安全基線核查

基線核查是安全基線配置核查（或檢查)的簡(jiǎn)稱，一般指根據(jù)配置基線(不同行業(yè)及組織具有不同安全配置基線要求)要求對(duì)IT設(shè)備的安全配置進(jìn)行核實(shí)檢查，以發(fā)現(xiàn)薄弱或未滿足要求的配置。

基線檢查對(duì)象

注意在任何基線相關(guān)管理過(guò)程中，都需要優(yōu)先統(tǒng)計(jì)出資產(chǎn)的數(shù)量、類型

• 硬件資產(chǎn)
  – 網(wǎng)絡(luò)設(shè)備
  路由器、網(wǎng)關(guān)、交換機(jī)等
  – 計(jì)算機(jī)設(shè)備
  大型機(jī)、服務(wù)器（含操作系統(tǒng)）、工作站臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等
  – 安全設(shè)備
  防火墻、入侵檢測(cè)系統(tǒng)、上網(wǎng)行為管理等
• 軟件資產(chǎn)
  – 系統(tǒng)軟件
  Windows、Linux等操作系統(tǒng)
  – 應(yīng)用軟件
  一般指數(shù)據(jù)庫(kù)、中間件等重要系統(tǒng)軟件

基線檢查維度

不論是對(duì)硬件或軟件，基線核查都有通用的維度，主要包含以下方面：
1、訪問(wèn)控制

• 用戶權(quán)限管理
• 用戶口令管理，重命名默認(rèn)用戶，修改默認(rèn)口令
• 刪除或停用不必要的賬號(hào)，避免共享賬號(hào)
• 用戶最小權(quán)限，權(quán)限分離
• 訪問(wèn)控制顆粒度，進(jìn)程、文件、數(shù)據(jù)庫(kù)表
• 敏感信息安全標(biāo)記

2、授權(quán)管理

• 各應(yīng)用系統(tǒng)、設(shè)備的用戶管理（用戶及權(quán)限評(píng)審、密碼管理)
• 登錄失敗處理（賬號(hào)鎖定、超時(shí)退出)
• 遠(yuǎn)程管理鏈路要加密(https ssh rdp)
• 雙因素驗(yàn)證

3、入侵防范

• 設(shè)備和系統(tǒng)的最小安裝原則
• 端口服務(wù)默認(rèn)關(guān)閉
• 設(shè)備管理時(shí)需要設(shè)置允許管理范圍
• 系統(tǒng)和設(shè)備的漏洞管理
• 對(duì)重要節(jié)點(diǎn)和設(shè)備自身的入侵檢測(cè)

4、日志審計(jì)

• 所有設(shè)備和系統(tǒng)是否開(kāi)啟安全審計(jì)
• 審計(jì)包含用戶、時(shí)間、事件類型、事件成功等
• 審計(jì)記錄定期備份 審計(jì)進(jìn)程的保護(hù)
• 審計(jì)設(shè)備的時(shí)鐘統(tǒng)一
• 應(yīng)用上的用戶行為審計(jì)

5、資源管理

• 限制單用戶的對(duì)資源和進(jìn)程的使用
• 重要節(jié)點(diǎn)設(shè)備的冗余
• 重要節(jié)點(diǎn)的監(jiān)控，CPU內(nèi)存硬盤 重要節(jié)點(diǎn)的服務(wù)性能檢測(cè)
• 應(yīng)用閑置時(shí)，自動(dòng)結(jié)束會(huì)話
• 業(yè)務(wù)系統(tǒng)或中間件的最大會(huì)話數(shù)限制
• 單用戶的會(huì)話限制
• 進(jìn)程所占用資源的限制

