安全基線與配置核查技術(shù)與方法

1、安全基線與配置核查技術(shù)與方法公安部第一研究所2014年5月2目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)最早的安全基線安全基線最早可以追溯到上個實際的六十年代美國軍服保密制度，九十年代初期等級保護(hù)立法成為國家法律。1991年歐共體發(fā)布了信息安全評估標(biāo)準(zhǔn)（ITSEC），1999年正式列為國際標(biāo)準(zhǔn)系列ITSEC主要提出了資產(chǎn)的CIA三性：機密性、完整性、可用性的安全屬性，對國際信息安全研發(fā)產(chǎn)生了重要影響，并一直沿用至今。國內(nèi)的安全基線發(fā)展1994年，我國首次頒布中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例1999年推出計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則2

2、007年，信息安全等級保護(hù)管理辦法，GB/T22239-2008“基本要求”和GB/T28448-2012“測評要求”2010年，公安部發(fā)布關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知，覺得在全國部署開展信息安全等保測評工作。安全基線的發(fā)展歷程3國內(nèi)外信息安全評估標(biāo)準(zhǔn)演化視圖45目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)安全運維的困境一漏洞、配置、端口，進(jìn)程、文件，賬號口令，這些都怎么查啊?這么多的設(shè)備,難道要我一臺一臺手工來查嗎？何處開始，有什么工具能幫助我嗎？我又不是安全專家，我怎么知道哪些是安全的？安全運維的困境二老大，這

3、是上個月的報告。系統(tǒng)有X個高危漏洞，Y個配置問題。當(dāng)前的系統(tǒng)到底是安全還是不安全呢？最近一次的安全整改到底有沒有效果呢？安全狀況同比和環(huán)比有什么變化呢？以上問題我們通過什么方式驗證呢？問題分析如何查工作效率工作質(zhì)量工作進(jìn)度怎么量化數(shù)據(jù)價值決策支持何種方式呈現(xiàn)工作效果成果顯現(xiàn)化何處下手，怎么查如何保證效率如何保證質(zhì)量怎么衡量安全與否安全業(yè)務(wù)數(shù)據(jù)價值為安全決策提供支持如何呈現(xiàn)安全效果體系安全工作效果安全成果的可視化我們忽略了什么數(shù)據(jù)庫、中間件是支持業(yè)務(wù)的重要組件，是不是都按照默認(rèn)配置，使用出廠設(shè)置，這些配置是否適用于我們企業(yè)的安全要求，如何發(fā)現(xiàn)潛在的風(fēng)險呢？為了保證業(yè)務(wù)安全，信息系統(tǒng)及數(shù)據(jù)安全，我

4、們部署了很多安全設(shè)備，防火墻、入侵檢測、網(wǎng)絡(luò)設(shè)備、審計系統(tǒng)、安全平臺等等，那么這些安全設(shè)備的自身安全誰來管理呢，端口、進(jìn)程、帳號安全？目前我們的關(guān)注點是保證業(yè)務(wù)安全、數(shù)據(jù)安全，但所有系統(tǒng)平臺的支撐最終還是落實到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支撐才安全目前我們的關(guān)注點是保證業(yè)務(wù)安全、數(shù)據(jù)安全，但所有系統(tǒng)平臺的支撐最終還是落實到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支撐才安全誰來關(guān)注它們的安全安全基線能給煙草用戶帶來什么能夠及時發(fā)現(xiàn)當(dāng)前業(yè)務(wù)應(yīng)用系統(tǒng)所面臨的安全問題并可以提供有效的解決辦法可以成為用戶對業(yè)務(wù)系統(tǒng)進(jìn)行等級合規(guī)的有力檢查和合規(guī)工具，出具符合國家局要求的合規(guī)檢查報告依據(jù)等保和“三全”的要求進(jìn)行自動化檢查（71

5、個指標(biāo)項的檢查要求，35個技術(shù)指標(biāo)，36個管理類，共計380項）安全技術(shù)物理安全物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)安全結(jié)構(gòu)安全訪問控制安全審計入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備防護(hù)主機安全身份鑒別訪問控制安全審計剩余信息保護(hù)入侵防范惡意代碼防范資源控制應(yīng)用安全身份鑒別訪問控制安全審計剩余信息保護(hù)通信完整性通信保密性抗抵賴軟件容錯資源控制數(shù)據(jù)安全及備份恢復(fù)數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)安全管理安全管理制度管理制度制訂和發(fā)布評審和修訂安全管理機構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員安全管理人員錄用人員離崗人員考核安全意識教育和培

