網(wǎng)絡安全等級保護測評——主機安全（三級）詳解

最近去了項目組打雜，偷學了些對服務器做整改的等保要求，寫下一篇廢話，看完了就可以跟我一起打雜了。

一、主機安全概念

主機指我們整個系統(tǒng)里面的操作系統(tǒng)（windows、linux），包括服務器和運維終端，在測評里主機安全被歸類為安全計算環(huán)境模塊（網(wǎng)絡設備、安全設備、應用系統(tǒng)、數(shù)據(jù)都歸在這個安全計算環(huán)境模塊）。
主機安全也就是在主機層面上所做的安全措施，包括身份鑒別措施、密碼復雜度、密碼定期更換、登錄失敗處理、空閑超時退出、啟用的遠程管理協(xié)議、賬戶權限分配、日志審計功能啟用、入侵/殺毒軟件安裝和更新、數(shù)據(jù)傳輸/存儲的完整性和保密性、剩余信息清除等。這些措施都可以在我們主機上進行配置，當然了，如果在主機層面無法完成，也可以在網(wǎng)絡層進行一些補償措施。

二、測評要求及建議

等保三級主機測評要求分為身份鑒別、訪問控制、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份恢復測試、剩余信息保護這九大控制點，共有32個測評項。下面對一些常見且容易整改的測評項做下分析。

1、身份鑒別

身份鑒別共四個測評項，主要幾點：密碼復雜度、密碼定期更換、登錄失敗處理、空閑操作超時退出、遠程管理傳輸防竊聽、雙因子。

（1）密碼復雜度、密碼定期更換
整改措施：密碼需包含數(shù)字、大小寫字母、特殊字符，長度8位以上；密碼應定期更換，每90天更換一次。
這項措施主要是為了讓所使用的密碼“長”、“不易猜測”，防止口令暴力破解。

（2）登錄失敗處理、空閑操作超時退出
整改措施：賬戶連續(xù)登錄失敗5-10次，鎖定賬戶一定時間（1-30分鐘）；登錄后無操作5-15分鐘，自動退出登錄狀態(tài)。
這項措施也是為了防止口令暴力破解，連續(xù)登錄失敗鎖定賬戶可以避免攻擊者多次猜測你的密碼。

（3）遠程管理傳輸防竊聽
整改措施：使用加密傳輸協(xié)議，如SSH或RDP加密等。
這項措施主要是防止攻擊者通過網(wǎng)絡抓包獲取到賬號密碼，登錄時傳輸?shù)馁~號密碼如果是明文傳輸，拿到數(shù)據(jù)包就拿到了密碼。

（4）雙因子鑒別
整改措施：除了我們常用的賬號密碼進行認證之外還需要增加一種身份鑒別措施，如指紋、證書、人臉等。而且要求兩種認證方式同時通過才能進行登錄，也就是說兩種認證方式必須是“且”關系而不是“或”關系。
這項措施是為了增加身份鑒別的安全性，也就是再加一道保險鎖，避免攻擊者拿到了你的賬號密碼就能直接登錄你的主機。

2、訪問控制

三級系統(tǒng)訪問控制共七個測評項，包括賬號權限分配、默認賬號名和口令修改、多余賬號清除、賬號權限分離、授權主體確定、訪問粒度細化、安全標記。

（1）賬號權限分配
整改措施：給各個使用的賬號都分配一定權限，避免出現(xiàn)無權限的賬戶或過高權限賬戶。（主機方面只要賬戶創(chuàng)建都至少會默認一個普通賬戶權限，主要是需要避免給普通賬戶分配過高權限）
這項措施是為了給不同賬戶一個權限區(qū)分，避免全是高權限賬戶，容易對系統(tǒng)出現(xiàn)因操作失誤造成的增刪改查。

（2）默認賬號名和口令修改
整改措施：重命名默認賬戶adminstratos、root等并修改他們的默認口令。對沒辦法修改默認賬戶名的（linux系統(tǒng)的root就改不了），可以禁止默認賬號遠程登錄。（有些測評機構(gòu)會認為即使修改了賬戶名，但是用常見的賬戶名如admin、sys等也不行。）
這項措施也是為了防止口令爆破，如果使用默認賬戶名，攻擊者就只需要重復嘗試口令。改了默認賬戶名攻擊者就需要賬戶名、口令一起猜，可以加大攻擊難度。

