分冊2-主機系統(tǒng)安全.doc

中國電信增值業(yè)務平臺安全管理辦法（試行）主機系統(tǒng)安全中國電信集團公司網(wǎng)絡運行維護事業(yè)部二一年七月目錄一. 主機系統(tǒng)安全概述1二. 操作系統(tǒng)安全12.1 補丁狀況及安全防護12.1.1 病毒防范22.1.2 入侵檢測與防范22.2 鑒別與控制22.2.1 身份鑒別22.2.2 口令與帳號32.2.3 遠程訪問控制32.3 系統(tǒng)服務42.4 文件系統(tǒng)安全42.5 日志配置要求52.6 備份與恢復5三. 數(shù)據(jù)庫安全63.1 賬戶策略63.1.1 口令管理63.1.2 遠程訪問控制63.2 審計策略63.3 補丁升級73.4 備份與恢復7中國電信增值業(yè)務平臺安全管理辦法 分冊2-主機系統(tǒng)安全一. 主機系統(tǒng)安全概述主機系統(tǒng)作為信息存儲、傳輸、應用處理的基礎(chǔ)設(shè)施，其自身安全性可能影響整個業(yè)務平臺的安全。作為業(yè)務平臺系統(tǒng)中重要的組成部分，各種業(yè)務系統(tǒng)主機數(shù)量眾多，資產(chǎn)價值高，面臨的安全風險極大。一方面，主機系統(tǒng)是各類業(yè)務系統(tǒng)數(shù)據(jù)和信息的主要載體，這些業(yè)務數(shù)據(jù)和信息是系統(tǒng)信息資產(chǎn)的重要組成部分；另一方面，病毒、攻擊入侵等安全威脅很容易通過訪問主機系統(tǒng)的終端滲透到后臺各種業(yè)務應用和服務主機中，從而對業(yè)務平臺系統(tǒng)的整體安全帶來危害。本規(guī)范制定的目標是統(tǒng)一業(yè)務平臺的主機系統(tǒng)技術(shù)規(guī)范，指導業(yè)務平臺主機的安全配置和維護，從而提高業(yè)務平臺各系統(tǒng)總體安全水平。二. 操作系統(tǒng)安全2.1 補丁狀況及安全防護對于操作系統(tǒng)，安全漏洞的存在是不可避免的，因此需要針對系統(tǒng)的缺陷進行漏洞的修補，但考慮到補丁與現(xiàn)有業(yè)務系統(tǒng)的兼容性不能盲目的進行漏洞修補，漏洞的修復工作必須慎重操作，主機系統(tǒng)的漏洞補丁升級需要滿足以下技術(shù)要求：u 應采用專業(yè)的漏洞掃描、評估技術(shù)對操作系統(tǒng)（如：Windows、Linux、Unix、第三方軟件）進行定期安全評估，并根據(jù)結(jié)果對系統(tǒng)進行修復；u 在對操作系統(tǒng)的補丁進行更新前，應對補丁與現(xiàn)有業(yè)務系統(tǒng)的兼容性進行測試，確認后與系統(tǒng)提供廠商配合進行相應的修復；u 應對操作系統(tǒng)的漏洞發(fā)展情況進行跟蹤，形成詳細的安全更新狀態(tài)報表。u 安裝補丁軟件包則以必要為原則，非必需的包就不裝。2.1.1 病毒防范 考慮現(xiàn)階段類UNIX平臺的病毒風險情況，暫時對UNIX平臺病毒防護不作特別要求，但需要關(guān)注最新UNIX平臺病毒發(fā)展狀況和對已知病毒進行嚴格的防范。 針對業(yè)務平臺中windows平臺主機系統(tǒng)需要采用適當?shù)牟《痉雷o系統(tǒng)進行病毒、惡意代碼等的防治，防病毒系統(tǒng)應滿足如下要求：u 主機系統(tǒng)必須安裝統(tǒng)一的病毒防治產(chǎn)品，應在應用系統(tǒng)廠商指導下部署實時檢測和查殺惡意代碼的軟件產(chǎn)品；u 支持通過防病毒服務器設(shè)置統(tǒng)一的防毒策略，實時防治病毒；u 防病毒系統(tǒng)應自動保持防病毒代碼的更新，或者通過運維操作員進行手動更新。2.1.2 入侵檢測與防范通過主機入侵檢測系統(tǒng)、主機日志系統(tǒng)等主機安全技術(shù)，結(jié)合網(wǎng)絡安全技術(shù)（如網(wǎng)絡入侵檢測系統(tǒng)、防火墻等），實現(xiàn)對各種已知入侵行為的檢測，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。u 應設(shè)定資源報警域值，以便在資源使用超過規(guī)定數(shù)值時發(fā)出報警；u 應進行特定進程監(jiān)控，限制操作人員運行非法進程；u 應進行主機賬戶監(jiān)控，限制對重要賬戶的添加和更改；u 應檢測各種已知的入侵行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；2.2 鑒別與控制2.2.1 身份鑒別身份鑒別用于驗證實體身份（是用戶、計算機、程序等）的過程，該過程確定實體是它所聲稱的身份。