等保三道防御

等保初级

安全通信网络

架构

• 网络设备业务处理能力

  访谈网管，了解业务高峰期事件，核查边界设备和主要网络设备处理能力

  display cpu-usage display memory-usage不大于70

  display version 未出现宕机告警

• 带宽满足需求

  关键节点部署流量监控，配置Qos策略

  设备配置流量监控和整形策略

• 划分网络区域

  划分网络区域：按方便管理和控制原则

  show vlan brief 思科查看配置

• 边界技术隔离

  网络拓扑图一致

  重要网络不能部署边界处，边界处应部署安全防护

  区域之间部署网闸、防火墙、设备访问控制ACL（Access Control List）

• 硬件与线路冗余

  核查系统关键设备有硬件冗余和通信线路冗余保证高可用性，用HSRP、VRRP等冗余设计网络架构

通信传输

• 完整性

  传输过程使用校验或密码技术保证完整性

  通过完整性验证

• 保密性

  通信过程采取密码技术保证保密性

  通信协议分析工具验证数据传输加密

可信验证

基于可信根

通信设备具有可信根芯片或硬件

可信度量

设备可信破坏告警

验证结果日志

安全计算环境

网络设备：路由器、交换机

• 身份鉴别

• 访问控制

• 安全审计

• 入侵防范

• 可信验证

安全设备：防火墙

• 同上

服务器：Linux

• 身份鉴别

  身份鉴别

  /etc/shadow 查看空口令账户

  /etc/pam.d/system-auth /etc/login.defs 核查密码长度和定期更换规则

  登录失败处理

  /etc/pam.d/system-auth /etc/pam.d/login 登录失败处理配置 /etc/pam.d/sshd ssh远程失败配置

  /etc/profile TIMEOUT配置超时锁定

  远程连接防窃听

  service -status-all | grep sshd 查看sshd服务

  netstat -an | grep 22 查看22端口

  抓包查看内容为密文

  鉴别技术

• 访问控制

  登录用户分配账户 权限

  r4 w2 x1 -0 属主、属组、其他用户、用户组

  配置文件不大于644 可执行不大于755

  默认账户删除，修改口令

  /etc/shadow 不存在默认无用账号

  /etc/ssh/sshd_config PermitRootLogin设置为no，不允许root远程

  删除多余、过期账户

  管理用户权限分离

  /etc/passwd 看用户权限

  /etc/sudoers 看那些有root权限

  ACL规定主体对客体访问规则

  访问控制达到用户级或进程级（系统级、应用级、用户级、进程级、文件级、数据库级、网络级、对象级）

  ls -al 看目录 文件权限

  重要主体和客体设安全标记，并控制访问

  安全增强型Linux(Security-Enhanced Linux，SELinux)，Linux内核模块，主体等于进程，客体是主体访问的资源，三种模式（enforcing,permissive,disabled）

  /etc/selinux/config 查看SELinux参数

• 安全审计

  安全审计覆盖重要用户和事件

  ps -ef |grep auditd; servece auditd status; service rsyslog status 看审计守护进程

  grep "@priv-ops" /etc/audit/filter.conf

  /etc/audit/audit.rules 查看安全事件

  审计日志

  /var/log/audit/audit.log 审计日志

  审计日志备份

  审计进程保护

  kill -9 auditd syslogd

• 入侵防范

  组件和应用

  yum list installed

  端口

  service -status-all | grep runnning 查看危险网络服务

  netstat -ntlp 看开放端口

  终端接入限制

  /etc/hosts.allow /etc/hosts/deny 查看tcpd配置文件

  漏扫、补洞

  rpm -qa|grep patch

  检测入侵

  /var/log/secure | grep refused 查看入侵线索

  核查主机防火墙、TCP SYN保护

  主机IDS部署，find / -name xxxx -print

  网络IDS部署

• 恶意代码防范

  防病毒软件，病毒库更新不超过一星期

• 可信验证

服务器：Windows

• 身份鉴别

  身份鉴别

  登录需要用户名密码

  用户名唯一

  无法使用空口令

  密码历史至少5个

  登录失败处理

  远程防窃听

  本地或KVM符合

  远程采用RDP协议， cmd gpedit.msc 查看远程桌面会话

  双因子认证

• 访问控制

  分配账户权限

  %systemdrive%\windows\system、%systemdrive%\system32\config 右键属性 安全，查看权限分配

  删除默认账户默认口令

  lusrmgr.msc 修改默认账户Administrator

  修改默认口令，禁用guest账户

  停用多余和共享账户

  权限分离

  specppl.msc 用户权限分配，系统管理员、安全员、审计员

  管理用户最小权限

  ACL：由安全管理员配置策略

  访问控制达到用户级或进程级，客体为文件、数据库表级

  %systemdrive%\program files、 %systemdrive%\system32等主要目录查权

  %systemdrive%\Windows\system32\config、 %systemdrive%\Windows\system32\secpol 等重要文件查看权限