基線檢查方式

• 人工檢查
• 自動(dòng)化系統(tǒng)檢查

優(yōu)點(diǎn)：工作量小，速度快

缺點(diǎn)：可能造成未知影響

原理：

• 在目標(biāo)系統(tǒng)上安裝代理agent ，對(duì)操作系統(tǒng)、應(yīng)用軟件適用，但對(duì)封裝成型的硬件設(shè)備不適用
• 編寫腳本運(yùn)行，手動(dòng)或自動(dòng)運(yùn)行,收集運(yùn)行結(jié)果
• 提供目標(biāo)系統(tǒng)賬號(hào)，由專用平臺(tái)掃描檢測(cè)

安全基線核查清單

Linux/Unix

• 無(wú)用用戶/用戶組檢查
• 空口令帳號(hào)檢查
• 用戶密碼策略

/etc/login.defs
/etc/pam.d/system-auth

• 敏感文件權(quán)限配置

/etc/passwd
/etc/shadow
~/.ssh/
/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/cron
/var/log/spooler
/var/log/boot.log

• 日志是否打開(kāi)
• 及時(shí)安裝補(bǔ)丁
• 開(kāi)機(jī)自啟

/etc/init.d

• 檢查系統(tǒng)時(shí)鐘

Windows

• 異常進(jìn)程監(jiān)控
• 異常啟動(dòng)項(xiàng)監(jiān)控
• 異常服務(wù)監(jiān)控
• 配置系統(tǒng)日志
• 用戶賬戶
• 設(shè)置口令有效期
• 設(shè)置口令強(qiáng)度限制
• 設(shè)置口令重試次數(shù)
• 安裝EMET
• 啟用PowerShell日志
• 限制以下敏感文件的下載和執(zhí)行

ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif

• 限制會(huì)調(diào)起wscript的后綴

bat, js, jse, vbe, vbs, wsf, wsh

• 域
• 限制將計(jì)算機(jī)加入域的權(quán)限
• 域賬戶使用最小權(quán)限原則
• 減少非必要高權(quán)限賬戶的數(shù)量

Web中間件

• Apache

  • 版本號(hào)隱藏
  • 版本是否最新
  • 禁用部分HTTP動(dòng)詞
  • 關(guān)閉Trace
  • 禁止 server-status
  • 上傳文件大小限制
  • 目錄權(quán)限設(shè)置
  • 是否允許路由重寫
  • 是否允許列目錄
  • 日志配置
  • 配置超時(shí)時(shí)間防DoS
  • 非屬主用戶文件讀寫限制
    • httpd.conf
    • access.log
    • error.log

• Nginx

  • 禁用部分HTTP動(dòng)詞
  • 禁用目錄遍歷
  • 檢查重定向配置
  • 配置超時(shí)時(shí)間防DoS

• IIS

  • 版本是否最新
  • 日志配置
  • 用戶口令配置
  • ASP.NET功能配置
  • 配置超時(shí)時(shí)間防DoS

• JBoss

  • jmx console配置
  • web console配置

• Tomcat

  • 禁用部分HTTP動(dòng)詞
  • 禁止列目錄
  • 禁止manager功能
  • 用戶密碼配置
  • 用戶權(quán)限配置
  • 配置超時(shí)時(shí)間防DoS

應(yīng)用

• FTP

  • 禁止匿名登錄
  • 修改Banner

• SSH

  • 是否禁用ROOT登錄
  • 是否禁用密碼連接

• MySQL文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-438658.html

  • 文件寫權(quán)限設(shè)置
  • 用戶授權(quán)表管理
  • 日志是否啟用
  • 版本是否最新

網(wǎng)絡(luò)安全設(shè)備

• 及時(shí)檢查系統(tǒng)版本號(hào)
• 敏感服務(wù)設(shè)置訪問(wèn)IP/MAC白名單
• 開(kāi)啟權(quán)限分級(jí)控制
• 關(guān)閉不必要的服務(wù)
• 打開(kāi)操作日志
• 配置異常告警
• 關(guān)閉ICMP回應(yīng)

到了這里，關(guān)于安全基線加固的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！