网络安全等级测评师培训教材(初级)-2021版-第四章安全计算环境
文章目录
- 第4章 安全计算环境
- 4.1网络设备
- 4.1.1路由器
- 1、身份鉴别
- 2、访问控制
- 3、安全审计
- 4、入侵防范
- 5、可信验证
- 4.1.2交换机
- 1、身份鉴别
- 2、访问控制
- 3、安全宙计
- 4、入侵防范
- 5.可信验证
- 4.2安全设备
- 防火墙
- 1、身份鉴别
- 2、访问控制
- 3、安全审计
- 4、入侵防范
- 5、可信验证
- 4.3服务器
- 4.3.1 Linux 服务器
- 1、身份鉴别
- 2、访问控制
- 3、安全审计
- 4、入侵防范
- 5、恶意代码防范
- 6、可信验证
- 4.3.2 Windows 服务器
- 1、身份鉴别
- 2、访问控制
- 3、安全审计
- 4、入優防范
- 5、 恶意代码防范
- 6、 可信验证
- 4.4终端设备
- 1、身份签别
- 2、访问控制
- 3、入侵防范
- 4、恶意代码防范
- 5、可信验证
- 4.5系统管理软件
- 4.5.1 Oracle
- 1、身份鉴别
- 2、访问控制
- 3、 安全审计
- 4、入侵防范
- 4.5.2 MySQL
- 1、身份鉴别
- 2、访问控制
- 3、安全审计
- 4、 入侵防范
- 4.6 应用系统
- 1、身份鉴别
- 2、访问控制
- 3、 安全审计
- 4、入侵防范
- 5、 数据备份恢复
- 6、剩余信息保护
- 7、个人信息保护
- 4.7数据
- 4.7.1鉴别数据
- 1、数据完整性
- 2、数据保密性
- 4.7.2重要业务数据
- 1、数据完整性
- 2、数据保密性
- 3、数据备份恢复
- 4.7.3重要审计数据
- 1、数据完整性
- 4.7.4主要配置数据
- 1、数据完整性
- 2、数据备份恢复
- 4.7.5重要个人信息
- 1、数据完整性
- 2、数据保密性
- 3、数据备份恢复
第4章 安全计算环境
边界内部称为安全计算环境,通常通过局域网将各种设备节点连接起来,构成复杂的计算环境。
构成节点的设备包括网络设备、安全设备、服务器设备、终端设备、应用系统 和其他设备等,涉及的对象包括各类操作系统、数据库系统、中间件系统及其他各类系统 软件、应用软件和数据对象等。
对这些节点和系统的安全防护构成了 “一个中心,三重防御”纵深防御体系的最后一道防线。
安全计算环境针对边界内部提出了安全控制要求,主要对象为边界内部的所有对象, 包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等, 涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信 验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
本章将以三级等级保护对象为例,介绍安全计算环境各个控制要求项的测评内容、测 评方法、证据、案例等。
4.1网络设备
4.1.1路由器
路由器是沟通外部网络和内部网络的桥梁,是整个系统对外安全防护的前沿岗哨。根据《信息安全技术网络安全等级保护测评要求》(以下简称为《测评要求》),身份鉴别、 访问控制、安全审计、入侵防范、可信验证的相关要求应当具体落实到路由器的检查项中。
本节将从身份鉴别、访问控制、安全审计、入侵防范、可信验证五个方面描述检查过程中 对路由器的关注点。
1、身份鉴别
为确保路由器的安全,必须对路由器的每个运维用户或与之相连的路由器进行有效的
标识与鉴别。只有通过
鉴别的用户,才能被赋予相应的权限,进入路由器,并在规定的权限范围内进行操作。
L3-CES1-01
[安全要求】
- 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
[要求解读】
一般来说,用户登录路由器的方式包括利用控制台端口通过串口进行本地连接登录*、* 利用辅助端口(AUX)通过调制解调器进行远程拨号连接登录、利用虚拟终端(VTY)通 过TCP/IP网络进行远程Teinet登录等。无论采用哪种登录方式,都需要对用户身份进行 鉴别。口令是路由器用来防止非授权访问的常用手段,是路由器自身安全的一部分,因此 需要加强对路由器口令的管理,包括口令的设置和存储(最好的口令存储方法是保存在 TACACS+或RADIUS认证服务器上)。管理员应当依据需要,为路由器的相应端口添加 身份鉴别所需的最基本的安全控制机制。
在一台路由器中,不允许配置用户名相同的用户。同时,要防止多人共用一个账户。 应实行分账户管理,为每名管理员设置单独的账户,避免出现问题后无法及时追查的情况 发生。
为避免身份鉴别信息被冒用,可以通过令牌、认证服务器等加强对身份鉴别信息的保 护。如果仅基于口令进行身份鉴别,则应保证口令复杂度,满足定期更改口令的要求。
可以使用"service password-encryption”命令对存储在配置文件中的所有口令和类似 数据进行加密,以避免攻击者通过读取配置文件获取口令的明文。
[测评方法】
(1)核查`是否`在用户登录时釆用了身份鉴别措施。
(2)核查用户列表,测试用户身份标识`是否`具有唯一性。
(3)查看用户配置信息或访谈系统管理员,核查`是否`存在空口令用户(应为不存在)。
(4)核查用户鉴别信息`是否`满足复杂度要求并定期更换。
【预期结果或主要证据】
(1 )情况如下:
路由器`使用`口令鉴别机制对登录用户进行身份标识和鉴别。
在用户登录时`提示`输入用户名和口令。以错误口令或空口令登录时提示登录失败, 证明了`登录控制功能的有效性`。
路由器中`不存在`密码为空的用户。
(2) 身份认证,示例如下。
Cisco路由器:输入“show run”命令,存在如下类似用户列表配置。
username admin privilege 15 password 0 xxxxxxxx
username audit privilege 10 password 0 xxxxxxxx
也可以启用AAA服务器进行身份认证。
aaa new-model
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
华为/H3C路由器:输入display current-configuration命令,存在如下类似用户 列表配置。
local-user netadmin password irreversible-cipher xxxxxx
也可以启用AAA服务器进行身份认证。
hwtacacs scheme xxxxx
primary authentication xxxxx
primary authorization xxxxx
primary accounting xxxxx
key authentication cipher xxxxxx
key authorization cipher xxxxxx
key accounting cipher xxxxxx
(3) 用户口令情况,示例如下。
Cisco路由器:输入“show run”命令,存在如下类似配置。
username admin privilege 15 password 0 xxxxxxxx
username audit privilege 10 password 0 xxxxxxxx
华为/H3C路由器:输入display current-configuraticm命令,存在如下类似配置白
local-user netadmin password irreversible-cipher xxxxxx
(4) 口令由数字、字母、特殊字符组成。
口令长度大于8位。口令更换周期一般为3 个月。
H3C路由器:输入display password-control命令,存在如下类似配置。
password-control aging 90
password-control length 8
password-control history 10
password-control composition type-number 3 type-length 4
L3-CES1-02
[安全要求】
- 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退岀等相关措施。
[要求解读]
对路由器,可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接 超时自动退出等多种措施实现登录失败处理功能。例如,可以利用exec-timeout命令配置 虚拟终端的超时参数,防止空闲任务占用虚拟终端,从而避免恶意攻击或远端系统意外崩 溃导致的资源独占。再如,设置管理员最大登录失败次数,一旦该管理员的登录失败次数 超过设定的数值,系统将对其进行登录锁定,从而防止非法用户通过暴力破解的方式登录 路由器。
【测评方法】
(1) 核查是否配置并启用了登录失败处理功能。如果网络中部署了堡垒机,则先核查 堡垒机是否具有登录失败处理功能。如果网络中没有部署堡垒机,则核查设备是否默认启 用了登录失败处理功能,例如登录失败3次即退出登录界面。
(2)核査是否配置并启用了非法登录达到一定次数后锁定账户的功能。
(3)核查是否配置并启用了远程登录连接超时自动退出的功能。
以华为路由器为例,设置超时时间为5分钟。输入display current-configuration命 令,在虚拟终端中查看是否存在如下类似配置。
line vty 0 4
access-list 101 in
transport input ssh
idle-timeout 5
[预期结果或主要证据】
(1) 网络设备默认启用登录失败处理功能。
(2) 堡垒机限制非法登录(达到一定次数后进行账户锁定),或者有如下情况。
H3C路由器:输入displaypassword-contror命令,存在如下类似配置
password-control login-attempt 3 exceed locktime 360
Cisco路由器、华为路由器连续登录5次即锁定10分钟。
(3)堡垒机启用了远程登录连接超时自动退出的功能,或者有如下情况。
Cisco路由器:输入show run命令,存在如下类似配置。
exec-timeout 2 0
华为/H3C路由器:输入dipiay currentyonfiguration命令,存在如下类似配置口
idle-timeout 20
L3-CES1-03
[安全要求】
- 当进行
远程管理时,应釆取必要措施防止鉴别信息在网络传输过程中被窃听。
【要求解读】
- 在对网络设备进行远程管理时,为避免
口令在传输过程中被窃取,不应使用明文传送 的Telnet服务,而应采用SSH、HTTPS加密协议等进行交互式管理。
【测评方法]
- 核查
是否采用了加密等安全方式对系统进行远程管理,以防止鉴别信息在网络传输过 程中被窃听。 - 如果网络中部署了堡垒机,则先
核查堡垒机在进行远程连接时采用何种措施防止鉴别信息在网络传输过程中被窃听(例如SSH等方式)。
【预期结果或主要证据】
Cisco路由器:输入show run命令,存在如下类似配置。
Routerl#configure terminalRouterl(config)4hostname RouterlRouterl(config)#ip domain-name neoshi.netRouterl(configl#crypto key generate rsaHow many bits in the modulus [512]: 1024Routerl(config)#ip ssh time-out 120Routerl (config)#ip ssh authentication-retries 4Routerl(config)#line vty 0 4Routerl(config)rtransport input ssh
华为/H3C路由器:输入"dispy current-configuration”命令,存在如下类似配置。
local-user test password cipher 456%A£FT
service-type ssh level 3
ssh user test authentication-type password
User-interface vty 0 4
Protocol inbound ssh
L3-CES1-04
[安全要求】
- 应釆用
口令、密码技术、生物技术等两种或两种以上``组合的鉴别技术对用户进行身份鉴别,且其中一·种鉴别技术至少应使用密码技术来实现。
【要求解读】
- 采用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。
- 在这里,两种 或两种以上组合的鉴别技术是指
同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
[测评方法】
- 询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种 以上组合的鉴别技术对用户身份进行鉴别,
- 并核查其中一种鉴别技术是否使用密码技术来 实现。
[预期结果或主要证据]
至少采用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的 鉴别技术(例如使用基于国密算法的数字证书或数字令牌)。
2、访问控制
- 在路由器中实施
访问控制的目的是保证系统资源受控、合法地被使用。 - 用户只能根据
自己的权限来访问系统资源,不得越权访问。
1) L3-CES1-05
【安全要求】
应对登录的用户分配账户和权限。
[要求解读]
- 为了确保路由器的安全,需要为登录的用户
分配账户并合理配置账户权限。 - 例如,相 关管理人员具有与其职位相对应的
账户和权限。
[测评方法]
(1) `访谈`网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况。
(2)核查`是否`已禁用或限制匿名、默认账户的访问权限。
【预期结果或主要证据]
(1 )相关管理人员具有与其职位相对应的账户和权限。
(2)网络设备已禁用或限制匿名、默认账户的访问权限。
L3-CES1-06
【安全要求〕
应重命名或删除默认账户,修改默认账户的默认口令。
[要求解读]
- 路由器默认账户的某些权限与实际要求可能存在差异,从而造成安全隐患,
- 因此,这些默认账户应被禁用,且应不存在
默认账户(例如admin、huawei)及默认口令。
【测评方法】
(1)核查默认账户`是否`已经重命名或默认账户是否已被删除。
(2)核查默认账户的默认口令`是否`已经修改。
登录路由器,使用路由器的默认账户和 默认口令进行登录测试,核查能否登录(应为不能登录)。
Cisco 路由器:账户为 cisco、Cisco, 口令为 cisco。
华为路由器:账户为 admin、huawei, 口令为 admin、admin@huawei.com。
[预期结果或主要证据]
(1) 使用默认账户和默认口令无法登录路由器。
(2) Cisco路由器中不存在默认账户`cisco`、`Cisco0`华为/H3C路由器中不存在默认账 户 `admin`、`huawei`。
L3-CES1-07
[安全要求】
- 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
【要求解读】
- 路由器中如果存在多余的、过期的账户,就可能被攻击者利用进行非法操作,
- 因此, 应及时
清理路由器中的账户,删除或停用多余的、过期的账户,避免共享账户的存在。
[测评方法]
(1)核查`是否`存在多余的或过期的账户(应为不存在),以及管理员用户与账户之间是否一一对应。
(2) 核查并测试多余的、过期的账户`是否`已被删除或停用。
Cisco路由器·:输入show run命令,查看每条类似如下命令所配置的用户名是 否确实、必要。
username xxxxxxx privilege xx password x xxxxxxxx
华为/H3C路由器:输入“display current-configiiration,命令,查看每条类似如下 命令所配置的用户名是否确实、必要。
local-user xxxxx privilege level x
[预期结果或主要证据】
(1)配置的用户名都是确实和必要的。
Cisco路由器:输入“show run”命令,每条类似如下命令所配置的用户名都是确实和必要的。
username xxxxxxx privilege xx password x xxxxkxxx
华为/H3C路由器:输入display current-configuration命令,每条类似如下命令所配置的用户名都是确实和必要的,
local-user xxxxx privilege level x
或者
local-user xxxxx
password cipher xxxxxxx
service-type t xxxxx
level x
(2)网络管理员、安全管理员和系统管理员等不同的用户使用不同的账户登录系统。
L3-CES1-08
【安全要求】
- 应授予管理用户所需的
最小权限, - 实现管理用户的
权限分离。
[要求解读】
- 根据管理用户的角色对权限进行细致的划分,有利于各岗位精准协调工作。
- 同时,仅授予管理用户所需的
最小权限,可以避免因出现权限漏洞而使一些高级用户拥有过高的权限。 - 例如,应进行角色划分,分为网络管理员、安全管理员、系统管理员三个角色,并设 置
对应的权限。
[测评方法]
(1)访谈管理员,核查`是否`进行了角色划分,例如划分为网络管理员、安全管理员、 系统管理员等角色。
(2)核查管理用户的权限`是否`已经分离。
(3)核查管理用户的权限`是否`为其工作任务所需的最小权限。`
[预期结果或主要证据]
(1) 进行了角色划分,分为网络管理员、安全管理员、系统管理员三个角色,并设置 了`对应的权限`。
(2) 访问控制策略,示例如下。
Cisco路由器:输入“show run”命令,存在如下类似配置。
username admin privilege 15 password 0 xxxxxxxx
username audit privilege 10 password 0 xxxxxxxx
username operator privilege 7 password 0 xxxxxxxx
华为ZH3C路由器:输入display current-configuration命令,存在如下类似配置
local-user userl
service-type telnet
user privilede level 2
#
local-user user2
service-type ftp
user privilede level 3
(3)网络管理员、安全管理员、系统管理员所对应的账户权限为其工作任务所需的最小权限。
L3-CES1-09
[安全要求】
- 应由授权主体配置访问控制策略,
- 访问控制策略规定
主体对客体的访问规则。
【要求解读】
- 路由器的访问控制策略由
授权主体进行配置,规定了主体可以对客体进行的操作。 - 访问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级。
[测评方法】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
【预期结果或主要证据】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
L3-CES1-10
[安全要求】
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
【要求解读】
- 防火墙的访问控制策略由
授权主体进行配置,规定了主体可以对客体进行的操作。 - 访问控制粒度要求
主体为用户级或进程级,客体为文件、数据库表级。
[测评方法】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
[预期结果或主要证据】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
L3-CES1-11
[安全要求】
- 应对重要主体和客体设置安全标记,
- 并控制
主体对有安全标记信息资源的访问。
[要求解读】
- 敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数 字,也可能是字母,总之,它表示主体和客体的安全级别。
- 敏感标记由安全管理员设置。
- 安全管理员通过为重要信息资源设置敏感标记来决定主体以何种权限对客体进行操作,实现强制访问控制。
[测评方法]
此项不适用。
【预期结果或主要证据]
此项不适用。
3、安全审计
安全审计是指对等级保护对象中与安全活动相关的信息进行识别、记录、存储和分析的整个过程。- 安全审计功能可以确保用户对其行为负责,证实安全政策得以实施,并可以 作为调查工具使用。
- 通过检查审计记录结果,可以判断等级保护对象中进行了哪些与安全 相关的活动及哪个用户要对这些活动负责。
- 另外,安全审计可以协助安全管理员及时发现 网络系统中的入侵行为及潜在的系统漏洞及隐患。
- 安全审计主要关注是否对重要事件进行 了
审计、审计的内容、审计记录的保护及审计进程保护。
L3-CES1-12
[安全要求]
- 应启用
安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
【要求解读]
- 为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统 日志功能。
- 系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事 件描述信息。
- 路由器的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。
- 在默认 情况下,控制台端口的日志功能处于启用状态。
[测评方法】
(1 )核查`是否`开启了安全审计功能,以及网络设备是否设置了日志服务器的IP地址, 并使用`syslog`或`SNMP`方式将日志发送到日志服务器。
(2 )核查安全审计范围`是否`覆盖每个用户。
(3)核查`是否`已对重要的用户行为和重要安全事件进行审计。
[预期结果或主要证据]
Cisco路由器:网络设备设置了日志服务器,并使用syslog或SNMP方式·将日志发 送到日志服务器。
输入“Show run”命令,存在如下类似配置。
logging on
logging trap debugging
logging facility local 6
logging x.x.x.x
Service timestamps log datetime
华为/H3C路由器:网络设备设置了日志服务器,并使用syslog或SNMP方式将日志发送到日志服务器。
输入display current-configuration命令,存在如下类似 配置。
Info-center enable
Info-center loghost source vlan-interface 3
Info-center loghost 192.10.12.1 facility local 1
Info-center source default channel 2 log level warnings
Snmp-agent
snmp-agent trap enable standard authentication
snmp-agent target-host trap address udp-domain10.1.1.1 params
securityname public
L3-CES1-13
【安全要求】
- 审计记录应包括
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
【要求解读】
- 路由器的日志审计内容包括
日期和时间、用户、事件类型、事件是否成功等信息。
一般来说,对主流的路由器和交换机,可以实现对系统错误、网络和接口变化、登录 失败、ACL匹配等的审计,审计内容包括时间、类型、用户等相关信息。因此,只要启用 这些路由器和交换机的审计功能,就能符合此项要求。
但对防火墙等安全设备来说,由于 其访问控制策略命中日志功能需要手动启用,所以应重点核査其访问控制策略命中日志功 能是否已启用。
[测评方法]
- 核查需计记录是否包含事件的日期和时间、用户、事件类型、事件是否成功及其他与 审计相关的信息。
[预期结果或主要证据】
日志信息包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关 的信息。
L3-CES1-14
【安全要求】
- 应对审计记录进行
保护,定期备份,避免受到未预期的删除、修改或覆盖等。
[要求解读】
- 审计记录能够帮助管理人员及时
发现系统运行问题和网络攻击行为, - 因此,需要对审 计记录实施技术和管理上的保护,防止
未授权的修改、删除和破坏。
[测评方法]
(1)`访谈`系统管理员,了解审计记录的存储、备份和保护措施。
(2)核查`是否`定时将路由器日志发送到日志服务器等,以及是否使用`syslog`或`SNMP 方式`将路由器日志发送到日志服务器。
如果部署了日志服务器,则`登录日志服务器`,核查被测路由器的日志`是否`在收集范围内。
【预期结果或主要证据】
- 网络设备的日志信息被
定期转发至日志服务器。 - 在日志服务器上可以查看
半年前的审 计记录。
L3-CES1-15
【安全要求】
- 应对
审计进程进行保护,防止未经授权的中断。
【要求解读】
- 保护
审计进程,确保当安全事件发生时能够及时记录事件的详细信息。 - 非审计员账户不能
中断审计进程。
[测评方法]
- 通过非审计员账户中断审计进程,以验证审计进程是否受到了保护(应为无法中断审 计进程)。
[预期结果或主要证据]
非审计员账户不能中断审计进程。
4、入侵防范
网络访问控制在网络安全中起大门警卫的作用,负责对进出网络的数据进行规则匹 配,是网络安全的第一道闸门。然而,网络访问控制有一定的局限性,它只能对进出网络 的数据进行分析,对网络内部发生的事件则无能为力。如果设备自身存在多余的组件和应 用程序、默认共享、高危端口、安全漏洞等,就会为病毒、黑客入侵提供机会,因此,还 需要加强设备自身的安全防护。
1) L3-CES1-17
[安全要求】
应遵循最小安装的原则,仅安装需要的组件和应用程序。
【要求解读】
- 遵循
最小安装的原则,仅安装需要的组件和应用程序,能够大大降低路由器遭受攻击 的可能性。 - 及时更新系统补丁,以避免系统漏洞给路由器带来的风险。
[测评方法】
此项不适用。此项一般在服务器上实现。
【预期结果或主要证据]
此项不适用。此项一般在服务器上实现。
L3-CES1-18
【安全要求]
应关闭不需要的系统服务、默认共享和高危端口。
【要求解读】
关闭不需要的系统服务、默认共享和高危端口 ,可以有效降低系统遭受攻击的可能性。
[测评方法]
(1) 访谈系统管理员,了解是否定期对系统服务进行梳理并关闭了非必要的系统服务 和默认共享。
(2) 核查是否开启了非必要的高危端口(应为未开启)。
【预期结果或主要证据】
Cisco路由器:输入sh running命令,可看到已经根据实际网络环境关闭了不需 要的服务。
no service tcp-small-servers
no service udp-small-servers
no cdp run
no cdp enable
no ip finger
no service finger
no ip bootp server
no ip source™route
no ip proxy-arp
no ip directed-broadcast
no ip domain-lookup
华为/H3C路由器:输入display current-configuration,命令,可看到已经根据实 际网络环境关闭了不需要的服务。
ip http shutdown
L3-CES1-19
【安全要求】
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
【要求解读】
为了保证安全,需要对通过虚拟终端访问网络设备的登录地址进行限制来避免未授权 的访问(可以利用“ip access-class”命令限制访问虚拟终端的IP地址范围)。由于虚拟终 端的数量有限,当虚拟终端用完就不能再建立远程网络连接了,这时,设备有可能被利用 进行拒绝服务攻击。
【测评方法】
- 核查配置文件是否对终端接入范围进行了限制。
- 如果网络中部署了堡垒机,则应先核 查堡垒机是否限制了管理终端的地址范围,
- 同时核查网络设备上是否仅配置了堡垒机的远 程管理地址;
- 否则,应登录设备进行核查。
[预期结果或主要证据]
堡垒机限制了终端的接入范围。
Cisco路由器:输入“show run”命令,存在如下类似配置。
access-list 3 permit 192.168.1,10
access-list 3 deny any log
line vty 0 4
access™class3 in
或者
ip http auth local
no access-list 10
access-list 10 permit 192.168.0.1 access-list 10 deny any
ip http access-'dass 10
ip http server
华为/H3C路由器:输入"display current-configuration”命令,存在如下类似配置。
acl nuirber 2001
rule 10 permit source 10,1.100.0 0.0.0.255 user-interface vty 0 4
acl 2001 inbound
authenticaticn-mode scheme
user privilege level 1
L3-CES1-20
[安全要求】
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合 系统设定要求。
[要求解读】
应用系统应对数据的有效性进行验证,主要验证那些通过人机接口(例如程序界面) 或通信接口输入的数据的格式或长度是否符合系统设定,以防止个别用户输入畸形的数据 导致系统出错(例如SQL注入攻击等),进而影响系统的正常使用甚至危害系统的安全。
[测评方法]
此项不适用。此项一般在应用层面进行核查。
【预期结果或主要证据】
此项不适用。此项一般在应用层面进行核查。
L3-CES1-21
[安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
【要求解读】
应核查漏洞扫描修补报告。管理员应定期进行漏洞扫描,如果发现漏洞,则应在经过 充分的测试和评估后及时修补漏洞。
[测评方法]
(1)进行漏洞扫描,核查是否存在高风险漏洞(应为不存在)。
(2)访谈系统管理员,核查是否在经过充分的测试和评估后及时修补了漏洞。
[预期结果或主要证据】
管理员定期进行漏洞扫描。如果发现漏洞,则已在经过充分的测试和评估后及时修补 漏洞。
L3-CES1-22
[安全要求】
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
[要求解读】
要想维护系统安全,必须进行主动监视。通常可以在网络边界、核心等重要节点处部 署IDS、IPS等系统,或者在防火墙、UTM处启用入侵检测功能,以检查是否发生了入侵 和攻击。
[测评方法]
此项不适用。此项一般在入侵防护系统中实现。
[预期结果或主要证据]
此项不适用。此项一般在入侵防护系统中实现。
5、可信验证
L3-CES1-24
【安全要求]
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进 行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破 坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
【要求解读】
应将设备作为通信设备或边界设备对待0
【测评方法]
参见2.3节和3.6节。
[预期结果或主要证据】
参见2.3节和3.6节。
4.1.2交换机
