信息系統生命周期安全基線技術評估服務
來源: 發布日期:2017.12.15 點擊量:
安全基線是一個信息系統的最小安全保證,即該信息系統最基本需要滿足的安全要求�����。信息系統安全往往需要在安全付出成本與所能夠承受的安全風險之間進行平衡,而安全基線正是這個平衡的合理的分界線�����。不滿足系統最基本的安全需求,也就無法承受由此帶來的安全風險,而非基本安全需求的滿足同樣會帶來超額安全成本的付出,所以構造信息系統安全基線己經成為系統安全工程的首要步驟,同時也是進行安全評估��、解決信息系統安全性問題的先決條件。
安言咨詢為企業提供的信息系統全生命周期安全基線工作是以《國家信息系統安全等級保護基本要求》為基礎,以相關行業信息安全及風險監管條例安全基線要求�����、信息安全技術信息系統通用安全技術要求��、信息安全技術操作系統安全技術要求、信息安全技術數據庫管理系統安全技術要求��、信息安全技術服務器安全技術要求為參考�����,結合互聯網應用環境中高危風險威脅分析���,及客戶方信息系統安全管理和安全技術現狀���,對服務端操作系統�����、中間件、數據庫����、應用系統���,針對安全技術方面提出的不同安全等級的保護要求制定基線標準���。
安全基線的梳理工作需要對操作系統�、中間件����、數據庫各個版本的特性及區別以及應用系統的安全需求進行調研,并結合和參考客戶方已有的安全基線文檔�,以使新版本的服務端安全基線規范及安全技術手冊更快的融入到客戶方的實際工作中。
同時,需要對國家信息系統安全等級保護基本要求、行業信息安全及風險監管條例安全基線要求��、信息安全技術信息系統通用安全技術要求�����、信息安全技術操作系統安全技術要求�、信息安全技術數據庫管理系統安全技術要求����、信息安全技術服務器安全技術要求中提到的技術相關內容的要求進行統籌和梳理,并對互聯網應用環境中高危風險威脅進行分析和梳理,為服務端安全基線規范的制定提供依據。
1.安全基線規范的制定
以安全基線梳理的內容為依據制定服務端安全基線規范,按照國家信息系統安全等級保護基本要求,對不同等級的系統制定不同的基線要求,同時對服務端不同類型不同版本的操作系統、中間件�����、數據庫和應用系統在用戶管理�����、系統網絡通訊���、系統資源環境�����、日志及監控審計等方面的安全基線規范進行制定����,以達到對系統運行維護人員完成日常的系統配置和檢查工作起到指導作用的目的��。
安全基線規范的制定以《國家信息系統安全等級保護基本要求》為基礎���,以行業信息安全及風險監管條例安全基線要求�����、信息安全技術信息系統通用安全技術要求�、信息安全技術操作系統安全技術要求、信息安全技術數據庫管理系統安全技術要求、信息安全技術服務器安全技術要求為參考�����,結合互聯網應用環境中高危風險威脅分析����,通過信息系統安全基線規范的使用及配置,實現服務端系統的規范化、標準化管理,統一系統環境,降低安全風險��。安全技術手冊的編制�����。
以服務端安全基線規范為依據����,針對服務端不同類型不同版本的操作系統���、中間件�、數據庫和應用系統在用戶管理、系統網絡通訊、系統資源環境���、日志及監控審計等方面的安全基線規范,編寫與其相對應的安全技術手冊,以描述具體的服務端安全配置檢查操作步驟���。
包含的操作系統、中間件、數據庫的類型及版本如下表所示:
服務端安全技術手冊對于不同安全等級的內容上�,將采用增量式編寫��,一方面可以避免內容上的重復;另一方面可以更清晰的展現不同安全等級要求上的區別,即:第一級部分表示其適用于一級、二級�����、三級的安全要求���;第二級部分表示其為相對于一級要求新增部分的安全要求���,適用于二級�����、三級;第三級部分表示其為相對于二級要求新增部分的安全要求��,僅適用于三級�。
業務系統的安全基線建立起來后,可以形成針對不同系統的基本安全要求和checklist要求����,為標準化的技術安全操作提供了框架和標準����。其應用范圍非常廣泛�,主要包括新業務系統的上線安全檢查、第三方入網安全檢查�、合規性安全檢查(上級檢查)�、日常安全檢查等��。通過對目標系統展開合規安全檢查�����,找出不符合的項并選擇和實施安全措施來控制安全風險�。
最后��,根據安全基線技術手冊編寫與其對應的配置腳本。一方面可提高安全基線的配置效率�;另一方面可與客戶方目前所使用的信息化系統相結合并符合其要求��。同時,對編寫的配置腳本進行加固驗證�����,以確保配置腳本的有效運行��。
2.安全基線庫示例
應通過配置系統安全管理工具��,預防遠程訪問服務攻擊或非授權訪問,提高主機系統遠程管理安全�����。
|
基線技術要求
|
基線標準點(參數)
|
說明
|
|
管理遠程工具
|
安裝SSH
|
OpenSSH為遠程管理高安全性工具����,可保護管理過程中傳輸數據的安全
|
|
訪問控制
|
安裝TCP Wrapper,配置/etc/hosts.allow,/etc/hosts.deny
|
配置本機訪問控制列表����,提高對主機系統訪問控制
|
用戶賬號與口令安全
應通過配置用戶賬號與口令安全策略����,提高主機系統賬戶與口令安全���。
|
基線技術要求
|
基線標準點(參數)
|
說明
|
|
限制系統無用的默認賬號登錄
|
1) Daemon
2) Bin
3) Sys
4) Adm
5) Uucp
6) Nuucp
7) Lpd
8) Imnadm
9) Ldap
10) Lp
11) Snapp
12) invscout
|
清理多余用戶賬號�,限制系統默認賬號登錄,同時��,針對需要使用的用戶�����,制訂用戶列表進行妥善保存
|
|
root遠程登錄
|
禁止
|
禁止root遠程登錄
|
|
口令策略
|
1) maxrepeats=3
2) minlen=8
3) minalpha=4
4) minother=1
5) mindiff=4
6) minage=1
7) maxage=25(可選)
8) histsize=10
|
1) 口令中某一字符最多只能重復3次
2) 口令最短為8個字符
3) 口令中最少包含4個字母字符
4) 口令中最少包含一個非字母數字字符
5) 新口令中最少有4個字符和舊口令不同
6) 口令最小使用壽命1周
7) 口令的最大壽命25周
8) 口令不重復的次數10次
|
|
FTP用戶賬號控制
|
/etc/ftpusers
|
禁止root用戶使用FTP
|
日志與審計
應對系統的日志進行安全控制與管理,保護日志的安全與有效性。
|
基線技術要求
|
基線標準點(參數)
|
說明
|
|
日志記錄
|
記錄authlog�����、wtmp.log�、sulog、failedlogin
|
記錄必需的日志信息�����,以便進行審計
|
|
日志存儲(可選)
|
日志必須存儲在日志服務器中
|
使用日志服務器接受與存儲主機日志
|
|
日志保存要求
|
2個月
|
日志必須保存2個月
|
|
日志系統配置文件保護
|
文件屬性400(管理員賬號只讀)
|
修改日志配置文件(syslog.conf)權限為400
|
|
日志文件保護
|
文件屬性400(管理員賬號只讀)
|
修改日志文件authlog����、wtmp.log、sulog、failedlogin的權限為400
|
相關客戶案例:
