一、身份鑒別
a)應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯一性,身份鑒別信息具有復(fù)
雜度要求并定期更換;
1、應(yīng)核查用戶在登陸時(shí)是否采用了身份鑒別措施;
用戶登錄服務(wù)器需要使用賬戶+賬戶口令。
2、應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識(shí)是否具有唯一性;
(more /etc/passwd)
//查看命令結(jié)果,第三字段不存在相同數(shù)字、用戶名不存在相同名稱。
3、應(yīng)核查用戶配置信息或測(cè)試驗(yàn)證是否不存在空口令用戶;
(more /etc/shadow)
//查看命令結(jié)果,紅框內(nèi)的亂碼表示加密以后的賬戶口令
//紅色框內(nèi)的(!*)號(hào)代表該賬戶已鎖定、或者禁用。
4、應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換。
(more /etc/login.defs)
// 查看命令結(jié)果是否有設(shè)置密碼長(zhǎng)度,復(fù)雜度。
1)PASS_MAX_DAYS=90(密碼登錄有效期時(shí)間)
2)PASS_MIN_DAYS=0(密碼最短修改時(shí)間)
3)PASS_MIN_LEN=8(密碼最小長(zhǎng)度)
4)PASS_WARN_AGE=7(密碼過(guò)期前提前多少天提醒)
4.1、服務(wù)器密碼復(fù)雜的策略
(more/etc/pam.d/system-auth)
//password requisite 里面設(shè)置密碼相關(guān)的策略(pam _cracklib.so策略里)
retry=5(嘗試登錄次數(shù))
authtok_type= difok=3(新密碼與舊密碼有多少位能一樣)
minlen=7(密碼長(zhǎng)度)
ucreddir=-1 (最少包含一個(gè)大寫字母)
lcredit=-3 (最少有三個(gè)小寫字母)
dcredit=-3 (最少有三個(gè)數(shù)字)
b) 應(yīng)具有登錄失敗處理功能,應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施;
1、應(yīng)核查是否配置并啟用了登錄失敗處理功能;
2、應(yīng)核查是否配置并啟用了限制非法登錄功能,非法登錄達(dá)到一定次數(shù)后采取特定動(dòng)作,如賬號(hào)鎖定等;
本地登錄的失敗處理:
(more /etc/pam.d/system-auth)
(more /etc/pam.d/login)
使用SSH遠(yuǎn)程登錄的失敗處理:
(more /etc/pam.d/sshd)
//文件中包含auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_d
eny_root root_unlock_time=10
deny嘗試登錄次數(shù)
time鎖定時(shí)間(秒)
even_deny root (鎖定root賬戶)
2.1本地登錄(system-auth文件)
2.2本地登錄(login文件)
2.3遠(yuǎn)程SSH文件(sshd文件)
3、應(yīng)核查是否配置并啟用了登錄連續(xù)超時(shí)及自動(dòng)退出功能。
(more /etc/profile)
//文件中包含了(TMOUT=300)
c) 當(dāng)進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽;
1、是否運(yùn)行SSHD服務(wù)。
1、是否運(yùn)行SSHD服務(wù)
(systemctl status sshd.service)
或者
(service --status-all |grep sshd)
//檢查命令結(jié)果顯示為:
sshd.service - OpenSSH server daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled)
Active: active (running) since 三 2021-07-14 15:56:20 CST; 43min ago
Main PID: 1414 (sshd)
//running 綠色表示正在運(yùn)行
2、是否打開SSHD服務(wù)對(duì)應(yīng)端口22端口
?.NETstat -an |grep 22)
//查看22端口是否正在被SSHD監(jiān)聽
3、是否打開了Telnet服務(wù)
(systemctl list-unit-files |grep telnet)
//查看命令結(jié)果是否存在telen服務(wù)(應(yīng)為不存在)
4、是否打開了Telnet服務(wù)的對(duì)應(yīng)端口23端口
(netstat -an |grep 23)
//查看23端口是否正在被Telnet監(jiān)聽(應(yīng)為不存在)
d) 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別, 且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。