交换机是组成网络架构的主要设备。交换机安全防护的优劣将直接影响整令网络的安 全。应将《测评要求》中有关身份鉴别、访问控制、安全审计、入侵防范、可信验证的要 求具体落实到交换机的检查项中。
本节将从身份鉴别、访问控制、安全审计、入侵防范、 可信验证五个方面描述检查过程中对交换机的关注点。
1、身份鉴别
为确保交换机的安全,必须对交换机的每个运维用户或与之相连的交换机进行有效的 标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入交换机,并在规定的权 限范围内进行操作。
L3-CES1-01
【安全要求】
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
【要求解读]
一般来说,用户登录交换机的方式包括利用控制台端口通过串口进行本地连接登录、 利用辅助端口通过调制解调器进行远程拨号连接登录、利用虚拟终端通过TCP/IP网络进 行远程Telnet登录等。无论釆用哪种登录方式,都需要对用户身份进行鉴别。口令是交换 机用来防止非授权访问的常用手段,是交换机自身安全的一部分,因此,需要加强对交换 机口令的管理,包括口令的设置和存储(最好的口令存储方法是将其保存在TACACS+或 RADIUS认证服务器上)。管理员应根据需要为交换机的相应端口添加身份鉴别机制,实 现最基本的安全控制。
在一台交换机上,不允许配置用户名相同的用户。同时,要防止多人共用一个账户。 应实行分账户管理,为每名管理员设置单独的账户,以避免在出现问题后无法及时追査的 情况发生。
为了避免身份鉴别信息被冒用,可以通过令牌、认证服务器等加强对身份鉴别信息的 保护。如果仅采用基于口令的身份鉴别机制,则应保证口令复杂度、满足定期更改口令的 要求。
可以使用“service password-encryption"命令对存储在配置文件中的所有口令和类似 数据进行加密,以避免攻击者通过读取配置文件获取口令的明文。
[测评方法]
(1) 核査是否在用户登录时采用了身份鉴别措施。
(2) 核查用户列表,测试用户身份标识是否具有唯一性。
以华为交换机为例,输入"display current-configuration”命令,查看是否存在如下类 似用户列表配置。
local-user netadmin password irreversible-cipher xxxxxx
(3) 查看用户配置信息或访谈系统管理员,核查是否存在空口令用户(应为不存在)
(4) 核查用户鉴别信息是否满足复杂度要求并定期更换。
[预期结果或主要证据】
(1 )情况如下。
- 交换机使用口令鉴别机制对登录用户进行身份标识和鉴别。
- 在用户登录时提示输入用户名和口令。以
错误口令或空口令登录时提示登录失败, 证明了登录控制功能的有效性。 - 交换机中
不存在密码为空的用户。
(2) 身份认证,示例如下。
Cisco交换机:输入“show run”命令,存在如下类似用户列表配置。
username admin privilege 15 password 0 xxxxxxxx
username audit privilege 10 password 0 xxxxxxxx
或者启用AAA服务器进行身份认证。
aaa new-model
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
华为/H3C交换机:输入display current-configuration命令,存在如下类似用户 列表配置。
local-user netadmin password irreversible-cipher xxxxxx
或者启用AAA服务器进行身份认证。
hwtacacs scheme xxxxx
primary authentication xxxxx
primary authorization xxxxx
primary accounting xxxxx
key authentication cipher xxxxxx
key authorization cipher xxxxxx
key accounting cipher xxxxxx
(3) 用户口令情况,示例如下。
Cisco交换机:输入“show run”命令,存在如下类似配置
username admin privilege 15 password 0 xxxxxxxx
username audit privilege 10 password 0 xxxxxxxx
华为/H3C交换机:输入“display current-configuration”命令,存在如下类似配置
local-user netadmin password irreversible-cipher xxxxxx
(4)口令由数字、字母、特殊字符组成。口令长度大于8位。口令更换周期一般为3 个月。
H3C交换机:输入“display password-control”命令,查看是否存在如下类似配置。
password-control aging 90
password-control length 8
password-control history 10
password-control composition type-number 3 type-length 4
L3-CES1-02
【安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退出等相关措施。
[要求解读]
对交换机,可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接 超时自动退出等多种措施实现登录失败处理功能。例如,可以利用exec-timeout命令配置 虚拟终端的超时参数,防止空闲任务占用虚拟终端,从而避免恶意攻击或远端系统意外崩 溃导致的资源独占。再如,设置管理员最大登录失败次数,一旦该管理员的登录失败次数 超过设定的数值,系统将对其进行登录锁定,从而防止非法用户通过暴力破解的方式登录 交换机。
【测评方法】
(1) 核查是否配置并启用了登录失败处理功能。如果网络中部署了堡垒机,则先核查 堡垒机是否具有登录失败处理功能。如果网络中没有部署堡垒机,则核査设备是否默认启 用了登录失败处理功能,例如登录失败3次即退出登录界面。
(2 )核查是否配置并启用了非法登录达到一定次数后锁定账户的功能。
(3)核查是否配置并启用了远程登录连接超时自动退出的功能。
[预期结果或主要证据】
(1)网络设备默认启用登录失败处理功能。
(2) 堡垒机限制非法登录(达到一定次数后进行账户锁定),或者有如下情况。
H3C交换机:输入display password-control命令,存在如下类似配置。
passwoisdHcontroL login-attempt 3 exceed locktime 360
Cisco交换机、华为交换机连续登录5次即锁定10分钟。
(3) 堡垒机启用了远程登录连接超时自动退出的功能,或者有如下情况。
Cisco交换机:输入“showrun”命令,存在如下类似配置。
exec-timeout 20
华为/H3C交换机:输入display current-configuration命令,存在如下类似配置口
idle-timeout 20
L3-CES1-03
【安全要求】
当进行远程管理时,应釆取必要措施防止鉴别信息在网络传输过程中被窃听。
[要求解读】
在对网络设备进行远程管理时,为避免口令在传输过程中被窃取,不应使用明文传送 的Telnet月艮务,而应釆用SSH、HTTPS加密协议等进行交互式管理。
[测评方法]
核查是否采用了加密等安全方式对系统进行远程管理,以防止鉴别信息在网络传输过 程中被窃听。如果网络中部署了堡垒机,则先核查堡垒机在进行远程连接时采用何种措施 防止鉴别信息在网络传输过程中被窃听(例如SSH等方式)。
【预期结果或主要证据]
Cisco交换机:输入“show run”命令,存在如下类似配置。
Router1#configure terminal
Routerl(config)#hostname Routerl
Routerl(config)#ip domain-name neoshi.net
Rovterl(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
Routerl(config)#ip ssh time-out 120
Routerl(config)#ip ssh authentication-retries 4
Routerl(configi #line vty 0 *4*
Routerl(config)^transport input ssh
华为/H3C交换机:输入“display current-GonfiguratiQn"命令,存在如下类似配置。
local-user test password cipher 456%
service-type ssh level 3
ssh user test authentication-type password
User-interface vty 0 4
Protocol inbound ssh
L3-CES1-04
I安全要求】
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份 鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
[要求解读]
釆用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。在这里,两种 或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
[测评方法]
询问系统管理员,了解系统是否釆用由口令、数字证书、生物技术等中的两种或两种 以上组合的鉴别技术对用户身份进行鉴别,并核查其中_种鉴别技术是否使用密码技术来 实现。
[预期结果或主要证据]
至少釆用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的 鉴别技术(例如使用基于国密算法的数字证书或数字令牌)0
2、访问控制
在交换机中实施访问控制的目的是保证系统资源受控、合法地被使用。用户只能根据 自己的权限来访问系统资源,不得越权访问。
1) L3-CES1-05
[安全要求】
应对登录的用户分配账户和权限。
【要求解读】
为了确保交换机的安全,需要为登录的用户分配账户并合理配置账户权限。例如,相 关管理人员具有与其职位相对应的账户和权限。
[测评方法]
(1) 访谈网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况。
(2) 核查是否已禁用或限制匿名、默认账户的访问权限。
【预期结果或主要证据]
(1) 相关管理人员具有与其职位相对应的账户和权限。
(2) 网络设备已禁用或限制匿名、默认账户的访问权限。
L3-CES1-06
[安全要求]
应重命名或删除默认账户,修改默认账户的默认口令。
【要求解读】
交换机默认账户的某些权限与实际要求可能存在差异,从而造成安全隐患,因此,这 些默认账户应被禁用,且应不存在默认账户(例如admin、huawei)及默认口令。
【测评方法】
(1 )核查默认账户是否已经重命名或默认账户是否已被删除。
(2)核查默认账户的默认口令是否已经修改。登录交换机,使用交换机的默认账户和 默认口令进行登录测试,核查是否能登录(应为不能登录)。
Cisco交换机:账户为cisco、Cisco, 口令为cisco。
华为交换机:账户为 admin、huawei, 口令为 admin、admin@huawei.com。
【预期结果或主要证据】
(1) 使用默认账户和默认口令无法登录交换机。
(2) Cisco交换机中不存在默认账户cisco、Ciscoc华为/H3C交换机中不存在默认账 户 admin、huawei。
L3-CES1-07
【安全要求】
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
[要求解读]
交换机中如果存在多余的、过期的账户,就可能被攻击者利用进行非法操作,因此,应及时清理交换机中的账户,删除或停用多余的、过期的账户,避免共享账户的存在。
[测评方法]
(1) 核查是否存在多余的或过期的账户(应为不存在),以及管理员用户与账户之间是否一一对应。
(2) 核查并测试多余的、过期的账户是否已被删除或停用。
Cisco交换机:输入“show run”命令,查看每条类似如下命令所配置的用户名是 否确实、必要。
username xxxxxxx privilege xx password x xxxxxxxx
华为/H3C交换机:输入display current-Configuratkrn”命令,查看每条类似如下 命令所配置的用户名是否确实、必要。
local-user xxxxx privilege level x
【预期结果或主要证据]
(1) 配置的用户名都是确实和必要的。
Cisco交换机:输入“show run”命令,每条如下类似命令所配置的用户名都是确 实和必要的。
username xxxxxxx privilege xx password x xxxxxxxx
华为/H3C交换机:输入display current-configuration命令,每条类似如下命令 所配置的用户名都是确实和必要的。
local-user xxxxx privilege level x
或者
local-'user xxxxx
password cipher xxxxxxx service-type t xxxxx
level x
(2)网络管理员、安全管理员和系统管理员等不同的用户使用不同的账户登录系统。
L3-CES1-08
[安全要求】
应授予管理用户所需的最小权限,实现管理用户的权限分离。
[要求解读】
根据管理用户的角色对权限进行细致的划分,有利于各岗位精准协调工作。同时,仅 授予管理用户所需的最小权限,可以避免因出现权限漏洞而使一些高级用户拥有过高的权 限。例如,应进行角色划分,分为网络管理员、安全管理员、系统管理员三个角色,并设 置对应的权限。
[测评方法]
(1)访谈管理员,核查是否进行了角色划分,例如划分为网络管理员、安全管理员、 系统管理员等角色。
(2)核查访问控制策略,查看管理用户的权限是否已经分离。
(3)核查管理用户的权限是否为其工作任务所需的最小权限。
[预期结果或主要证据】
(1) 进行了角色划分,分为网络管理员、安*全管理员、*系统管理员三个角色,并设置 了对应的权限。
(2) 访问控制策略,示例如下。
Cisco交换机:输入“show run”命令,存在如下类似配置。
username admin privilege 15 password 0 xxxxxxxx
username audit privilege 10 password 0 xxxxxxxx username operator privilege *1* password 0 xxxxxxxx
华为/H3C交换机:输入"display currontyocofiguration"命令,存在如下类似配置口
Local-user userlservice-type telnetuser privilede level 2\#local-user user2service-type ftpuser privilede level 3
(3) 网络管理员、安全管理员、系统管理员所对应的账户权限为其工作任务所需的最 小权限。
L3-CES1-09
[安全要求]
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
[要求解读】
交换机的访问控制策略由授权主体进行配置,规定了主体可以对客体进行的操作。访 问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级。
[测评方法]
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
【预期结果或主要证据]
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
L3-CES1-10
[安全要求】
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
【要求解读]
交换机的访问控制策略由授权主体进行配置,规定了主体可以对客体进行的操作。访 问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级。
(测评方法】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
[预期结果或主要证据】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
L3-CES1-11
[安全要求】
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
【要求解读】
敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数 字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由安全管理员设置。 安全管理员通过为重要信息资源设置敏感标记来决定主体以何种权限对客体进行操作,实 现强制访问控制。
[测评方法]
此项不适用。
【预期结果或主要证据】
此项不适用。
3、安全宙计
(说明见4丄1节“安全审计”部分。)
L3-CES1-12
【安全要求】
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行 审计。
【要求解读]
为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统 日志功能。系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事 件描述信息。
交换机的系统日志信息通常被输出至各种管理端口、内部缓存或日志服务器。在默认 情况下,控制台端口的日志功能处于启用状态。
【测评方法】
(I)核查是否开启了安全审计功能,以及网络设备是否设置了日志服务器的IP地址,
并使用syslog或SNMP方式将日志发送到日志服务器。
(2 )核查安全审计范围是否覆盖每个用户。
(3)核查是否已对重要的用户行为和重要安全事件进行审计。
[预期结果或主要证据】
Cisco交换机:网络设备设置了日志服务器,并使用syslog或SNMP方式将日志发 送到日志服务器。输入“show run"命令,存在如下类似配置。
logging on
logging trap debugging
logging facility local 6
logging x.x.x.x
Service timestamps log datetime
华为/H3C交换机:网络设备设置了日志服务器,并使用syslog或SNMP方式将 日志发送到日志服务器°输入"display current-configurationn命令,存在如下类似 配置©
Info-center enable
Info-center loghost source vlan-interface 3
Info-center loghost 192.10.12.1 facility local 1
Info-center source default channel 2 log level warnings
Snmp-agent
snmp-agent trap enable standard authentication snrnp-agent target-host trap address udp-domain 10.1.1.1 params securityname public
L3-CES1-13
【安全要求】
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
[要求解读]
交换机的日志审计内容包括日期和时间、用户、事件类型、事件是否成功等信息。
一般来说,对主流的路由器和交换机,再以实现对系统错误、网络和接口变化、登录 失败、ACL匹配等的审计,审计内容包括时间、类型、用户等相关信息。因此,只要启用 这些路由器和交换机的审计功能,就能符合此项要求。
但对防火墙等安全设备来说,由于 其访问控制策略命中日志功能需要手动启用,所以应重点核查其访问控制策略命中日志功 能是否已启用。
[测评方法]
- 核查审计记录是否包含事件的日期和时间、用户、事件类型、事件是否成功及其他与 审计相关的信息。
[预期结果或主要证据】
- 审计记录包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关 的信息。
L3-CES1-14
[安全要求]
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
【要求解读】
审计记录能够帮助管理人员及时发现系统运行问题和网络攻击行为,因此,需要对审 计记录实施技术和管理上的保护,防止未授权的修改、删除和破坏。
[测评方法]
(1)访谈系统管理员,了解审计记录的存储、备份和保护措施。
(2 )核查是否定时将交换机日志发送到日志服务器等,以及是否使用syslog或SNMP 方式将交换机日志发送到日志服务器。如果部署了日志服务器,则登录日志服务器,核查 被测交换机的日志是否在收集范围内。
[预期结果或主要证据]
- 网络设备的日志信息被定期转发至
日志服务器。 - 在日志服务器上可以查看半年前的
审计记录。
L3-CES1-15
[安全要求】
应对审计进程进行保护,防止未经授权的中断。
【要求解读】
- 保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息。
- 非审计员账户 不能中断审计进程。
[测评方法】
- 通过非审计员账户中断审计进程,以验证审计进程是否受到了保护(应为无法中断审 计进程)。
【预期结果或主要证据】
非审计员账户不能中断审计进程。
4、入侵防范
(说明见4.1.1节“入侵防范”部分。)
L3-CES1-17
[安全要求】
应遵循最小安装的原则,仅安装需要的组件和应用程序。
【要求解读】
遵循最小安装的原则,仅安装需要的组件和应用程序,能够大大降低交换机遭受攻击 的可能性。及时更新系统补丁,以避免系统漏洞给交换机带来的风险。
[测评方法]
此项不适用。此项一般在服务器上实现。
[预期结果或主要证据]
此项不适用。此项一般在服务器上实现。
L3-CES1-18
【安全要求]
应关闭不需要的系统服务、默认共享和高危端口。
【要求解读]
关闭不需要的系统服务、默认共享和高危端口,可以有效降低系统遭受攻击的可能性。
[测评方法】
(1)访谈系统管理员,了解是否定期对系统服务进行梳理并关闭了非必要的系统服务 和默认共享。
(2)核查是否开启了非必要的高危端口(应为未开启)。
[预期结果或主要证据]
• Cisco交换机:输入l,sh running"命令,看到已经根据实际网络环境关闭了不需要 的服务。
no service tcp™small-serversno service udp-small-servers■ no cdp runno cdp enableno ip fingerno service fingerno ip bootp serverno ip source-routeno ip proxy-arpno ip directed-broadcastno ip domain-lookup
华为/H3C交换机:输入“display cuirent-configurationn命令,看到已经根据实际 网络环境关闭了不需要的服务。
ip http shutdown
L3-CES1-19
【安全要求】
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
【要求解读】
为了保证安全,需要对通过虚拟终端访问网络设备的登录地址进行限制来避免未授权 的访问(可以利用“ip access-class”命令限制访问虚拟终端的IP地址范围)。由于虚拟终 端的数量有限,当虚拟终端用完就不能再建立远程网络连接了,这时,设备有可能被利用 进行拒绝服务攻击。
[测评方法]
核查配置文件是否对终端接入范围进行了限制。如果网络中部署了堡垒机,则应先核 查堡垒机是否限制了管理终端的地址范围,同时核查网络设备上是否仅配置了堡垒机的远 程管理地址;否则,应登录设备,输入“display current-configuration“命令核查是否存在 如下类似配置。
acl number 2001
rule 10 permit source 10.1.100.0 0*0.0.255
user'-in terface vty 0 4
acl 2001 inbound
authentication-mode scheme
user privilege level 1
[预期结果或主要证据]
堡垒机限制了终端的接入范围。
Cisco交换机:输入“showrun”命令,存在如下类似配置。
access-list 3 permit 192.168.1.10access-list 3 deny any logline vty 0 4access-class3 in或者ip http auth localno access-list 10access-list 10 permit 192.168.0.1access-list 10 deny anyip http access-class 10ip http server
华为/H3C交换机:配置信息中存在如下类似信息。
acl number 2001
rule 10 permit source 10.1.100.0 0-0-0.255
user-interface vty 0 4
acl 2001 inbound
authentication-mode scheme
user privilege level 1
L3-CES1-20
[安全要求]
应提供数据有效性检验功能,保证通过人机接口输入或通过逋信接口输入的内容符合 系统设定要求。
[要求解读】
应用系统应对数据的有效性进行验证,主要验证那些通过人机接口(例如程序界面) 或通信接口输入的数据的格式或长度是否符合系统设定,以防止个别用户输入畸形的数据 导致系统出错(例如SQL注入攻击等),进而影响系统的正常使用甚至危害系统的安全。
[测评方法】
此项不适用。此项一般在应用层面进行核查。
[预期结果或主要证据]
此项不适用。此项一般在应用层面进行核查。
L3-CES1-21
[安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
[要求解读】
应核查漏洞扫描修补报吿。管理员应定期进行漏洞扫描,如果发现漏洞,则应在经过 充分的测试和评估后及时修补漏洞。
【测评方法]
(1) 进行漏洞扫描,核查是否存在高风险漏洞(应为不存在)。
(2) 访谈系统管理员,核查是否在经过充分的测试和评估后及时修补了漏洞。
[预期结果或主要证据】
- 管理员定期进行漏洞扫描。
- 如果发现漏洞,则已在经过充分的测试和评估后及时修补 漏洞。
L3-CES1-22
[安全要求]
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
【要求解读】
要想维护系统安全,必须进行主动监视。通常可以在网络边界、核心等重要节点处部 署IDS、IPS等系统,或者在防火墙、UTM处启用入侵检测功能,以检查是否发生了入侵 和攻击。
【测评方法】
此项不适用。此项一般在入侵防护系统中实现。
【预期结果或主要证据】
此项不适用。此项亠般在入侵防护系统中实现。
5.可信验证
L3-CES1-24
[安全要求】
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进 行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破 坏后进行报警,并将验证结果形成审计i己录送至安全管理中心。
[要求解读】
应将设备作为通信设备或边界设备对待。
[测评方法]
参见2.3节和3.6节。
[预期结果或主要证据〕
参见2.3节和3.6节。
4.2安全设备
防火墙
防火瑙是用来进行网络访问控制的主要手段。根据《测评要求》,身份鉴别、访问控 制、安全审计、入侵防范、可信验证的相关要求应当具体落实到防火墙的检查项中。本节 将从身份鉴别、访问控制、安全审计、入侵防范、可信验证五个方面描述检査过程中对防 火墙的关注点。
1、身份鉴别
- 为确保防火墙的安全,必须对防火墙的每个运维用户或与之相连的防火墙进行有效的 标识与鉴别。
- 只有通过鉴别的用户,才能被赋予相应的权限,进入防火墙,并在规定的权 限范围内进行操作。
L3-CES1-01
【安全要求】
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
【要求解读】
安全起见,只有经过授权的合法用户才能访问防火墙。一般来说,用户登录防火墙的 方式包括通过浏览器以Web方式登录、通过控制台端口以命令行方式登录、以SSH方式 登录。为了方便用户,防火墙还提供了图形界面管理工具用于对设备进行维护和管理。无 论采用哪种登录方式,都需要对用户身份进行鉴别。
在防火墙中,不允许配置用户名相同的用户。同时,要防止多人共用一个账户。应实 行分账户管理,为每名管理员设置单独的账户,以避免出现问题后无法及时追查的情况发 生。为避免身份鉴别信息被冒用,应保证口令满足复杂度要求及定期更换要求。
[测评方法】
输入密码后按“Enter”键,即可登录网络卫士防火墙。登录后,可以使用命令行方式 对网络卫士防火墙进行配置和管理。
(2)核查防火墙管理员账户列表,测试验证用户身份标识是否具有唯一性。核查是否 存在多人共用账户的情况。核查是否存在空口令用户。
(3)询问管理员对身份鉴别采取的具体措施,包括口令长度是否为8位及以上,口令 是否由数字、大小写字母和特殊字符中的两种及以上组成,口令是否每季度至少更改一次。
[预期结果或主要证据]
(1) 防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别。
(2) 用户身份标识具有唯一性,不存在多人共用账户的情况,不存在空口令用户。
(3) 口令长度为8位及以上,由数字、大小写字母和特殊字符中的两种及以上组成, 口令每季度至少更改一次。
L3-CES1-02
[安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退出等相关措施。
【要求解读】
- 对防火墙,可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接 超时自动退出等多种措施实现登录失败处理功能。
- 例如,设置管理员最大登录失败次数, —旦该管理员的登录失败次数超过设定的数值,系统将对其进行登录锁定,从而防止非法 用户通过暴力破解的方式登录防火墙。
[测评方法]
(1)应核查是否配置并启用了登录失败处理功能,以及是否配置并启用了非法登录达 到一定次数后锁定账户的功能。
(2 )核查是否配置并启用了远程登录连接超时自动退出的功能。
【预期结果或主要证据]
略
L3-CES1-03
[安全要求】
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
[要求解读]
为避免口令在传输过程中被窃取,不应使用明文传送的Telnet、HTTP服务,而应采 用SSH、HTTPS加密协议等进行交互式管理。
[测评方法]
询问系统管理员采用何种方式对防火墙进行远程管理。核查通过Web界面进行的管 理操作是否都已使用SSL协议加密处理。
[预期结果或主要证据】
在通过Web界面进行远程管理时,使用SSL协议进行加密处理。
L3-CES1-04
【安全要求】
应釆用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份 鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
【要求解读】
