安全基線與配置核查技術(shù)與方法

1、安安全基線與配置核查全基線與配置核查 技術(shù)與方法技術(shù)與方法 公安部第一研究所 2014年5月 2 目錄 什么是安全基線 安全基線檢查的技術(shù)方法 如何建立一套基線管理體系 舉例 企業(yè)面臨的困惑與運(yùn)維挑戰(zhàn) 最早的安全基線最早的安全基線 安全基線最早可以追溯到上個(gè)實(shí)際的六十年代安全基線最早可以追溯到上個(gè)實(shí)際的六十年代美國(guó)軍服保密制度美國(guó)軍服保密制度，九，九 十年代初期等級(jí)保護(hù)立法成為國(guó)家法律。十年代初期等級(jí)保護(hù)立法成為國(guó)家法律。 1991年歐共體發(fā)布了信息安全評(píng)估標(biāo)準(zhǔn)（年歐共體發(fā)布了信息安全評(píng)估標(biāo)準(zhǔn)（ITSEC），），1999年正式列為年正式列為 國(guó)際標(biāo)準(zhǔn)系列國(guó)際標(biāo)準(zhǔn)系列 ITSEC主要提出了資產(chǎn)的

2、主要提出了資產(chǎn)的CIA三三性：機(jī)密性、完整性、可用性的安全屬性性：機(jī)密性、完整性、可用性的安全屬性 ，對(duì)國(guó)際信息安全研發(fā)產(chǎn)生了重要影響，并一直沿用至今。，對(duì)國(guó)際信息安全研發(fā)產(chǎn)生了重要影響，并一直沿用至今。 國(guó)國(guó)內(nèi)的內(nèi)的安安全基線發(fā)展全基線發(fā)展 1994年，我國(guó)首次頒布年，我國(guó)首次頒布中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 1999年推出年推出計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 2007年，年，信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法，GB/T22239-2008“基本要求基本要求 ”和和GB/T28448-20

3、12“測(cè)評(píng)要求測(cè)評(píng)要求” 2010年，公安部發(fā)布年，公安部發(fā)布關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等 級(jí)測(cè)評(píng)工作的通知級(jí)測(cè)評(píng)工作的通知，覺(jué)得在全國(guó)部署開(kāi)展信息安全等保測(cè)評(píng)工作。，覺(jué)得在全國(guó)部署開(kāi)展信息安全等保測(cè)評(píng)工作。 安全基線的發(fā)展歷程 3 國(guó)內(nèi)外信息安全評(píng)估標(biāo)準(zhǔn)演化視圖 4 5 目錄 什么是安全基線 安全基線檢查的技術(shù)方法 如何建立一套基線管理體系 舉例 企業(yè)面臨的困惑與運(yùn)維挑戰(zhàn) 安全運(yùn)維的困境一 漏洞、配置、端口，進(jìn)程、 文件，賬號(hào)口令，這些都 怎么查啊? 這么多的設(shè)備,難道要我 一臺(tái)一臺(tái)手工來(lái)查嗎？ 何處開(kāi)始，有什么工具 能幫助我嗎？

4、我又不是安全專家，我怎 么知道哪些是安全的？ 安全運(yùn)維的困境二 老大，這是上個(gè)月的報(bào)告。 系統(tǒng)有X個(gè)高危漏洞，Y個(gè)配置問(wèn)題。 當(dāng)前的系統(tǒng)到底是安全還是不安全 呢？ 最近一次的安全整改到底有沒(méi)有效 果呢？ 安全狀況同比和環(huán)比有什么變化呢？ 以上問(wèn)題我們通過(guò)什么方式驗(yàn)證呢？ 問(wèn)題分析 何處下手，怎么 查 如何保證 效率 如何保證 質(zhì)量 怎么衡量安全與 否 安全業(yè)務(wù) 數(shù)據(jù)價(jià)值 為安全決 策提供支 持 如何呈現(xiàn)安全效 果 體系安全 工作效果 安全成果 的可視化 我們忽略了什么 數(shù)據(jù)庫(kù)、中間件是支持業(yè)務(wù)的重要數(shù)據(jù)庫(kù)、中間件是支持業(yè)務(wù)的重要 組件，是不是都按照默認(rèn)配置，使組件，是不是都按照默認(rèn)配置，使 用