（3）多余賬號清除
整改措施：刪掉不用的賬號。
這項措施依然是為避免賬號密碼猜測，以及避免賬號已經(jīng)被攻擊者利用了卻發(fā)現(xiàn)不了。多一個賬號，攻擊者就多一分猜測成功的概率。而且多余賬號沒有人用也沒人在意，攻擊者要是已經(jīng)拿到了這個賬號的密碼，再你的系統(tǒng)里進進出出跟穿著夜行衣一樣。

（4）賬號權限分離
整改措施：劃分系統(tǒng)管理員、審計管理員、安全管理員賬戶，并分配不同權限使其可以相互制約。
這項措施是為了避免一個賬戶獨大，如果攻擊者拿到了一個賬戶就有了系統(tǒng)全部權限。賬戶分權限，就像一個公司里有業(yè)務部、有技術部還有個監(jiān)視全體員工的人事部一樣。

（5）授權主體
整改措施：確定一個賬戶進行訪問控制策略的配置。（這項實際測評中不需要該，一般默認權限最高的系統(tǒng)管理員或者安全管理員）
這項措施是為了避免管理混亂，同一套策略要是每個賬戶都可以修改，一個改一點，聽誰的？確定一個賬戶進行策略配置，其他賬戶遵守策略就可以。

（6）訪問粒度細化
整改措施：賬戶為主體，可訪問的系統(tǒng)資源（文件、進程等）為客體，現(xiàn)在的操作系統(tǒng)基本上都能達到主體為用戶級，客體為文件級或進程級，實際測評中不需要改。
這項措施是為了可以更好的進行授權，就是一間城堡三個區(qū)，四百間房子，我給你哪間房子鑰匙你就能進哪間，其他的進不去。（鑰匙就是權限、房子就是系統(tǒng)資源）

（7）安全標記
整改措施：開啟強訪問控制。這時候無論是賬戶還是系統(tǒng)資源都是主體，訪問需要雙方授權，而不是單方面授權。這項需要借助第三方工具，沒有錢是整改不了的，一般為必丟的分數(shù)。
這項措施是為了在訪問上再加一道安全鎖。一間城堡兩個人，四百間房子，每間房子里面都有個扣腳大漢。你手上拿著鑰匙，大漢手上拿著可進入的人員名單。我給你哪間房子鑰匙你不一定能進，必須要你的名字同時在大漢手上的人員名單里，大漢才會讓你進去。而且這里鑰匙和名單也是“且”關系而不是“或”關系。

3、安全審計

三級系統(tǒng)安全審計共四個測評項，包括日志審計啟用及覆蓋類型、審計記錄完善度、審計記錄存儲、審計進程保護。

（1）日志審計啟用及覆蓋類型
整改措施：開啟系統(tǒng)審計功能，審計類型包括系統(tǒng)運行狀態(tài)、登錄審計、訪問審計、參數(shù)修改審計等，且審計應該要覆蓋到所有的賬戶。
這項措施是為了系統(tǒng)操作所有變化都可以有跡可循，說白了就是給系統(tǒng)開監(jiān)控，做了什么、發(fā)生了什么都給記錄下來。

（2）審計記錄完善度
整改措施：審計要包括日期和時間、用戶、事件類型、事件結(jié)果等。如果是開的主機自身審計功能一般不需要改，該記錄的系統(tǒng)的都自動記錄了.但如果是借助第三方審計，比如什么日志分析與審計系統(tǒng)之類的，可能有些版本老舊一些就容易缺日期時間什么的。
這項措施就是要審計內(nèi)容有效，能讓正常人或者分析系統(tǒng)看懂發(fā)生了什么事。記錄事件至少要有時間、人物、做了什么，要是一條日志記錄記了時間、人物，卻沒記做了什么，要這監(jiān)控也沒用…