由于主機系統(tǒng)承載著應用系統(tǒng)重要的業(yè)務和數(shù)據(jù)信息，這對于業(yè)務平臺系統(tǒng)資產(chǎn)重要性和保護力度來說是重中之重，因此應采用嚴格身份鑒別技術(shù)用于主機系統(tǒng)用戶的身份鑒別，操作系統(tǒng)的身份鑒別應滿足下列技術(shù)要求：u 操作系統(tǒng)用戶的身份標識應具有唯一性；u 應對登錄操作系統(tǒng)的用戶進行身份標識和鑒別；u 操作系統(tǒng)用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期的更新等；u 應具有登錄失敗處理功能，如：結(jié)束會話、限制非法登錄次數(shù)，當?shù)卿涍B接超時，自動退出；u 重要的主機系統(tǒng)應對與之相連的服務器或終端設(shè)備進行身份標識和鑒別。2.2.2 口令與帳號u 操作系統(tǒng)安全的一個重要方面是對有管理權(quán)限訪問計算機資源，或者服務的用戶和組進行管理，從操作系統(tǒng)帳戶角度出發(fā)，帳戶管理應滿足如下的要求：結(jié)合帳號密碼管理策略，對帳號口令、登錄策略等進行控制；u 應采用合適的安全措施，嚴格進行主機系統(tǒng)口令文件的保存；u 用戶對操作系統(tǒng)文件的訪問權(quán)限，應該進行嚴格的限制；u 能限制帳戶的登錄方式，例如桌面登錄、服務登錄、遠程撥號，或者光驅(qū)CD-ROM、軟驅(qū)FDD啟動。2.2.3 遠程訪問控制遠程訪問用于服務器的遠程控制，用戶從任何一點就可以遠程控制主機系統(tǒng)，但遠程訪問管理須具備較高的安全防護能力，防止受到惡意攻擊或利用?？紤]到遠程訪問控制的高風險性，需要應用安全的方式進行，因此遠程訪問控制應滿足下列的安全要求：u 應嚴格限制匿名用戶和默認用戶的訪問權(quán)限；u 支持設(shè)置某一用戶可以進行的最大連接數(shù)；u 遠程訪問的客戶端和服務器端之間的數(shù)據(jù)傳輸應該進行加密；u 應對用戶進行嚴格的訪問控制，應采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權(quán)限，并在他們之間形成相互制約的關(guān)系；u 主機系統(tǒng)應對連接超時進行限制，當用戶登錄設(shè)備后，一段時間未進行操作后，就將自動中斷此用戶的連接；u 應通過設(shè)定終端接入方式、網(wǎng)絡地址、端口范圍等條件限制終端登錄。u 訪問控制的覆蓋范圍應包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；u 應由授權(quán)主體設(shè)置對客體訪問和操作的權(quán)限；2.3 系統(tǒng)服務操作系統(tǒng)中默認開啟很多不必要的服務,考慮到系統(tǒng)的安全性,系統(tǒng)服務應符合如下安全規(guī)范：u 禁用日常工作中不需要使用的服務，減小系統(tǒng)負荷，同時也能降低某些服務中未知的漏洞所帶來的風險。u 通過SNMP服務，遠程惡意用戶可以列舉本地的帳號、帳號組、運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改SNMP配置可以有效防止遠程惡意用戶的這類行為。u Windows自動播放功能存在安全隱患，需要關(guān)閉自動播放功能。u Linux系統(tǒng)應檢查系統(tǒng)openssh安全配置，禁止使用協(xié)議1，和使用root直接登錄u Linux和Unix系統(tǒng)應檢查系統(tǒng)root用戶環(huán)境變量path設(shè)置中是否包含”.”(root為了方便使用在他的當前路徑末尾加了個點.，存在安全隱患)u Soloris系統(tǒng)中應配置使用SSH等加密協(xié)議代替Telnet。2.4 文件系統(tǒng)安全文件系統(tǒng)應符合如下安全規(guī)范：u Windows操作系統(tǒng)應要確保服務器上的所有分區(qū)都使用 NTFS 格式化，NTFS 分區(qū)提供訪問控制和保護功能，這些都是 FAT、FAT32 或 FAT32x 文件系統(tǒng)所無法提供的。u Linux和unix操作系統(tǒng)：1檢查關(guān)鍵文件的屬性, 把重要文件加上不可修改屬性2檢查關(guān)鍵文件的權(quán)限，/etc/shadow 文件屬性應為400，/etc/xinetd.conf 文件屬性應為6003檢查系統(tǒng)umask設(shè)置，新創(chuàng)建的文件屬主讀寫執(zhí)行權(quán)限，同組用戶讀和執(zhí)行權(quán)限，其他用戶無權(quán)限2.5 日志配置要求操作系統(tǒng)日志配置應符合如下安全規(guī)范：u Windows操作系統(tǒng)：加強審核策略，以便出現(xiàn)安全問題后進行追查。設(shè)置日志容量和覆蓋規(guī)則，保證日志存儲。啟用IIS日志記錄，并設(shè)置新日志時間間隔為每天。u Linux和unix操作系統(tǒng)：檢查系統(tǒng)日志審核，系統(tǒng)是否開啟了日志審核設(shè)備應配置日志功能，記錄對與設(shè)備相關(guān)的安全事件。系統(tǒng)日志應對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。