5、出廠設(shè)置，這些配置是否適用于用出廠設(shè)置，這些配置是否適用于 我們企業(yè)的安全要求，如何發(fā)現(xiàn)潛我們企業(yè)的安全要求，如何發(fā)現(xiàn)潛 在的風(fēng)險(xiǎn)呢？在的風(fēng)險(xiǎn)呢？ 為了保證業(yè)務(wù)安全，信息系統(tǒng)及數(shù)為了保證業(yè)務(wù)安全，信息系統(tǒng)及數(shù) 據(jù)安全，我們部署了很多安全設(shè)備據(jù)安全，我們部署了很多安全設(shè)備 ，防火墻、入侵檢測(cè)、網(wǎng)絡(luò)設(shè)備、，防火墻、入侵檢測(cè)、網(wǎng)絡(luò)設(shè)備、 審計(jì)系統(tǒng)、安全平臺(tái)等等，那么這審計(jì)系統(tǒng)、安全平臺(tái)等等，那么這 些安全設(shè)備的自身安全誰(shuí)來(lái)管理呢些安全設(shè)備的自身安全誰(shuí)來(lái)管理呢 ，端口、進(jìn)程、帳號(hào)安全？，端口、進(jìn)程、帳號(hào)安全？ 目前我們的關(guān)注點(diǎn)是保證業(yè)務(wù)安全、數(shù)目前我們的關(guān)注點(diǎn)是保證業(yè)務(wù)安全、數(shù) 據(jù)安全，但所有系統(tǒng)平臺(tái)

6、的支撐最終還據(jù)安全，但所有系統(tǒng)平臺(tái)的支撐最終還 是落實(shí)到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支是落實(shí)到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支 撐才安全撐才安全 -目前我們的關(guān)注點(diǎn)是保證業(yè)務(wù)安全、數(shù)目前我們的關(guān)注點(diǎn)是保證業(yè)務(wù)安全、數(shù) 據(jù)安全，但所有系統(tǒng)平臺(tái)的支撐最終還據(jù)安全，但所有系統(tǒng)平臺(tái)的支撐最終還 是落實(shí)到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支是落實(shí)到設(shè)備上，設(shè)備安全了，業(yè)務(wù)支 撐才安全撐才安全 誰(shuí)來(lái)關(guān)注它誰(shuí)來(lái)關(guān)注它 們的安全們的安全 安全基線能給煙草用戶帶來(lái)什么 能夠及時(shí)發(fā)現(xiàn)能夠及時(shí)發(fā)現(xiàn) 當(dāng)前業(yè)務(wù)應(yīng)用當(dāng)前業(yè)務(wù)應(yīng)用 系統(tǒng)所面臨的系統(tǒng)所面臨的 安全問(wèn)題并可安全問(wèn)題并可 以提供有效的以提供有效的 解決辦法解決辦法 可以成為用戶可以

7、成為用戶 對(duì)業(yè)務(wù)系統(tǒng)進(jìn)對(duì)業(yè)務(wù)系統(tǒng)進(jìn) 行等級(jí)合規(guī)的行等級(jí)合規(guī)的 有力檢查和合有力檢查和合 規(guī)工具，出具規(guī)工具，出具 符合國(guó)家局要符合國(guó)家局要 求的合規(guī)檢查求的合規(guī)檢查 報(bào)告報(bào)告 依據(jù)等保和依據(jù)等保和 “三全三全”的要的要 求進(jìn)行自動(dòng)化求進(jìn)行自動(dòng)化 檢查（檢查（71個(gè)指?jìng)€(gè)指 標(biāo)項(xiàng)的檢查要標(biāo)項(xiàng)的檢查要 求，求，35個(gè)技術(shù)個(gè)技術(shù) 指標(biāo)，指標(biāo)，36個(gè)管個(gè)管 理類，共計(jì)理類，共計(jì) 380項(xiàng)）項(xiàng)） 安全技術(shù) 物理安全 物理位置的選擇 物理訪問(wèn)控制 防盜竊和防破壞 防雷擊 防火 防水和防潮 防靜電 溫濕度控制 電力供應(yīng) 電磁防護(hù) 網(wǎng)絡(luò)安全 結(jié)構(gòu)安全 訪問(wèn)控制 安全審計(jì) 入侵防范 惡意代碼防范 網(wǎng)絡(luò)設(shè)備防護(hù) 主