1、應(yīng)核查是否采用動(dòng)態(tài)口令、數(shù)字證書、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別。
2、應(yīng)核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來(lái)實(shí)現(xiàn)。
//詢問(wèn)管理員,除了輸入密碼登錄還有什么方式能夠進(jìn)行身份鑒別,這個(gè)方法有沒(méi)有采用密碼技術(shù)。
二、訪問(wèn)控制
a) 應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限;
1、應(yīng)核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況;
(umask)
//查看服務(wù)器的umask=0027
2、應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬戶的訪問(wèn)權(quán)限;
(more /etc/shadow)
//查看命令返回結(jié)果 第二字段為(!*)表示該賬戶已鎖定
//uucp、nuucp、lp、adm、shutdown均為默認(rèn)賬戶
3、查看文件的權(quán)限合理性;
(ls -l /etc/passwd)
(ls -l /etc/shadow)
(ls -l /etc/profile)
(ls -l /etc/inet.conf)
(ls -l /etc/rc3.d)
//(開頭D為目錄、L為鏈接、B設(shè)備文件)
//配置文件不大于644、可執(zhí)行文件不大于755(r讀、w寫、x執(zhí)行)
b) 應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令;
1、應(yīng)核查是否已經(jīng)重命名默認(rèn)賬戶或默認(rèn)賬戶已被刪除;
(more /etc/shadow)
//查看命令結(jié)果,是否存在adm、lp、sync、shutdown、halt、mail、uucp、
operator、games、gopher、ftp等默認(rèn)無(wú)用賬戶。
//默認(rèn)情況下一般都沒(méi)更改
2、應(yīng)核查是否已修改默認(rèn)賬戶的默認(rèn)口令;
//詢問(wèn)管理員是否重命名默認(rèn)賬戶與更改默認(rèn)口令。
3、查看root賬戶能否遠(yuǎn)程登錄;
(/etc/ssh/sshd_config)
//查看命令結(jié)果,應(yīng)該為 PermitRootLogin NO(命令前面不能帶#號(hào),否則就算是有也是無(wú)效,#代表注釋改行。)
c) 應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶,避免共享賬戶的存在;
1、應(yīng)核查是否不存在多余或過(guò)期賬戶,管理員用戶與賬戶之間是否一一對(duì)應(yīng);
//詢問(wèn)管理員,是否每個(gè)賬號(hào)對(duì)應(yīng)到個(gè)人
(more /etc/shadow)
//禁用或刪除不需要的系統(tǒng)默認(rèn)賬戶,如games,news,ftp,lp,halt
,shutdown等
//特權(quán)賬戶halt、shutdown是否已被刪除
2、應(yīng)測(cè)試驗(yàn)證多余的、過(guò)期的賬戶是否被刪除或停用;
(more /etc/shadow)
//過(guò)期的賬戶,特權(quán)用戶halt.shutdown已刪除。
3、避免賬戶共用現(xiàn)象存在;
//詢問(wèn)管理員,是否一人一號(hào)登錄系統(tǒng)
d) 應(yīng)授予管理用戶所需的最小權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離;
1、應(yīng)核查是否進(jìn)行角色劃分;
//詢問(wèn)管理員是否建立了,系統(tǒng)管理員、安全管理員、審計(jì)管理員賬戶
2、應(yīng)核查管理用戶的權(quán)限是否已進(jìn)行分離;
(more /etc/passwd)
//第一個(gè)段用戶名
第二個(gè)段密碼標(biāo)志
第三個(gè)字段用戶ID(0代表超級(jí)用戶)
第四個(gè)字段用戶組ID
第五個(gè)字段用戶字端說(shuō)明
第六個(gè)字段用戶家目錄
第七個(gè)字段用戶的命令解釋器
查看是否有除root賬戶外的第三個(gè)字段是0的
3、應(yīng)核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。
(more /etc/sudoers)
//Allow root to run any commands anywhere
root ALL=(ALL) ALL
系統(tǒng)管理員權(quán)限只分配了root用戶
e) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略,訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則;