2.6 備份與恢復 操作系統(tǒng)的備份主要是指在系統(tǒng)正常、數(shù)據(jù)完好的情況下，對其進行備份；恢復是指由于各種原因?qū)е聰?shù)據(jù)的損壞、業(yè)務中斷，將原備份的數(shù)據(jù)再恢復到當前運行的系統(tǒng)中來，恢復業(yè)務的正常運作。 備份應該采用合適的技術(shù)手段，實現(xiàn)對主機系統(tǒng)進行備份，主要的技術(shù)要求如下：u 應對重要業(yè)務系統(tǒng)文件進行數(shù)據(jù)歸檔，用于日后的查詢、分析；u 應該對系統(tǒng)進行恢復備份；u 應對主機系統(tǒng)進行統(tǒng)一的容災備份； u 應具有對備份操作進行記錄并可查詢的功能。u 有測試環(huán)境的，應考慮每年做一次恢復性測試，以確保備份數(shù)據(jù)的可恢復性。u 備份內(nèi)容應定期（30天）轉(zhuǎn)儲存放到外部介質(zhì)上（如磁帶、光盤、服務器等），且上述外部介質(zhì)應存放在應與業(yè)務系統(tǒng)不同的樓宇內(nèi)。三. 數(shù)據(jù)庫安全3.1 賬戶策略3.1.1 口令管理數(shù)據(jù)庫的口令應符合如下要求：u 應按照用戶分配賬號，避免不同用戶間共享賬號；u 應刪除或鎖定與數(shù)據(jù)庫運行、維護等工作無關(guān)的賬號；u 對于采用靜態(tài)口令進行認證的數(shù)據(jù)庫，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號4類中至少2類；至少90天更新一次。u 更改數(shù)據(jù)庫默認帳號的密碼。u 應限制非法登錄次數(shù)，通常設(shè)置為3次。在使用者嘗試3次登錄都未成功的情況下，就將直接中止連接；3.1.2 遠程訪問控制 考慮到遠程訪問控制的高風險性，因此需要對遠程訪問控制進行嚴格限制，具體安全要求如下：u 應嚴格限制匿名用戶的訪問權(quán)限；u 應嚴格限制數(shù)據(jù)庫管理員的遠程訪問權(quán)限，直接在業(yè)務平臺中使用數(shù)據(jù)管理管理員帳號，如：mysql的root、mssql的sa、oracle的sysdba帳號；u 遠程訪問的客戶端和服務器端之間的數(shù)據(jù)傳輸應該進行加密； u 應對用戶進行嚴格的訪問控制，應采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權(quán)限；u 在某些應用環(huán)境下可設(shè)置數(shù)據(jù)庫連接超時，比如數(shù)據(jù)庫將自動斷開超過10分鐘的空閑遠程連接。3.2 審計策略數(shù)據(jù)庫應配置日志功能需滿足一下技術(shù)要求：u 對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。u 記錄用戶對數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：賬號創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務用戶的話費數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果。u 記錄對與數(shù)據(jù)庫相關(guān)的安全事件。u 應限制有DBA權(quán)限的用戶訪問敏感數(shù)據(jù)。u 數(shù)據(jù)庫監(jiān)聽器（LISTENER）的關(guān)閉和啟動設(shè)置密碼。u 對無法實現(xiàn)上述功能的系統(tǒng)，應嚴格控制數(shù)據(jù)庫帳號，限制直接登錄數(shù)據(jù)庫的帳號數(shù)量。一般人員數(shù)據(jù)操作應通過平臺應用系統(tǒng)維護界面進行，并要求做好應用系統(tǒng)的登錄操作日志管理。u 安全審計應覆蓋到服務器和客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；u 安全審計應記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用；u 安全相關(guān)事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等；u 安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；u 安全審計應可以對特定事件，提供指定方式的實時報警；u 審計進程應受到保護避免受到未預期的中斷；u 審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。3.3 補丁升級數(shù)據(jù)庫補丁升級應符合如下要求：u 升級前應當對數(shù)據(jù)庫進行備份；u 應當安裝最新的大版本補丁；u 應安裝高危遠程緩沖區(qū)溢出漏洞補丁。u 以上補丁操作應與現(xiàn)有業(yè)務系統(tǒng)的兼容性進行測試，確認后與系統(tǒng)提供廠商配合進行相應的修復；3.4 備份與