安全資訊

本篇將會(huì )介紹等級保護中對主機層面的安全要求，文中內容全是本人個(gè)人觀(guān)點(diǎn)，如有不對的地方歡迎糾正。文章以等保三級系統為基礎，從合規角度解讀要求。

正文

本部分從主機安全層面解讀標準要求。部分內容與網(wǎng)絡(luò )部分會(huì )有重疊，要求一樣，但是基于主機層面的。

7.1.3.1 身份鑒別（S3）

a) 應對登錄操作系統和數據庫系統的用戶(hù)進(jìn)行身份標識和鑒別；

b) 操作系統和數據庫系統管理用戶(hù)身份標識應具有不易被冒用的特點(diǎn)，口令應有復雜度要求并定期更換；

c) 應啟用登錄失敗處理功能，可采取結束會(huì )話(huà)、限制非法登錄次數和自動(dòng)退出等措施；

d) 當對服務(wù)器進(jìn)行遠程管理時(shí)，應采取必要措施，防止鑒別信息在網(wǎng)絡(luò )傳輸過(guò)程中被竊聽(tīng)；

e) 應為操作系統和數據庫系統的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性。

f) 應采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶(hù)進(jìn)行身份鑒別。

身份鑒別部分要求基本同網(wǎng)絡(luò )設備一樣，重點(diǎn)在于：

1） 用戶(hù)身份標識唯一，用戶(hù)名具有一定代表性，內部人員能夠從名稱(chēng)分辨賬戶(hù)用于哪些系統或操作；不同權限/分組或系統的用戶(hù)名原則上不能重復，不能多人使用；

2） 密碼8位以上（含8位），至少包含3種字符的組合；（這里提一句，最近都在宣傳無(wú)密碼登錄系統和管理平臺，預計未來(lái)會(huì )成為趨勢，好處是可以不用再去記復雜的密碼，也可以防止爆破、撞庫一類(lèi)的盜號行為，系統也不用存儲用戶(hù)的密碼信息。

3） 主機同樣要做好登陸失敗處置策略，要求（1）密碼輸入超過(guò)N此后，自動(dòng)鎖定該賬戶(hù)M分鐘（通常是N=5，M>15，只是建議，不是要求）；（2）登陸后無(wú)操作，S分鐘后要自動(dòng)斷開(kāi)（一般是S<5）；

4） 如無(wú)特殊業(yè)務(wù)需求，不建議開(kāi)放遠程管理接口；如果需要，不能采用直接登陸方式，要先登陸堡壘機（或者先跳板機再轉堡壘機；再或者非重要服務(wù)器，至少要先登陸跳板機而后再訪(fǎng)問(wèn)服務(wù)器），再訪(fǎng)問(wèn)需要操作的服務(wù)器；并且連接路徑必須進(jìn)行加密；

5）主機登陸同樣采用雙因素認證（堡壘機）。

7.1.3.2 訪(fǎng)問(wèn)控制（S3）

a) 應啟用訪(fǎng)問(wèn)控制功能，依據安全策略控制用戶(hù)對資源的訪(fǎng)問(wèn)；

b)應根據管理用戶(hù)的角色分配權限，實(shí)現管理用戶(hù)的權限分離，僅授予管理用戶(hù)所需的最小權限；

c)應實(shí)現操作系統和數據庫系統特權用戶(hù)的權限分離；

d)應嚴格限制默認帳戶(hù)的訪(fǎng)問(wèn)權限，重命名系統默認帳戶(hù)，修改這些帳戶(hù)的默認口令；

e)應及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在。

f) 應對重要信息資源設置敏感標記；

g) 應依據安全策略嚴格控制用戶(hù)對有敏感標記重要信息資源的操作；

訪(fǎng)問(wèn)控制部分要求的也比較多，逐條說(shuō)明。

a) 這里的資源指的是客體（信息），就是對于不同用戶(hù)的訪(fǎng)問(wèn)權限要進(jìn)行控制，避免越權；

b) 此項也是強調越權，要求最小化權限分配，只要能夠滿(mǎn)足工作需要即可，盡可能細化權限管理（網(wǎng)絡(luò )和安全設備上這點(diǎn)不太容易做，但是主機層面是可以的，只是大家嫌麻煩都不愿意去做）；提到的權限分離，就是避免一個(gè)賬戶(hù)擁有過(guò)多權限（比如超管，管理員賬戶(hù)），一般情況對于這種高權限賬戶(hù)使用前都是要走流程的，不會(huì )作為日常運維的賬戶(hù)來(lái)使用；