采用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。在这里,两种 或两种以上组合的鉴另4技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
[测评方法]
略
[预期结果或主要证据]
用户的认证方式为“本地口令+证书认证”或“外部口令+证书认证”。
2、访问控制
在防火墙中实施访问控制的目的是保证系统资源受控、合法地被使用。用户只能根据 自己的权限来访问系统资源,不得越权访问。
1) L3-CES1-05
[安全要求]
应对登录的用户分配账户和权限。
【要求解读]
为了确保防火墙的安全,需要为登录的用户分配账户并合理配置账户权限°
[测评方法]
(1) 针对每个用户账户,核查用户账户和权限设置是否合理(例如,账户管理员和配 置管理员不应具有审计员的权限)。
(2) 核查是否已禁用或限制匿名、默认账户的访问权限。
【预期结果或主要证据】
(1 )相关管理人员具有与职位相对应的账户和权限。
(2)禁用或限制匿名、默认账户的访问权限。
L3-CES1-06
[安全要求】
应重命名或删除默认账户,修改默认账户的默认口令。
[要求解读]
防火墙默认账户的某些权限与实际要求可能存在差异,从而造成安全隐患,因此,这 些默认账户应被禁用。
【测评方法】
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和口令,单击“登录” 按钮,进入管理界面。在左侧导航栏中选择“用户认证”下的“用户管理”选项,激活“用 户管理”标签页(如图4-11所示),在界面右侧将显示用户列表信息(如图4-14所示)。
(1) 核查默认账户是否已经重命名或默认账户是否已被删除。
(2) 核查默认账户的默认口令是否已经修改。
【预期结果或主要证据】
防火墙已重命名默认账户或删除默认账户,已修改默认账户的默认口令。
L3-CES1-07
[安全要求]
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
[要求解读】
防火墙中如果存在多余的、过期的账户,就可能被攻击者利用进行非法操作,因此, 应及时清理防火墙中的账户,删除或停用多余的、过期的账户,避免共享账户的存在。
【测评方法]
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和口令,单击“登录” 按钮,进入管理界面。在左侧导航栏中选择“用户认证”下的“用户管理”选项,激活“用 户管理”标签页(如图4-11所示),在界面右侧将显示用户列表信息(如图4-14所示)。
(1 )核查防火墙用户账户列表,询问管理员各账户的具体用途,核查是否存在多余的 或过期的账户(应为不存在),以及管理员用户与账户之间是否一一对应。
(2)如果某些多余的或过期的账户无法被删除,则应测试这些多余的、过期的账户是 否已经停用。
[预期结果或主要证据】
防火墻用户账户列表中不存在多余的或过期的账户,不存在共享用户。
L3-CES1-08
【安全要求】
应授予管理用户所需的最小权限,实现管理用户的权限分离。
[要求解读】
根据管理用户的角色对权限进行细致的划分,有利于各岗位精准协调工作。同时,仅 授予管理用户所需的最小权限,可避免因出现权限漏洞而使一些高级用户拥有过高的权限。
[测评方法]
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和口令,单击“登录” 按钮,进入管理界面。在左侧导航栏中选择“用户认证”下的“用户管理”选项,激活“用 户管理”标签页(如图4-11所示),在界面右侧将显示用户列表信息(如图4-14所示)。
(1) 核查是否进行了角色划分。例如,将系统中的账户分为系统管理员、安全管理 员和审计管理员三类,其中,安全管理员可以制定安全策略,系统管理员可以配置安全策 略,审计管理员可以查看日志。
(2) 查看管理用户的权限是否已经分离,是否为其工作任务所需的最小权限。例如, 禁止为管理用户同时赋予配置管理员和审计管理员的权限。
[预期结果或主要证据]
(1 )系统用户进行了角色划分。例如,系统中的账户分为系统管理员、安全管理员和 审计管理员三类,其中,安全管理员可以制定安全策略,系统管理员可以配置安全策略, 审计管理员可以查看日志。
(2)管理用户的权限已经分离,并为其工作任务所需的最小权限。例如,管理用户为 法同时获得配置管理员和审计管理员的权限。
L3-CES1-09
[安全要求]
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
[要求解读]
防火墙的访问控制策略由授权主体进行配置,规定了主体可以对客体进行的操作。访 问控制粒度要求主体为用户级或进程级,客体为文件、数据库表级。
[测评方法]
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
[预期结果或主要证据】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 *员,*无其他用户。
L3-CES1-10
[安全要求】
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
[要求解读】
防火墙的访问控制策略由授权主体进行配置,规定了主体可以对客体进行的操作。访 间控制粒度要求主体为用户级或进程级,客体为文件、数据库表级。
[测评方法]
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 员,无其他用户。
[预期结果或主要证据】
此项不适用。此项主要针对主机和数据库的测评,网络设备的主要用户为运维管理人 *员,*无其他用户。
L3-CES1-11
[安全要求】
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
【要求解读】
安全标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数 字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由安全管理员设置。 安全管理员通过为重要信息资源设置敏感标记来决定主体以何种权限对客体进行操作,实 现强制访问控制。
[测评方法]
此项不适用。
【预期结果或主要证据]
此项不适用。
3、安全审计
(说明见4.1.1节“安全审计”部分。)
L3-CES1-12
[安全要求]
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行 审计。
[要求解读]
为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统 日志功能。系统日志中的每条信息都被分配了一个严重级别,并伴随一些指示性问题或事 件描述信息。
防火墙的系统日志信息通常被输岀至各种管理端口(例如控制台端口)、内部缓存或 日志服务器。在默认情况下,控制台端口的日志功能处于启用状态。
[测评方法】
略
【预期结果或主要证据】
防火墙设置了正确的服务器地址、服务器端口、日志级别和日志类型等。
L3-CES1-13
[安全要求}
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
[要求解读]
防火墙的日志审计内容应包括日期和时间、用户、事件类型、事件是否成功等信息。
[测评方法】
略
[预期结果或主要证据]
审计记录包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关 的信息。
L3-CES1-14
【安全要求]
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
【要求解读】
审计记录能够帮助管理人员及时发现系统运行问题和网络攻击行为,因此,需要对审 计记录实施技术和管理上的保护,防止未授权的修改、删除和破坏。
[测评方法]
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和密码,单击“登录” 按钮,进入管理界面。在左侧导航栏中选择“日志与报警”下的“日志设置”选项,查看 日志服务器地址(如图4-17所示)。
登录日志服务器,选择“管理策略”下的“日志收集源”选项,进入日志源配置界面, 查看所有日志收集源。核查日志源列表中是否包含该防火墙的IP地址。收集的日志数据 会保存在日志系统的数据库中。通过对该数据库进行备份操作,可以实现对防火墙数据的 备份和保护。
选择“管理策略”下的“任务调度策略”选项,然后在界面左侧的“本地配置”中单 击“任务调度策略”选项,核查是否存在类型为“备份数据库任务”的计划任务。定时执 行数据库备份任务,可以达到备份防火墙日志信息的目的。
【预期结果或主要证据】
防火墙的日志信息被定期转发至日志服务器。在日志服务器上可以查看半年前的审计 记录。
L3-CES1-15
【安全要求】
应对审计进程进行保护,防止未经授权的中断。
[要求解读】
保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息。
[测评方法】
通过非审计员账户中断审计进程,以验证审计进程是否受到了保护(应为无法中断审 计进程)。
[预期结果或主要证据]
非审计员账户不能中断审计进程。
4、入侵防范
(说明见4.11节“入侵防范”部分。)
L3-CES1-17
[安全要求】
应遵循最小安装的原则,仅安装需要的组件和应用程序。
【要求解读】
遵循最小安装的原则,仅安装需要的组件和应用程序,能够大大降低防火墙遭受攻击 的可能性。及时更新系统补丁,以避免系统漏洞给防火墙带来的风险。
【测评方法]
此项不适用。此项一般在服务器上实现。
[预期结果或主要证据]
此项不适用。此项_般在服务器上实现。
L3-CES1-18
[安全要求]
应关闭不需要的系统服务、默认共享和高危端口。
【要求解读】
关闭不需要的系统服务、默认共享和高危端口,可以有效降低系统遭受攻击的可能性。
[测评方法]
此项不适用。
[预期结果或主要证据】
此项不适用。
L3-CES1-19
[安全要求]
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
【要求解读】
为了保证安全,避免未授权的访问,需要对远程管理防火墙的登录地址进行限制(可 以是特定的IP地址,也可以是子网地址、地址范围或地址组)。
[测评方法]
如果网络中部署了堡垒机,则应先核查堡垒机是否限制了终端的接入范围。如果网络 中没有部署堡垒机,则应登录设备进行核查。
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和密码,单击“登录” 按钮,进入管理界面。在左侧导航栏中选择“系统管理”下的“配置”选项,激活“开放 服务”标签页,如图4-18所示。
图 4-18
在页面右侧,应存在名称为“webui”、“ssh”或“telnet”的服务规则。例如,只允许 管理员使用IP地址为192.168.83.234的主机登录防火墙,且该主机连接在area_eth0区域 内,应该配置的服务规则如图4-19所示。
“控制地址” 一列显示为“doc_server”,这是配置完成的主机地址资源名称,定义了 主机IP地址192.168.83.234。可以通过单击左侧导航栏中“资源管理”下的“地址”选项 来激活“主机”标签页,査看主机资源名称和实际地址的对应关系,如图4-20所示。
图 4-20
[预期结果或主要证据】
堡垒机限制了终端的接入范围,或者在设备本地设置了访问控制列表以限制终端的接 入范围。
L3-CES1-20
【安全要求】
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合 系统设定要求。
[要求解读】
应用系统应对数据的有效性进行验证,主要验证那些通过人机接口(例如程序界面) 或通信接口输入的数据的格式或长度是否符合系统设定,以防止个别用户输入畸形的数据 导致系统出错(例如SQL注入攻击等),进而影响系统的正常使用甚至危害系统的安全。
【测评方法】
此项不适用。此项一般在应用层面进行核查。
[预期结果或主要证据】
此项不适用。此项一般在应用层面进行核查。
L3-CES1-21
【安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
[要求解读]
应对系统进行漏洞扫描,及时发现系统中存在的已知漏洞,并在经过充分的测试和评 估后更新系统补丁,避免由系统漏洞带来的风险。
【测评方法】
(1) 进行漏洞扫描,核查是否存在高风险漏洞(应为不存在)。
(2) 访谈系统管理员,核查是否在经过充分的测试和评估后及时修补了漏洞(查看系 统版本及补丁升级日期)。
【预期结果或主要证据]
管理员定期进行漏洞扫描。如果发现漏洞,则已在经过充分的测试和评估后及时修补 漏洞。
L3-CES1-22
【安全要求】
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
[要求解读]
要想维护系统安全,必须进行主动监视。通常可以在网络边界、核心等重要节点处部 署IDS、IPS等系统,或者在防火墙、UTM处启用入侵检测功能,以检查是否发生了入侵 和攻击。
[测评方法]
(1) 核查防火墙是否具有入侵检测功能,查看入侵检测功能是否已正确启用。
(2) 核查在发生严重入侵事件时是否能进行报警,报警方式一般包括短信、邮件等。
[预期结果或主要证据]
(1) 防火墙已启用入侵检测功能。
(2) 在发生严重入侵事件时能通过短信、邮件等方式报警。
5、可信验证
L3-CES1-24
[安全要求】
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进 行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破 坏后进行报警,并将验证结果形成审计记录送至安全管理中心0
[要求解读]
应将设备作为通信设备或边界设备对待。
[测评方法]
参见2.3节和3.6节。
【预期结果或主要证据]
参见2.3节和3.6节。
4.3服务器
4.3.1 Linux 服务器
Linux是指UNIX克隆或类UNIX风格的操作系统,在源代码级别兼容绝大部分 UNIX标准(IEEE POSIX, System V, BSD),是一种支持多用户、多进程、多线程的实 时性较好且功能强大而稳定的操作系统。
Linux服务器的等级测评主要涉及六个方面的内容,分别是身份鉴别、访问控制、安 全审计、入侵防范、恶意代码防范、可信验证。
1、身份鉴别
为确保服务器的安全,必须对服务器的每个用户或与之相连的服务器设备进行有效的 标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在 规定的权限范围内进行操作。
L3-CES1-01
【安全要求】
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
【要求解读】
Linux操作系统的用户鉴别过程与其他UNIX操作系统相同:系统管理员为用户建立 一个账户并为其指定一个口令,用户使用指定的口令登录后重新配置自己的口令,这样用 户就获得了一个私有口令。/etc/passwd文件中记录的用户属性信息包括用户名、密码、用 户标识、组标识等。目前,Linux操作系统中的口令不再直接保存在/etc/passwd文件中, 通常使用一个“x”代替/etc/passwd文件中的口令字段,将/etc/shadow作为真正的口令文 件来保存包括个人口令在内的数据。当然,普通用户不能读取/etc/shadow文件,只有超级 用户才有权读取。
Linux操作系统中的/etc/login.defs是登录程序的配置文件,在该文件中可以配置密码 的过期天数、密码的长度纟勺束等参数。如果/etc/pam.d/system-auth文件中有与该文件相同 的选项,则以/etc/pam.d/system-auth文件的设置为准。也就是说,/etc/pam.d/system-auth 文件的配置优先级高于/etc/login.defs文件。
Linux文件系统具有调用PAM的应用程序认证用户、登录服务、屏保等功能,其中重 要的文件是/etc/pam.d/system-auth (在 Redhat、CentOS 和 Fedora 系统中)或 /etc/pam.d/ common-passwd (在Debian、Ubuntu和Linux Mint系统中)。这两个文件的配置优先级高 于其他文件。
[测评方法】
(1)访谈系统管理员,了解系统用户是否已设置密码,核查登录过程中系统账户是否 使用密码进行验证登录。
(2 )以具有相应权限的账户身份登录操作系统,使用more命令查看/etc/shadow文 件,核查系统中是否存在空口令账户。
(3 )使用more命令查看/etc/login.defs文件,核查是否设置了密码长度和密码定期更 换规则。使用more命令查看/etc/pam.d/system-auth文件,核查是否设置了密码长度和密 码复杂度规则。
(4)核查是否存在旁路或身份鉴别措施可绕过的安全风险(应为不存在)。
I预期结果或主要证据】
(1) 登录时需要密码。
(2) 不存在空口令账户。
(3) 得到类似如下反馈信息。 .
PASS_MAX_DAYS 90 #登录密码有效期为9。天PASS_MIN_DAYS 0 #登录密码最短修改时间,增加可防止非法用户短期内多次修改登录密码PASS_MIN_LEN 7 #登录密码最小长度为7位PASS WARN AGE 7 #登录密码过期前7天提示修改
(4) 不存在可绕过的安全风险。
L3-CES1-02
[安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退出等相关措施。
[要求解读】
Linux操作系统具有调用PAM的应用程序认证用户、登录服务、屏保等功能。在 Redhat5以后的版本中,使用pam_tally2.s。模块控制用户密码认证失败的次数,可以实现 对登录次数、超时时间、解锁时间等的控制。如果认证规则只针对某个程序,则可以在 PAM目录(/etc/pam.d)下形如sshd、login、system-auth等对应于各程序的认证规则文件 中修改。
本地登录失败处理功能在/etc/pam.d/system-auth或/etc/pam.d/login文件中进行配置。 SSH远程登录失败处理功能在etc/pam.d/sshd文件中进行配置。
【测评方法】
(1)核查系统是否配置并启用了登录失败处理功能。
(2 )以 root 身份登录 Limix 操作系统,核查/etc/pam.d/system-auth或/etc/pam.d/login文件中本地登录失败处理功能的配置情况,以及/etc/pam.d/sshd文件中SSK远程登录失 败处理功能的配置情况。
(3 )核查/etc/profile文件中的TIMEOUT环境变量是否配置了超时锁定参数。
[预期结果或主要证据]
得到类似如下反馈信息。
•查看本地登录失败处理功能相关参数,/etc/pam.d/system-auth或/etc/pam.d/login 文件中存在 “auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_ deny_root root_unlock_tiine=]()“。
•查看远程登录失败处理功能相关参数,/etc/pam.d/sshd文件中存在“auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_ time=10"o
• /etc/pro文件中设置了超时锁定参数,例如在该文件中设置了 TMOUT=300s。
L3-CES1-03
[安全要求】
当进行远程管理时,应釆取必要措施防止鉴别信息在网络传输过程中被窃听。
【要求解读】
Linux操作系统提供了远程访问与管理接口,以便管理员进行管理操作,网络登录方 式也是多种多样的,可以使用Telnet协议登录,也可以使用SSH协议登录。但是,Telnet 协议是不安全的,因为其在数据传输过程中账户与密码均为明文。由于黑客通过一些网络 嗅探工具能够很容易地窃取网络中明文传输的账户与密码,所以不建议通过Telnet协议对 服务器进行远程管理。针对Telnet协议不安全的问题,可以在远程登录时使用SSH协议。 SSH协议的原理与Telnet协议类似,且具有更高的安全性。SSH是一个运行于传输控制层 的应用程序。与Telnet协议相比,SSH协议提供了强大的认证和加密功能,可以保证远程 连接过程中传输的数据是经过加密处理的(保证了账户与密码的安全)。
[测评方法]
(1 )询问系统管理员,了解釆取的远程管理方式。以root身份登录Linux操作系统。
- 查看是否运行了 sshd服务。
service "Status-all ! grep sshd
- 查看相关端口是否已经打开。
netstat -an|grep *22*
- 若未使用SSH协议进行远程管理,则査看是否使用Telnet协议进行远程管理。
service 一一status-all | grep running
(2) 使用摭包工具查看协议是否是加密的。
(3) 本地化管理,此项不适用。
[预期结果或主要证据]
(1 )使用SSH协议进行远程管理(防止鉴别信息在传输过程中被窃听)。Telnet协议 默认不符合此项。(2) 抓包工具截获的信息为密文,无法读取,协议为加密协议。(3) 本地化管理,此项不适用。
L3-CES1-04
[安全要求】
应釆用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份 鉴别,且其中_种鉴别技术至少应使用密码技术来实现。
【要求解读】
釆用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。在这里,两种 或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
【测评方法】
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种 以上组合的鉴别技术对用户身份进行鉴别,并核查其中一种鉴别技术是否使用密码技术来 实现。
【预期结果或主要证据】
至少釆用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的 鉴别技术(例如使用基于国密算法的数字证书或数字令牌)。
2、访问控制
在操作系统中实施访问控制的目的是保证系统资源(操作系统和数据库管理系统)受 控、合法地被使用。用户只能根据自己的权限来访问系统资源,不得越权访问。
L3-CES1-05
【安全要求]
应对登录的用户分配账户和权限。
[要求解读】
对于Linux操作系统中的一些重要文件,应检查系统主要目录的权限设置情况。
Linux操作系统的文件操作权限有四种,分别为读(r, 4 )、写(w, 2 )、执行(x, 1 )、 空(-,0),文件的权限分别为属主(拥有者)、属组、其他用户、用户组。
[测评方法]
以具有相应权限的账户身份登录Linux操作系统,使用“1S-1文件名”命令查看重要 文件和目录的权限设置是否合理,例如**# Is -1 /etc/passwd #744" 0
重点查看以下文件和目录的权限设置是否合理。
-rwx------ :数字表示为700。
-rwxr-r-:数字表示为744。
-rw-rw-r-x:数字表示为 665。
drwx-x-x:数字表示为7110
drwx------ :数字表示为700。
[预期结果或主要证据】
配置文件的权限值不大于644。可执行文件的权限值不大于755。
L3-CES1-06
【安全要求]
应重命名或删除默认账户,修改默认账户的默认口令。
[要求解读]
Linux操作系统本身提供了各种账户,例如adm、Ip、sync、shutdown、halt、mail、 uucp、operator、games、gopher、ftp等,但这些账户并不会被使用,而且账户越多,系统 就越容易受到攻击,因此,应禁用或删除这些账户。root是重要的默认账户,一般应禁止 其远程登录。
[测评方法]
(1 )以具有相应权限的账户身份登录Linux操作系统,执行more命令,查看 /etc/shadow 文件中是否存在 adm、Ip、sync、shutdown、halt、mail、uucp、operator、 games > gopher、ftp等默认无用的账户。
(2 )查看root账户是否能进行远程登录(通常为不能)。
【预期结果或主要证据】
(1)不存在默认无用的账号。
(2 )已将/etc/ssh/sshd_config文件中的PennitRootLogin参数设置为no,也就是 PermitRootLoginno,表示不允许root账户远程登录系统。
L3-CES1-07
【安全要求】
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
【要求解读】
操作系统运行一段时间后,会因业务应用或管理员岗位的调整而出现一些多余的、过 期的账户,也会出现多个系统管理员或用户使用同一账户登录的情况,导致无法通过审计 追踪定位自然人。多余的、过期的账户可能会被攻击者利用进行非法操作。因此,应及时 清理系统中的账户,删除或停用多余的、过期的账户,同时避免共享账户的存在。
【测评方法】
(1) 核查是否存在多余的或过期的账户(应为不存在)。例如,查看games、news、 ftp、Ip等系统默认账户是否已被禁用,特权账户halt、shutdown是否已被删除。
(2) 访谈网络管理员、安全管理员、系统管理员,核查不同的用户是否使用不同的账 户登录系统。
【预期结果或主要证据】
(1) 已禁用或删除不需要的系统默认账户。
(2) 各类管理员均使用自己的特定权限账户登录,不存在多余的、过期的账户。
L3-CES1-08
[安全要求】
应授予管理用户所需的最小权限,实现管理用户的权限分离。
【要求解读】
根据管理用户的角色对权限进行细致的划分,有利于各岗位精准协调工作。同时,仅 授予管理用户所需的最小权限,可以避免因出现权限漏洞而使一些高级用户拥有过高的权 限。例如,Linux操作系统的root账户拥有所有权限,使用sudo命令可授予普通用户root 权限(在sudoer.conf中进行配置)。
[测评方法]
(1) 以具有相应权限的账户身份登录Linux操作系统,执行more命令,查看 /etc/passwd文件中的非默认用户,了解各用户的权限,核查是否实现了管理用户的权限 分离。
(2)以具有相应权限的账户身份登录Linux操作系统,执行more命令,查看 /etc/sudoers文件,核查哪些用户拥有root权限。
【预期结果或主要证据】
(1) 各用户均仅具备最小权限,且不与其他用户的权限交叉。设备支持新建多用户角 色功能。(2) 管理员权限仅分配给root用户。
L3-CES1-09
【安全要求]
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
【要求解读】
操作系统的访问控制策略应由授权主体(例如安全管理员)进行配置,非授权主体不
得更改访问控制策略。访问控制策略规定了操作系统用户对操作系统资源(例如文件和目 录)具有哪些权限、能进行哪些操作。通过在操作系统中配置访问控制策略,可以实现对 操作系统各用户权限的限制。
【测评方法]
**(1)** 询问系统管理员,核査是否由指定授权人对操作系统的访问控制权限进行配置。
**(2 )**核查账户权限配置,了解是否依据安全策略配置各账户的访问规则。
【预期结果或主要证据】
(1) 由专门的安全员负责访问控制权限的授权工作。
(2) 各账户权限均基于安全员的安全策略配置进行访问控制。
L3-CES1-10
[安全要求】
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
[要求解读]
此项明确提出了访问控制粒度方面的要求。重点目录的访问控制主体可能为某个用户 或某个进程,应能够控制用户或进程对文件、数据库表等客体的访问。
[测评方法]
使用**"Is -1**文件名”命令查看重要文件和目录权限的设置是否合理(例如“# Is -1 /etc/passwd#744”)。应重点核查文件和目录权限是否被修改过。
[预期结果或主要证据]
由管理用户进行用户访问权限的分配,用户依据访问控制策略对各类文件和数据库表 进行访问。重要文件和目录的权限均在合理范围内,用户可根据自身拥有的对文件的不同 权限进行操作。
L3-CES1-11
[安全要求]
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
[要求解读]
敏感标记是由强认证的安全管理员设置的。通过对重要信息资源设置敏感标记,可以 决定主体以何种权限对客体进行操作,实现强制访问控制*。*
安全增强型 Linux (Security-Enhanced Linux, SELinux)是一个 Linux 内核模块,也是 Linux的一个安全子系统,2.6及以上版本的Linux内核都已集成SELinux模块。在使用 SELinux的Linux操作系统中,决定资源是否能够被访问的因素,除了用户的权限(读、 写、执行),还有每一类进程对某一类资源的访问权限。这种权限管理机制的主体是进程, 也称为强制访问控制。在SELinux中,主体等同于进程,客体是主体访问的资源(可以是 文件、目录、端口、设备等)。
SELinux有三种工作模式。
enforcing:强制模式。违反SELinux规则的行为将被阻止并记录到日志中,表示 使用 SELinux O
permissive:宽容模式。违反SELinux规则的行为只会被记录到日志中,一般在调 试时使用,表示使用SELinux。
disabled:关闭 SELinux,表示不使用 SELinux。
【测评方法】
(1) 核查系统中是否有敏感信息。
(2)核查是否为主体用户或进程划分了级别并设置了敏感标记,以及是否在客体文件 中设置了敏感标记。
(3 )测试验证是否依据主体和客体的安全标记来控制主体对客体访问的强制访问控制 策略。
(4)以具有相应权限的账户身份登录Linux操作系统,使用more命令,查看 /etc/selinux/config 文件中 SELinux 的参数。
【预期结果或主要证据】
Linux服务器默认关闭SELinux服务,或者已使用第三方主机加固系统或对系统内核 进行了二次开发加固(需要实际查看系统可视化界面)。
3、安全审计
对服务器进行安全审计的目的是保持对操作系统和数据库系统的运行情况及用户行 为的跟踪,以便事后进行追踪和分析。
L3-CES1-12
【安全要求】
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行 审计。
[要求解读]
Redhat Enterprise Linux 3 Update 2 以后的版本都使用 LASU (Linux Audit Subsystem) 进行审计。日志系统可以记录系统中的各种信息,例如安全信息、调试信息、运行信息。 审计子系统专门用于记录安全信息,以便对系统安全事件进行追溯。如果审计子系统没有 运行,Linux内核就会将安全审计信息传递给日志系统。
Linux操作系统的auditd进程主要用于记录安全信息及对系统安全事件进行追溯, rsyslog进程用于记录系统中的各种信息(例如硬件报警信息和软件日志)。Linux操作系统 在安全审’计配置文件/etc/audit/auditrules中配置安全事件审计规则。
[测评方法]
(1) 以root身份登录Linux操作系统,查看服务进程。
(2) 若开启了安全审计服务,则核查安全审计的守护进程是否正常。
tt ps yf I grep auditd
(3) 若未开启系统安全审计功能,则核查是否部署了第三方安全审计工具。
(4) 以root身份登录Linux操作系统,查看安全事件的配置。
\#grep /etc/audit/filter.conf
more/etc/audit/audit.rules
[预期结果或主要证据]
(1)开启了审计进程,
[root^localhost april]# service auditd status auditd (pid 1656) is running...