1、應(yīng)核查是否由授權(quán)主體(如管理用戶)負(fù)責(zé)配置訪問(wèn)控制策略;
// 詢問(wèn)系統(tǒng)管理員, 核查是否由指定授權(quán)人對(duì)操作系統(tǒng)的訪問(wèn)控制權(quán)限進(jìn)行配置。
2、應(yīng)核查授權(quán)主體是否依據(jù)安全策略配置了主體對(duì)客體的訪問(wèn)規(guī)則;
// 核查賬戶權(quán)限配置, 了解是否依據(jù)安全策略配置各賬戶的訪問(wèn)規(guī)則
3、應(yīng)測(cè)試驗(yàn)證用戶是否有可越權(quán)訪問(wèn)情形。
f) 訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí);
1、應(yīng)核查訪問(wèn)控制策略的控制粒度是否達(dá)到主體為用戶級(jí)別或進(jìn)程級(jí),客體為文件、數(shù)據(jù)庫(kù)表、記錄或字段級(jí)。
# ls – 1 /etc
# ls – 1 /tmp
# ls – 1 /etc/passwd
# ls – 1 /etc/shadow
# ls – 1 /etc/security/passwd
# ls – 1 /etc/security/login.cfg
# ls – 1 /etc/security/user
2、使用普通用戶去編輯/etc/passwd文件看是否成功。
(vim /etc/passwd)
//普通用戶無(wú)法編輯
g) 應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記,并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。
1、應(yīng)核查是否對(duì)主體、客體設(shè)置了安全標(biāo)記;例如
(ls -Z(大寫)/etc/passwd)
//-rw-r--r--. root root system_u:object_r:passwd_file_t:s0 /etc/passwd
//服務(wù)器對(duì)重要主體和客體設(shè)置安全標(biāo)記
//第一部分身份標(biāo)識(shí)system_u表示系統(tǒng)程序方面的標(biāo)識(shí)
//user_u表示一般用戶相關(guān)身份標(biāo)識(shí);第二部分角色定義文件進(jìn)程和用戶用途
//object_r表示文件或目錄等資源
//system_r表示進(jìn)程
//第三部分?jǐn)?shù)據(jù)類型
//第四部分限制訪問(wèn)的需要(0-15級(jí))(要求3級(jí))
psswd_file_t:s0(此處起碼需要3級(jí))
2、應(yīng)測(cè)試驗(yàn)證是否依據(jù)主體、客體安全標(biāo)記控制主體對(duì)客體訪問(wèn)的強(qiáng)制訪問(wèn)控制策略。
(more /etc/Selinux/config)
//查看SELinux是否開啟
//SELinux配置
SELINUX=disable表示Selinux關(guān)閉
=ecforcing強(qiáng)制模式
=permissive寬容模式
三、安全審計(jì)
a) 應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì);
1、應(yīng)核查是否開啟了安全審計(jì)功能;
service rsyslog status(安全審計(jì))
//查看命令結(jié)果Active: active (running) 表示正在運(yùn)行
service auditd status(安全審計(jì)守護(hù))
//查看命令結(jié)果Active: active (running) 表示正在運(yùn)行
ps -ef |grep auditd(安全審計(jì)守護(hù)進(jìn)程)
//查看命令結(jié)果發(fā)現(xiàn)有audit進(jìn)程表示進(jìn)程正在開啟
auditctl -s(查看audit模塊是否開啟)
//查看命令結(jié)果(enabled 1“開啟” 0“關(guān)閉”)
//安全審計(jì)
//安全審計(jì)守護(hù)
//安全審計(jì)守護(hù)進(jìn)程
//安全審計(jì)模塊
2、應(yīng)核查安全審計(jì)范圍是否覆蓋到每個(gè)用戶;
查看配置
(日志審核more /etc/rsyslog.conf)
//文件有相關(guān)的審計(jì)策略
(安全事件配more/etc/audit/filter.conf)(通常情況下沒(méi)得這個(gè)文件夾)
//文件有相關(guān)的審計(jì)策略
(日志審核策more/etc/audit/audit.rules)(通常情況下顯示—D -bXXX(xxx代表內(nèi)存))
//文件里面有相關(guān)的安全審計(jì)策略
題外話:審計(jì)的相關(guān)資料
1、/etc/audit/auditd.conf 配置例子
#vi /etc/audit/auditd.conf
#第 5 行設(shè)置日志文件