c) 此項是說(shuō)系統和數據庫賬戶(hù)不能由同一賬戶(hù)管理；舉個(gè)例子，以前安裝MS SQL的時(shí)候，會(huì )問(wèn)你是不是要創(chuàng )建混合登錄賬戶(hù)，就是可以以windows賬戶(hù)登錄數據庫，這種設置一般不建議；

d) 通常的做法就是直接禁用默認賬戶(hù)，如果非要用，那就重命名賬戶(hù)并設置復雜度較高的密碼，然后再行使用；

e) 此項是很多企業(yè)容易犯的錯誤，各種外包，各種測試環(huán)境，測完系統交付了，之前的環(huán)境就沒(méi)人管理了，不只是多余賬號，有的測試環(huán)境可以訪(fǎng)問(wèn)生產(chǎn)網(wǎng)和辦公網(wǎng)，開(kāi)了臨時(shí)接口也沒(méi)關(guān)，沒(méi)有防護措施，很容易被人作為跳板黑掉；就是缺乏對資產(chǎn)和流程的管理，產(chǎn)生邊緣資產(chǎn)，沒(méi)有人知道這些資產(chǎn)的狀況；這點(diǎn)其實(shí)很重要，引申出來(lái)的問(wèn)題不僅僅是多余賬戶(hù)的事情；

f) 這項基本來(lái)說(shuō)，大多數企業(yè)是直接放棄的，因為這項要求一般分數不是很高，但做起來(lái)比較困難；敏感標記包含物理和技術(shù)兩個(gè)方面（個(gè)人了解到的），敏感信息存儲的設備和介質(zhì)，你在其上貼了機密描述的標簽，這也算做了物理層面的敏感標記；技術(shù)上，敏感信息在數據中插入自定義的標簽或標識，做數據分類(lèi)，這種也是敏感標記；當年能做這些的公司不多，但從當前來(lái)看是很有必要的，最近幾年都在吹的數據生命周期，其中就包含了要求所述的內容；

g) 前面提到的是關(guān)于讀的問(wèn)題，這里說(shuō)的是寫(xiě)的問(wèn)題；就是做好權限管理，既不能越權去讀，也不能越權去寫(xiě)。

7.1.3.3 安全審計（G3）

a) 審計范圍應覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統用戶(hù)和數據庫用戶(hù)；

b)審計內容應包括重要用戶(hù)行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關(guān)事件；

c)審計記錄應包括事件的日期、時(shí)間、類(lèi)型、主體標識、客體標識和結果等；

d)應能夠根據記錄數據進(jìn)行分析，并生成審計報表；

e)應保護審計進(jìn)程，避免受到未預期的中斷；

f)應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。

主機安全審計部分要求類(lèi)似網(wǎng)絡(luò )部分，個(gè)別部分有些區別。

1) 審計范圍除了系統自身所涉及的服務(wù)器外，還要求要能夠審計到重要客戶(hù)端的系統用戶(hù)和數據庫用戶(hù)操作；起初以為是像淘寶那樣，要求審計每個(gè)用戶(hù)的了瀏覽、購買(mǎi)、登錄、退出等記錄，其實(shí)是想多了；這里要求其實(shí)是系統所關(guān)聯(lián)的服務(wù)器以及能夠訪(fǎng)問(wèn)系統后臺的終端的審計；比如管理員可以通過(guò)自己的PC訪(fǎng)問(wèn)系統后臺，那么這臺PC的日志都要留存，并能夠審計；