（3）審計記錄存儲
整改措施：日志轉(zhuǎn)存或定期備份，留存時間（可追溯）滿足180天。日志可以轉(zhuǎn)存到日志審計系統(tǒng)或?qū)С鰜韨浞荨?br> 這項措施就是要記錄可查，因為系統(tǒng)出現(xiàn)故障可能不是今天或者昨天造成的，可能是十天半個前的錯誤設置或者十天半月前就中病毒了，但現(xiàn)在問題才顯現(xiàn)出來，這時候就需要查看之前的日志，找出出現(xiàn)問題的原因，或者做來源追溯。等保要求的180天是有相關法律規(guī)定的，雖然時間我覺得很長，但是也沒辦法了。順便要提一下，根據(jù)我觀查，系統(tǒng)全開審計的情況下，日志量是很大的，如果是存在主機本地，還是要謹慎設置，不然一個星期磁盤就滿了，根本存不了180天。

（4）審計進程保護
整改措施：Linux系統(tǒng)開auditd，Windows系統(tǒng)默認符合。
這項措施就是要求審計不能被隨意中斷，按我的理解是需要給賬戶配權限，不要讓普通賬戶可以關閉審計功能。但在等保里面會將auditd進程稱為審計守護進程，如果是在主機自身進行審計，要求開啟這個進程。而windows則是默認符合的。沒有實驗過auditd開了和沒開有什么區(qū)別，所以不理解，但無所謂，我可以照做，誰讓我需要拿分呢…

4、入侵防范

三級系統(tǒng)主機入侵防范共六個測評項，但實際主機測評中只需要測五項，包括最小化安裝、關閉多余服務和高危端口、接入地址限制、漏洞掃描、入侵檢測，不適用的一項是數(shù)據(jù)輸入有效性校驗。

（1）最小化安裝
整改措施：卸載不需要的程序、軟件。
這項措施是為了避免一些軟件有漏洞或者后續(xù)被發(fā)現(xiàn)有漏洞，進而被攻擊者利用，所以要求不需要用到的軟件、插件全部都不允許安裝。

（2）關閉多余服務和端口
整改措施：關閉系統(tǒng)默認開啟但不需要用到的一些進程、端口。如Linux的telnet，Windows的默認共享、高危端口135、445、137-139等等。
這項措施和上面最小化安裝的目的差不多，主要是防止攻擊者利用這些端口攻擊計算機或者感染計算機病毒，非要說有什么其他用途，可能是不開就不占運行內(nèi)存吧。

（3）接入地址
整改措施：限制遠程管理終端的接入地址范圍，僅允許特地IP遠程登錄。在這處的整改可以通過網(wǎng)絡策略限制，也可以通過主機自身的訪問策略設置。
這項措施是為了避免計算機被嘗試非法訪問，如果主機對所有網(wǎng)絡都開放訪問，那不就所有人都可以嘗試登錄你的系統(tǒng)主機。限制了可訪問的地址僅你們辦公室地址或者指定單個IP，就可以在一定程度上減少主機被攻擊者嘗試訪問的風險。

（4）漏洞掃描
整改措施：定期對主機進行漏洞掃描，掃描出有高危就修復。
這項措施是為了避免系統(tǒng)存在已知漏洞被攻擊者利用。等保測評中一方面要求定期做漏掃，另一方面會在現(xiàn)場對系統(tǒng)再做一次漏掃，有高危就需要修復，有些漏掃設備報的高危也不一定就是高危，如果實際測試這個漏洞不好利用，是可以降風險為中危的。

（5）入侵檢測
整改措施：主機上安裝入侵檢測工具，可進行入侵檢測和報警。
這項措施是為了在系統(tǒng)被入侵時能及時發(fā)現(xiàn)。在我們實際系統(tǒng)部署中我們一般把入侵檢測部署在網(wǎng)絡層，比如在主要網(wǎng)絡節(jié)點上加裝一臺NIPS。但我們系統(tǒng)同一個網(wǎng)絡區(qū)比如說多臺服務器之間或者服務器和運維辦公室之間也是存在數(shù)據(jù)流的，而些數(shù)據(jù)流不一定都能經(jīng)過網(wǎng)絡上部署的NIPS，所以等保上要求在每臺主機上也安裝有入侵檢測工具。當前很多廠商的EDR、IPS都可以通過在主機上安裝插件實現(xiàn)聯(lián)動管理。