log_file = /var/log/audit/audit.log
#第 11 行設(shè)置日志文件輪詢的數(shù)目,它是 0~99 之間的數(shù)。如果設(shè)置為小于 2,則不會(huì)循環(huán)日志。如果沒(méi)有設(shè)置 num_logs 值,它就默認(rèn)為 0,意味著從來(lái)不循環(huán)日志文件
num_logs = 5
#第 14 行設(shè)置日志文件是否使用主機(jī)名稱,一般選 NONE
name_format = NONE
#第五行設(shè)置日志文件大小,以兆字節(jié)表示的最大日志文件容量。當(dāng)達(dá)到這個(gè)容量時(shí),會(huì)執(zhí)行 max_log_file _action 指定的動(dòng)作
max_log_file = 6
#第 17 行設(shè)置日志文件到達(dá)最大值后的動(dòng)作,這里選擇 ROTATE(輪詢)
max_log_file_action = ROTATE
2、auditctl 命令簡(jiǎn)介
auditctl 命令是 Linux 用戶空間審計(jì)系統(tǒng)的最主要的部分,命令格式:
1
auditctl [選項(xiàng)] filter,action -S syscall -F condition -k label
主要參數(shù)說(shuō)明見表 1
表 1. auditctl 命令選項(xiàng)
項(xiàng)目 可選參數(shù) 説明
filter user,exit,task,exclude filter 詳細(xì)說(shuō)明哪個(gè)內(nèi)核規(guī)則匹配過(guò)濾器應(yīng)用在事件中。以下是其中之一的與規(guī)則匹配的過(guò)
濾器: task、exit、user 以及 exclude
action always, never 是否審核事件(always 表示是)(never 表示否)
syscall all, 2, open 等 所有的系統(tǒng)調(diào)用都可以在/usr/include/asm/unistd_64.h 文件中找到。許多系統(tǒng)調(diào)用都能形成一個(gè)規(guī)則
condition euid=0, arch=b64 詳細(xì)說(shuō)明其他選項(xiàng),進(jìn)一步修改規(guī)則來(lái)與以特定架構(gòu)、組 ID、進(jìn)程 ID 和其他內(nèi)容為基礎(chǔ)的事件相匹配
label 任意文字 標(biāo)記審核事件并檢索日志
-S 表示系統(tǒng)調(diào)用號(hào)或名字
-F 表示規(guī)則域。
-k 表示設(shè)置審計(jì)規(guī)則上的過(guò)濾關(guān)鍵
3、
audit 審計(jì)規(guī)則分成三個(gè)部分:
控制規(guī)則:這些規(guī)則用于更改審計(jì)系統(tǒng)本身的配置和設(shè)置。
文件系統(tǒng)規(guī)則:這些是文件或目錄監(jiān)視。 使用這些規(guī)則,我們可以審核對(duì)特定文件或目錄的任何類型的訪問(wèn)。
系統(tǒng)調(diào)用規(guī)則:這些規(guī)則用于監(jiān)視由任何進(jìn)程或特定用戶進(jìn)行的系統(tǒng)調(diào)用。
控制規(guī)則
控制規(guī)則可以在/etc/audit/audit.rules 中設(shè)置。主要包括:
-D #刪除所有當(dāng)前裝載的審核規(guī)則#
-b 8192 #在內(nèi)核中設(shè)定最大數(shù)量的已存在的審核緩沖區(qū)為 8Mb#
-e 2 #鎖定審核配置#
文件系統(tǒng)規(guī)則
可以通過(guò) auditctl 命令設(shè)置。監(jiān)控文件系統(tǒng)行為(依靠文件、目錄的權(quán)限屬性來(lái)識(shí)別)
規(guī)則格式:
-w 路徑
-p 權(quán)限
-k 關(guān)鍵字
其中-p 權(quán)限的動(dòng)作分為四種
r — 讀取文件或者目錄。
w — 寫入文件或者目錄。
x — 運(yùn)行文件或者目錄。
a — 改變?cè)谖募蛘吣夸浿械膶傩浴?/p>
例如要監(jiān)控/etc/passwd 文件的修改行為,可以使用這個(gè)命令: #auditctl -w /etc/passwd -p wa
也可以自己將上述內(nèi)容加入到文件/etc/audit/rules.d/audit.rules 中即可實(shí)現(xiàn)對(duì)該文件的監(jiān)視。
3、應(yīng)核查是否對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。
日志總覽;
(aureport -i)
//Range of time in logs:XXXXXXXXXX(日志中的時(shí)間范圍)
Selected time for report:XXXXXXXXXX(選定的報(bào)告時(shí)間)
4、查看日志文件是否有6個(gè)月:
(more /var/log/audit/audit.log.X)(X代表變量,具體看系統(tǒng)存在幾個(gè)日志文件)
