当前位置:   article > 正文

基于等级保护梳理服务器安全合规基线_等保二级、三级合规 服务器安全等保基线

等保二级、三级合规 服务器安全等保基线

在这里插入图片描述

背景

作为运维,当对新上架的服务器装完操作系统后,第一步就是对操作系统进行初始化配置来保证配置合规,此时你可能就会有疑问:我们应该初始化哪些参数,有没有相关标准参考呢?要想真正了解进行初始化配置的目的,我们先来科普一下相关法律:

《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。《中华人民共和国网络安全法》规定,等级保护是我国信息安全保障的基本制度。

看到这里,大家可能觉得扯远了,这个和运维有啥关系呢?起初我也是这么认为的,但随着网上各种因删除跑路获刑事件不绝于耳,如果我们的安全意识不足,会不会就发生到我们身上呢?“存在即合理”,等级保护如此重要,那么它是否可以作为我们配置的参考呢?

等级保护级别

我国实行网络安全等级保护制度,等级保护对象分为五个级别,由一到五级别逐渐升高,每一个级别的要求存在差异,级别越高,要求越严格。

  • 一级:自主保护级
  • 二级:指导保护级
  • 三级:监督保护级
  • 四级:强制保护级
  • 五级:专控保护级

其中最常见的是等保二级和等保三级。在我国,“三级等保”是对非银行机构的最高等级保护认证,一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云(服务商)平台和其他重要系统。这一认证由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。

安全通用要求

安全通用要求细分为技术要求和管理要求。其中:

  • 技术要求
    包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”。
  • 管理要求
    包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出,等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。

安全计算环境

针对边界内部提出的安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。我们新上架的服务器属于安全计算环境范畴内,因此需要从以下安全控制点进行相关配置:

身份鉴别

1、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,应实现身份鉴别信息防窃取和防重用。静态口令应在8位以上,由字母、数字、符号等混合组成并每半年更换口令,不允许新设定的口令与前次旧口令相同。应用系统用户口令应在满足口令复杂度要求的基础上定期更换。2、应具有登录失败处理功能,应配置并启用结束会话、限制登录间隔、限制非法登录次数和当登录连接超时自动退出等相关措施。3、当进行远程管理时,应对管理终端进行身份标识和鉴别,采用密码技术防止鉴别信息在网络传输过程中被窃听。4、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

访问控制

1、应对登录的用户分配账户和权限。

2、应重命名或删除默认账户,修改默认账户或预设账户的默认口令。

3、应用系统应对首次登录的用户提示修改默认账户或预设账户的默认口令。

4、应及时删除或停用多余的、过期的账户,避免共享账户的存在。

5、应授予管理用户所需的最小权限,实现管理用户的权限分离。

6、应严格限制默认账户或预设账户的权限,如默认账户和预设账户的权限应为空权限或某单一功能专用权限等。

7、应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。

8、访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。

9、应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

安全审计

1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

2、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

3、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,审计记录保存时间应不少于6个月。

4、应对审计进程进行保护,防止未经授权的中断。

5、对于从互联网客户端登录的应用系统,应在用户登录时提供用户上一次非常用设备成功登录的日期、时间、方法、位置等信息。

6、审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的一致性与正确性。

入侵防范

1、应遵循最小安装的原则,仅安装需要的组件和应用程序。

2、应关闭不需要的系统服务、默认共享和高危端口。

3、应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

4、应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。

5、应能通过使用漏洞扫描工具、人工漏洞排查分析等漏洞检查手段,及时发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

6、应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

7、所有安全计算环境设备应全部专用化,不得进行与业务不相关的操作。

8、应能够有效屏蔽系统技术错误信息,不得将系统产生的错误信息直接或间接反馈到前台界面。

恶意代码防范

1、应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,将其有效阻断并定期统一进行升级和更新防恶意代码库。