5、惡意代碼范

三級系統(tǒng)主機惡意代碼防范只有一個測評項，病毒防范。

（1）病毒防范
整改措施：在主機上安裝殺毒軟件。
這項措施就是為了防病毒，跟我們平時自己電腦上裝個360、火絨什么的一樣。需要注意的是我們大多數(shù)系統(tǒng)的主機一般都是部署在內(nèi)網(wǎng)中，這樣它的病毒特征庫是不會自動更新的，測評中會看我們的病毒庫是不是最新版，所以需要定期下載離線包進行更新。

6、可信驗證

三級系統(tǒng)主機可信驗證也是只有一個測評項。

（1）可信驗證
整改措施：主機上安裝可信根、可信芯片等在系統(tǒng)運行前進行可信驗證。
這項措施應該來說是防病毒和防篡改的，要求在系統(tǒng)運行前就先對系統(tǒng)做一次驗證。但不得不說可信根、可信芯片這種東西先不說它技術在民用方面是否成熟，就算有，每臺設備都要裝，也是買不起的呀?？梢哉f是等保的必丟分數(shù)了。

7、數(shù)據(jù)完整性

三級系統(tǒng)主機數(shù)據(jù)完整性涉及兩個測評項，包括數(shù)據(jù)傳輸完整性、數(shù)據(jù)存儲完整性。

（1）數(shù)據(jù)傳輸完整性
整改措施：使用SSH、RDP進行遠程管理。
這項措施是為了避免數(shù)據(jù)傳輸過程大量丟包或被截獲篡改后重放，也就是對傳輸協(xié)議有一定要求。服務器上的重要數(shù)據(jù)包括它的配置數(shù)據(jù)、鑒別數(shù)據(jù)，這些數(shù)據(jù)傳輸主要是在遠程運維時，所以對遠程管理所用的協(xié)議作出要求。至于主機上存儲的應用系統(tǒng)的業(yè)務數(shù)據(jù)也是重要數(shù)據(jù)，但業(yè)務數(shù)據(jù)會被歸類到應用系統(tǒng)去測評，在主機測評里不做要求。

（2）數(shù)據(jù)存儲完整性
整改措施：使用第三方工具進行存儲完整性校驗。
這項措施是為了保證數(shù)據(jù)的完整性，在主機中鑒別數(shù)據(jù)存儲會默認有一個加密算法，Linux是SHA512，Windows是NTLM Hash，但這兩個算法對鑒別信息的作用到底是保密還是校驗是存在爭議的，所以這分可能得可能不得，要看測評機構(gòu)的標準。而配置數(shù)據(jù)存儲完整性，需要借助第三方工具完成，一般在三級系統(tǒng)里都做不到。

8、數(shù)據(jù)保密性

三級系統(tǒng)主機數(shù)據(jù)完整性涉及兩個測評項，包括數(shù)據(jù)傳輸保密性、數(shù)據(jù)存儲保密性。

（1）數(shù)據(jù)傳輸保密性
整改措施：使用SSH、RDP（RDP注意要開啟加密）進行遠程管理。
這項措施是為了避免數(shù)據(jù)傳輸過程被截獲后讀取，也就是不能明文傳輸。服務器上的重要數(shù)據(jù)包括它的配置數(shù)據(jù)、鑒別數(shù)據(jù)，但是配置數(shù)據(jù)是沒有保密性要求的（配置數(shù)據(jù)存儲同樣沒有保密性要求），所以要看的只是遠程管理時鑒別數(shù)據(jù)的加密。

（2）數(shù)據(jù)存儲保密性
整改措施：使用密碼算法對鑒別數(shù)據(jù)（賬號的密碼）進行存儲加密。
這項措施是為了保證數(shù)據(jù)的完整性，在主機中鑒別數(shù)據(jù)存儲會默認有一個加密算法，Linux是SHA512，Windows是NTLM Hash。

9、數(shù)據(jù)備份恢復

三級系統(tǒng)主機數(shù)據(jù)備份恢復涉及三個測評項，而實際測評當中只需測兩個，包括數(shù)據(jù)定期備份、設備冗余，不適用項是異地備份。