(head -10 /var/log/audit/audit.log.X)
(tial -10 /var/log/audit/audit.log.X)
//可以使用head(查看前幾行)、tail(查看末尾幾行)兩個(gè)命令
(msg=audit(1626333001)
//查詢時(shí)間戳,找到最遠(yuǎn)記錄
//https://tool.lu/timestamp/(時(shí)間戳查詢器)
b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;
1、應(yīng)核查審計(jì)記錄信息是否包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。(tail -20/var/log/audit/audit.log(查看最近20行日志);
(tail -20/var/log/audit/audit.log)
//審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果
type(消息類型),msg(時(shí)間、事件ID),syscall(系統(tǒng)調(diào)用類型),
success(此次syscall是否成功),exe(進(jìn)程文件的執(zhí)行路徑)。
c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等;
1、應(yīng)核查是否采取了保護(hù)措施對(duì)審計(jì)記錄進(jìn)行保護(hù);
(ls -l /var/log/audit)查看審計(jì)文件權(quán)限
(ls -l /var/log) 查看目錄權(quán)限
//文件可以有讀取權(quán)限,但不允許有寫入權(quán)限。
2、應(yīng)核查是否采取技術(shù)措施對(duì)審計(jì)記錄進(jìn)行定期備份,并核查其備份策略。
//詢問(wèn)管理員,查看相關(guān)配置。
d) 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷。
1、應(yīng)測(cè)試驗(yàn)證通過(guò)非審計(jì)管理員的其他賬戶來(lái)中斷審計(jì)進(jìn)程,驗(yàn)證審計(jì)進(jìn)程是否受到保護(hù)。
(切換普通用戶:service auditd stop停止守護(hù)進(jìn)程)
//使用普通用戶,結(jié)束審計(jì)進(jìn)程失敗
//部署了第三方審計(jì)工具, 可以實(shí)時(shí)記錄審計(jì)日志, 管理員不可以對(duì)日志進(jìn)行刪除操作
四、入侵防范
a) 應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序;
1、應(yīng)核查是否遵循最小安裝原則;
(yum list installed)
//詢問(wèn)管理員當(dāng)前的安裝包是否存在多余、無(wú)用的服務(wù)
2、應(yīng)核查是否未安裝非必要的組件和應(yīng)用程序;
(cat /etc/redhat-release)
//查看系統(tǒng)版本
b) 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;
1、應(yīng)核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享;
(systemctl list-units --type=service --all)
//詢問(wèn)管理員是否存在多余服務(wù)
(關(guān)閉了shell、login、echo、talk、ntalk、sendmail服務(wù)。)
2、應(yīng)核查是否不存在非必要的高危端口。
(netstat -ntlp或者netstat -anp)
//詢問(wèn)管理員是否存在多余端口
c) 應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制;
1、應(yīng)核查配置文件或參數(shù)是否對(duì)終端接入范圍進(jìn)行限制。
(more /etc/hosts.deny與more /etc/hosts.allow)
//查看文件中是否存在ALL:ALL(禁止所有連接)
//sshd:192.168.1.10/255.255.255.0(允許這個(gè)IP連接)
2、是否采用了從防火墻設(shè)置了對(duì)接入終端的限制;
(systemctl status firewalld)
//查看防火墻是否開啟(Active: active (running)正在運(yùn)行 )
(firewall-cmd --zone=public --list-rich-rules)
//查看防火墻是否有策略
rule family IP類型
source address IP地址
port port 端口號(hào)
protocol 協(xié)議
reject 限制
accept 接觸限制
e) 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過(guò)充分測(cè)試評(píng)估后,及時(shí)修補(bǔ)漏洞;