  安全敏感标记

• 安全审计

  审计事件策略

  secpol.msc查看审计策略

  审计记录

  eventvwr.msc查看windows日志

  日志保护

  本地保存查eventvwr.msc

  日志服务器保存查审计策略

  保护审计进程

  secpol.msc 查看本地策略 用户权限分配，只有审计员才有管理和审核安全日志权限

• 入侵防范

  组件和应用

  dcomcnfg 看组件 我的电脑

  appwiz.cpl 核查程序

  端口

  services.msc 查系统服务

  netstat -an 查看监听端口

  net share 关闭默认共享

  firewall.cpl 防火墙启动，查看防火墙入站规则

  管理终端接入

  firewall.cpl看防火墙 入站规则 远程桌面-用户模式 作用域

  gpedit.msc 本地策略 windows设置 安全设置 ip安全策略

  漏扫

  appwiz.cpl看已安装更新

  报警

  主机IDS

  网络IDS

• 恶意代码防范

  防病毒更新不超过一星期

  基于可信根TPM

  网络防病毒和主机防病毒不同，异构库

  统一病毒更新策略和查杀

  电子邮件报警

• 可信验证

终端设备

• 同服务器，无安全审计

系统管理软件：Oracle

• 身份鉴别

  身份标识

  select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION' 检查口令复杂度不为UNLIMITED

  utlpwdmg.sql 查看文件内容中密码最小长度值>=8

  1中resource_name='PASSWORD_LIFE_TIME' 口令过期时限不为UNLIMITED

  登录失败处理

  select limit from dba_profiles where profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS' 登录失败限制

  select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_LOCK_TIME' 登录失败锁定

  select limit from dba_profiles where profile='DEFAULT' and resource_name='IDLE_TIME' 登录超时退出

  远程防窃听

  SSL加密

  $ORACLE_HOME/network/admin/listener.ora 查看服务端PROTOCAL和PORT配置

  $ORACLE_HOME/network/admin/tnsnames.ora 查看客户端端口是否对应服务器，协议TCPS

  $ORACLE_HOME/network/admin/sqlnet.ora 查看服务和客户配置文件中 WALLET_LOCATION,SQLNET.AUTHENTICATION_SERVICES和SSL配置