[root^localhost april]# service rsyslog status rsyslogd (pid 1681) is running...
[root@localhost april]# |
(2 ) Linux服务器默认开启守护进程。
(3) audit.rules文件记录了文件和底层调用信息,记录的安全事件较为全面。
L3-CES1-13
【安全要求】
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
【要求解读】
详细的审计记录是实现有效审计的保证。审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等。审计记录中的详细信息能够帮助管理员或其他相关检查人 员准确地分析和定位事件。Linux用户空间街■计系统由auditd、ausearch、aureport等应用 程序组成。其中,ausearch是用于查找审计事件的工具,可以用来查看系统日志。
[测评方法】
以具有相应权限的账户身份登录Linux操作系统,执行·ausearch-ts today”·命令。其 中,-ts表示查看指定时间后的日志。
也可以执行“tail-20/var/log/audit/audit.log”命令来 查看审计日志。
【预期结果或主要证据]
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果。
L3-CES1-14
【安全要求】
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
【要求解读】
非法用户进入系统后的第一件事情就是清理系统日志和审计H志,而发现入侵行为最
简单、最直接的方法就是查看系统日志和安全审计文件。因此,必须对审计记录进行安全 保护,避免其受到未预期的删除、修改或覆盖等。
【测评方法】
(1)访谈系统管理员,了解审计记录的存储、备份和保护措施。
(2)核查是否定时将操作系统日志发送到日志服务器等,以及是否使用syslog或 SNMP方式将操作系统日志发送到日志服务器。如果部署了日志服务器,则登录日志服务 器,核查被测操作系统的日志是否在收集范围内。
【预期结果或主要证据]
操作系统日志已定期备份。已定期将本地存储的日志转发至日志服务器。
L3-CES1-15
【安全要求】
应对审计进程进行保护,防止未经授权的中断。
[要求解读】
保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息。在Linux操作 系统中,auditd是南计守护进程,syslogd是日志守护进程。
【测评方法]
(1) 访谈系统管理员,了解对审计进程采取的监控和保护措施。
(2) 以非安全审计人员身份中断审计进程,验证审计进程的访问权限设置是否合理 (应为无法中断审计过程)o
(3)核查是否通过第三方系统对被测操作系统的审计进程进行了监控和保护。
[预期结果或主要证据]
(1) 审计进程不能被具有非安全审计人员权限的用户修改。
(2) 部署了第三方审计工具,可以实时记录审计日志,管理员不可以对日志进行删除 操作。
4、入侵防范
由于基于网络的入侵检测只是在被监测的网段内对非授权的访问、使用等情况进行防 范,所以其无法防范网络内单台服务器等被攻击的情况。基于服务器的入侵检测可以说是 对基于网络的入侵检测的补充——补充检测那些出现在“授权”的数据流或其他遗漏的数 据流中的入侵行为。
L3-CES1-17
【安全要求】
应遵循最小安装的原则,仅安装需要的组件和应用程序。
[要求解读】
在安装Linux操作系统时,应遵循最小安装的原则,即“不需要的包不安装”。安装 的包越多,系统面临的风险就越大,因此,“瘦身”有利于提高系统的安全邕在使用操 作系统的过程中,为了避免多余的组件和应用程序带来的安全风险,通常会遵循最小安装 的原则,仅安装需要的组件和应用程序等。
[测评方法]
(1)查看安装操作手册,核查安装操作系统时是否遵循最小安装的原则。
(2)使用ayum list installed"命令查看操作系统中已安装的程序包,询问管理员其中 是否有目前不需要使用的组件和应用程序(应为否)。
[预期结果或主要证据]
(1)操作系统的安装遵循最小安装的原则。
(2 )操作系统中没有安装业务不需要的组件和应用程序。
L3-CES1-18
[安全要求1
应关闭不需要的系统服务、默认共享和高危端口。
【要求解读】
安装Linux操作系统时默认会开启许多非必要的系统服务。为了避免多余的系统服务 带来的安全风险,通常可以将其关闭。通过查看监听端口,可以直观地发现并对比系统中 运行的服务和程序O关闭高危端口是操作系统中常用的安全加固方式*。*
[测评方法】
(1 )以具有相应权限的账户身份登录Linux操作系统,使用**service -status-all grep running”命令查看危险的网络服务是否已经关闭。
(2) 以具有相应权限的账户身份登录Linux操作系统,使用“netstat-ntlp”命令查看 并确认开放的端口是否都为业务需要的端口,是否已经关闭非必需的端口。
(3) Linux操作系统中不存在共享问题。
[预期结果或主要证据]
(1) 已关闭操作系统中多余的、危险的服务和进程。
(2) 已关闭非必需的端口。
L3-CES1-19
【安全要求】
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
[要求解读]
Linux操作系统中有/etc/hosts.allow和/etc/hosts.deny两个文件,它们是tcpd服务器的 配置文件(tcpd服务器可以控制外部1P地址对本机服务的访问)。其中,/etc/hosts.allow 文件用于控制可以访问本机的IP地址,/etc/hosts.deny文件用于控制禁止访问本机的IP地 址。如果这两个文件的配置有冲突,以/etc/hosts.deny文件中的配置为准。
[测评方法]
(1 )查看/etc/hosts.deny文件中是否有uALL: ALL”(禁止所有请求)字样、/etc/ hosts.allow文件中是否有类似如下配置。
sshd:192.168.1.10/255.255.255.0
(2)核查是否已通过防火墙对接入终端进行限制。
【预期结果或主要证据]
(1 ) /etc/hosts.allow文件中有如下类似配置,以限制IP地址及其访问方式。
sshd:192.168.1.:L0/2 55.2S5.255.0 ~~
(2)对终端接入方式、网络地址范围等条件进行限制。通过RADUS、堡垒机、安全 域、防火墙等运维方式实现了对终端接入方式的限制。
L3-CESV21
【安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
[要求解读]
攻击者可能利用操作系统中的安全漏洞对操作系统进行攻击。因此,应对操作系统进 行漏洞扫描,及时发现操作系统中的已知漏洞,并在经过充分的测试和评估后更新系统补 丁,避免由系统漏洞带来的风险。
[测评方法]
(1)查看自查漏洞扫描报告或由第三方提供的漏洞报告中是否存在高风险漏洞(应为 不存在)。
(2 )核查操作系统中是否有漏洞测试环境及补丁更新机制和流程。
(3) 访谈系统管理员,了解补丁升级机制,查看补丁安装情况(使用命令"#rpm-qa | grep patch")。
【预期结果或主要证据】
(1) 运维团队定期进行漏洞扫描,在发现安全风险后及时进行修补。
(2) 补丁更新时间为最近。已对补丁进行控制和管理。
L3-CES1-22
【安全要求】
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
[要求解读】
要想维护真正安全的环境,只有安全的系统是远远不够的。假设系统自身不会受到攻 击,或者认为防护措施足以保护系统自身,都是非常危险的。维护系统安全,必须进行主 动监视,以检查系统中是否发生了入侵和攻击。
在一般意义上,入侵威胁分为外部渗透、内部渗透、不法行为三种,入侵行为分为物 理入侵、系统入侵、远程入侵三种。此项关注的操作系统所面对的入侵威胁包含以上三种,造成入侵威胁的入侵行为主要是系统入侵和远程入侵两种。
系统入侵是指入侵者在拥有系统低级别权限账号的情况下进行的破坏活动。在通常情 况下,如果没有及时更新系统补丁,拥有低级别权限的用户就可能利用系统漏洞获取更高 的管理特权。
远程入侵是指入侵者通过网络来渗透系统。在这种情况下,入侵者通常不具有特殊权 限,需要先通过漏洞扫描或端口扫描等技术发现攻击目标,再利用相关技术进行破坏活动。
【测评方法]
(1 )访谈系统管理员并查看入侵检测措施。例如,通过“#more /var/log/secure | grep refused"命令查看入侵的重要线索(试图进行Telnet. FTP操作等)。
(2) 核查是否启用了主机防火墙、TCP SYN保护机制等。
(3) *访谈*系统管理员,了解是否安装了主机入侵检测软件,查看已安装的主机入侵检 测软件是否具备报警功能。可以执行“find/-name〈daemonname>-print"命令,核查是否 安装了主机入侵检测软件,例如 Dragon Squire by Enterasys Networks、ITA by Symantec. Hostsentry by Psionic Softwares LogCheck by Psionic Software、RealSecure agent by ISS0
(4) 查看网络拓扑图,核査网络中是否部署了网络入侵检测系统。
[预期结果或主要证据]
(1 )入侵的重要路径均被切断,不存在系统级入侵的可能。
(2) 开启了主机防火墙的相关配置。
(3) 安装了基于主机的ID$设备。若主机上未部署IDS设备,则可以在网络链路上 查看主机本身是否为IDS或IPS设备。
(4) 在发生入侵事件时有记录和报警措施等。
5、恶意代码防范
恶意代码一般通过两种方式造成破坏:一是通过网络;二是通过主机。网络边界处的 恶意代码防范可以说是防范工作的第一道门槛。然而,如果恶意代码通过网络传播,直接 后果就是网络内的主机感染。所以,网关处的恶意代码防范并不是一劳永逸的。另外,各 种移动存储设备接入主机,也可能使主机感染病毒,然后通过网络感染其他主机。这两种 方式是交叉发生的,必须在两处同时进行防范,才能尽可能保证安全。
L3-CES1-23
【安全要求]
应釆用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒 行为,并将其有效阻断。
【要求解读】
Linux操作系统面临木马和蠕虫的破坏。可以釆用免受恶意代码攻击的技术措施或可 信验证机制对恶意代码进行检测。
[测评方法】
(1) 核查操作系统中安装的防病毒软件。访谈系统管理员,了解病毒库是否经常更 新。核查病毒库是否为最新版本(更新日期是否超过一个星期,应为否)。
(2) 核查操作系统是否实现了可信验证机制,是否能够对系统程序、应用程序和重要 配置文件/参数进行可信验证。
[预期结果或主要证据]
(1)部署了网络版防病毒软件,病毒库为最新版本,支持防恶意代码统一管理。
(2 )部署了主动免疫可信验证机制,可及时阻断病毒入侵行为。
6、可信验证
L3-CES1-24
【安全要求】
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进 行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破 坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
【要求解读】
对服务器设备,需要在启动过程中对预装软件(包括系统引导程序、系统程序、相关 应用程序和重要配置参数)进行完整性验证或检测,确保系统引导程序、系统程序、重要 配置参数和关键应用程序的篡改行为能被发现并报警,以便进行后续的处置。
[测评方法]
(1) 核查服务器启动时是否进行了可信验证,查看对哪些系统引导程序、系统程序或 重要配置参数进行了可信验证。
(2) 通过修改重要系统程序之一和应用程序之一,核查是否能够检测到修改行为并进 行报警。
(3)核查是否已将验证结果形成审计记录送至安全管理中心。
【预期结果或主要证据】
(1) 服务器具有可信根芯片或硬件。
(2) 在启动过程中,已基于可信根对系统引导程序、系统程序、重要配置参数和关键 应用程序等进行可信验证度量。
(3) 在检测到可信性受到破坏后能够进行报警,并将验证结果形成审计记录送至安全 管理中心。
(4) 安全管理中心可以接收设备的验证结果记录。
4.3.2 Windows 服务器
Windows是目前世界上用户数量最多、兼容性最强的操作系统之一。Windows操作系 统的等级测评主要涉及六个方面的内容,分别是身份鉴别、访问控制、安全审计、入侵防 范、恶意代码防范、可信验证。
1、身份鉴别
(说明见43.1节“身份鉴别”部分。)
L3-CES1-01
【安全要求】
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
【要求解读】
用户的身份标识和鉴别是指用户以一种安全的方式向操作系统提交自己的身份证明, 然后由操作系统确认用户的身份是否属实的过程。身份标识应具有唯一性。在用户进入 Windows前,系统会弹出一个用户登录界面,要求用户输入用户名和密码,用户通过系统 对用户名和密码的验证后即可登录。
猜测密码是操作系统遇到最多的攻击方法之一。等级测评对操作系统的密码策略提出 了要求。在Windows操作系统中,对密码历史记录、密码更换时间间隔、密码长度、密码 复杂度等都有要求。
【测评方法】
(1)核查用户是否需要输入用户名和密码才能登录。
(2)核查Windows的默认用户名是否具有唯一性。
(3)选择“控制面板” 一 “管理工具”-“计算机管理”—“本地用户和组”选项, 检查有哪些用户,并尝试使用空口令登录。
(4) 选择“控制面板” T “管理工具” T “本地安全策略” f “账户策略” T “密码 策略“选项,核查密码策略设置是否合理。
【预期结果或主要证据】
(1 )用户登录时需要输入用户名和密码。
(2) Windows用户名具有唯一性。
(3) 无法使用空口令登录。
(4) 结果如下,如图4-22所示。
密码复杂性要求:已启用。
9*密码长度;至少为8位。
密码最长使用期限:不为0。
密码最短使用期限:不为0。
强制密码历史:至少记住5个密码。
L3-CES1-02
[安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退出等相关措施。
【要求解读]
由于非法用户能够通过反复输入密码达到猜测用户密码的目的,因此,应限制用户登 录过程中连续输入错误密码的次数。在用户多次输入错误的密码后,操作系统应自动锁定 该用户或在一段时间内禁止该用户登录,从而提高非法用户猜测密码的难度。
Windows操作系统具有登录失败处理功能,可以通过适当配置账户锁定策略对用户的 登录行为进行限制。
【测评方法】
(1) 选择“控制面板” 一 “管理工具”-“本地安全策略”-> “账户策略” 一 “密码 锁定策略”选项,查看账户锁定时间和账户锁定阚值。
(2) 在桌面上单击右键,在弹岀的快捷菜单中选择“个性化” t “屏幕保护程序”选 项,查看“等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。
需要说明的是,如果已经按照前面介绍的方法合理设置密码策略,此项要求就不是很 重要了,因为在这种情况下,任何攻击者都不可能在一段合理的时间内猜出密码。例如, 设置用户最大登录失败次数,一旦攻击者的登录失败次数超过设定的数值,系统将对其进 行登录锁定,从而防止攻击者通过暴力破解的方式登录系统;结合密码定期更改策略,攻 击者猜出密码的可能性非常小。如果密码强度很低(例如攻击者能在10次尝试以内猜岀), 那么问题并不在于账户锁定策略,而在于强度低到极点的密码。
【预期结果或主要证据]
(1) 结果如下。
* 账户锁定时间:不为不适用。
* 账户锁定阈值:不为不适用。
(2) 已启用远程登录连接超时自动退出的功能。
L3-CES1-03
【安全要求]
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
[要求解读】
为方便管理员进行管理操作,许多服务器都采用了网络登录的方式。Windows操作系 统一般使用远程桌面(Remote Desktop)进行远程管理。《信息安全技术网络安全等级保 护基本要求》(以下简称为《基本要求》)规定,对传输的数据需要进行加密处理,目的是 保障账户和口令的安全。
Windows Server 2003 SP1针对远程桌面提供了 SSL加密功能,它可以基于SSL对 RDP客户端提供终端服务器的服务器身份验证、加密和RDP客户端通信。要想使用远程 桌面的SSL加密功能,远程桌面必须为RDP 5.2或以上版本,即所运行的操作系统必须为 Windows Server 2003 SP1 或以上版本。
[测评方法)
(1) 如果采用本地管理或KVM等硬件管理方式,则此项要求默认满足。
(2) 如果釆用远程管理,则需釆用带有加密管理的远程管理方式。在命令行窗口输入 gpeditmsc命令,在弹出的“本地组策略编辑器”窗口查看“本地计算机策略”-“计算 机配置” 7 “管理模板” -"Windows组件”“远程桌面服务” f “远程桌面会话主机” ~ “安全”中的相关项目。
[预期结果或主要证据]
(1)本地或KVM默认符合此项。
(2 )远程运维采用加密的RDP协议。
L3-CES1-04
[安全要求]
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份 鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
【要求解读】
釆用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。在这里,两种 或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
【测评方法]
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种 以上组合的鉴别技术对用户身份进行鉴别,并核查其中一种鉴别技术是否使用密码技术来 实现。
【预期结果或主要证据】
至少采用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的 鉴别技术(例如使用基于国密算法的数字证书或数字令牌*)。*
2、访问控制
(说明见### 4.3.1节“访向控制”部分。)
L3-CES1-05
[安全要求】
应对登录的用户分配账户和权限。
【要求解读]
访问控制是安全防范和保护的主要策略。操作系统访问控制的主要任务是保证操作系 统中的资源不被非法使用和访问。使用访问控制的目的是通过限制用户对特定资源的访问
来保护系统资源。操作系统中的每个文件或目录都有访问权限,这些访问权限决定了谁能 访问及如何访问这些文件和目录。对操作系统中的一些重要文件,需要严格控制其访问权 限,从而提高系统的安全性。因此,为了确保系统的安全,需要为登录的用户分配账户并 合理配置账户权限。
在Windows操作系统中,不能对everyone账户开放重要目录,因为这样做会带来严 重的安全问题。在权限控制方面,尤其要注意文件权限更改对应用系统造成的影响。
[测评方法]
访谈系统管理员,了解能够登录Windows操作系统的账户及它们拥有的权限。选择%systemdrive%\windows\systemA %systemroot%\system32\config 等文件夹,单击右键,在 弹岀的快捷菜单中选择“属性”—“安全”选项,查看everyone组、users组和administrators 组的权限设置。
【预期结果或主要证据]
(1) 各用户具有最小角色权限且分别登录。
(2) 不存在匿名用户,默认用户账号只能由管理员登录。
L3-CES1-06
【安全要求】
应重命名或删除默认账户,修改默认账户的默认口令。
[要求解读]
由于操作系统默认账户的某些权限与实际系统的要求可能存在差异而造成安全隐患, 所以,应重命名或删除这些默认账户,并修改默认账户的默认口令。
Windows系统管理员的账户名是Administrator。在某些情况下,攻击者可以省略猜测 用户名这个步骤,直接破解密码。因此,允许默认账户访问的危害是显而易见的。
[测评方法]
略
【预期结果或主要证据]
(1 ) Windows操作系统的默认账户Administrator已被禁用或重命名。
(2)已修改账户的默认口令。
(3 )已禁用guest账户。
L3-CES1-07
【安全要求】
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
【要求解读】
操作系统运行一段时间后,会因业务应用或管理员岗位的调整而出现一些多余的、过 期的账户,也会岀现多个系统管理员或用户使用同一账户登录的情况,导致无法通过审计 追踪定位自然人。多余的、过期的账户可能会被攻击者利用进行非法操作。因此,应及时 清理系统中的账户,删除或停用多余的、过期的账户,同时避免共享账户的存在。
【测评方法】
在命令行窗口输入lusrmgr.msc命令,在弹岀的“本地用户和组(本地)'用户"窗口查 看“本地用户和组(本地)” 一 “用户”下的相关项目。访谈系统管理员,了解各账户的用 途,核查账户是否属于多余的、过期的或共享账户名的。
[预期结果或主要证据]
(1) 不存在多余的账户和测试时使用的过期账户。
(2) 不存在多部门、多人共享账户的情况。
L3-CES1-08
[安全要求】
应授予管理用户所需的最小权限,实现管理用户的权限分离。
【要求解读】
根据管理用户的角色对权限进行细致的划分,有利于各岗位精准协调工作。同时,仅 授予管理用户所需的最小权限,可以避免因出现权限漏洞而使一些高级别用户拥有过高的 权限。
[测评方法]
在命令行窗口输入secpoLmsc命令,在弹出的“本地安全策略”窗口查看“安全设置”
“本地策略”-“用户权限分配”下的相关项目,在详细信息窗格中可以看到可配置的 用户权限策略。
[预期结果或主要证据]
(1) 设置了系统管理员、安*全员、*审计员角色,并根据管理用户的角色分配权限,实 现了管理用户的权限分离。
(2) 仅授予管理用户需要的最小权限,角色的权限之间相互制约。
L3-CES1-09
[安全要求]
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
【要求解读】
操作系统的访问控制策略应由授权主体(例如安全管理员)进行配置,非授权主体不 得更改访问控制策略。访问控制策略规定了操作系统用户对操作系统资源(例如文件和目 录)具有哪些权限、能进行哪些操作。通过在操作系统中配置访问控制策略,可以实现对 操作系统各用户权限的限制。
[测评方法]
(1) 询问系统管理员,了解哪些用户能够配置访问控制策略。
(2 )查看重点目录的权限配置,了解是否依据安全策略配置访问规则。
【预期结果或主要证据】
(1 )由安全管理员授权设置访问控制策略。
(2) 配置了主体对客体的访问控制策略并统一管理。
L3-CES1-10
【安全要求】
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
【要求解读】
此项明确提出了访问控制粒度方面的要求。重点目录的访问控制主体可能为某个用户 或某个进程,应能够控制用户或进程对文件、数据库表等客体的访问。
[测评方法]
选择 %systemdrive%\prograni files、%systemdrive%\system32 等重要的文件夹,以及 %systemdrive%\Windows\system32\config^ %systemdrive%\Windows\system32\secpol 等重 要的文件,单击右键,在弹出的,决捷菜单中选择“属性” 一 “安全”选项,查看访问权限 设置。
【预期结果或主要证据】
(1) 用户权限设置合理。
(2) 用户依据访问控制策略对各类文件和数据库表进行访问。
L3-CES1-11
【安全要求】
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
【要求解读】
敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数 字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由强认证的安全管理 员设置。安全管理员通过对重要信息资源设置敏感标记来决定主体以何种权限对客体进行 操作,实现强制访问控制。
在操作系统能够对信息资源设置敏感标记的前提下,应严格按照安全策略控制用户对 相关资源的操作。
[测评方法]
(1)查看操作系统功能手册或相关文档,确认操作系统是否具备对信息资源设置敏感 标记的功能。
(2 )询问管理员是否对重要信息资源设置了敏感标记。
(3 )询问或查看当前敏感标记策略的相关设置。例如,如何进行敏感标记分类、如何 设定访问权限等。
[预期结果或主要证据】
(1) 若系统中有敏感数据,则已为不同层面的人员分别设置强制访问控制策略。若系 统中没有敏感数据,则此项不适用。
(2) 在主体和客体层面分别设置了不同的敏感标记,并由管理员基于这些标记设置访 间控制路径。
(3) 系统内核进行了二次开发加固(需要实际查看系统可视化界面)。部署了第三方 主机加固系统,可以设置主体和客体的安全标记,并控制主体对客体的访问路径。
3、安全审计
(说明见### 4.3.1节“安全审计”部分。)
L3-CES1-12
[安全要求]
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行 审计。
【要求解读】
安全审计通过关注系统和网络日志文件、目录和文件中不期望的改变、程序执行中的 不期望行为、物理形式的入侵信息等来检查和防止虚假数据和欺骗行为,是保障计算机系 统本地安全和网络安全的重要技术。因为对审计信息的分析可以为计算机系统的脆弱性评 估、责任认定、损失评估、系统恢复提供关键信息,所以,审计必须覆盖所有的操作系统 用户。
Windows操作系统通过配置和开启安全审计功能、合理地配置安全审计内容、对重要 的用户行为和重要安全事件进行审计,能够及时、准确地了解和判断安全事件的内容和性 质,极大地节省系统资源。
[测评方法]
(1) 查看系统是否开启了安全审计功能。在命令行窗口输入secpoLmsc命令,在弹出 的“本地安全策略”窗口选择“安全设置”—“本地策略”—“审计策略”选项,在右侧 的详细信息窗格中查看审计策略的设置情况。
(2) 询问系统管理员并查看是否使用了第三方审计工具或系统。
[预期结果或主要证据】
(1 )结果如下,如图4-24所示。
•审核策略更改:成功,失败。
蠻审核登录事件:成功,失败。
癒审核对象访问:成功,失败。
®审核进程踉踪:成功,失败。
®审核目录服务访问:失败。
©审核特权使用:失败。
»审核系统事件:成功,失败。
®审核账户登录事件:成功,失败。
®审核账户管理:成功,失败。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ltm8ibtU-1651473396727)(file:///C:/Users/123/AppData/Local/Temp/msohtmlclip1/01/clip_image062.jpg)]
图 4-24
记录内容应包括如表4-1所示的项目0
表4-1
(2)部署了第三方审计工具,能够实现对用户的全覆盖(主要针用户操作行为进行 审计)。
L3-CES1-13
[安全要求】
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
[要求解读]
详细的审计记录是实现有效审计的保证。审计记录应包括事件的日期、时间、类型、 主体标识、客体标识和结果等。审计记录中的详细信息能够帮助管理员或其他相关检查人 员准确地分析和定位事件。
[测评方法]
(1 )查看审计记录是否包含要求的信息。在命令行窗口输入eventvwnmsc命令,将弹 出“事件查看器”窗口。“事件查看器(本地)”下的“Windows日志”包括“应用程序” “安全” “设置” “系统”等事件类型。单击任意类型事件,查看是否满足此项要求。
(2)如果安装了第三方审计工具,则查看审计记录是否包括日期、时间、类型、主体 标识、客体标识和结果。
[预期结果或主要证据]
(1) Windows操作系统事件查看器中的审计记录默认满足此项。
(2) 在第三方审计工具中查看审计记录,审计信息包含日期、主体、客体、类型等。
L3-CES1-14
[安全要求]
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
[要求解读】
非法用户进入系统后的第一件事情就是清理系统日志和审计日志,而发现入侵行为最 简单、最直接的方法就是查看系统日志和安全审计文件。因此,必须对审计记录进行安全 保护,避免其受到未预期的删除、修改或聂盖等。
【测评方法]
(1) 如果日志数据是在本地保存的,则核查审计记录备份周期、有无异地备份。在命 令行窗口输入eventvwr.msc命令,将弹出“事件查看器“窗口。“事件查看器(本地)”下的 “Windows日志“包括“应用程序“ “安全“ “设置“ *“系统”*等事件类型。右键单击事件类 型,在弹岀的快捷莱单中选择“属性”选项,查看日志存储策略。
(2) 核查日志数据是否存储在0志服务器上及审计策略设置是否合理。
[预期结果或主要证据1
(1) 如果日志数据是在本地存储的,则存储目*录、*周期和相关策略等设置合理。
(2 )如果部署了 0志服务器,则审计策略设置合理。
L3-CES1-15
【安全要求】
应对审计进程进行保护,防止未经授权的中断。
[要求髒读]
保护审计进程,确保当安全事件发生时能够及时记录事件的详细信息。Windows操作 系统具备在审计进程中进行自我保护的功能。
【测评方法】
(1 )访谈系统管理员,了解是否有第三方对审计进程采取监控和保护措施。
(2) 在命令行窗口输入secpoLmsc命令,将弹出“本地安全策略“窗口。单击“安全 设置,,_> “本地策略”—“用户权限分配”选项,单击右键,在弹出的快捷菜单中选择“管 理审核和安全日志”选项,查看是否只有系统审计员或系统审计员所在的用户组具有“管 理审核和安全日志”权限。
【预期结果或主要证据]
(1)由第三方对审计进程进行监控和保护。
(2 )非审计人员不能登录和操作日志。由专人负责审计日志的管理。
4、入優防范
(说明见### 4.3.1节“入侵防范”部分。)
L3-CES1-17
【安全要求】
应遵循最小安装的原则,仅安装需要的组件和应用程序。
[要求解读]
在安装Windows操作系统时,会默认安装许多非必要的组件和应用程序。为了避免多 余的组件和应用程序带来的安全风险,通常应遵循最小安装的原则,仅安装需要的组件和 应用程序等。例如,一台只提供下载服务的FTP服务器启用了邮件服务,该邮件服务对于 此FTP服务器来说就属于多余的服务。再如,一台文件服务器上安装了游戏软件,该游戏 软件就属于多余的应用程序。