6、訓(xùn)外部人員訪問管理系統(tǒng)建設(shè)管理系統(tǒng)定級安全方案設(shè)計產(chǎn)品采購和使用軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)備案等級測評系統(tǒng)運維管理環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理惡意代碼防范管理計算機應(yīng)用管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理安全基線與配置核查安全基線（BaseLine）是保持信息系統(tǒng)安全的機密性、完整性、可用性的最小安全控制，是系統(tǒng)的最小安全保證，最基本的安全要求。安全基線包含配置核查，是人員、技術(shù)、組織、標(biāo)準(zhǔn)的綜合的最低標(biāo)準(zhǔn)要求，同時也還涵蓋管理類和技術(shù)類兩個層面。配置核查是業(yè)務(wù)系統(tǒng)及所屬設(shè)備在特定時期內(nèi)，根據(jù)自身需求、部署環(huán)境和

7、承載業(yè)務(wù)要求應(yīng)滿足的基本安全配置要求合集。13目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)目標(biāo)業(yè)務(wù)系統(tǒng)支持業(yè)務(wù)所需要的支撐系統(tǒng)及應(yīng)用軟件，例如：Tomcat、weblogic、IIS、Apache、Oracle、Mysql操作系統(tǒng)及一些設(shè)備，例如：WindowsLinux、交換路由設(shè)備、防火墻設(shè)備業(yè)務(wù)層支撐支撐層系統(tǒng)實現(xiàn)層什么是安全基線工具安全基線 的根本目的是保障業(yè)務(wù)系統(tǒng)的安全，使業(yè)務(wù)系統(tǒng)的風(fēng)險維持在可控范圍內(nèi)，為了避免人為疏忽或錯誤，或使用默認(rèn)的安全配置，給業(yè)務(wù)系統(tǒng)安全造成風(fēng)險，而制定安全檢查標(biāo)準(zhǔn)，并且采取必要的安全檢查措施，使業(yè)務(wù)系統(tǒng)達(dá)到相

8、對的安全指標(biāo)要求。安全基線檢查工具是采用技術(shù)手段，自動完成安全配置檢查的產(chǎn)品，并提供詳盡的解決方案。安全基線與漏洞的區(qū)別同屬于掃描類產(chǎn)品，同屬主動安全范疇，主動安全的核心是弱點管理，弱點有兩類：漏洞：系統(tǒng)自身固有的安全問題，軟硬件BUG配置缺陷：也叫暴露，一般是配置方面的錯誤，并會被攻擊者利用 相同點來源不同漏洞：系統(tǒng)自身固有的安全問題，軟硬件BUG，是供應(yīng)商的 技術(shù)問題，用戶是無法控制的，與生俱來的配置缺陷：配置是客戶自身的管理問題，配置不當(dāng)，主要包括 了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容檢查方式不同漏洞：黑盒掃描配置缺陷：白盒掃描 不同點安全基線的分類16 基線體系Base Lin

9、e組織機構(gòu)其它人與技術(shù)標(biāo)準(zhǔn)策略對比調(diào)研優(yōu)化篩選對比篩選調(diào)研對比各地區(qū)、行業(yè)內(nèi)及安全廠商多年實踐的基線規(guī)范。篩選出各自基線規(guī)范中的不同點。結(jié)合實際情況，使用反饋，對現(xiàn)有資產(chǎn)的梳理，自定義。優(yōu)化結(jié)合業(yè)務(wù)特點做局部調(diào)整，完善。安全基線規(guī)范梳理的方法論ITIL、ISO27001、三全標(biāo)準(zhǔn)建立安全基線是系統(tǒng)安全運維第一步建立信息系統(tǒng)的安全基線，包括系統(tǒng)安全配置以及重要信息，如：服務(wù)、進(jìn)程、端口、帳號等。安全基線建立的原則是：符合設(shè)備特點生產(chǎn)廠商、上線年限、性能上限、硬件老化適應(yīng)系統(tǒng)特性部署方式和位置、分布能力、存儲能力滿足業(yè)務(wù)需求主要業(yè)務(wù)需求建立合理的安全基線體系18建立安全基線的管理體系的必要性19首