2) 對于操作的審計比較好理解，就是要全面，能記錄的有用信息都要記錄，便于后續審計和安全事件的溯源；標準中提到的審計報表，就是根據日志，對操作、訪(fǎng)問(wèn)、異常行為等進(jìn)行匯總統計，進(jìn)行趨勢的分析，形成報告，這也是檢查時(shí)要查看的；

3) 這里是對日志和審計記錄/報告的保護，要留存至少6個(gè)月的記錄，且有專(zhuān)人管理，有場(chǎng)外備份，能夠保證記錄完整性。

7.1.3.4 剩余信息保護（S3）

a) 應保證操作系統和數據庫系統用戶(hù)的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內存中；

b) 應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶(hù)前得到完全清除。

本項要求，也是關(guān)于敏感信息泄露的防護措施。從幾個(gè)方向來(lái)看吧：

1） 緩存和RAM類(lèi)存儲還好說(shuō)，一般重啟或多讀取點(diǎn)信息，之前的內容就沒(méi)了；這種信息泄露基本都是基于動(dòng)態(tài)的，系統運行過(guò)程中，被黑了才能拿到數據，等保三的層面沒(méi)有要求到這么高，所以不會(huì )有硬性要求；

2） 存儲介質(zhì)（磁盤(pán)、U盤(pán)等）方面，如果再次投入使用，必須要做好數據清理工作，目前企業(yè)大多數還沒(méi)富裕到用完就報廢的水平，所以大多都是格式化然后分配給其他部門(mén)或人繼續使用；但眾所周知，即使低格后，很多數據還是可以恢復過(guò)來(lái)的，一般大公司的做法就是，格式化，然后滿(mǎn)格重復寫(xiě)入垃圾數據（3-7次，看實(shí)際情況）；這樣操作，基本上普通的恢復方式，恢復的大多是垃圾數據，對于大多企業(yè)來(lái)說(shuō)足矣；再一方面就是磁帶、CD，這類(lèi)介質(zhì)還是建議一次性使用，用完直接銷(xiāo)毀，本身成本也不高，企業(yè)沒(méi)必要為了這點(diǎn)錢(qián)重復使用。

3） 虛擬存儲方面，這部分在老標準中沒(méi)有要求，但是等保2.0有明確提出，其實(shí)是在資源控制部分的要求項，應保證分配給虛擬機的內存空間僅供其獨占訪(fǎng)問(wèn)，虛擬機僅能使用為其分配的計算資源。具體技術(shù)手段，這里寫(xiě)不下，我也不是做底層的，所以推薦一篇論文，有興趣的可以看看。

《虛擬機檢測技術(shù)研究》 王寶林，楊明，張永輝（解放軍理工大學(xué) 指揮自動(dòng)化學(xué)院，江蘇 南京）

7.1.3.5 入侵防范（G3）

a) 應能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源 IP 、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴重入侵事件時(shí)提供報警；

b) 應能夠對重要程序的完整性進(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復的措施；

c) 操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過(guò)設置升級服務(wù)器等方式保持系統補丁及時(shí)得到更新。

主機入侵防范涉及的技術(shù)太多了，這里主要說(shuō)下等保要求。

a） IPS搞定一切，做好和監控平臺的聯(lián)動(dòng)就OK，能夠短信或郵件告警；

b） 個(gè)人理解，類(lèi)似于WAF的網(wǎng)頁(yè)防篡改，周期性去爬頁(yè)面進(jìn)行對比，完整性校驗，有問(wèn)題馬上可以預警，這是前半部分；后半部分還要求具有恢復措施，就是應急預案和應急響應團隊，尤其是政府類(lèi)站點(diǎn)，非常重視此類(lèi)問(wèn)題，一旦出現篡改，都會(huì )馬上啟動(dòng)應急響應工作；