[测评方法]
(1) 询问系统管理员,了解安装的各组件的用途及有无多余的组件。在命令行窗口输 入dcomc晚 命令,打开“组件服务”界面,选择“控制台根节点” 一 “组件服务” 一 “计 算机” 一 “我的电脑”选项,査看右侧组件列表中的内容。
(2) 询问系统管理员,了解安装的应用程序的用途及有无多余的应用程序。在命令行 窗口输入appwizcpl命令,打开“程序和功能”界面,如图4-25所示,查看右侧程序列表 中的内容。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mNvgxk3m-1651473396728)(file:///C:/Users/123/AppData/Local/Temp/msohtmlclip1/01/clip_image064.jpg)]
【预期结果或主要证据】
(1) 未安装非必要的组件。
(2) 未安装非必要的应用程序。
L3-CES1-18
[安全要求]
应关闭不需要的系统服务、默认共享和高危端口。
[要求解读]
在安装Windows操作系统时,默认会开启许多非必要的系统服务。为了避免多余的系 统服务带来的安全风险,通常可以将其禁用或卸载。Windows会开启默认共享(例如C、D、 D、D),为了避免默认共享带来的安全风险,应关闭Windows硬盘默认共享。查看监听端口 , 可以直观地发现并对比系统中运行的服务和程序。关闭高危端口是操作系统中常用的安全 加固方式。
[测评方法]
(1) 查看系统服务。在命令行窗口输入services.msc命令,打开系统服务管理界面。 查看右侧的服务详细列表中是否存在多余的服务(应为不存在),例如Alerter、Remote Registry Servicex Messenger、Task Scheduler 是否已启动(应为否)。
(2) 查看监听端口。在命令行窗口输入,netstat-an"命令,查看歹表中的监听端口是 否包括高危端口(应为否),例如 TCP 135、139、445、593、1025 端口,UDP 135、137、 138、445端口,以及一些流行病毒的后门端口,例如TCP 2745、3127、6129端口。
(3 )查看默认共享。在命令行窗口输入"net share“命令,查看本地计算机的所有共 享资源的信息,核查是否打开了默认共享(应为否),例如C、D、D、Do
(4)查看主机防火瑙策略。在命令行窗口输入firewall.cpl命令,打开Windows防火 墙界面,查看Windows防火墙是否已启用。单击左侧列表中的“高级设置”选项,打开“高 级安全Windows防火墙”窗口。单击左侧列表中的“人站规则”选项,将显示Windows 防火墙的入站规则。查看入站规则是否已阻止访问多余的服务或高危端口。
【预期结果或主要证据]
图 4-26
(2)未开启非必要端口,如图4-27所示。
图 4-28
(4)防火墙规则已阻止访问多余的服务或高危端口。
L3-CES1-19
【安全要求】
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
【要求解读】
通过设定终端接入方式、网络地址范围等条件来限制终端登录,可以大大节省系统资 源,保证系统的可用性,同时提高系统的安全性。对于Windows操作系统,可以通过主机 防火墙或TCP/IP筛选实现以上功能。
[测评方法]
(1) 询问系统管理员,了解管理终端的接入方式。
(2) 查看主机防火墙对登录终端接入地址的限制。在命令行窗口输入firewall.cpl命 令,打开Windows防火墙界面,查看Windows防火墙是否已启用。单击左侧列表中的 “高级设置”选项,打开“高级安全Windows防火墙”窗口,然后单击左侧列表中的“入 站规则”选项,双击右侧入站规则中的“远程桌面-用户模式(TCP-In)”选项,打开“远程 桌面-用户模式(TCP-In)属性”窗口,选择“作用域”选项,查看相关项目。
(3 )查看IP筛选器对登录终端接入地址的限制。在命令行窗口输入gpeditmsc命令,
打开本地组策略编辑器界面。单击左侧列表中的“本地计算机策略“ t “计算机配置“一> “Windows设置“—“安全设置“ —“IP安全策略“选项,双击右侧本地计算机限制登录 终端地址的相关策略,查看“IP筛选器列表”和“IP筛选器属性”的内容。
(4)询问系统管理员,并查看是否已通过网络设备或硬件防火墙对终端接入方式、网 络地址范围等条件进行限制。
【预期结果或主要证据]
(1) 已通过主机防火墙设置访问控制规则。
(2) 已通过网络防火墙、堡垒机、IP地址段进行接入地址限制。
L3-CES1-21
[安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
[要求解读]
攻击者可能利用操作系统中的安全漏洞对操作系统进行攻击。因此,应对操作系统进 行漏洞扫描,及时发现操作系统中的已知漏洞,并在经过充分的测试和评估后更新系统补 T,避免由系统漏洞带来的风险。
[测评方法]
访谈系统管理员,了解是否定期对操作系统进行漏洞扫描,是否已对扫描发现的漏洞 进行评估和补丁更新测试,是否能及时进行补丁更新,并了解更新的方法。在命令行窗口 输入appwizxpl命令,打开“程序和功能”界面,单击左侧列表中的“查看已安装的更新” 选项,打开“已安装更新”界面,査看右侧列表中的补丁更新情况。
[预期结果或主要证据】
已对操作系统补丁进行测试和安装,安装的补丁为较新的稳定版本。
L3-CES1-22
[安全要求】
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
【要求解读】
要想维护真正安全的环境,只有安全的系统是远远不够的。假设系统自身不会受到攻 击,或者认为防护措施足以保护系统自身,都是非常危险的。维护系统安全,必须进行主 动监视,以检查系统中是否发生了入侵和攻击。
在一般意义上,入侵威胁分为外部渗透、内部渗透、不法行为三种,入侵行为分为物 理入侵、*系统入侵、*远程入侵三种。此项关注的操作系统所面对的入侵威胁包含以上三 种,造成入侵威胁的入侵行为主要是系统入侵和远程入侵两种。
系统入侵是指入侵者在拥有系统低级别权限账号的情况下进行的破坏活动。在通常情 况下,如果没有及时更新系统补丁,拥有低级别权限的用户就可能利用系统漏洞获取更高 的管理特权。
远程入侵是指入侵者通过网络来渗透系统。在这种情况下,入侵者通常不具有特赚权 限,需要先通过漏洞扫描或端口扫描等技术发现攻击目标,再利用相关技术进行破坏活动。
[测评方法】
(1) 访谈系统管理员,核查是否安装了主机入侵检测软件。查着已安装的主机入侵检 测软件的配置(例如是否具备报警功能)。
(2 )查看网络拓扑图,核查网络中是否部署了网络入侵检测系统。
[预期结果或主要证据]
(1)已安装主机入侵检测软件,并配置了报警功能。
(2 )网络中部署了 IDS、IPS软件。
5、 恶意代码防范
(说明见### 4.3.1节“恶意代码防范”部分。)
L3-CES1-23
[安全要求】
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒 行为,并将其有效阻断。
【要求解读】
在Windows操作系统中,木马和蠕虫的泛滥使防范恶意代码的破坏显得尤为重要。应 釆取避免恶意代码攻击的技术措施或可信验证技术,例如在主机上部署防病毒软件或其他 可信验证技术。基于网络和基于主机的防病毒软件在系统内构成立体的防护结构,属于深 层防御的一部分。基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不 同。只有所有主机都及时更新病毒库,才能够防止病毒的入侵。因此,应配置统一的病毒 管理策略,统一更新病毒库,定时进行查杀,从而及时发现入侵行为并进行有效的阻断。
[测评方法】
(1) 询问系统管理员,核查病毒库的更新策略。核查系统中安装的防病毒软件,以及 病毒库的更新时间是否超过一个星期(应为否)。
(2) 核查系统采用的可信验证机制,访谈系统管理员以了解其实现原理等。
(3) 询问系统管理员,了解网络防病毒软件和主机防病毒软件分别采用何种病毒库。
(4) 询问系统管理员,了解是否已采用统一的病毒更新策略和查杀策略。
(5) 询问系统管理员,了解如何发现并有效阻断病毒入侵行为及报警机制等。
[预期结果或主要证据]
(1)系统中安装了网络版杀毒软件,病毒库为最新版本。
(2 )系统采用的可信验证机制的实现原理为基于可信根的TPM技术等。
(3) 网络版防病毒软件和主机防病毒软件具备不同的病毒库,具有异构的特点。
(4) 防病毒软件为网络版,可统一更新病毒库。
(5 )有针对病毒入侵行为的电子邮件报警机制。
6、 可信验证
L3-CES1-24
[安全要求]
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进 行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破 坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
【要求解读】
见### 4.3.1节“可信验证”部分。
[测评方法]
见### 4.3.1节“可信验证”部分。
【预期结果或主要证据】
见43.1节“可信验证”部分。
4.4终端设备
终端设备的安全等级测评主要涉及五个方面的内容,分别是身份鉴别、访问控制、入 侵防范、恶意代码防范、可信验证。本节以Windows终端为例进行说明。
1、身份签别
为确保终端的安全,必须对终端的每个用户或与之相连的设备进行有效的标识与鉴 别。只有通过鉴别的用户,才能被赋予相应的权限,进入终端,并在规定的权限范围内进 行操作.
L3-CES1-01
【安全要求】
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
.【要求解读】
用户的身份标识和鉴别是指用户以一种安全的方式向操作系统提交自己的身份证明, 然后由操作系统确认用户的身份是否属实的过程。身份标识应具有唯一性。在用户进入 Windows桌面前,系统会弹岀一个用户登录界面,要求用户输入用户名和密码,用户通过 验证才可以登录。
[测评方法]
(1)核查用户是否需要输入用户名和密码才能登录。
(2) 核查Windows默认用户名是否具备唯一性。
(3) 选择“控制面板”-“管理工具”-“计算机管理”-“本地用户和组”选项, 检查有哪些用户,并尝试以空口令登录(应为无法登录)。
(4) 选择“控制面板”“管理工具”—“本地安全策略”-> “账户策略”—“密码 策略”选项,核查密码策略的配置是否合理。
[预期结果或主要证据]
(1)用户需要输入用户名和密码才能登录。
(2) 用户需要具备唯一性才能登录。
(3) 使用空口令登录,未成功。
(4)密码策略如下。
密码复杂性要求:已启用。
密码长度:不少于8位。
密码最长使用时间:不超过90天。
密码最短使用时间:不为0。
强制密码历史:至少记住5个密码。
L3-CES1-02
【安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退出等相关措施。
[要求解读]
由于非法用户能够通过反复输入密码达到猜测用户密码的目的,因此,应该限制用户 登录过程中连续输入错误密码的次数。如果用户多次输入错误密码,操作系统应自动锁定 该用户或在一段时间内禁止该用户登录,从而提高非法用户猜测密码的难度。
Windows操作系统具有登录失败处理功能,可以通过适当配置账户锁定策略对用户的 登录行为进行限制。
【测评方法】
(1 )选择“控制面板” *一* “管理工具”—“本地安全策略”-> “账户策略”—“密码 锁定策略”选项,核查密码锁定策略的配置是否合理。
(2)在桌面上单击右键,在弹出的快捷菜单中选择“个性化”-“屏幕保护程序”选 项,查看“等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。
[预期结果或主要证据]
(1) 密码锁定策略如下。
- 账户锁定时间:不为不适用。
- 账户锁定阈值:不为不适用。
(2 )已启用远程登录连接超时自动退出的功能。
L3-CES1-03
[安全要求】
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
【要求解读]
为方便管理员进行管理操作,许多操作系统都采用了网络登录的方式。Windows操作 系统一般使用远程桌面进行远程管理。《基本要求》规定,对传输的数据需要进行加密处 理,目的是保障账户和口令的安全。
[测评方法】
(1 )如果采用本地管理或KVM等硬件管理方式,则此项要求默认满足。
(2) 如果采用远程管理,则需釆用带有加密管理的远程管理方式。在命令行窗口输入 gpeditmsc命令,在弹出的“本地组策略编辑器”窗口查看“本地计算机策略”-“计算 机配置”—“管理模板” -* “Windows组件”—“远程桌面服务” f “远程桌面会话主机” -“安全”中的相关项目。
【预期结果或主要证据】
(1)本地或KVM默认符合此项。
(2)远程运维采用加密的RDP协议。
2、访问控制
在操作系统中实施访问控制的目的是保证系统资源(操作系统)受控、合法地被使 用。用户只能根据自己的权限来访问终端资源,不得越权访问。
L3-CES1-05
【安全要求】
应对登录的用户分配账户和权限。
【要求解读]
访问控制是安全防范利保护的主要策略。操作系统访问控制的主要任务是保证操作系 统中的资源不被非法使用和访问。使用访问控制的目的是通过限制用户对特定资源的访问 来保护系统资源。操作系统中的每个文件或目录都有访问权限,这些访问权限决定了谁能 访问及如何访问这些文件和目录。对操作系统中的一些重要文件,需要严格控制其访问权 限,从而提高系统的安全性。因此,为了确保系统的安全,需要给登录的用户分配账户并 合理配置账户权限。
[测评方法]
访谈系统管理员,了解能够登录操作系统的账户,以及它们所拥有的权限。选择%systemdrive%\windows\system、%systemroot%\system32\config等文件夹,单击右键,在 弹出的快捷菜单中选择“属性”—> “安全”选项,查看everyone组、users组和administrators 组的权限设置。
【预期结果或主要证据]
(1) 各用户具有最小角色权限且分别登录。
(2) 不存在匿名用户,默认用户账号只能由管理员登录。
L3-CES1-06
[安全要求】
应重命名或删除默认账户,修改默认账户的默认口令。
【要求解读】
由于操作系统默认账户的某些权限与实际系统的要求可能存在差异而造成安全隐患,
所以,应重命名或删除这些默认账户,并修改默认账户的默认口令。
Windows系统管理员的账户名是Administrator。在某些情况下,攻击者可以省略猜测 用户名这个步骤,直接破解密码。因此,允许默认账户访问的危害是显而易见的。
[测评方法】
在命令行窗口输入lusrmgr.msc命令,在弹出的“本地用户和组(本地)用户”窗口查看 “本地用户和组(本地)”—“用户”下的相关项目(如图4-23所示)。
[预期结果或主要证据】
(1 ) Windows操作系统的默认账户Administrator已被禁用或重命名。
(2)已修改账户的默认口令。
(3 )已禁用guest账户。
L3-CES1-07
[安全要求】
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
【要求解读】
操作系统运行一段时间后,会因业务应用或管理员岗位的调整而出现一些多余的、过 期的账户,也会出现多个系统管理员或用户使用同一账户登录的情况,导致无法通过审计 追踪定位自然人。多余的、过期的账户可能会被攻击者利用进行非法操作。因此,应及时 清理系统中的账户,删除或停用多余的、过期的账户,同时避免共享账户的存在。
【测评方法】
在命令行窗口输入lusrmgr.msc命令,在弹出的“本地用户和组(本地)'用户“窗口查 看“本地用户和组(本地)”-“用户”下的相关项目。访谈系统管理员,了解各账户的用 途,核查账户是否属于多余的、过期的或共享账户名的。
【预期结果或主要证据]
(1 )不存在多余的账户和测试时使用的过期账户等。
(2)不存在多部门、多人共享账户的情况。
3、入侵防范
基于终端的入侵防范,重点在于终端安装的组件、端口等高危风险点。
L3-CES1-17
[安全要求]
应遵循最小安装的原则,仅安装需要的组件和应用程序。
【要求解读】
在安装Windows操作系统时,会默认安装许多非必要的组件和应用程序。为了避免多 余的组件和应用程序带来的安全风险,通常应遵循最小安装的原则,仅安装需要的组件和 应用程序等°
[测评方法】
(1 )询问系统管理员,了解安装的各组件的用途及有无多余的组件。在命令窗口行输 入dcomc吨命令,打开“组件服务”界面,选择“控制台根节点” 7 “组件服务”-“计 算机”-“我的电脑”选项,查着右侧组件列表中的内容。
(2) 询问系统管理员,了解安装的应用程序的用途及有无多余的应用程序。在命令行 窗口输入appwiz.cpl命令,打开“程序和功能”界面(如图4-25所示),查看右侧程序列 表中已安装的应用程序。
[预期结果或主要证据]
(1) 未安装非必要的组件。
(2) 未安装非必要的应用程序。
L3-CES1-18
[安全要求】
应关闭不需要的系统服务、默认共享和高危端口。
[要求解读】
在安装Windows操作系统时,默认会开启许多非必要的系统服务。为了避免多余的系 统服务带来的安全风险,通常可以将其禁用或卸载。Windows会开启默认共享(例如C、D、 D、D ),为了避免默认共享带来的安全风险,应关闭Windows硬盘默认共享。查看监听端口, 可以直观地发现并对比系统中运行的服务和程序。关闭高危端口是操作系统中常用的安全 加固方式。
[测评方法】
(1 )查看系统服务。在命令行窗口输入services.msc命令,打开系统服务管理界面。 查看右侧的服务详细列表中是否存在多余的服务(应为不存在),例如Alerter、Remote Registry Service、Messenger、Task Scheduler 是否已启动(应为否)。
(2)查看监听端口。在命令行窗口输入“netstat-an”命令,查看列表中的监听端口是 否包括高危端口(应为否),例如 TCP 135、139、445、593、1025 端口,UDP 135、137、 138、445端口,以及一些流行病毒的后门端口,例如TCP 2745、3127、6129端口。
(3 )查看默认共享。在命令行窗口输入“net share"命令,查看本地计算机的所有共 享资源的信息,核查是否打开了默认共享(应为否),例如C$、D$。
(4)查看主机防火墙策略。在命令行窗口输入firewall.cpl命令,打开Windows防火 墙界面,查看Windows防火墙是否已启用。单击左侧列表中的“高级设置”选项,打开“高 级安全Windows防火墙”窗口。单击左侧列表中的“入站规则”选项,将显示Windows 防火墙的入站规则°查看入站规则是否已阻止访问多余的服务或高危端口。
[预期结果或主要证据】
(1) 未安装非必要的服务。
(2) 未打开非必要的端口。
(3) 未开启默认共享。
(4) 防火墙规则已阻止访问多余的服务或高危端口。
L3-CES1-21
【安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
【要求解读】
攻击者可能利用操作系统中的安全漏洞对操作系统进行攻击。因此,应对操作系统进 行漏洞扫描,及时发现操作系统中的已知漏洞,并在经过充分的测试和评估后更新系统补 T,避免由系统漏洞带来的风险。
[测评方法】
访谈系统管理员,了解是否定期对操作系统进行漏洞扫描,是否已对扫描发现的漏洞 进行评估和补丁更新测试,是否能及时进行补丁更新,并了解更新的方法。在命令行窗口 输入appwiz.cpl命令,打开“程序和功能”界面,单击左侧列表中的“查看已安装的更新” 选项,打开“已安装更新”界面,查看右侧列表中的补丁更新情况。核查针对终端操作系 统的漏洞扫描报告及后续更新情况报告。
[预期结果或主要证据]
已对操作系统补丁进行测试和安装,安装的补丁为较新的稳定版本。
4、恶意代码防范
恶意代码一般通过两种方式造成破坏:_是通过网络;二是通过主机。网络边界处的 恶意代码防范可以说是防范工作的第一道门槛。然而,如果恶意代码通过网络传播,直接 后果就是网络内的主机(包括终端)感染。所以,网关处的恶意代码防范并不是一劳永逸 的。另外,各种移动存储设备接入主机(或者终端),也可能使主机感染病毒,然后通过 网络感染其他主机。这两种方式是交叉发生的,必须在两处同时进行防范,才能尽可能保 证安全。
L3-CES1-23
【安全要求】
应釆用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒 行为,并将其有效阻断。
【要求解读】
在Windows操作系统中,应采取避免恶意代码攻击的技术措施或可信验证技术,例如 在终端上部署防病毒软件或其他可信验证技术。防病毒系统应配置统一的病毒管理策略, 统一更新病毒库,定时进行查杀,从而及时发现入侵行为并进行有效的阻断。
[测评方法]
(1)询问系统管理员,核查病畫库的更新策略。核查终端上安装的防病毒软件,以及 病毒库的更新时间是否超过一个星期(应为否)。
(2)核査终端釆用的可信验证机制,访谈系统管理员以了解其实现原理等*。*
(3) 询问系统管理员,了解网络防病毒软件和主机防病毒软件分别釆用何种病毒库。
(4) 询问系统管理员,了解是否已釆用统_的病毒更新策略和查杀策略。
(5 )询问系统管理员,了解如何发现并有效阻断病毒入侵行为及报警机制等。
【预期结果或主要证据】
(1)终端上安装了网络版杀毒软件,病毒库为最新版本。
(2 )终端采用的可信证机制的实现原理为基于可信根的TPM技术等。
(3) 网络版防病毒软件和主机防病毒软件具备不同的病毒库,具有异构的特点。
(4) 防病毒软件为网络版,可统一更新病毒库。
(5 )有针对病毒入侵行为的电子邮件报警机制。
5、可信验证
L3-CES1-24
[安全要求】
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进 行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破 坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
【要求解读】
对终端设备,需要在启动过程中对预装的软件(包括系统引导程序、系统程序、相关 应用程序和重要配置参数)进行完整性验证或检测,确保攻击者对系统引导程序、系统程 序、重要配置参数和关键应用程序的篡改行为能被发现并报警,以便进行后续处置。
[测评方法]
(1)核查终端启动时是否进行了可信验证,以及对哪些系统引导程序、系统程序或重 要配置参数进行了可信验证。
(2 )通过修改重要系统程序之一和应用程序之一,核查是否能够检测到修改行为并进 行报警。
(3) 核查是否已将验证结果形成审计记录送至安全管理中心。
【预期结果或主要证据]
(1 )终端具有可信根芯片或硬件。
(2)在启动过程中,已基于可信根对系统引导程序、系统程序、重要配置参数和关键 应用程序等进行可信验证度量。
(3 )在检测到可信性受到破坏后能够进行报警,并将验证结果形成审计记录送至安全 管理中心。
(4)安全管理中心可以接收设备的验证结果记录。
4.5系统管理软件
4.5.1 Oracle
对Oracle服务器的等级测评,主要涉及四个方面的内容,分别是身份鉴别、访问控 制、安全审计、入侵防范。
1、身份鉴别
(说明见### 4.3.1节“身份鉴别”部分。)
L3-CES1-01
[安全要求】
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
【要求解读】
应检查Oracle数据库的口令策略,查看其身份鉴别信息是否具有不易被冒用的特点。 例如,口令长度、口令复杂度、口令定期周期、新旧口令的替换要求。
[测评方法]
(1)访谈数据库管理员,了解系统账户是否已设置密码,并查看登录过程中系统账户 是否使用密码进行验证。
(2)査看是否启用了 口令复杂度函数(例如,执行“select limit from dba__profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION"'命令)。
(3 )检查 utlpwdmg.sql 文件的Check for the minimum length of the password"部分 l<length(password)<"后面的值。
(4)检查是否设置了口令过期时限(PASSWORD_LIFE_TIME)。
[预期结果或主要证据]
(1)登录时需要输入密码。
(2) dbajprofiles 策略中 PASSWORD_VERIFY_FUNCTION 不为 UNLIMITEDo
(3) utlpwdmg.sql 文件的“―Check for the minimum length of the password"部分 Tength(password)<”后面的值为8或大于8。
(4) dba_profiles 策略中 PASSWORD_LIFE_TIME 不为 UNLIMITED0
L3-CES1-02
[安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退出等相关措施。
【要求解读】
数据库系统应配置鉴别失败处理功能及非法登录次数限制,对超过限制值的登录终止 鉴别会话或临时禁用账号,当网络登录连接超时时自动退出。
[测评方法】
(1 )查看是否启用了登录失败限制策略(执行"select limit from dbajprofiles where profile='DEFAULT, and resource_name='FAILED_LOGIN_ATTEMPTS'''命令)。
(2 )查看是否启用了登录失败锁定策略(执行11 select limit from dba_profiles where profile='DEFAULT' and resource_name—PASSWORD_LOCK_TIME'"命令)0
(3 )查看是否启用了登录超时退出策略(执行“select limit from dbajprofiles where profile='DEFAULT' and resource_name='IDLE_TIME"'命令)。
[预期结果或主要证据】
(1) dbajprofiles 策略中 FAILED_LOGIN_ATTEMPTS 不为 UNLIMITEDo(2) dba_profiles 策略中 PASSWORD_LOCK_TIME 不为 UNLIMITED 0(3 ) dba_profiles 策略中 IDLE_TIME 不为 UNLIMITED
L3-CES1-03
[安全要求]
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
【要求解读】
为防止包括鉴别信息等在内的敏感信息在网络传输过程中被窃听,应限制远程管理。 如果业务模式需要使用远程管理,则应提供包括SSL在内的方式对传输数据进行加密。
[测评方法]
(1)核查是否启用了 SSL加密。
查看服务端Oracle监听器监听的网络协议。使用命令“Ismctl status〈监听器名〉” 或打开文件 $ORACLE_HOME/network/admin/listener.ora,查看 LISTENER 中 PROTOCAL 和 PORT 的配置。
查看客户端的 $ORACLE_HOME/network/admin/tnsnames.ora 文件,核查端口是否 对应于在服务器上为SSL配置的端口,协议是否为TCPSo
查看服务端和客户端的配置文件SORACLE_HOME/network/admin/sqlnet.ora中 WALLET_LOCATION, SQLNET.AUTHENTICATION ^SERVICES 和 SSL 的相关 配置。
(2 )查看服务端和客户端的配置文件$ORACLE_HOME/network/admin/sqlnet.ora中 以下4个参数的设置,判断是否启用了加密传输功能,核查所使用的加密算法。 sqlnetTencryption server
SQLNET,ENCRYPIIOn2tYPES_SERVER
SQLNET. CRYPTO_CHECKSUM__SERVER
SQLNET二CRYET。二CHECKSUM 二'
(3 )若以上结果为具有加密相关配置,则使用抓包工具对登录过程中的数据进行抓 包,查看用户口令或口令的散列值是否为密文,从而以判断加密措施是否已经生效。
[预期结果或主要证据】
(1)若已启用SSL加密,则预期结果如下。
服务端的SORACLE_HOME/network/admin/listener.ora文件中的监听协议的配置, 示例如下。
LISTENER = (DESCRIPTION_LIST =(DESCRIPTION ^ (ADDRESS = (PROTOCOL TOPS) (HOST = xxx.xxx.xx*xxx)(PORT = 2484))))
PROTOCOL = TCPS —采用基于SSL的TCP协议
PORT = 2484 —Oracle官方推荐白勺TCPS协议端口
客户端的tnsnames,ora文件包含如下配置。
orcl-(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST^XXX.xxx.xxx,XXX)(PORT= 2484))(CONNECT DAT亞=(SERVER=d核diua七ed)(STD^orcl)))
服务端和客户端的sqlnet.0以文件包含如下配置。
WALLET_LOCATION =(SOURCE =(METHOD = FILE)(METHOD_DATA =(DIRECTORY = /uOl/app/oracle/wallet)))
SQLNET.AUTHENTICATION_SERVICES = (TCPS, NTS.BEQ) SSL_CLIENT_AUTHENTICATTON - TRUE
SSL* 工 PHER^SU 工 TEA
<SSL RSA WITH AES 256 CBC SHA,SSL RSA WTTH 3DES EDE CBC SHA)
(2)若釆用传输功能,则服务端或客户端至少应包含如下配置。
SQLNET.ENCRYPTION_SERVER required
SQLNET . ENCRYFTION_TYPES_SERVER --此处指定的加密算法应不为已被证明不安全的算法,例如DES、 3DES等,推荐使用AES128及以上或国密SM4等算法
SQLNET.CRYPTO_CHECKSUM_SERVER required
SQLNET . CRYPTO_CHECKSUM_TYPES_SERVER 一此处指定的散列算法应不为已被证明不安全的算法,例如 MD5、SHA1等,推荐使用SH&256及以上或国密SM3等算法