  $ORACLE_HOME/network/admin/sqlnet.ora 查看加密传输功能开启和加密算法

  抓包显示为密文

  双因子鉴别

• 访问控制

  分配账户权限

  MGMT_UIEW,SYS,SYSTEM,DBSNMP,SYSMAN为启动，其他均为锁定

  改默认口令默认账户

  默认口令

  SYS:CHANGE_ON_INSTALL

  SYSTEM:MANAGER

  常用口令

  oracle:oracle/admin/ora+版本号

  SYS:oracle/admin

  SYSTEM:oracle/amdin

  多余、过期账户删除

  select username,account_status from dba_users 返回结果查看范例数据库账号

  权限分离

  ACL:数据库应明确主体对客体ACL，范围包括直接相关主体(用户)和客体(文件、数据表)及操作（r，x，w）

  访问控制粒度：主体用户级或进程级，客体为文件、数据库表级

  安全标记

  安装Oracle Label Security模块

  select policy_name,status from DBA_SA_POLICIES 查看创建策略

  select * from dba_sa_levels ORDER BY level_num 查看创建级别

  select * from dba_sa_labels 标签创建情况

  存储重要数据表名称

  select * from dba_sa_tables_policies 查看策略与模式、表的对应关系

• 安全审计

  审计行为和重要安全事件

  select value from v$parameter where name='audit_trail' 查看是否开启审计

  不同用户进行不同操作，在oracle查看日志记录

  审计记录

  show parameter dump_dest;查日志文件位置

  select log_mode,force_logging from v$database; 看数据库日志记录模式

  select tablespace_name,logging,force_logging from dba_tablespaces; 看表空间日志记录模式

  select table_name,logging from user_tables; 看对象日志记录模式

  日志分析或第三方数据库审计产品

  保护日志：查日志设置权限，仅授权操作，Audit Vault

  审计进程保护

  alter system set audit_trail=none 不可以通过该命令重启实例并关闭审计功能

• 入侵防范

  最小安装组件

  终端接入限制

  sqlnet.ora 查看参数tcp.validnode_checking, tcp, invited_nodes配置

  漏扫补洞

  $ORACLE_HOME/OPatch/opatch lsinventory 查看补丁安装

系统管理软件：MySql

• 身份鉴别

  身份标识鉴别

  select user,host FROM mysql.user; 查询用户

  select * from mysql.user where length(password)=0 or password is null; 查看空口令用户

  show variables like 'validate%'; show variables like "%password%"; 查看口令复杂度配置

  登录失败处理

  show variables like '%max_connect%'; 或 查看my.cnf文件有max_connect_errors参数设置

  show variables like '%timeout%'; 查看返回值

  远程防窃听

  加密安全方式传输

  show variables like '%have_ssl%'; 是否支持SSL连接

  双因子身份鉴别

• 访问控制

  用户分配权限

  select user,host FROM mysql.user; 查询网络管理员、安全管理员、系统管理员为不同账户

  show grants for 'xxxx@localhost'; 查权限

  删除默认账户默认口令

  select user,host FROM mysql.user; root应被重命名或删除，未删除应查看默认口令是否更改

  删除多余、过期账户

  select username, account_status from dba_users;

  select * from mysql.user where user='账户名'; select user, host FROM mysql.user; 查无关用户

  管理用户权限分离

  用户角色划分，分配网络管理员、安全员、审计员；授予账号最小权限；使用root需申请

  ACL

  制定数据库ACL，由专门安全员负责ACL授权

  账户权限配置基于ACL

  select * from mysql.user \G 检查用户权限列

  select * from mysql.db \G 检查数据库权限列

  select * from mysql.tables_priv \G 检查用户表权限列

  select * from mysql.columns_priv \G 检查列权限列管理员

  不同用户登录验证不存在越权访问

  访问控制粒度主体用户级，客体数据库表级

  select * from mysql.user \G 检查用户权限列

  select * from mysql.db \G 检查数据库权限列

  安全标记：mysql不提供此功能，主要在操作系统层面实现

• 安全审计

  审计重要用户行为和事件

  show variable like 'log_%' 输出日志覆盖所有用户，能记录重要用户和重要事件

  不执行任何查询服务器，建议启用内置安全审计 /etc/my.cnf 添加 log=/var/log/mylogfile；生产环境下的建议启用第三方数据库审计产品，覆盖重要信息