（1）定期備份
整改措施：對主機的主要配置數(shù)據(jù)進行定期備份，并定期進行備份恢復測試。
這項措施是為了當主機配置遭到破壞或篡改時能根據(jù)備份的數(shù)據(jù)快速恢復系統(tǒng)功能，備份恢復測試則是為了確保備份文件是有效的，不然真的要用的時候發(fā)現(xiàn)一堆備份文件沒一個是能用的就完蛋了。至于什么是主要配置數(shù)據(jù)，這個需要根據(jù)你需要的功能去識別，比如說是一臺搭應用的服務器，那設置了開放端口、腳本的文件就是主要配置文件。而實際使用或備份操作當中很難把某些配置文件單獨進行備份（需要用備份工具），甚至可能配置文件全都備份了，到要做恢復的時候其實也沒什么用，本來就幾個配置項，還不如手動重新配。而且進行備份恢復測試的話也不可能在使用著的服務器上直接測試，需要另外花大成本搭測試環(huán)境。所以如果是虛擬服務器就定期做個快照，物理服務器的話這分可以放棄，不用這么折騰。

（2）設備冗余
整改措施：重要設備進行雙機熱冗余部署或集群部署。
這項措施是為了當一臺設備出問題時另一臺設備能支撐起功能，不影響系統(tǒng)繼續(xù)運行，一般在主機測評里把應用服務器、數(shù)據(jù)庫服務器作為重要設備看待。在一些要求高可用的系統(tǒng)里（比如民生、金融、重要工業(yè)等大型系統(tǒng)），會要求所有會影響業(yè)務使用的服務器都需要做熱冗余。這里需要注意，熱冗余和冷備份是有區(qū)別的，一個可能是同時運行（或無縫銜接），一個是一臺掛掉后再啟用另一臺。

10、剩余信息保護

三級系統(tǒng)主機剩余信息保護涉及兩個測評項，包含鑒別信息存儲空間清除、敏感數(shù)據(jù)存儲空間清除。

（1）鑒別信息存儲空間清除
整改措施：清除登錄界面的賬戶名和口令，windows開啟“交互式登錄：不顯示最后的用戶名”。
這項措施的本意是鑒別信息清除時要保證硬盤或內(nèi)存上的存放的鑒別信息要完全清除。以我個人的理解這項其實是為了防止通過技術手段對數(shù)據(jù)進行恢復，從而獲取數(shù)據(jù)，就像我們平時電腦上刪除的數(shù)據(jù)如果沒有覆蓋掉其實是可以恢復的一樣。而在實際操作當中要怎么去鑒別數(shù)據(jù)真的完全被清除了呢？用工具？看操作系統(tǒng)的開發(fā)文檔有沒有寫？寫了就一定是真的嗎？太困難，所以衍生了一個接近但又不完全是的測評方法——用戶退出后清除登錄界面的賬戶名和密碼以及授權信息。Linux一般用SSH，不要記住密碼就可以了，windows有個配置項是“交互式登錄：不顯示最后的用戶名”要開啟。

（2）敏感數(shù)據(jù)存儲空間清除
整改措施：windows開啟“關機：清除虛擬內(nèi)存頁面文件”，Linux配置HISTSIEZ參數(shù)。
這項措施和上一項鑒別信息存儲空間清除是類似的目的，只不過范圍擴大了一點，上一項是主要對鑒別信息，而這一項是對所有的敏感數(shù)據(jù)（配置數(shù)據(jù)、操作指令、存儲的重要數(shù)據(jù)等），發(fā)展過程也和上一項差不多，說白了就是實際太難操作。測評中會檢查windows的“關機：清除虛擬內(nèi)存頁面文件”配置，Linux的HISTSIEZ參數(shù)配置。

以上就是三級等保測評主機涉及的所有測評項。測評當中的涉及設備測評（網(wǎng)絡設備、安全設備）都是大同小異的。整篇文章內(nèi)容均為我去項目組打雜后的個人理解，可以參考，但不一定就正確，有錯誤的地方歡迎指正。文章來源地址http://www.zghlxwxcb.cn/news/detail-444673.html

到了這里，關于網(wǎng)絡安全等級保護測評——主機安全（三級）詳解的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！