(3)抓包工具显示的用户口令或口令的散列值为密文(乱码)。
L3-CES1-04
[安全要求】
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份 鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
[要求解读】
采用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。在这里,两种 或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
[测评方法】
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种 以上组合的鉴别技术对用户身份进行鉴别,并核查其中一种鉴别技术是否使用密码技术来 实现。
[预期结果或主要证据]
至少采用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的 鉴别技术(例如使用基于国密算法的数字证书或数字令牌)。
2、访问控制
(说明见### 4.3.1节“访问控制”部分。)
L3-CES1-05
[安全要求】
应对登录的用户分配账户和权限。
[要求解读]
应检查数据库系统的安全策略,查看业务数据库的管理员是否具有系统管理权限,以 及业务数据库的操作人员是否具有删除数据库表或存储过程的权限*(*应为否)0
【测评方法】
核查每个登录用户的角色和权限是否为该用户所需的最小权限。
【预期结果或主要证据]
MGMT_UIEW. SYS、SYSTEM. DBSNMP、SYSMAN 为启用状态,其他均为锁定 状态。
L3-CES1-06
[安全要求*]*
应重命名或删除默认账户,修改默认账户的默认口令。
[要求解读】
(1)在安装Oracle时存在部分默认口令。
(2) Oracle的常用口令。
[测评方法]
(1 )验证SYS的口令是否为CHANGE_ON_INSTALL (应为否)。
(2) 验证SYSTEM的口令是否为MANAGER (应为否)□
(3 )验证DBSNMP的口令是否为DBSNMP (应为否)。
[预期结果或主要证据]
无法使用默认口令登录。
L3-CES1-07
【安全要求】
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
【要求解读】
应删除Oracle数据库中多余的、过期的账户,例如测试账户等。
【测评方法】
(1) 在 sqlplus 中执行“select username,account_status from dba_users”命令,查看返回 结果中是否存在scott、oudn、ordsys等范例数据库账号。
(2)核查通过上述命令获得的账户中是否存在过期账户。询问数据库管理员,了解是 否每个账户均为正式、有效的账户。
(3)核查通过上述命令获得的账户中是否存在多人共享账户的情况。
【预期结果或主要证据]
(1)不存在scott、outln、ordsys等范例数据库账号。
(2)不存在acount_status为expired的账户。所有账户均为必要的管理账户或数据库 应用程序账户,不存在测试账户、临时账户。
(3)每个数据库账户与实际用户为一一对应关系。
(4)不存在多人共享账户的情况。
L3-CES1-08
[安全要求]
应授予管理用户所需的最小权限,实现管理用户的权限分离。
【要求解读】
在Oracle数据库中,应尽量将不同的数据库系统特权用户的权限分离。
【测评方法]
核查是否由不同的员工分别担任操作系统管理员和数据库管理员。
【预期结果或主要证据】
由不同的员工分别担任操作系统管理和数据库管理员。
L3-CES1-09
[安全要求]
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
[要求解读]
数据库系统的安全策略应明确主体(例如用户)以用户和/或用户组的身份来配置对客 体(例如文件或系统设备、目录表和存取控制表等)的访问控制策略,覆盖范围应包括与 信息安全直接相关的主体(例如用户*)*和客体(例如文件、数据库表等)及它们之间的操 作(例如读、写、执行)。
[测评方法]
询问数据库管理员,了解是否由特定账户进行数据库系统访问控制策略的配置,以及 具体的访问控制策略是什么*。*
[预期结果或主要证据]
由特定账户进行访问控制策略配置,并根据用户角色限制账户权限。
L3-CES1-10
【安全要求】
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
[要求解读]
此项明确提出了访问控制粒度方面的要求。重点目录的访问控制主体可能是某个用户 或某个进程,应能够控制用户或进程对文件、数据库表等客体的访问。
[测评方法]
询问数据库管理员,了解访问控制粒度的主体是否为用户级或进程级,客体是否为文 件、数据库表级。
[预期结果或主要证据】
由管理用户对用户访问权限进行分配,用户依据访问控制策略对各类文件、数据库表 级资源进行访问。
L3-CES1-11
【安全要求】
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
[要求解读】
应通过Oracle数据库或其他措施对重要信息资源设置敏感标记,从而实现强制访问 控制口
【测评方法】
(1 )核查是否安装了 Oracle Label Security
(2)查看是否创建了策略(select policy__name? status from DBA_SA_POL1CIES )0
(3 )查看是否创建了 级别(select * from dba_sa_Ievels ORDER BY level_num )0
(4) 查看标签创建情况(select * from dba_sa_labels )。
(5 ) 了解用于存储重要数据的表的名称。
(6)查看策略与模式、表的对应关系(select * fromdba_sa__tables_policies),判断是否 对重要信息资源设置了敏感标签。
【预期结果或主要证据】
(1) 返回的用户中应存在LBACSYS。
(2) 存在状态为enable的标签策略。
(3)级别和标签不为空。
(4) 能够获得重要数据所在表的名称。
(5)策略与模式、表的对应关系不为空,且包含重要数据所在表的名称。
3、 安全审计
(说明见### 4.3.1节“安全审计”部分。)
L3-CES1-12
[安全要求]
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行1 审计。
【要求解读】
应检查数据库系统是否开启了安全审计功能,查看当前审计范围是否覆盖每个用户O
【测评方法]
(1)执行“select value :fromv$parameter where name='audit_trail"'命令,查看是否开启 了审计功能。
(2 )以不同的用户身份登录数据库系统并进行不同的操作,在Oracle数据库中查看H 志记录是否满足要求。
[预期结果或主要证据】
(1) audit_trail 不为 none。
(2) 可以在Oracle数据库中查看不同的用户登录数据库系统并进行不同的操作的日 志记录。
L3-CES1-13
【安全要求】
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
【要求解读】
数据库系统的审计策略应覆盖系统内重要的安全相关信息,例如用户登录系统、自主 访问控制的所有操作记录、重要的用户行为(如增加/删除用户、删除库表)等。
[测评方法】
(1 )查看Oracle自身的日志记录是否符合要求。
查询日志文件的位置。日志文件的位置为background_dump_dest的值。打开日志 文件,查看其中是否包括所需的审计相关信息。
SQL> show parameter dump dest;
查查看数据库、表空间、对象的日志记录模式。
SQL> select log-^mode, force_logging from v^database;SQL> select tablespace_name,logging/ force_logging from dba_tablespaces; SQli> glut logging from us令工—tables;
访谈管理员,了解是否已安装并使用LogMiner工具查看和分析日志。若是,则通 过该工具查看日志。
(2)若使用第三方数据库审计产品或插件,则由管理员展示所记录的内容,以确认其 中是否包括事件发生的日期与时间、触发事件的主体与客体、事件类型、事件成功或失 败、身份鉴别事件中请求的来源(例如末端标识符)、事件的结果等内容。
【预期结果或主要证据]
(1)Oracle自身的日志默认包含所有的事件信息(无法直接查看,查看须借助相关工 具)。若系统已开启日志且日志文件存在,则该项默认符合。
在默认情况下,Oracle的日志文件存储在$ORACLE/rdbms/log g>T0
数据库级别、表空间级别、对象级别的日志记录模式的查询结果为YES,表示记 录该级别日志;为NO,表示不记录该级别日志。查询结果应不全为NO。LogMiner是Oracle官方提供的日志工具,具有检查数据库的逻辑更改、侦察并更 正用户的误操作、执行事后审计、执行变化分析等功能。
(2 )第三方数据库审计系统和审计插件所记录的内容应包括事件发生的日期与时间、 触发事件的主体与客体、事件类型、事件成功或失败、身份鉴别事件中请求的来源、事件 的结果等。
L3-CES1-14
[安全要求】
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
【要求解读】
检查Oracle数据库系统的日志权限设置,非授权人员不能对日志进行操作。另外,应 防止因审计日志空间不够而无法记录日志的情况发生。
[测评方法]
核查是否严格限制了用户访问审计记录的权限,例如采用Audit Vault等。
【预期结果或主要证据】
安全审计管理员定期对审计记录进行备份,审计记录的维护和导出由专人负责。
L3-CES1-15
【安全要求】
应对审计进程进行保护,防止未经授权的中断。
[要求解读】
Oracle数据库系统默认符合此项。如果使用第三方工具,则应检查未授权的Oracle数 据库系统用户是否能中断审计进程。
[测评方法]
(1 )核查管理员的审计权限是否已被严格限制。
(2)测试用户是否可以通过"alter system set audit_trail=none"命令重启实例并关闭审 计功能(应为否)。
[预期结果或主要证据】
(1)已限制管理员的审计权限。
(2)除审计人员外,其他人员无法对审计进程进行开启、关闭等关键操作。
4、入侵防范
(说明见### 4.3.1节“入侵防范”部分。)
L3-CES1-17
【安全要求]
应遵循最小安装的原则,仅安装需要的组件和应用程序。
【要求解读】
在安装Oracle M库时,可能会默认安装一些非必要的组件。为了避免多余组件带来 的安全风险,通常应遵循最小安装的原则,仅安装需要的组件等。Oracle数据库的多余组 件,需要结合被测系统的实际情况认定。
[测评方法]
根据被测系统的实际情况,核查Oracle数据库是否遵循最小安装的原则。
[预期结果或主要证据】
Oracle数据库遵循最小安装的原则,未安装非必要的组件。
L3-CES1-19
[安全要求】
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
[要求解读]
Oracle数据库限制远程连接IP地址。
[测评方法]
在 sqlnet.ora 文件中查看参数 tcp.validnode_checking、tcp、invited_nodes 的配置是否为 如下形式。
`
tcp.validnode_checking=yes
tcp,invited nodes=()--运维人员可以访问的IP地址列表,各IP地址之间用逗号分隔
[预期结果或主要证据】
在 sqlnet.ora 文件中,tcp.validnode_checking=yes、tcp、invited_nodes 参数已配置 IP 地址列表。
L3-CES1-21
【安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
[要求解读】
攻击者可能利用数据库系统中的安全漏洞对数据库系统进行攻击。因此,应对数据库 系统进行漏洞扫描,及时发现数据库系统中的已知漏洞,并在经过充分的测试和评估后更 新系统补丁,避免遭受由系统漏洞带来的风险。
[测评方法]
了解Oracle数据库的补丁升级机制,查看补丁安装情况。
—cd ORACLE_HOME/Opatch
opatch lsinventory
[预期结果或主要证据]
OPatch和OUI的版本较新。
4.5.2 MySQL
对MySQL服务器的等级测评主要涉及四个方面的内容,分别是身份鉴别、访问控 制、安全审计、入侵防范。
1、身份鉴别
(说明见### 4.3.1节“身份鉴别”部分。)
L3-CES1-01
[安全要求]
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
【要求解读】
应检查MySQL数据库是否采用了身份鉴别技术;核查用户身份是否具有唯一性,以 及用户身份鉴别信息是否具有不易被冒用的特点;检查数据库的口令配置策略。例如,口 令足够长(至少8位)、口令复杂(如口令字符应包括大小写字母、数字和特殊字符)、口·令定期更新、对口令的替换有一定要求。
[测评方法】
(1 )登录MySQL数据库,执行“mysql-u root-p"命令,查看是否提示输入口令以鉴 别用户身份。
(2) 使用如下命令查询账号,在输出的用户列表中查看是否存在相同的用户名。
select user,host FROM mysql,user
(3) 执行如下语句,查询是否存在空口令用户(输出结果是否为空)。
select * from mysql.user where length(passwora) = 0 or password is null
(4) 执行如下语句,查看用户口令复杂度的相关配置。
show variables like "validate%"
show VARIABLES like ”password%''
【预期结果或主要证据】
(1) 用户登录数据库时,采用“用户名+口令”的方式对其进行身份鉴别。
(2 ) user表中不存在相同的用户名。
(3) 不存在空口令用户。
(4) 有如下配置信息。
validate__password_length 8
validate_password_mixed_case_count 1
validate_password_number_count 1
validate_password_policy MEDIUM
L3-CES1-02
【安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制罪法登录次数和当登录连接 超时自动退出等相关措施。
[要求解读】
数据库系统应配置鉴别失败处理功能和非法登录次数限制,对超过限制值的登录终止 鉴别会话或临时禁用账号,当网络登录连接超时时自动退出。
I测评方法]
(1 )询问管理员,了解是否已配置数据库登录失败处理功能。
(2) 执行 “show variables like '%max_connect_errors%'"命令或核查my.cnf文件中是 否有如下参数设置。
`max_connect_errors = 100 `
(3) 执行“show variables like’%timeout%”'命令,查看返回值。
[预期结果或主要证据]
(1) MySQL数据库采用了第三方管理软件,且第三方管理软件设置了登录失败锁定 次数。
(2 )MySQL 数据库管理系统本地配置了参数 max_connect_errors = 100、wait__timeout = 28800。如果MySQL服务器连续收到来自同一主机的请求,且这些连续的请求全都没有 成功建立连接就断开了,那么当这些连续的请求的累计值大于max_connect_errors的值时, MySQL服务器就会阻止这台主机的所有后续请求。如果一个连接的空闲超过8小时(默 认值28800秒),MySQL就会自动断开这个连接。
L3-CES1-O3
[安全要求]
当进行远程管理时,应釆取必要措施防止鉴别信息在网络传输过程中被窃听。
[要求解读]
为了防止包括鉴别信息等在内的敏感信息在网络传输过程中被窃听,应限制远程管理 的使用。如果使用远程访问,要确保只有获得了权限的主机才可以访问服务器(一般通过 TCP-Wrappers, IPTABLES或其他防火墙软件或硬件实现)。
[测评方法]
(1)核查是否釆用加密等安全方式对系统进行远程管理。
(2) 执行如下命令,查看是否支持SSL的连接特性(若执行结果为disabled,则说明 此功能没有被激活),或者使用\s参数查看是否启用了 SSL。
(3)如果采用本地管理方式,则此项不适用。
【预期结果或主要证据】
(1 )如果远程管理数据库,则已启用SSL连接特性。
(2 )用户远程管理数据库时,客户端和服务器的连接不通过(或者不跨越)不可信任 的网络,采取SSH隧道加密连接远程管理通信。
(3)对于本地管理,此项不适用。
L3-CES1-04
【安全要求】
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份 鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
【要求解读】
采用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。在这里,两种 或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
[测评方法】
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种 以上组合的鉴别技术对用户身份进行鉴别,并核查其中一种鉴别技术是否使用密码技术来 实现。
[预期结果或主要证据]
至少采用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的 鉴别技术(例如使用基于国密算法的数字证书或数字令牌工
2、访问控制
(说明见### 4.3.1节“访问控制”部分。)
L3-CES1-05
[安全要求】
应对登录的用户分配账户和权限。
[要求解读]
应了解数据库用户账户及权限分配情况,对网络管理员、安全管理员、系统管理员、 用户账户的权限设置进行测试。有些MySQL数据库的匿名用户的□令为空,任何人都可 以连接这些数据库。如果匿名账户grants存在,那么任何人都可以访问数据库,且至少可 以使用默认库test。因此,应禁用或限制匿名用户、默认账户的访问权限。
[测评方法]
(1) 执行如下语句,核查是否为网络管理员、安全管理员、系统管理员创建了不同的 账户。
select user,host FROM mysql.user
(2) 执行如下语句,核查网络管理员、安全管理员、系统管理员用户账号的权限是否 分离并相互制约。
show grants for 1XXXX'@'localhost'
[预期结果或主要证据]
(1) 创建了不同的账户,并为其分配了相应的权限。
(2) 已禁用匿名用户、默认账户或已限制匿名用户、默认账户的权限。
L3-CES1-06
[安全要求]
应重命名或勰除默认账户,修改默认账户的默认口令。
[要求解读】
在Linux操作系统中,root账户拥有对所有数据库的完全访问权限。因此,在安装 Linux操作系统的过程中,一定要设置root账户的口令(修改默认的空口令)。
[测评方法]
(1 )执行“select user,host FROM mysql.user”命令,在输岀结果中查看root账户是否 已被重命名或删除。
(2)若root账户未被删除,则核查其默认口令是否已更改,以及是否已避免空口令或 弱口令。
【预期结果或主要证据】
(1) 数据库管理系统中的默认账户已被删除。
(2) 数据库管理系统中的默认账户root虽未被删除,但其口令复杂度已经增强,不存 在空口令、弱口令。
L3-CES1-07
【安全要求】
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
[要求解读]
在默认安装的MySQL数据库中,匿名用户可以访问test库。因此,移除无用的数据 库,可以避免匿名用户在不可预料的情况下访问数据库。同时,应删除数据库中多余的、 过期的账户。
[测评方法I
(1) 在·sql*plus·中执行如下命令。
select username,account status from dtoa users
(2) 执行下列语句,依次核查列岀的账户中是否存在无关账户(应为不存在)。
select * from mysql,user where user=1 '
select userr host FROM mysql.user
(3) 访谈网络管理员、安全管理员、系统管理员,了解不同的用户是否使用不同的账 户登录系统。
[预期结果或主要证据]
(1)不存在示例账户。
(2 )数据库管理系统用户表中不存在无关账户。
(3) 不存在多人共享账户的情况。
L3-CES1-08
[安全要求】
应授予管理用户所需的最小权限,实现管理用户的权限分离。
[要求解读】
有些应用程序是通过一个特定数据库表的用户名和口令与MySQL进行连接的,安全 人员不应给予这个用户完全访问权限。如果攻击者获得了这个拥有完全访问权限的用户账 号,就相当于拥有了整个数据库。因此,应核查是否进行了用户角色划分;核查访问控制 策略,查看管理用户的权限是否已经分离;核查管理用户的权限是否为其工作任务所需的 最小权限。
【测评方法】
(1)核查是否对用户进行了角色划分,是否仅授予账号所需的最小权限。例如,除 root用户外,任何用户不应具有mysql库user表的存取权限。再如,禁止将file、process、 super权限授予管理员以外的用户。
(2 )查看权限表,验证用户是否具有除自身角色外其他用户的权限(应为否)。
[预期结果或主要证据]
管理用户的权限分配情况均被记录下来。分配了网络管理员、安全员、审计员账号。 使用root用户身份需向数据库管理员申请。
L3-CES1-09
[安全要求]
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则0
[要求解读】
数据库系统的安全策略应明确主体(例如用户)以用户和/或用户组的身份来配置对客 体(例如文件或系统设备、目录表和存取控制表等)的访问控制策略,覆盖范围应包括与 信息安全直接相关的主体(例如用户)和客体(例如文件、数据库表等)及它们之间的操 作(例如读、写、执行)。
[测评方法]
(1) 访谈管理员,了解是否制定了访问控制策略。
(2) 执行如下语句,核查输出的权限是否与管理员制定的访问控制策略及规则一致。
mysql> select * from mysql.user\G --检查用户权限
mysql> select * from mysql.db\G --检测数据库权限列
mysql> select * from mysql. tables__priv\G --检查用户表权限列
mysql> select * from mysql. columns priv\G --检查列权限列管理员
(3)以不同的用户身份登录,验证是否存在越权访问的情形。
【预期结果或主要证据】
(1 )已制定数据库访问控制策略,由专门的安全员负责访问控制权限的授权工作。
(2)各账户权限配置均是基于安全员的安全策略配置进行访问控制的。
(3 )不存在越权访问的情形。
L3-CES1-10
[安全要求]
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
【要求解读】
明确提出访问控制粒度方面的要求。重点目录的访问控制主体可能是某个用户或某个 进程,应能够控制用户或进程对文件、数据库表等客体的访问。
【测评方法】
(1)执行下列语句。
mysql> select * from mysql .user\G —检查用户权限列mysql> select * from mysql. db\G *检查数据库权限列
(2)访谈管理员,核查访问控制粒度的主体是否为用户级,客体是否为数据库表级。
[预期结果或主要证据】
由专门的安全员负责访问控制权限的授权工作,授权主体为用户,客体为数据库表。
L3-CES1-11
【安全要求】
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
【要求解读】
MySQL不提供此项功能。
【测评方法]
访谈管理员,了解是否已采用其他技术手段对主体和客体设置安全标记并控制主体对 有安全标记的信息资源的访问。
【预期结果或主要证据】
MySQL不提供此项功能。此项功能主要在操作系统层面实现。
3、安全审计
(说明见### 4.3.1节“安全审计”部分。)
L3-CES1-12
[安全要求】
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行 审计。
【要求解读】
如果数据库服务器不执行任何查询请求,则建议启用安全审计(在/etc/my.cnf文件的 [Mysql]部分添加“log =/var/log/myiogfile")。
对于生产环境中任务繁重的MySQL数据库,启用安全审计功能会造成服务器运行成 本升高,因此,建议使用第三方数据库审计产品来收集审计记录。应检查数据库系统,查 看审计策略是否覆盖系统内重要的安全相关信息,例如用户登录系统的操作、自主访问控 制的所有操作记录、重要的用户行为(如增加/删除用户、删除库表)等。
[测评方法]
(1)执行下列语句,查看输岀的日志内容是否覆盖所有用户,并核查审计记录类型是 否满足要求。
`mysql>show variables like 1log%' `
(2)核查是否已使用第三方审计工具增强MySQL的日志审计功能。如果使用了第三 方审计工具,则查看其审计内容是否包含事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。
【预期结果或主要证据】
(1)数据库本地启用了日志审计功能,审计内容覆盖每个用户,能够记录重要的用户 行为和重要安全事件。
(2 )启用审计功能的策略为:配置了审计日志的存储位置或部署了第三方数据库审计 产品;审计内容覆盖所有用户。
L3-CES1-13
[安全要求]
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
【要求解读】
数据库系统的审计策略应覆盖系统内重要的安全相关信息,例如用户登录系统、自主 访问控制的所有操作记录、重要的用户行为(如增加/删除用户、删除库表)等。
[测评方法]
(1)执行下列语句,查看输岀的日志内容是否覆盖所有用户,并核查审计记录覆盖的 内容。
`mysql>show variables like`
(2 )核查是否已使用第三方审计工具增强MySQL的日志审计功能。如果使用了第三 方审计工具,则查看其审计内容是否包含事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。
【预期结果或主要证据]
(1)数据库本地启用了日志审计功能,审计内容覆盖每个用户,能够记录重要的用户 行为和重要安全事件。
(2)使用了第三方数据库审计产品,审计内容覆盖每个用户,能够记录重要的用户行 为和重要安全事件。
L3-CES1-14
[安全要求】
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
【要求解读】
应保证只有root和mysql用户可以访问日志文件。
对于错误日志,必须确保只有root和mysql用户可以访问hostname.err日志文件。该 文件存放在MySQL历史目录中,包含口令、地址、表名、存储过程名、代码等敏感信息, 易被用于信息收集,且有可能向攻击者提供可利用的数据库漏洞(攻击者可能从中获取数 据库服务器的内部数据)。
对于MySQL日志,应确保只有root和mysql用户可以访问logfileXY日志文件(此 文件也存放在MySQL历史目录中)。因此,应检查MySQL数据库系统是否对日志进行了 权限设置,确保非授权人员不能对日志进行操作。另外,应防止审计日志空间不够导致的 无法记录日志的情况发生,并対审计日志进行定期备份。根据《中华人民共和国网络安全 法》(以下简称为《网络安全法》)的要求,日志应至少保存6个月。
[测评方法】
(1)访谈管理员,了解审计记录的保护方式。核查审计记录是否定期备份,了解备份 策略。
(2) 核查是否已严格限制用户访问审计记录的权限。
[预期结果或主要证据]
(1)釆用备份、转存等手段对审计记录进行保护,避免未预期的删除、修改或覆盖,数 据库本地B志保存时间超过6个月°
(2 )釆用第三方数据库审计产品,审计i己录保存时间超过6个月。
L3-CES1-15
【安全要求】
应对审计进程进行保护,防止未经授权的中断。
【要求解读}
使用非审计员账户中断审计进程,验证审计进程是否受到了保护。MySQL数据库系 统默认符合此项。如果使用第三方工具,则应检查非授权用户是否能中断审计进程。
[测评方法]
(1)核查是否已严格限制管理员、审计员的权限。
(2)尝试以用户身份重启实例、关闭审计功能,查看是否能成功(应为否)。
[预期结果或主要证据】
(1)非审计员账户无法中断审计进程,审计进程已受到保护。
(2 )非审计员账户无法对审计进程进行开启、关闭操作。对这类操作有日志记录。
4、 入侵防范
(说明见### 4.3.1节“入侵防范”部分。)
L3-CES1-17
【安全要求】
应遵循最小安装的原则,仅安装需要的组件和应用程序。
【要求解读】
在安装MySQL数据库时,可能会默认安装_些非必要的组件。为了避免多余组件带 来的安全风险,通常应遵循最小安装的原则,仅安装需要的组件等。MySQL数据库的多 余组件,需要结合被测系统的实际情况认定。
【测评方法】
根据被测系统的实际情况,核查MySQL数据库是否遵循最小安装的原则。
【预期结果或主要证据]
MySQL数据库遵循最小安装的原则,未安装非必要的组件。
L3-CES1-19
[安全要求]
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
【要求解读】
直接使用本地网络之外的计算机连接生产环境中的数据库是异常危险的。有时管理员 会开启主机对数据库的访问,示例如下。
〉GRANT AbL ON *.* TO 'ROOT' @ % '
此时完全放开了对root的访问权限。因此,应把重要的操作权限赋予特定主机。
> GRANT ALL ON *.* TO 'root'@ Tlocalhost'
> GRANT ALL ON *.* TO 'root'@ rmyip.athome1
> FLUSH FRHnLEGES
一 .