8、機(jī)安全 身份鑒別 訪問(wèn)控制 安全審計(jì) 剩余信息保護(hù) 入侵防范 惡意代碼防范 資源控制 應(yīng)用安全 身份鑒別 訪問(wèn)控制 安全審計(jì) 剩余信息保護(hù) 通信完整性 通信保密性 抗抵賴 軟件容錯(cuò) 資源控制 數(shù)據(jù)安全 及備份恢復(fù) 數(shù)據(jù)完整性 數(shù)據(jù)保密性 備份和恢復(fù) 安全管理 安全管理制度 管理制度 制訂和發(fā)布 評(píng)審和修訂 安全管理機(jī)構(gòu) 崗位設(shè)置 人員配備 授權(quán)和審批 溝通和合作 審核和檢查 人員安全管理 人員錄用 人員離崗 人員考核 安全意識(shí)教育和培訓(xùn) 外部人員訪問(wèn)管理 系統(tǒng)建設(shè)管理 系統(tǒng)定級(jí) 安全方案設(shè)計(jì) 產(chǎn)品采購(gòu)和使用 軟件開(kāi)發(fā) 工程實(shí)施 測(cè)試驗(yàn)收 系統(tǒng)交付 系統(tǒng)備案 等級(jí)測(cè)評(píng) 系統(tǒng)運(yùn)維管理 環(huán)境管理 資

9、產(chǎn)管理 介質(zhì)管理 設(shè)備管理 監(jiān)控管理和安全管理中 心 網(wǎng)絡(luò)安全管理 系統(tǒng)安全管理 惡意代碼防范管理 計(jì)算機(jī)應(yīng)用管理 密碼管理 變更管理 備份與恢復(fù)管理 安全事件處置 應(yīng)急預(yù)案管理 安全基線與配置核查 安全基線（安全基線（BaseLine）是保持信息系統(tǒng)安全）是保持信息系統(tǒng)安全 的機(jī)密性、完整性、可用性的最小安全控制，的機(jī)密性、完整性、可用性的最小安全控制， 是系統(tǒng)的最小安全保證，最基本的安全要求。是系統(tǒng)的最小安全保證，最基本的安全要求。 安全基線包含配置核查，是人員、技術(shù)、組織、安全基線包含配置核查，是人員、技術(shù)、組織、 標(biāo)準(zhǔn)的綜合的最低標(biāo)準(zhǔn)要求，同時(shí)也還涵蓋管標(biāo)準(zhǔn)的綜合的最低標(biāo)準(zhǔn)要求，同時(shí)也

10、還涵蓋管 理類和技術(shù)類兩個(gè)層面。理類和技術(shù)類兩個(gè)層面。 配置核查是業(yè)務(wù)系統(tǒng)及所屬設(shè)備在特定時(shí)期內(nèi)，配置核查是業(yè)務(wù)系統(tǒng)及所屬設(shè)備在特定時(shí)期內(nèi)， 根據(jù)自身需求、部署環(huán)境和承載業(yè)務(wù)要求應(yīng)滿根據(jù)自身需求、部署環(huán)境和承載業(yè)務(wù)要求應(yīng)滿 足的基本安全配置要求合集。足的基本安全配置要求合集。 13 目錄 什么是安全基線 安全基線檢查的技術(shù)方法 如何建立一套基線管理體系 舉例 企業(yè)面臨的困惑與運(yùn)維挑戰(zhàn) 目標(biāo)業(yè)務(wù)系統(tǒng) 支持業(yè)務(wù)所需要的支撐系統(tǒng)及應(yīng)用軟件，例如： Tomcat、weblogic、IIS、Apache、Oracle、 Mysql 操作系統(tǒng)及一些設(shè)備，例如：Windows Linux、交換路由設(shè)備、防火