2、应建立病毒监控中心,对网络内计算机感染病毒的情况进行监控。

可信验证

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

数据完整性

1、应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

2、应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性

1、应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

2、应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于系统鉴别数据、重要业务数据和个人金融信息中的客户鉴别信息以及与账号结合使用可鉴别用户身份的鉴别辅助信息等个人敏感信息,对于其他直接反应特定自然人某些情况的信息,宜使用密码技术保护其存储过程中的保密性。

数据备份与恢复

1、应提供重要数据的本地数据备份与恢复功能,采取实时备份与异步备份或增量备份与完全备份的方式,增量数据备份每天一次,完全数据备份可根据系统的业务连续性保障相关指标(如RPO,RTO)以及系统数据的重要程度、行业监管要求,制定备份策略。备份介质场外存放,数据保存期限依照国家相关规定。

2、应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。

3、应提供重要数据处理系统的热冗余,保证系统的高可用性。

4、对于同城应用级灾难备份中心,应与生产中心直线距离至少达到30km,可以接管所有核心业务的运行;对于异地应用级灾难备份中心,应与生产中心直线距离至少达到100km。

5、为满足灾难恢复策略的要求,应对关键技术应用的可行性进行验证测试,并记录和保存验证测试的结果。

6、数据备份应至少保存两个副本,且至少一份副本异地存放,完全数据备份至少保证以一个星期为周期的数据冗余。

7、异地灾难备份中心应配备恢复所需的运行环境,并处于就绪状态或运行状态,“就绪状态”指备份中心的所需资源(相关软硬件以及数据等资源)已完全满足但设备CPU还没有运行,“运行状态”指备份中心除所需资源完全满足要求外,CPU也在运行状态。

剩余信息保护

1、应保证操作系统、数据库系统和应用系统用户鉴别信息所在的存储空间被释放或重新分配前得到完全清除,无论这些信息是存放在硬盘上还是内存中。

2、应保证操作系统、数据库系统和应用系统用户存有敏感数据的存储空间被释放或重新分配前得到完全清除,无论这些信息是存放在硬盘上还是内存中。

合规基线配置

安全控制点的范围很广,但是其中的某些方面可以作为我们在操作系统层面的配置依据,因此我们可以从此入手去梳理。

访问鉴权

1、配置尝试密码失败次数超过限制时锁定账户

2、两次密码更改之间的最短间隔为7天或以上

3、配置密码复杂度

4、配置密码有效期为365天或更短

5、密码到期前至少提前7天通知用户

6、禁止重复使用密码

7、限制某些用户及用户组可以访问ssh

8、配置ssh空闲超时间隔

9、配置ssh禁止空密码登录

10、ssh每个允许的最大身份验证尝试不大于4次

网络配置

1、配置/etc/hosts.allow 和 /etc/hosts.deny 允许哪些IP可以访问

2、开发端口配置防火墙规则

3、系统安装防火墙

初始化设置

1、禁用自动挂载

2、安装selinux并运行

3、关闭不需要的系统服务、默认共享和高危端口

4、最小安装的原则,仅安装需要的组件和应用程序

日志与审计

1、收集user/group修改信息事件

2、收集系统管理员操作

3、收集会话启动事件

4、收集登录登出事件

5、收集用户删除文件事件

等等

总结

基于等级保护的了解及安全合规基线的梳理,相信我们对于服务器如何进一步配置有了方向,但是合规基线的配置并不等于就可以在生产环境中直接使用,我们还需要结合经验对服务器的其他参数进行初始化配置优化,如内核、时间同步、DNS等,这样才能真正初始化一台标准化配置的服务器。

对于批量初始化标准化配置,我们可以借助于Ansible Playbook实现安全合规和初始化配置的编排,最终进行标注准化交付。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

2023届全国高校毕业生预计达到1158万人,就业形势严峻;

国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

在这里插入图片描述

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

在这里插入图片描述

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全该如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料
在这里插入图片描述

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

在这里插入图片描述

因篇幅有限,仅展示部分资料
在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料
在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料
在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/908059
推荐阅读
相关标签
  

闽ICP备14008679号