此时仅允许指定的IP地址(不管是否为静态IP地址)访问服务器。
[测评方法]
执行"show grants for root@Iocalhost”命令,查看用户登录的IP地址,核查是否给所 有用户加上了 IP地址限制以拒绝所有未知主机的连接。
注意:当user表中的Host值不在本地主机IP地址范围内时,应为其指定IP地址,使 其不为“%”,或者将user表中的Host值置为空。在host表中指定允许用户账户登录访问 的若干主机。在非信任的客户端以数据库账户登录的行为应被拒绝。用户从其他子网登录 的行为也应被拒绝。
【预期结果或主要证据】
已在防火墙上限制特定的终端(IP地址)连接(访问)数据库。
L3-CES1-21
【安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
[要求解读】
攻击者可能利用数据库系统中的安全漏洞对数据库系统进行攻击。因此,应对数据库 系统进行漏洞扫描,及时发现数据库系统中的已知漏洞,并在经过充分的测试和评估后更 新系统补丁,避免遭受由系统漏洞带来的风险。
【测评方法】
(1)了解MySQL数据库的补丁升级机制,查看补丁安装情况。执行如下命令,查看 当前补丁版本。`show variables where variable name like T'version'f`(2) 核查数据库的版本是否为企业版,是否定期进行漏洞扫描,是否针对高风险漏洞 安装了经过评估和测试的补丁
。
【预期结果或主要证据】
(1 ) MySQL数据库目前不存在高风险漏洞,补丁更新及时。
(2 ) MySQL数据库为企业版,定期进行漏洞扫描。对发现的数据库漏洞,已在测试 和评估后进行修补。
4.6 应用系统
在对应用系统进行等级测评时,一般先对系统管理员进行访谈,了解应用系统的状况, 然后对应用系统和文档等进行检查,查看其内容是否和与管理员访谈的结果一致,最后对 主要的应用系统进行抽查和测试,验证系统提供的功能,并可配合渗透测试检查系统提供 的安全功能是否被旁路。
1、身份鉴别
应用系统需对登录的用户进行身份鉴别,以防止非授权用户访问0
L3-CES1-01
[安全要求]
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂 度要求并定期更换。
【要求解读】
对用户进行身份鉴别是防止非法入侵的一种基本措施。应用系统必须对登录系统的用 户进行身份核实,并为每个登录用户提供具有唯一性的身份标识,以便对用户的操作行为 进行审计。同时,为了提高非授权用户使用暴力猜测等手段破解用户鉴别信息的难度,用 户鉴别信息应具有一定的复杂性,使用户鉴别信息不易被冒用和破解。例如,用户登录口 令的长度至少为8位,必须由字母、数字和符号组成,以及必须设置口令更换周期等。
【测评方法]
(1) 询问系统管理员,了解是否对用户登录釆取了身份鉴别措施。
(2) 在未登录状态下尝试直接访问任意操作页面或功能。
(3) 核查用户身份标识的设置策略是否合理。
(4) 核查鉴别信息复杂度和更换周期的设置策略是否合理(可通过查看修改口令等功 能模块验证口令复杂度是否已经生效)。
(5) 扫描应用系统,检查应用系统中是否存在弱口令和空口令用户(应为不存在)。
【预期结果或主要证据】
(1) 用户登录时,系统为其提供了身份鉴别措施。
(2) 用户在未登录状态下不育鋤问任何操作页面或功能,身份鉴别措施无法被绕过。
(3) 已记录用户在系统中的唯一身份标识。例如,用户在数据库用户表中的唯一ID等。
(4) 对用户口令有长度、复杂度、更换周期方面的限制。例如,口令长度为8位及以 上,需要包含数字、字母和符号,强制3个月更换一次等。
(5) 应用系统中不存在弱口令和空口令用户。
L3-CES1-02
[安全要求】
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接 超时自动退出等相关措施。
[要求解读】
为了防止非授权用户对应用系统用户的身份鉴别信息进行暴力猜测,应用系统应提供 登录失败处理功能(例如限制非法登录次数等),登录失败次数应能根据用户的实际情况 进行调整。同时,应用系统应配置并启用登录连接超时自动退出的功能。
[测评方法]
(1) 询问系统管理员,了解应用系统是否能够提供登录失败处理功能及登录失败处理 策略。
(2) 使用正确的用户名、错误的口令连续多次登录应用系统,查看系统的反应。
(3) 询问系统管理员,了解在用户登录过程中系统进行身份鉴别时连接超时自动断开 的等待时间。
(4) 询问系统管理员,了解用户登录后长时间没有进行操作时系统会话的结束时间。
[预期结果或主要证据】
(1) 系统提供了登录失败处理功能。
(2) 使用正确的用户名、错误的口令连续多次登录系统,当超过预定错误次数时,系 统锁定该用户,且需由管理员解锁或在一段时间后自动解锁。
(3)在用户登录过程中,当系统进行身份鉴别时,有合理的连接超时自动断开的等待 时间。
(4) 若用户登录后长时间没有进行操作,系统能提供符合业务需求的结束会话时间。
L3-CES1-03
[安全要求】
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
【要求解读】
在对应用系统进行远程管理时,为避免口令在传输过程中被窃取,不应使用明文传送 的HTTP服务,而应釆用HTTPS加密协议等进行交互式管理。
【测评方法】
(1 )询问系统管理员,了解应用系统进行远程管理的方式。
(2)核查远程管理是否采用了 HTTPS加密协议等进行交互式管理。
[预期结果或主要证据】
釆用了 HTTPS加密协议等对应用系统进行远程管理。
L3-CES1-04
【安全要求】
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份 鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
[要求解读]
采用组合的鉴别技术对用户进行身份鉴别是防止身份欺骗的有效方法。在这里,两种 或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身 份鉴别,且其中至少一种鉴别技术应使用密码技术来实现。
[测评方法]
询问系统管理员,了解系统是否采用了由口令、数字证书、生物技术等中的两种或两 种以上组合的鉴别技术对用户身份进行鉴别,并核查其中一种鉴别技术是否使用密码技术 来实现。
【预期结果或主要证据】
至少釆用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的 鉴别技术(例如使用基于国密算法的数字证书或数字令牌)。
2、访问控制
在应用系统中实施访问控制的目的是保证应用系统受控、合法地被使用。用户只能根 据自己的权限来访问应用系统,不得越权访问*。*
L3-CES1-05
【安全要求】
应对登录的用户分配账户和权限。
[要求解读]
为应用系统配置访问控制策略的目的是保证应用系统被合法地使用。用户只能根据管 理员分配的权限来访问应用系统的相应功能,不得越权访问。必须对登录系统的用户进行 账号和权限的分配。
[测评方法]
(1) 询问系统管理员,了解系统是否为登录的用户分配了账户和权限。
(2) 以不同角色的用户身份登录系统,验证用户权限分配情况。
(3) 尝试以登录用户的身份访问未授权的功能,查看访问控制策略是否已经生效。
[预期结果或主要证据】
(1) 系统为每一个登录用户分配了账户和权限。
(2) 系统为不同类别角色的用户分配了不同的功能权限。
(3) 通过菜单猜测等方式进行测试,登录用户无法访问未授权的功能。
L3-CES1-06
[安全要求】
应重命名或删除默认账户,修改默认账户的默认口令。
【要求解读】
应用系统正式上线后,需要对默认账户进行重命名或删除,并对默认账户的默认口令 逬行修改。默认账户一般指应用系统的公共账户、测试账户或权限不受限制的超级管理账 户等。
[测评方法】
(1) 询问系统管理员,了解系统中是否存在默认账户。(2) 使用默认口令登录默认账户,查看默认账户的默认口令是否已经修改。
[预期结果或主要证据]
(1) 系统内不存在默认账户。(2) 若系统内存在默认账户,则其默认口令已经修改。
L3-CES1-07
【安全要求】
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
[要求解读】
应用系统的管理员要及时将应用系统中多余的、过期的账户删除或停用,同时,要避 免多人共用同一账户的情况出现。
【测评方法】
(1) 访谈系统管理员,了解系统如何处理多余的、过期的账户。
(2) 核查数据库的用户表中用户的状态标识。若系统中存在过期的账户,则尝试使用 过期的账户登录系统(应为无法登录)。
(3 )核查管理员用户与账户之间是否一一对应。
【预期结果或主要证据】
(1)系统内多余的、过期的账户已经被停用或删除。
(2)无法使用已停用的账户登录系统。
(3)管理员用户与账户之间一一对应,不存在共享账户的情况。
L3-CES1-08
【安全要求】
应授予管理用户所需的最小权限,实现管理用户的权限分离。
[要求解读】
应用系统应仅授予管理用户完成其承担任务所需的最小权限。例如,管理用户仅需具 备相关的管理操作权限,无须为其分配业务操作权限。同时,管理用户应实现权限分离。 例如,管理员具备系统管理、用户创建与删除、角色创建与删除等功能权限,安全员具备 安全参数配置、用户权限分配等功能权限,审计员具备日志查看等功能权限。
[测评方法]
(1) 询问系统管理员,了解该系统的所有管理用户是否只拥有完成自己承担任务所需 的最小权限,且管理用户权限根据三权分立原则进行授权。
(2) 抽取一个用户,询问并了解该用户的职责。登录应用系统,查看该用户的实际权 限是否与其职责相符,是否为其承担任务所需的最小权限。
(3) 以不同级别的管理用户身份登录,查看管理用户之间是否具有相互制约的关系, 例如管理员不能审计、审计员不能管理、安全员不能审计和管理等。
[预期结果或主要证据]
(1 )系统中的所有管理用户只拥有完成自己承担任务所需的最小权限,所有管理用户 均不具备业务操作权限,且管理用户分为管理员、安全员和审计员。
(2)所抽取用户的实际权限与其职责相符,为完成其承担任务所需的最小权限。
(3) 不同管理用户之间具有相互制约的关系,例如管理员不能审计、审计员不能管 理、安全员不能审计和管理等。
L3-CES1-09
[安全要求】
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
[要求解读】
应用系统的访问控制策略应由授权主体(例如人员)进行配置,非授权主体不得更改 访问控制策略,且访问控制策略的覆盖范围应包括所有主体和客体及它们之间的操作。
【测评方法]
(1)以管理用户身份登录,访问权限管理功能,查看访问控制策略。
(2)以非管理用户身份登录,访问权限管理功能,查看越权访问情形。
[预期结果或主要证据]
(1)管理用户负责配置访问控制策略。管理用户为账户分配不同的角色,每个角色有 不同的功能权限。当某个账户与角色有关联时,该账户具备与角色相关的功能操作。
(2 )非管理用户不能访问与权限管理相关的功能。
L3-CES1-10
【安全要求】
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
[要求解读】
此项明确了应用系统访问控制粒度方面的要求。应用系统的访问控制主体为用户或进 程,客体为功能权限所对应的文件、数据库表和表中的记录或字段。
【测评方法】
核查并测试访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、 数据库表、记录或字段级。
[预期结果或主要证据】
访问控制策略的控制粒度,主体为登录账户,客体为功能权限及与功能权限关联的数 据库表。
L3-CES1-11
【安全要求】
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
[要求解读】
安全标记是表示主体/客体安全级别和安全范畴的一组信息。可以通过比较安全标记 来控制主体对客体的访问。安全标记不允许其他用户修改,包括资源的拥有者。
应用系统应提供设置安全标记的功能,通过安全标记控制用户对标记信息资源的访 问。重要主体指系统中的管理用户,重要客体指系统中的鉴别数据、重要业务数据、个人 信息及敏感数据等。
[测评方法]
(1) 核查应用系统是否依据安全策略对重要主体和重要客体设置了安全标记。
(2)测试验证依据安全标记是否能实现主体对客体的强制访问控制。
[预期结果或主要证据]
(1)应用系统依据安全策略对重要账户和重要信息设置了安全标记。
(2 )应用系统依据安全标记控制账户对有安全标记的信息资源的访问。
3、 安全审计
对应用系统进行安全审计的目的是保持对应用系统的运行情况及用户行为的跟踪,以 便事后进行追踪和分析。应用系统安全审计主要涉及用户登录情况、管理用户的操作行为、 关键的业务操作行为、系统功能执行情况、系统资源使用情况等。
L3-CES1-12
【安全要求J
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行 审计。
[要求解读]
应用系统必须对其所有用户的重要操作(例如用户登录和重要业务操作等)进行审 计,并对系统异常等事件进行审计。
【测评方法]
(1) 核查是否提供并启用了安全审计功能。
(2 )核查审计范围是否覆盖每个用户。
(3)核查并测试是否对重要的用户行为和重要安全事件进行了审计。
【预期结果或主要证据】
(1 )应用系统提供并启用了安全审计功能。
(2)安全审计范围覆盖系统中的每个用户。
(3)应用系统对重要的用户行为和重要安全事件提供了审计功能。
L3-CES1-13
【安全要求]
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相 关的信息。
【要求解读】
审计记录至少包括事件的日期和时间、发起者信息(例如用户名*、*IP地址等)、类型、 描述、结果(是否成功等)。
[测评方法]
核查审计记录的内容,例如数据库的具体字段、日志信息。
[预期结果或主要证据]
审计记录包括事件的日期和时间、发起者信息(例如用户名、IP地址等)、类型、描 述、结果(是否成功等)等。
L3-CES1-14
[安全要求]
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。-
【要求解读]
应用系统应对审计记录进行保护,定期做好数据备份。另外,应用系统应防止非授权 删除、修改或覆盖审计记录的情况发生。
[测评方法]
(1)核查审计记录的保护措施和备份策略。
(2)核查应用系统的功能权限,了解应用系统是否具备对审计记录的删除、修改或覆 盖等功能。如果应用系统具备对审计记录的删除、修改或覆盖等功能,则核查应用系统是 否对日志记录删除、修改和覆盖的时间进行了限制
【预期结果或主要证据]
(1 )审计记录存储于数据库中且定期进行数据备份。
(2)应用系统不提供审计记录的删除、修改或覆盖功能。如果提供了相关功能,则已 限定不可删除、修改或覆盖半年之内产生的审计记录。
L3-CES1-15
[安全要求]
应对审计进程进行保护,防止未经授权的中断。
[要求解读】
应用系统应对审计进程或功能进行保护。如果处理审计的事务是一个单独的进程,那 么应用系统应对审计进程进行保护,不允许非授权用户中断该进程。如果审计是一个独立 的功能,那么应用系统应防止非授权用户关闭审计功能。
[测评方法]
对应用系统进行测试。如果审计模块是一个单独的进程,则尝试非授权中断审计进 程,查看是否成功(应为否);如果审计模块是一个独立的功能,则尝试非授权关闭审计 功能,查看是否成功(应为否)。
【预期结果或主要证据】
未经授权,不能中断审计进程或关闭审计功能。
4、入侵防范
在《基本要求》中,基于应用系统的入侵防范主要体现在数据有效性验证和软件自身 漏洞发现两个方面。
L3-CES1-17
[安全要求】
应遵循最小安装的原则,仅安装需要的组件和应用程序。
【要求解读】
应用系统应遵循最小安装的原则,即“不需要的功能模块不安装”,例如不安装仍在 开发或未经安全测试的功能模块。安装的功能模块越多,应用系统面临的风险就越大。因 此,“瘦身”有利于提高应用系统的安全性。
【测评方法】
(1) 询问系统管理员,了解应用系统上线相关要求及应用系统各功能模块的用途。
(2) 查看应用系统上线的相关文档,并与应用系统功能模块进行比对,核查应用系统 是否遵循最小安装的原则,以及是否安装了仍在开发或未经安全测试的功能模块(应为否)。
[预期结果或主要证据】
应用系统的安装遵循最小安装的原则,不存在仍在开发或未经安全测试的功能模块。
L3-CES1-20
[安全要求】
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合 系统设定要求。
[要求解读】
应用系统应对数据的有效性进行验证,主要验证那些通过人机接口(例如程序界面) 或通信接口输入的数据的格式或长度是否符合系统设定,以防止个别用户输入畸形的数据 导致系统出错(例如SQL注入攻击等),进而影响系统的正常使用甚至危害系统的安全。
[测评方法]
(1)询问系统管理员,了解该系统是否具备软件容错能力及具体措施。
(2 )在浏览器或客户端输入不同的数据(例如,数据格式或长度等符合/不符合软件设 定的要求,并可模仿特定的攻击形式),查看系统的反应。
[预期结果或主要证据]
应用系统具备软件容错能力,以及对输入数据的长度、格式等进行检查和验证的功 能。例如,可以通过限制特定关键字的输入等防护措施防止SQL注入攻击。
L3-CES1-21
[安全要求】
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
[要求解读】
应用系统管理员应定期对应用系统进行漏洞扫描。一旦发现漏洞,应及时进行测试和 评估并及时修补漏洞。
[测评方法]
(I)通过漏洞扫描、渗透测试等方式核查应用软件、数据库管理系统和中间件中是否 存在高风险漏洞(应为不存在)。
(2 )访谈管理员,了解是否已在经过充分的测试和评估后及时修补漏洞。
[预期结果或主要证据]
应用软件、数据库管理系统和中间件中不存在高风险漏洞;若存在,则已在经过充分 的测试和评估后及时修补。
5、 数据备份恢复
L3-CES1-31
[安全要求]
应提供重要数据处理系统的热冗余,保证系统的高可用性。
【要求解读】
应提供灾备中心,为重要数据提供异地实时数据级备份,保证当本地系统发生灾难性 后果且不可恢复时可利用异地保存的数据对系统数据进行恢复。
[测评方法]
核查重要数据处理系统(应用服务器和数据库服务器等)是否釆用热冗余方式部署。
[预期结果或主要证据]
重要数据处理系统(应用服务器和数据库服务器等)釆用热冗余方式部署。
6、剩余信息保护
为保证存储在硬盘、内存或缓冲区的信息不被非授权访问,应用系统应对这些信息加 以保护。对于用户的鉴别信息、文件、目录等资源所在的存储空间,在将其内容完全清除 之后,才能释放或重新分配给其他用户。
L3-CES1-32
【安全要求]
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
【要求解读】
应用系统将用户鉴别信息所在存储空间(例如硬盘或内存)的内容完全清除后才能分 配给其他用户。例如,某应用系统将某用户的鉴别信息放在内存中处理,处理后没有及时 将其清除,这样,其他用户就有可能通过一些非正常手段获取该用户的鉴别信息。
[测评方法]
询问系统管理员,了解应用系统是否已采取措施对存储介质(例如硬盘或内存)中的 用户鉴别信息进行及时的清除,以防止其他用户非授权获取用户鉴别信息。
[预期结果或主要证据]
应用系统已采取措施对存储介质(例如硬盘或内存)中的用户鉴别信息进行及时的 清除。例如,对存储或调用过用户鉴别信息的函数或变量及时写零或置空,及时清除·B/S 系统·中的·Session·和·Cookie·信息,以及对存有用户鉴别信息的临时文件进行删除或内容 清空等。
L3-CES1-33
[安全要求】
应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
[要求解读】
应用系统将敏感数据所在存储空间(例如硬盘或内存)的内容完全清除后才能分配给 其他用户。例如,某应用系统在使用过程中可能会产生一些临时文件,这些临时文件中可 能会记录一些敏感信息,如果不加处理就将这些资源分配给其他用户,其他用户就有可能 获得其中的敏感信息。
[测评方法]
询问系统管理员,了解应用系统是否已釆取措施对存储介质(例如硬盘或内存)中的 敏感数据进行及时的清除,以防止其他用户非授权获取敏感数据。
[预期结果或主要证据】
应用系统已釆取措施对存储介质(例如硬盘或内存)中的敏感数据进行及时的清除。 例如,对存储或调用过敏感数据的函数或变量及时写零或置空,及时清除B/S系统中的 Session和Cookie信息,以及対•存有敏感数据的临时文件进行删除或内容清空等。
7、个人信息保护
为了加强对个人信息的保护,《基本要求》对个人信息的釆集、存储和使用提出了强 制保护要求。
L3-CES1-34
[安全要求】
应仅采集和保存业务必需的用户个人信息O
〔要求解读】
此项的目的是保护个人信息,不采集业务不需要的个人数据。
[测评方法]
(1)询问系统管理员,了解应用系统釆集了用户的哪些个人信息。
(2)询问系统管理员,了解应用系统釆集的用户个人信息是否是业务应用所必需的。
【预期结果或主要证据】
(1) 已记录应用系统采集的用户个人信息。
(2) 已记录应用系统的各个功能模块使用了哪些用户个人信息,说明了使用用户个人 信息的必要性。
L3-CES1-35
【安全要求】
应禁止未授权访问和非法使用用户个人信息。
[要求解读】
应用系统应采取措施,禁止未授的权访问和非法使用个人信息,从而保护个人信息。
[测评方法】
(1) 询问系统管理员,了解哪些系统账户可以访问个人信息,以及应用系统采取了什 么措施来控制可访问个人信息的系统账户对个人信息的访问。
(2) 核查相关措施是否有效限制了相关账户对个人信息的访问和使用。
【预期结果或主要证据】
(1)应用系统已釆取措施,控制系统账户对个人信息的访问,例如权限控制等。
(2 )未经授权,不能访问和使用用户的个人信息。
4.7数据
等级保护对象处理的各种数据在维持系统正常运行方面起着至关重要的作用。一旦数 据遭到破坏(泄露、修改、毁坏),就会造成不同程度的影响,从而危害系统的正常运行。 由于在等级保护对象的各个层面(网络、主机系统、应用等)都会对数据进行传输、存储 和处理等,因此,对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等的 支持。各个“关口”把好了,数据本身再具有一些防御和修复手段,必然能将对数据造成 的损害降至最小。