10、先根據(jù)組織狀況，建立一套在當(dāng)前時期或一段時期內(nèi)的“理想化的綜合基線指標(biāo)”，即“基線體系”。這個“基線體系”可以同時包含政策合規(guī)性的需求、自身的安全建設(shè)發(fā)展需求、特殊時期的安全保障需求等。然后通過一些手段（比如自動化的評估工具）對組織現(xiàn)有的安全指標(biāo)進(jìn)行分析。通過對比“理想化的綜合基線指標(biāo)”，形成了一套差距分析結(jié)論。組織自身針對這個差距進(jìn)行適時監(jiān)測、確認(rèn)和跟蹤即可，對任何在此水平以下的情況進(jìn)行預(yù)警或通報，提出“補足差距”的建議方案；而這個“理想化的綜合基線指標(biāo)”就是該組織的最優(yōu)安全狀態(tài)。追求規(guī)避全部風(fēng)險是不現(xiàn)實的，信息系統(tǒng)在達(dá)到這個指標(biāo)水平之后，部分風(fēng)險自然會被轉(zhuǎn)移或降低。如此便可以實現(xiàn)持續(xù)定義升

11、高這個綜合基線指標(biāo)，持續(xù)監(jiān)管和持續(xù)改進(jìn)，可以使每一時期每一階段的安全水平都是可控的。同時，收集完數(shù)據(jù)后，根據(jù)企業(yè)安全狀況進(jìn)行風(fēng)險的度量，輸出結(jié)合政策法規(guī)要求的整體安全建設(shè)報表。合規(guī)落地基本保障量化差距自動化安全基線工具框架安全狀況以及變化趨勢基線策略庫系統(tǒng)快照（當(dāng)前基線指標(biāo)）安全基線指標(biāo)庫21目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)安全配置核查關(guān)注什么網(wǎng)絡(luò)設(shè)備配置主機配置數(shù)據(jù)庫配置中間件配置應(yīng)用配置安全設(shè)備配置系統(tǒng)服務(wù)文件權(quán)限用戶帳號口令策略認(rèn)證授權(quán)網(wǎng)絡(luò)通信日志審計口令策略檢查口令重復(fù)使用次數(shù)限制檢查口令生存周期要求文件權(quán)限檢查關(guān)鍵權(quán)限指派安

12、全要求-取得文件或其他對象的所有權(quán)查看每個共享文件夾的共享權(quán)限，只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾用戶賬號檢查是否禁用guest用戶刪除匿名用戶空鏈接系統(tǒng)服務(wù)檢查是否配置nfs服務(wù)限制檢查是否禁止ctrl_alt_del舉例：具體檢查哪些內(nèi)容認(rèn)證授權(quán)對于VPN用戶，必須按照其訪問權(quán)限不同而進(jìn)行分組，并在訪問控制規(guī)則中對該組的訪問權(quán)限進(jìn)行嚴(yán)格限制。檢查口令生存周期要求配置訪問控制規(guī)則，拒絕對防火墻保護(hù)的系統(tǒng)中常見漏洞所對應(yīng)端口或者服務(wù)的訪問。網(wǎng)絡(luò)通信防火墻以UDP/TCP協(xié)議對外提供服務(wù)，供外部主機進(jìn)行訪問，如作為NTP服務(wù)器、TELNET服務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH服務(wù)器等，

13、應(yīng)配置防火墻，只允許特定主機訪問。日志審計設(shè)備配置遠(yuǎn)程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。檢查項名稱 ：檢查口令重復(fù)使用次數(shù)限制被檢查設(shè)備類型：Windows系列所屬分類 ：賬號口令配置要求： 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，使用戶不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令。檢測方法及判定依據(jù) 檢測步驟:一、進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：查看是否“強制密碼歷史”設(shè)置為“記住5個密碼”判定依據(jù):強制密碼歷史=5則合規(guī)，否則不合規(guī).加固方案參考配置:(1).進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策略”：“強制

14、密碼歷史”設(shè)置為“記住5個密碼”檢查項名稱 ：檢查關(guān)鍵權(quán)限指派安全要求-取得文件或其他對象的所有權(quán)被檢查設(shè)備類型：Windows系列所屬分類 ：認(rèn)證授權(quán)配置要求： 在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators。檢測方法及判定依據(jù) 檢查步驟:一、進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”。判定依據(jù):“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”加固方案參考步驟:(1).進(jìn)入“控制面板-管理工具-本地安全策略”，在“本