c） 系統最小安裝原則，說(shuō)了多少年的事，沒(méi)什么需要討論的；后半句，就是打補丁要及時(shí)，有些主機1年不打補丁，在當前這種趨勢環(huán)境下，我覺(jué)得管理者的心也是夠大的；做安全運營(yíng)和管理，還是要講求謹小慎微，不怕細致，穩中發(fā)展，不能以不出事就行，出事再說(shuō)的心態(tài)。（這里還有個(gè)別情況，就是系統老舊，一旦打了新補丁系統就無(wú)法運行，影響業(yè)務(wù)。對于這類(lèi)系統，建議企業(yè)還是趁早重新設計研發(fā)新系統，除非你的系統不需要對外連接，純封閉在內網(wǎng)的，否則被黑是遲早的事）

7.1.3.6 惡意代碼防范（G3）

a) 應安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫；

b) 主機防惡意代碼產(chǎn)品應具有與網(wǎng)絡(luò )防惡意代碼產(chǎn)品不同的惡意代碼庫；

c) 應支持防惡意代碼的統一管理。

惡意代碼防范其實(shí)在主機層面比較容易理解，第一是正版安全軟件（殺軟或者HIDS類(lèi)產(chǎn)品），不要覺(jué)得安個(gè)盜版應付一下就OK了，按正常要求作為企業(yè)不允許使用盜版軟件，只是現在查的不嚴，哪天嚴起來(lái)怕是要后悔的；軟件版本和病毒庫更新要及時(shí)，不能用IPS或FW上的惡意代碼模塊代替安全軟件，要使用不同的特征庫；再就是針對軟件要進(jìn)行統一管理，不能按人或按部門(mén)管理。（多說(shuō)幾句，這里有企業(yè)反映過(guò)，linux系統安全，一般不用裝殺毒軟件，但事實(shí)證明，都是屁話(huà)，中招后爽了吧？再一方面，怕殺軟誤刪系統文件，導致業(yè)務(wù)暫停，這種情況確實(shí)存在，但是無(wú)論個(gè)人版還是企業(yè)版的殺軟可以自己定義策略，怕出問(wèn)題都設置成告警，手動(dòng)處理就好了，根據業(yè)務(wù)情況，及時(shí)更改策略，有些是真實(shí)請求的可以加白名單）

7.1.3.7 資源控制（A3）

a) 應通過(guò)設定終端接入方式、網(wǎng)絡(luò )地址范圍等條件限制終端登錄；

b)應根據安全策略設置登錄終端的操作超時(shí)鎖定；

c)應對重要服務(wù)器進(jìn)行監視，包括監視服務(wù)器的 CPU 、硬盤(pán)、內存、網(wǎng)絡(luò )等資源的使用情況；

d)應限制單個(gè)用戶(hù)對系統資源的最大或最小使用限度；

e)應能夠對系統的服務(wù)水平降低到預先規定的最小值進(jìn)行檢測和報警 。

在老等保標準中對于資源控制還是比較容易理解的，而且也容易實(shí)現，簡(jiǎn)單描述一下。

a) 能夠登錄堡壘機或跳板機的主機數量不能過(guò)多，而且要限制只允許某幾個(gè)IP登錄；

b) 服務(wù)器賬戶(hù)無(wú)操作，N分鐘后自動(dòng)鎖屏（建議：通?？梢栽O置5-15分鐘，最長(cháng)不要超過(guò)30分鐘）；

c) 現在一些大的機房都有監控平臺，即使沒(méi)有也可以用一些開(kāi)源工具自己搭一個(gè)；

de) 主機層面的SLA，設置不同用戶(hù)對系統資源調用的閾值；e中的要求可以在監控平臺設置預警。

結尾

以上是主機安全部分的要求。推薦標準《YD/T 2701-2014》，有興趣的可以看下。

等級保護測評系列介紹

等級保護測評（一）：物理安全

等級保護測評（二）：網(wǎng)絡(luò )安全

等級保護測評（三）：主機安全

等級保護測評（四）：應用與數據安全

等級保護測評（五）：制度與人員安全

等級保護測評（六）：系統建設管理

等級保護測評（七）：系統運維管理