一般来说,数据可分为鉴别数据、业务数据、审计数据、配置数据、视频数据和个人 信息等。由于这些数据分布在不同的测评对象上,所以应针对不同类型的数据分别从不同
的测评对象上汇总测评证据。
与数据安全相关的控制点主要包括数据完整性、数据保密性、数据备份恢复、剩余信 息保护和个人信息保护。其中,剩余信息保护和个人信息保护一般在应用系统中核查。本 节重点介绍鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要个人信息的测 评方法和预期结果。
4.7.1鉴别数据
鉴别数据一般分布在网络设备、安全设备、服务器、应用系统等测评对象中,应分别 从不同的测评对象中汇总测评证据。
1、数据完整性
数据完整性主要是指保护各类数据在存储和传输过程中免受未授权的破环。
L3-CES1-25
[安全要求]
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
[要求解读]
为了保证鉴别数据在传输和存储过程中免受未授权的破环,应对鉴别数据的完整性进 行检测。
【测评方法】
(1) 询问系统管理员,了解不同测评对象的鉴别数据在传输过程中是否釆用了校验技 术或密码技术来保证完整性。
(2)使用工具对通信报文中的鉴别数据进行修改,查看系统是否能够检测到鉴别数据 的完整性在传输过程中受到破坏的情况。
【预期结果或主要证据]
(1) 系统采用校验技术或密码技术保证了鉴别数据在传输过程中的完整性。
(2) 通过修改通信报文的内容,能确定鉴别数据在传输过程进行了完整性校验。
L3-CES1-26
[安全要求]
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
【要求解读】
为了保证鉴别数据在传输和存储过程中免受未授权的破坏,应对鉴别数据的完整性进 行检测。
【测评方法】
(1) 询问系统管理员,了解不同测评对象的鉴别数据在存储过程中是否釆用了校验技 术或密码技术来保证完整性。
(2) 尝试修改数据库中存储的鉴别数据,以验证系统是否能够检测到鉴别数据被修改 的情况。
[预期结果或主要证据】
(1)系统釆用校验技术或密码技术保证了鉴别数据在存储过程中的完整性。
(2) 修改数据库中存储的鉴别数据后,系统能够检测到鉴别数据被修改的情况并发岀 信息。
2、数据保密性
数据保密性主要是指保护各类数据在存储和传输过程中不因被截获或窃取而造成泄 密等。
L3-CES1-27
[安全要求】
应釆用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要 业务数据和重要个人信息等。
【要求解读】
为了保证鉴别数据在传输和存储过程中不因被截获或窃取而造成泄密等,应采用密码 技术对鉴别数据进行保护。
[测评方法]
(1) 询问系统管理员,了解不同测评对象的鉴别数据是否已采用密码技术来保证传输 过程中的保密性。
(2) 通过嗅探等方式抓取传输过程中的数据包,查看鉴别数据在传输过程中是否进行 了加密处理。
[预期结果或主要证据】
(1)系统釆用密码技术保证了鉴别数据在传输过程中的保密性。
(2) 抓取传输过程中的数据包,未在其中发现明文传输的鉴别数据。
L3-CES1-28
【安全要求】
应釆用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要 业务数据和重要个人信息等。
【要求解读】
为了保证鉴别数据在传输和存储过程中不因彼截获或窃取而造成泄密等,应釆用密码 技术对鉴别数据进行保护。
【测评方法】
(1)询问系统管理员,了解不同测评对象的鉴别数据是否已釆用密码技术来保证存储 过程中的保密性。
(2) 核查包含鉴别数据的数据表或文件是否采用了加密存储。
[预期结果或主要证据】
(1) 系统采用密码技术保证了鉴别数据在存储过程中的保密性。
(2) 数据表或文件中的鉴别数据以密文方式存储。
4.7.2重要业务数据
业务数据(例如信用卡号码、银行交易明细等)大都具有敏感性,因此,应保证业务 数据的完整性和保密性不受破坏。业务数据一般在应用系统中核查。
1、数据完整性
(说明见4.7.1节“数据完整性”部分。)
L3-CES1-25
【安全要求】
应釆用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
【要求解读】
为了保证各种重要业务数据在传输和存储过程中免受未授权的破坏,应对重要业务数 据的完整性进行检测。
[测评方法】
(1) 询问系统管理员,了解重要业务数据在传输过程中是否采用了校验技术或密码技 术来保证完整性。
(2) 使用工具对通信报文中的重要业务数据进行修改,查看系统是否能够检测到重要 业务数据的完整性在传输过程中受到破坏的情况。
[预期结果或主要证据]
(1 )系统采用校验技术或密码技术保证了重要业务数据在传输过程中的完整性。
(2)通过修改通信报文的内容,能确定重要业务数据在传输过程进行了完整性校验。
L3-CES1-26
**[**安全要求】
应釆用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
【要求解读】
为了保证各种重要业务数据在传输和存储过程中免受未授权的破坏,应对重要业务数 据的完整性进行检测。
【测评方法]
(1)询问系统管理员*,*了解重要业务数据在存储过程中是否采用了校验技术或密码技术来保证完整性。
(2)尝试修改数据库中存储的重要业务数据,以验证系统是否能够检测到重要业务数 据被修改的情况。
[预期结果或主要证据】
(1) 系统采用校验技术或密码技术保证了重要业务数据在存储过程中的完整性。
(2) 修改数据库中存储的重要业务数据后,系统能够检测到重要业务数据被修改的情 况并发出提示信息。
2、数据保密性
(说明见4.7.1节“数据保密性”部分。)
L3-CES1-27
[安全要求】
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要 业务数据和重要个人信息等。
【要求解读】
为了保证重要业务数据在传输和存储过程中不因被截获或窃取而造成泄密等,应釆用 密码技术对重要业务数据进行保护。
[测评方法]
(1)询问系统管理员,了解重要业务数据是否已釆用密码技术来保证传输过程中的保 密性。
(2)通过嗅探等方式抓取传输过程中的数据包,查看重要业务数据在传输过程中是否 进行了加密处理。
[预期结果或主要证据]
(1)系统釆用密码技术保证了重要业务数据在传输过程中的保密性。
(2)抓取传输过程中的数据包,未在其中发现明文传输的重要业务数据。
L3-CES1-28
[安全要求】
应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要 业务数据和重要个人信息等。
[要求解读]
为了保证重要业务数据在传输和存储过程中不因被截获或窃取而造成泄密等,应釆用 密码技术对重要业务数据进行保护。
【测评方法】
(1)询问系统管理员,了解重要业务数据是否已采用密码技术来保证存储过程中的保 密性。
(2)核查包含重要业务数据的数据表或文件是否釆用了加密存储。
[预期结果或主要证据】
(1) 系统采用密码技术保证了重要业务数据在存储过程中的保密性。
(2) 数据表或文件中的重要业务数据以密文方式存储。
3、数据备份恢复
即使对数据进行了种种保护,仍无法绝对保证数据的安全。对数据进行备份是防止数 据因遭到破坏而无法使用的最好方法。应通过对数据采取不同的备份方式、备份形式等, 保证重要数据在破坏发生后能够得到恢复。
L3-CES1-29
[安全要求】
应提供重要数据的本地数据备份与恢复功能。
【要求解读】
应对重要业务数据进行本地数据备份,以便在数据遭到破坏后能够及时恢复。同时, 要定期对备份数据进行恢复测试,以确保备份数据的可用性。
[测评方法】
(1) 核查是否能提供本地数据备份措施与恢复措施。
(2) 核查备份周期及备份方式。
(3 )核查备份结果是否与备份策略一致。
(4)核查近期数据恢复测试记录。
[预期结果或主要证据]
(1)能提供本地数据备份措施和恢复措施。
(2 )数据备份周期和方式为每周完整备份。
(3 )按照备份周期和备份方式进行了有效的数据备份。
(4)有近期数据恢复测试记录。
L3-CES1-30
【安全要求】
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
[要求解读]
应提供灾备中心,为重要数据提供异地实时数据级备份,保证当本地系统发生灾难性 后果(例如火灾)且不可恢复时能利用异地保存的数据对系统数据进行恢复。
[测评方法]
询问数据库管理员,了解是否提供了异地实时数据备份,以及是否能通过网络将重要 业务数据实时备份至备份场地。
【预期结果或主要证据]
提供了异地实时数据备份,能通过网络将重要业务数据实时备份至备份场地。
4.7.3重要审计数据
审计数据一般分布在网络设备、安全设备、服务器、应用系统等测评对象中,应分别 从不同的测评对象中汇总测评证据。
1、数据完整性
(说明见4.7.1节“数据完整性”部分。)
L3-CES1-25
[安全要求】
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
【要求解读】
为了保证重要审计数据在传输和存储过程中免受未授权的破坏,应对重要审计数据的 完整性进行检测。
【测评方法】
(1)询问系统管理员,了解不同测评对象的重要审计数据在传输过程中是否采用了校 验技术或密码技术来保证完整性。
(2 )使用工具对通信报文中的重要审计数据进行修改,以验证系统是否能够检测到重 要审计数据的完整性在传输过程中受到破坏的情况。
【预期结果或主要证据】
(1) 系统采用校验技术或密码技术保证了重要审计数据在传输过程中的完整性。
(2) 通过修改通信报文的内容,能确定重要审计数据在传输过程进行了完整性校验。
L3-CES1-26
【安全要求】
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
[要求解读】
为了保证重要审计数据在传输和存储过程中免受未授权的破坏,应对重要审计数据的 完整性进行检测。
[测评方法]
(1)询问系统管理员,了解不同测评对象的重要审计数据在存储过程中是否采用了校验技术或密码技术来保证完整性。
(2) 尝试修改数据库中存储的重要审计数据,验证系统是否能够检测到重要审计数据 被修改的情况。
【预期结果或主要证据]
(1 )系统采用校验技术或密码技术保证了重要审计数据在存储过程中的完整性。
(2 )修改数据库中存储的重要审计数据后,系统能够检测到重要审计数据被修改的情 况并发出提示信息。
2.数据备份恢复
(说明见4.7.2节“数据备份恢复”部分。)
L3-CESV29
[安全要求]
应提供重要数据的本地数据备份与恢复功能。
[要求解读]
审计数据记录的是系统运行情况、系统用户行为等与安全活动相关的信息,以便事后 进行追踪和分析,因此,需要对重要审计数据进行本地备份,并定期对备份数据进行恢复 测试,以确保备份数据的可用性。
[测评方法]
(1)核查是否能提供本地数据备份措施与恢复措施。
(2) 核查备份周期及备份方式。
(3)核查备份结果是否与备份策略一致。
(4)核查近期数据恢复测试记录。
I预期结果或主要证据]
(1) 能提供本地数据备份措施和恢复措施。
(2) 数据备份周期和方式为每周完整备份。
(3)按照备份周期和备份方式进行了有效的数据备份。
(4)有近期数据恢复测试记录。
4.7.4主要配置数据
配置数据一般分布在网络设备、安全设备、服务器、应用系统等测评对象中,应分别 从不同的测评对象中汇总测评证据。
1、数据完整性
(说明见4.7.1节“数据完整性”部分。)
L3-CES1-25
[安全要求】
应釆用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
【要求解读】
为了保证重要配置数据在传输和存储过程中免受未授权的破坏,应对重要配置数据的 完整性进行检测。
【测评方法】
(1)询问系统管理员,了解不同测评对象的重要配置数据在传输过程中是否釆用了校 验技术或密码技术来保证完整性。
(2)使用工具对通信报文中的重要配置数据进行修改,以验证系统是否能够检测到重 要配置数据的完整性在传输过程中受到破坏的情况。
【预期结果或主要证据】
(1)系统釆用校验技术或密码技术保证了重要配置数据在传输过程中的完整性。
(2)通过修改通信报文的内容,能确定重要配置数据在传输过程进行了完整性校验。
L3-CES1-26
【安全要求】
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要雷计数据、重要配置数据、重要视频数据和重要个人信息等。
[要求解读]
为了保证重要配置数据在传输和存储过程中免受未授权的破坏,应对重要配置数据的 完整性进行检测。
[测评方法]
(1) 询问系统管理员,了解不同测评对象的重要配置数据在存储过程中是否釆用了校 验技术或密码技术来保证完整性。
(2) 尝试修改数据库中存储的重要配置数据,验证系统是否能够检测到重要配置数据 被修改的情况。
【预期结果或主要证据】
(1 )系统采用校验技术或密码技术保证了重要配置数据在存储过程中的完整性。
(2 )修改数据库中存储的重要配置数据后,系统能够检测到重要配置数据被修改的情 况并发出提示信息。
2、数据备份恢复
(说明见4.7.2节“数据备份恢复”部分如
L3-CES1-29
[安全要求]
应提供重要数据的本地数据备份与恢复功能。
[要求解读】
配置数据对系统的正常运行而言是非常重要的。应对重要配置数据进行备份,以便在 重要配置数据发生错误后及时进行恢复。
[测评方法]
(1) 核查是否能提供本地数据备份措施与恢复措施。
(2) 核查备份周期及备份方式。
(3)核查备份结果是否与备份策略一致。
(4)核查近期数据恢复测试记录。
【预期结果或主要证据]
(1)能提供本地数据备份措施和恢复措施。
(2 )数据备份周期和方式为每周完整备份。
(3)按照备份周期和备份方式进行了有效的数据备份。
(4)*有近期数据恢复测试记录。
4.7.5重要个人信息
个人信息是指以电子或其他方式记录的能够单独或与其他信息结合以识别特定自然 人身份或反映特定自然人活动情况的各种信息,包括姓名、身份证件的号码、手机号码、 住址、财产状况、行踪轨迹等。个人信息一般在应用系统中核查。
1、数据完整性
(说明见4.7.1节“数据完整性”部分。)
L3-CES1-25
[安全要求]
应釆用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
[要求解读】
为了保证重要个人信息在传输和存储过程中免受未授权的破坏,应对重要个人信息的 完整性进行检测。
[测评方法]
(1)询问系统管理员,了解重要个人信息在传输过程中是否釆用了校验技术或密码技 术来保证完整性。
(2) 使用工具对通信报文中的重要个人信息进行修改,以验证系统是否能够检测到重 要个人信息的完整性在传输过程中受到破坏的情况。
【预期结果或主要证据]
(1)系统采用校验技术或密码技术保证了重要个人信息在传输过程中的完整性。
(2)通过修改通信报文的内容,能确定重要个人信息在传输过程迸行了完整性校验。
L3-CES1-26
[安全要求】
应釆用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别 数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
[要求解读]
为了保证重要个人信息在传输和存储过程中免受未授权的破坏,应对重要个人信息的 完整性进行检测。
[测评方法]
(1) 询问系统管理员,了解不同测评对象的重要个人信息在存储过程中是否釆用了校 验技术或密码技术来保证完整性。
(2) 尝试修改数据库中存储的重要个人信息,验证系统是否能够检测到重要个人信息 被修改的情况。
[预期结果或主要证据]
(1 )系统釆用校验技术或密码技术保证了重要个人信息在存储过程中的完整性。
(2)修改数据库中存储的重要个人信息后,系统能够检测到重要个人信息被修改的情 况并发出提示信息。
2、数据保密性
(说明见4.7.1节“数据保密性”隸分。)
L3-CES1-27
[安全要求】
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要 业务数据和重要个人信息等0
[要求解读]
为了保证重要个人信息在传输和存储过程中不因被截获或窃取而造成泄密等,应釆用 密码技术对重要个人信息进行保护。
[测评方法]
(1 )询问系统管理员,了解重要个人信息是否已采用密码技术来保证传输过程中的保 密性。
(2)通过嗅探等方式抓取传输过程中的数据包,查看重要个人信息在传输过程中是否 进行了加密处理。
[预期结果或主要证据】
(1) 系统采用密码技术保证了重要个人信息在传输过程中的保密性。
(2) 抓取传输过程中的数据包,未在其中发现明文传输的重要个人信息等。
L3-CES1-28
[安全要求】
应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要 业务数据和重要个人信息等。
[要求解读]
为了保证重要个人信息在传输和存储过程中不因被截获或窃取而造成泄密等,应釆用 密码技术对重要个人信息进行保护O
[测评方法]
(1)询问系统管理员,了解重要个人信息是否已采用密码技术来保证存储过程中的保 密性。
(2)核查包含重要个人信息的数据表或文件是否已釆用加密存储。
【预期结果或主要证据]
(1)系统釆用密码技术保证了重要个人信息在存储过程中的保密性。
(2)数据表或文件中的重要个人信息以密文方式存储。
3、数据备份恢复
(说明见4.7.2节“数据备份恢复”部分。)
L3-CES1-29
[安全要求】
应提供重要数据的本地数据备份与恢复功能。
【要求解读】
应对重要个人信息进行本地数据备份,以便在数据遭到破坏后能够及时恢复。同时, 要定期对备份数据进行恢复测试,以确保备份数据的可用性。
[测评方法]
(1) 核查是否能提供本地数据备份措施与恢复措施。
(2) 核查备份周期及备份方式。
(3 )核查备份结果是否与备份策略一致。
(4)核查近期数据恢复测试记录。
【预期结果或主要证据】
(1 )能提供本地数据备份措施和恢复措施
(2) 数据备份周期和方式为每周完整备份
(3) 按照备份周期和备份方式进行了有效的数据备份。
(4)有近期数据恢复测试记录。
网络安全等级测评师培训教材(初级)-2021版-第四章安全计算环境相关推荐
- 网络安全等级测评师培训教材(初级)-2021版(前三章)
文章目录 第1章 安全物理环境 1.1物理位置选择 1.2 物理访问控制 1.3 防盗窃和防破坏 1.4防雷击 1.5 防火 1.6 防水和防潮 1.7 防静电 1.8温湿度控制 1.9 电力供应 1 ...
- 2021版网络安全等级测评师培训教材(初级)
文章目录 下载链接 文档内容 摘抄 下载链接 点击 下载 https://download.csdn.net/download/qq_41901122/18467468 文档内容 摘抄 遗憾像什么? ...
- 网络安全等级测评师(初级)——安全物理环境
安全物理环境 概述:安全物理环境是对物理机房提出来的安全控制要求,主要对象为物理环境.物理设备以及物理设施等,涉及的安全控制点包括物理位置选择.物理访问控制.防盗窃和防破坏.防雷击.防火.防水和防潮. ...
- 网络安全从业者必看 注册网络安全等级测评工程师考证解读
<中华人民共和国网络安全法>第二十一条规定国家实行网络安全等级保护制度.网络运营者应当按照网络安全等级保护制度的要求,保障网络免受干扰.破坏或者未经授权的访问,防止网络数据泄露或者被窃取 ...
- 网络安全从业者必看!注册网络安全等级测评工程师考证解读
<中华人民共和国网络安全法>第二十一条规定国家实行网络安全等级保护制度.网络运营者应当按照网络安全等级保护制度的要求,保障网络免受干扰.破坏或者未经授权的访问,防止网络数据泄露或者被窃取 ...
- 注册网络安全等级测评工程师认证培训通知
网络空间的竞争,归根结底是人才竞争.为提升我国网络安全人才培养能力,缓解网络安全人才供需难题,雨笋教育与方班网安人才教育服务中心开展深度合作并获得授权,联合开发了中国网络空间安全人才教育论坛(网教盟) ...
- 信息安全等级测评师考试重点梳理
信息安全等级测评师考试重点梳理 转载 http://blog.51cto.com/370354761/1898797 第一章 网络安全测评 网络全局 1.1结构安全(G3) a) 应保证主要网络设 ...
- 网教盟认证的注册网络安全等级测评工程师证书学员福利来啦
工信部印发的<网络安全产业高质量发展三年行动计划>提出,到2023年,我国网络安全产业规模超过2500亿元人民币.中国网络安全行业正迎来高速发展,但每年培养的网络安全相关专业人才数量不足1 ...
- 新版网络安全等级保护测评报告模板包含哪些内容?哪里可以找到?
为深入贯彻落实网络安全等级保护制度,进一步提升等级测评工作的标准化和规范化水平,推进网络安全等级保护2.0系列标准实施应用,公安部网络安全保卫局组织编制了<网络安全等级保护测评报告模板(2021 ...
最新文章
- mybatis plus 导出sql_springBoot+mybatisPlus+hutool 实现输入sql导出 excel表格
- Java实现数据序列化工具Avro的例子
- Hadoop Stream Python mapper或reducer添加参数
- 160个CrackMe002
- 帕秋莉·诺蕾姬 (Standard IO)
- 《吃土》全书笔记整理
- 希尔排序--Java
- A3 没有装入任何送纸器
- python制作文本进度条
- LVS_Cluster
- 导入数据java生成逆向sql,用于回滚,你试过吗?
- C# 操作word之在表格中插入新行、删除指定行
- 毕业设计——基于STM32的智能家具系统(语音识别控制、步进电机、舵机)
- 前端工程师面试时自我介绍该如何做?
- Scala 快查手册
- 红帽杯find_it
- 国产安卓和原生android,定制安卓和原生Android到底有哪些不同?真相了!
- Windows 10 下 TeXstudio 深色背景主题的设置方法
- 【获奖榜单公布】遇见27岁的Java,分享你的开发者故事
- word插入图片,嵌入型,无效果