1、應(yīng)通過(guò)漏洞掃描、滲透測(cè)試等方式核查是否不存在高風(fēng)險(xiǎn)漏洞;
//WEB的服務(wù)使用工具進(jìn)行掃描
2、應(yīng)核查是否在經(jīng)過(guò)充分測(cè)試評(píng)估后及時(shí)修補(bǔ)漏洞。
(more/var/log/secure | grep refused)
3、訪談補(bǔ)丁升級(jí)機(jī)制,查看補(bǔ)丁安裝情況
(rpm -qa |grep patch)
//查看patch版本是多久,去官網(wǎng)核對(duì)。
f) 應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警;
1、應(yīng)訪談并核查是否有入侵檢測(cè)的措施;
(more/var/log/secure | grep refused)
//查看入侵線索
(Find/-name-print)
//入侵檢測(cè)軟件
2、應(yīng)核查在發(fā)生嚴(yán)重入侵事件時(shí)是否提供報(bào)警。
//詢問(wèn)管理員,是否提供了入侵報(bào)警功能,如何報(bào)警。
3、查看主機(jī)防火墻狀態(tài)systemctl status firewalld
(systemctl status firewalld)
//查看防火墻是否開啟(Active: active (running)正在運(yùn)行 )
五、惡意代碼防范
a)應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為,并將其有效阻斷。
1、應(yīng)核查是否安裝了防惡意代碼軟件或相應(yīng)功能的軟件,定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù);
//詢問(wèn)管理員是否安裝了防惡意代碼軟件或相應(yīng)功能的軟件,定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù);
2、應(yīng)核查是否采用主動(dòng)免疫可信驗(yàn)證技術(shù)及時(shí)識(shí)別入侵和病毒行為;
//記錄殺毒工具,軟件版本、病毒庫(kù)版本。
3、應(yīng)核查當(dāng)識(shí)別入侵和病毒行為時(shí)是否將其有效阻斷。
//查看殺毒軟件,殺毒記錄。
六、可信驗(yàn)證
a)可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證, 并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證,在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證 結(jié)果形成審計(jì)記錄送至安全管理中心。
//不適用
七、 數(shù)據(jù)完整性
a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等;
1、應(yīng)核查系統(tǒng)設(shè)計(jì)文檔,鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等在傳輸過(guò)程中是否采用了校驗(yàn)技術(shù)和密碼技術(shù)保證完整性;
//詢問(wèn)管理員,重要數(shù)據(jù)在傳輸?shù)臅r(shí)候使用什么協(xié)議(Linux一般使用SSH協(xié)議)
2、應(yīng)測(cè)試驗(yàn)證在傳輸過(guò)程中對(duì)鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等進(jìn)行篡改、是否能否檢測(cè)到數(shù)據(jù)在傳輸過(guò)程中的完整性收到破壞并能夠及時(shí)恢復(fù)。
//詢問(wèn)管理員,重要數(shù)據(jù)在傳輸?shù)臅r(shí)候使用什么協(xié)議(Linux一般使用SSH協(xié)議),是否有檢查機(jī)制。
b) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
1、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔、數(shù)據(jù)安全保護(hù)系統(tǒng)、終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備中等。
//用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性
八、數(shù)據(jù)保密性
a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等;
1、應(yīng)核查系統(tǒng)設(shè)計(jì)文檔,鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等在傳輸過(guò)程中是否采用密碼技術(shù)保證保密性;
//詢問(wèn)管理員,重要數(shù)據(jù)在傳輸?shù)臅r(shí)候使用什么協(xié)議(Linux一般使用SSH協(xié)議),是否有檢查機(jī)制。