  审计记录：同上

  日志保护

  保证只有root 和mysql 用户可以访问日志文件，错误日志hostname.err，mysql日志logfileXY日志文件

  《网络安全法》规定日志至少保存六个月

  审计进程保护

  非审计员无法中断审计进程（mysql默认符合）

  非审计员无法对进程操作，有日志记录

• 入侵防范

  最小安装：MySQL默认符合

  接入终端管理

  GRANT ALL ON . TO 'root'@'%' 允许任何地址对数据库访问，危险

  show grants for root@localhost 查看用户登录的ip地址

  GRANT ALL ON . TO 'root'@'localhost' 仅允许本地连接

  GRANT ALL ON . TO 'root'@'myip.athome' 仅允许指定ip连接

  漏扫

应用系统

• 身份鉴别

  身份鉴别

  有身份鉴别措施

  未登录不能访问任何操作，无法绕过

  唯一身份标识

  口令有长度（8位）、复杂度（数字字母符号）、更换周期限制（强制三个月）

  应用系统中不存在弱口令空口令用户

  登录失败处理

  登录失败处理功能

  超过错误次数锁定

  登录时连接超时自动断开

  登录后不操作结束会话

  远程防窃听

  双因子加密（口令或生物技术+基于密码技术的鉴别技术）

• 访问控制

  为用户分配账户和权限

  每一位登录用户都有账户和权限

  不同类别角色分配不同功能权限

  用户无法访问未授权功能

  删除默认账户修改默认口令

  删除、停用过期账户，避免共享账户

  管理用户最小权限

  所有管理均不具备业务操作权限，且分为管理员、安全员、审计员

  抽取用户实际权限与职责相符，为最小权限

  ACL

  管理用户负责配置ACL，非管理不能访问权限管理

  访问控制粒度：主体用户级或进程级，客体文件、数据库表、记录或字段级

  安全标记

  应提供安全标记功能，不允许其他用户修改，包括资源拥有者

  应用系统根据acl对重要账户和信息设置安全标记

  应用系统依据安全标记控制账户对信息资源访问

• 安全审计

  安全审计功能

  应用提供并启用安全审计

  覆盖每位用户

  对重要用户行为和安全事件提供审计功能

  审计记录信息

  审计记录保护

  存储数据库并定期备份

  不提供审计记录删除、修改或覆盖功能，如果提供则限定不可删改覆盖半年内审计记录

  审计进程保护：单独进程非授权无法中断，单独功能非授权无法关闭

• 入侵防范

  最小安装

  提供数据有效性校验

  系统具备容错能力

  对输入数据长度格式等检查和验证，查看系统反应

  漏扫

• 数据备份恢复

  提供重要数据处理系统热冗余

• 剩余信息保护

  保证鉴别信息、敏感数据的存储空间被释放或重新分配前得到完全清除

• 个人信息保护

  仅采集和保存业务必需的个人信息

  已记录应用系统采集的个人信息

  已记录系统各个模块使用哪些个人信息，说明使用的必要性

  禁止未授权访问和非法使用用户个人信息

  系统采取措施控制账户对个人信息的访问

  未经授权不能访问和使用用户个人信息

数据

一般分布在网络设备、安全设备、服务器、应用系统等测评对象中，应分别从不同测评对象中汇总测评数据

数据完整性同上

数据备份恢复同上

• 鉴别数据

  一般分布在网络设备、安全设备、服务器、应用系统等测评对象中，应分别从不同测评对象中汇总测评数据

  数据完整性

  传输过程完整性

  采用校验技术或密码技术保证数据传输完整性

  工具修改通信报文内容，系统可以检测数据遭到破坏

  存储过程完整性

  采用校验技术或密码技术保证数据存储完整性

  修改数据库中存储数据，系统能够检测到并发出提示信息

  数据保密性

  传输过程保密性

  系统采用密码技术保证传输保密性

  抓取传输过程数据包，查看数据传输是否进行加密处理

  存储过程保密性

  系统采用密码技术保证存储保密性

  数据表或文件数据以密文存储

• 重要业务数据

  业务数据大都具有敏感性，一边拿在应用系统中核查

  数据完整性同上

  数据保密性同上

  数据备份恢复

  重要数据本地数据备份与恢复功能

  本地提供数据备份措施和恢复措施

  数据备份周期为每周完整备份

  按周期和方式进行有效数据备份

  有近期数据恢复测试记录

  异地实时备份功能：提供灾备中心，提供异地实时数据备份，能通过网络将重要业务数据实时备份

• 重要审计数据

  一般分布在网络设备、安全设备、服务器、应用系统等测评对象中，应分别从不同测评对象中汇总测评数据

  数据完整性同上

  数据备份恢复同上

• 主要配置数据

  一般分布在网络设备、安全设备、服务器、应用系统等测评对象中，应分别从不同测评对象中汇总测评数据

  数据完整性同上

  数据备份恢复同上

• 重要个人信息

  个人信息指能够单独或结合以识别特定自然人身份或反映特定自然人活动情况的各种信息，包括姓名、身份证号、手机号、住址、财产、行踪轨迹，一般在应用系统中核查

  数据完整性同上

  数据保密性同上

  数据备份恢复同上

安全区域边界

边界防护

• 受控接口通信

  保证跨边界应通过受控接口通信

  检测网络拓扑与实际，明确物理端口和网络边界

  查看配置指定物理端口跨越边界，router#show running-config

  不存在未受控端口

• 从内至外

  非授权设备连内网检查和限制

  闲置端口关闭 show ip interfaces brief思科

  核查终端设备

  核查IP/MAC地址绑定措施 show ip arp思科

• 从外至内

  非授权内网连外网检查和限制

  部署终端安全管理系统

  各终端设备均部署安全管理系统并启用策略

• 终端无线管理

  限制无线网络使用

  无线网络单独组网接入有线

  无线网络部署方式

  非授权无线设备的管控措施

访问控制

• 拒绝受控接口外所有通信

  设置访问控制，除允许接口外拒绝一切通信

  访问控制设备、访问控制策略 show running-config

  白名单机制、仅允许授权设备

• 优化ACL

  优化ACL，保证最小化

  仅开放必须使用的端口，禁止配置全局策略，保证策略有效性

  查看ACL show running-config

• 检查数据包

  源地址、目的地址、源端口、目的端口、协议检查 show running-config

• 根据数据流能判断允许/拒绝

  防火墙能根据会话信息得出足够判断信息过滤 show runnning-config

• 基于应用访问控制

  数据流基于应用协议和内容实现访问控制

入侵防范

• 关键节点检测阻断攻击

  关键节点阻断外部、内部网络攻击

  可以检测攻击

  规则库更新

  配置覆盖关键节点ip

  安全策略有效

• 新型攻击

• 攻击日志及报警

恶意代码和垃圾邮件防范

• 恶意代码检测

• 垃圾邮件检测

安全审计

• 审计功能

  网络边界、重要节点安全审计，覆盖每个用户，对重要用户行为和重要安全事件审计

  部署安全审计系统

  审计范围覆盖

• 审计信息

• 审计日志备份

  记录保护，定期备份

  开启日志外发，日志转发日志服务器

  日志存储超过六个月

• 单独审计

  远程应行为审计，访问互联网用户单独审计

可信验证

安全管理中心

安全物理环境