /usr/bin/python2.6 /usr/bin/python
前言用 SSH客户端登录上以后,自己想要在本地连接服务器上的mysql服务器。解决方法1、首先启动数据库[root@iZm5ec880z2rorZ ~]# service mysqld start可以输入一下加粗命令:[root@iZm5ec880z2rorZ ~]# mysql -u root -p Enter password: (输入你的数据库密码)Welcome to the My
前言乱码问题是很让人抓狂的问题,下面我将记录一下Linux下MySQL乱码问题的解决方法。 mysql在linux下乱码问题一、操作mysql默认字符集是latin1,但是我们大部分程序使用的字符集是utf8,我们就需要修改mysql的字符集了。1)查看默认编码show variables like 'character%';+--------------------------+--------
问题描述今天阿里云服务器安装mysql的收,遇到了一个很熟悉的问题 输入#mysql -u root -p ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) 解决方案一、方案1 1.#ps -A|grep mysql 显示类似:
今天在使用filezilla连接虚拟机中的ubuntu的时候出现上次出错,错误详情为:open for write: permission denied看完错误大概知道和权限有问题,再次查看虚拟机,我们使用以下命令给我们需要放入的目标文件权限:sudo chmod 777 /home再次尝试上传,上传成功! ...
直接上步骤,做一个简单的记录!配置阿里云oss找到对应的oss如果没有bucket,则新建一个新建之后,进入到对应的bucket,然后进行相关设置以上就是oss的基本设置,接下来是域名相关设置,这也是最重要的一些步骤。oss域名解析和cdn设置oss域名解析设置oss的域名设置是在传输管理下进行设置。如果没有域名,需要添加域名,没有注册域名自行注册。添加之后就会在上面列表上显示。以上就是域名的解析配置,期间还需要设置域名解析cname等。oss的cdn设置加速设置cdn
这个需要开放centos的端口和腾讯云服务器的端口。防火墙开放8080端口因为Centos7以上用firewalld代替了iptables,也就是说firewalld开通了8080端口应该就行了1.输入netstat -tunlp 查看8080是否放开。2.如果没有开放,输入firewall-cmd --state #查看防火墙状态。3.在running 状态下,向firewall 添加需要开放的端口firewall-cmd --permanent --zone=public --add-po
前言:博主资历尚浅,很多东西都还在刚起步学习的阶段,这几天开发任务比较轻,就在自己window系统下,模拟部署远程服务器,利用Jenkins + Ant + Tomcat 搭建了一个自动发布部署的环境
为了做集群测试,在每台机器上装了3个tomcat,每次发布项目的时候都要反复敲一些命令,重启 tomcat 之前先检查 tomcat 进程有没有停掉,没有还要手动 kill 该进程。 发布次数多了,操
Jenkins修改管理员密码,我看了网上所有的教程,竟然全都是拿着一串已经加密好的 111111 的密文去替代 config.xml 文件里面的密码,然后大家的密码都是 111111!我觉得这种做法实
一、四层与七层负载均衡在原理上的区别 1.图示 2.概述 四层负载均衡工作在 OSI 模型中的四层,即传输层。四层负载均衡只能根据报文中目标地址和源地址对请求进行转发,而无法修改或判断所请求资源的具体
和 window不同,在Linux压缩文件需要注意的是,压缩后的文件会把源文件给替代,无论是gzip、bzip2、xz 均不支持压缩目录,要达到压缩目录的目的,需要用到tar指令。 gzip 压缩 g
一、前言 随着每天业务的增长,Tomcat 的catalina.out日志 变得越来越大,占用磁盘空间不说。要查看某个时候的日志的时候,庞大的日志让你顿时无从下手,所以日志的切割的变得刻不容缓。而且,
一、安装 和 准备工作 我们选择了用 Tomcat 服务器下 war 包的安装方式。Jenkins 的下载地址:http://mirrors.jenkins-ci.org/,打开链接后,表格有war列
一、gcc gcc是Linux上面最标准的C语言的编译程序,用来源代码的编译链接。 gcc -c hello.c 编译产生目标文件hello.o gcc -O hello.c 编译产生目标文件,并进行
随着智能化互联时代的来临,家中的智能设备越来越多:电视机、平板、游戏主机、电脑、手机等遍及家中各个角落,同时设备之间共享数据的需求变的越来越强烈。比如同步、备份手机上的照片和视频,在电视机上观看电脑中