15、地策略-用戶權(quán)利指派”：“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組”。舉例：啟用遠(yuǎn)程日志功能檢查項名稱 ：文件與目錄缺省權(quán)限控制被檢查設(shè)備類型：Linux系列所屬分類 ：日志審計配置要求： 設(shè)備配置遠(yuǎn)程日志功能，將需要重點關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。檢測方法及判定依據(jù) 檢測步驟:linux一、查看文件 /etc/syslog.conf或者/etc/rsyslog.conf存在類似如下語句*.*68sue一、查看文件/etc/syslog-ng/syslog-ng.conf,存在類似如下內(nèi)容:destination logserver udp(68 port

16、(514); ;log source(src); destination(logserver); ;判定依據(jù):步驟1或者步驟2滿足其一則合規(guī),否則不合規(guī)加固方案參考步驟:linux1).編輯文件 /etc/syslog.conf或者/etc/rsyslog.conf,增加如下內(nèi)容:*.* suse1)編輯文件/etc/syslog-ng/syslog-ng.conf,增加如下內(nèi)容:destination logserver udp(68 port(514); ;log source(src); destination(logserver); ;#日志服務(wù)器ip視實際情況來確定.2).重啟sys

17、log服務(wù)#/etc/init.d/syslog stop#/etc/init.d/syslog start舉例：啟用遠(yuǎn)程日志功能檢查項名稱 ：檢查是否配置DDOS攻擊防護(hù)被檢查設(shè)備類型：華為防火墻所屬分類 ：協(xié)議安全配置要求： 可打開DOS和DDOS攻擊防護(hù)功能。對攻擊告警。DDOS的攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。維護(hù)人員可通過設(shè)置白名單方式屏蔽部分告警。檢測方法及判定依據(jù) 一、檢測方法執(zhí)行命令 display current-configuration | include defend 檢查判斷 存在如下內(nèi)容則合規(guī)。 firewall defend * enable 備注

18、：*表示任意字符。二、判定依據(jù)防火墻能夠抵御DDoS攻擊，并有相應(yīng)的日志告警。加固方案參考配置操作1）在用戶視圖下執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。 2）執(zhí)行命令firewall defend syn-flood enable，開啟SYN Flood攻擊防范功能。 3）執(zhí)行命令firewall defend syn-flood interface GigabitEthernet 0/0/1 alert-rate 16000 max-rate 500000配置SYN Flood攻擊防范的閾值。4）執(zhí)行命令firewall defend udp-flood enable，開啟UDP F

19、lood攻擊防范功能。5）執(zhí)行命令firewall defend udp-flood interface GigabitEthernet 0/0/1 max-rate 500000配置UDP Flood攻擊防范的閾值。6）執(zhí)行命令firewall defend icmp-flood enable,開啟ICMP Flood攻擊防范功能。7）執(zhí)行命令firewall defend icmp-flood interface GigabitEthernet 0/0/1 max-rate 20000配置ICMP Flood攻擊防范的閾值。檢查項名稱 ：文件與目錄缺省權(quán)限控制所屬分類 ：認(rèn)證授權(quán)配置要求：

20、 控制用戶缺省訪問權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時 應(yīng)屏蔽掉新文件或目錄不應(yīng)有的訪問允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改該用戶的文件或更高限制檢測方法及判定依據(jù) 檢測步驟:查看文件/etc/profile的末尾是否設(shè)置umask值:#awk print $1:$2 /etc/profile|grep umask|tail -n1判定條件:/etc/profile文件末尾存在umask 027加固方案參考步驟:一、首先對/etc/profile進(jìn)行備份#cp /etc/profile /etc/profile.bak二、編輯文件/etc/profile,在文件末尾加上如下內(nèi)容:uma

21、sk 027三、執(zhí)行以下命令讓配置生效#source /etc/profile29目錄什么是安全基線安全基線檢查的技術(shù)方法如何建立一套基線管理體系舉例企業(yè)面臨的困惑與運維挑戰(zhàn)安全基線的工作介紹工作步驟獲取要檢查目標(biāo)的基本信息IP地址設(shè)備類型：Windows/Linux+Apache將安全基線產(chǎn)品接入網(wǎng)絡(luò)（直連檢查），做好準(zhǔn)備。進(jìn)行目標(biāo)設(shè)備的配置核查工作，通過檢查報告導(dǎo)出檢查結(jié)果。結(jié)果分析，確定檢查結(jié)論并給出加固方案。獲取要檢查目標(biāo)的基本信息IP地址系統(tǒng)類型是否安裝數(shù)據(jù)庫是否安裝中間件是否提供登錄信息網(wǎng)絡(luò)是否可達(dá)windowsSQL Serverweblogic是是linuxOracleTomcat否否