2、應(yīng)通過(guò)嗅探等方式抓取傳輸過(guò)程中的數(shù)據(jù)包,鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等在傳輸過(guò)程中是否進(jìn)行了加密處理。
//詢問(wèn)管理員,重要數(shù)據(jù)在傳輸?shù)臅r(shí)候使用什么協(xié)議(Linux一般使用SSH協(xié)議),是否有檢查機(jī)制。
b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。
1、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件、系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔、數(shù)據(jù)安全保護(hù)系統(tǒng)、終端和服務(wù)器等設(shè)備中的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備和安全設(shè)備中的重要配置數(shù)據(jù)等。
//詢問(wèn)管理員,重要數(shù)據(jù)在傳輸?shù)臅r(shí)候使用什么協(xié)議(Linux一般使用SSH協(xié)議),是否有檢查機(jī)制。
九、數(shù)據(jù)備份恢復(fù)
a) 應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能;
1、應(yīng)核查是否安裝備份策略進(jìn)行本地備份;
//詢問(wèn)管理員是否設(shè)置了備份策略(時(shí)間、備份地點(diǎn)、備份策略(增量、全量))
2、應(yīng)核查備份策略設(shè)置是否合理、配置是否正確;
//查看備份策略
3、應(yīng)核查備份結(jié)果是否與備份策略一致;
//查看備份結(jié)果
4、應(yīng)核查近期恢復(fù)測(cè)試記錄是否能夠進(jìn)行正常的數(shù)據(jù)恢復(fù)。
//詢問(wèn)管理員,近期是否進(jìn)行了備份恢復(fù)測(cè)試。
b) 應(yīng)提供異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地;
1應(yīng)核查是否提供異地實(shí)時(shí)備份功能,并通過(guò)網(wǎng)絡(luò)將重要配置數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地。
//詢問(wèn)管理員是否有異地備份,備份策略是什么(時(shí)間、備份地點(diǎn)、策略(全量、增量))
c) 應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。
1、訪談主機(jī)管理員哪些是重要數(shù)據(jù)處理系統(tǒng), 數(shù)據(jù)處理系統(tǒng)是否有備份機(jī)制,是否采用本地?zé)醾浞菡军c(diǎn)備份或異地活動(dòng)互援備份
2、核查設(shè)備列表,重要數(shù)據(jù)處理系統(tǒng)是否采用熱備服務(wù)器
//應(yīng)核查重要數(shù)據(jù)處理系統(tǒng)
(包括邊界路由器、邊界防火墻、核心交換機(jī)、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等)
是否采用熱冗余方式部署。
十、剩余信息保護(hù)
a) 應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除;
1、應(yīng)核查相關(guān)配置信息或系統(tǒng)設(shè)計(jì)文檔,用戶的鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前是否得到完全清除。
//默認(rèn)符合
b) 應(yīng)保證存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前得到完全清除。
1、應(yīng)核查相關(guān)配置信息或系統(tǒng)設(shè)計(jì)文檔,敏感數(shù)據(jù)所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前是否得到完全清除。
//默認(rèn)符合
十一、個(gè)人信息保護(hù)
a) 應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息;
1、應(yīng)核查采集的用戶個(gè)人信息是否是業(yè)務(wù)應(yīng)用必須的;
2、應(yīng)核查是否制定了相關(guān)用戶個(gè)人信息保護(hù)的管理制度和流程。
//不適用
b) 應(yīng)禁止未授權(quán)訪問(wèn)和非法使用用戶個(gè)人信息;
1、應(yīng)核查是否采用技術(shù)措施限制對(duì)用戶個(gè)人信息的訪問(wèn)和使用;
2、應(yīng)核查是否制定了有關(guān)用戶個(gè)人信息保護(hù)的管理制度和流程;
//不適用