11、墻設(shè)備 業(yè)務(wù)層業(yè)務(wù)層 支撐支撐層支撐支撐層 系統(tǒng)實(shí)現(xiàn)層系統(tǒng)實(shí)現(xiàn)層 什么是安全基線工具什么是安全基線工具 安全基線 的根本目的是保障業(yè)務(wù)系統(tǒng)的安全，使業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)維持在可控范圍內(nèi)，為了 避免人為疏忽或錯(cuò)誤，或使用默認(rèn)的安全配置，給業(yè)務(wù)系統(tǒng)安全造成風(fēng)險(xiǎn)，而制定安全檢 查標(biāo)準(zhǔn)，并且采取必要的安全檢查措施，使業(yè)務(wù)系統(tǒng)達(dá)到相對(duì)的安全指標(biāo)要求。安全基線 檢查工具是采用技術(shù)手段，自動(dòng)完成安全配置檢查的產(chǎn)品，并提供詳盡的解決方案。 安全基線與漏洞的區(qū)別 同屬于掃描類產(chǎn)品，同屬主動(dòng)安全范疇，主動(dòng)安全的核心是 弱點(diǎn)管理，弱點(diǎn)有兩類： 漏洞：系統(tǒng)自身固有的安全問(wèn)題，軟硬件BUG 配置缺陷：也叫暴露，一般是配置方面

12、的錯(cuò)誤，并會(huì)被攻擊者利用 相同點(diǎn) 來(lái)源不同 漏洞：系統(tǒng)自身固有的安全問(wèn)題，軟硬件BUG，是供應(yīng)商的 技術(shù)問(wèn)題，用戶是無(wú)法控制的，與生俱來(lái)的 配置缺陷：配置是客戶自身的管理問(wèn)題，配置不當(dāng)，主要包括 了賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容 檢查方式不同 漏洞：黑盒掃描 配置缺陷：白盒掃描 不同點(diǎn) 安全基線的分類 16 基線體系 Base Line 組織 機(jī)構(gòu) 其它 人與 技術(shù) 標(biāo)準(zhǔn) 策略 對(duì)比 調(diào)研 優(yōu)化篩選 對(duì)比 篩選 調(diào)研 對(duì)比各地區(qū)、行業(yè)內(nèi)及安全 廠商多年實(shí)踐的基線規(guī)范。 篩選出各自基線規(guī)范中的不 同點(diǎn)。 結(jié)合實(shí)際情況，使用反饋， 對(duì)現(xiàn)有資產(chǎn)的梳理，自定義。 優(yōu)化 結(jié)合業(yè)務(wù)特點(diǎn)做局部調(diào)

13、整， 完善。 安全基線規(guī)范梳理的方法論 ITIL、ISO27001、 三全標(biāo)準(zhǔn) 建立安全基線是系統(tǒng)安全運(yùn)維第一步 建立信息系統(tǒng)的安全基線，包括系統(tǒng)安全配置以 及重要信息，如：服務(wù)、進(jìn)程、端口、帳號(hào)等。 安全基線建立的原則是： 符合設(shè)備特點(diǎn) 生產(chǎn)廠商、上線年限、性能上限、硬件老化 適應(yīng)系統(tǒng)特性 部署方式和位置、分布能力、存儲(chǔ)能力 滿足業(yè)務(wù)需求 主要業(yè)務(wù)需求 建立合理的安全基線體系 18 建立安全基線的管理體系的必要性 19 首先根據(jù)組織狀況，建立一套在當(dāng)前時(shí)期或一段時(shí)期內(nèi)的“理想化 的綜合基線指標(biāo)”，即“基線體系”。這個(gè)“基線體系”可以同時(shí)包含政 策合規(guī)性的需求、自身的安全建設(shè)發(fā)展需求、特殊時(shí)期

14、的安全保障需求等。 然后通過(guò)一些手段（比如自動(dòng)化的評(píng)估工具）對(duì)組織現(xiàn)有的安全指 標(biāo)進(jìn)行分析。通過(guò)對(duì)比“理想化的綜合基線指標(biāo)”，形成了一套差距分 析結(jié)論。 組織自身針對(duì)這個(gè)差距進(jìn)行適時(shí)監(jiān)測(cè)、確認(rèn)和跟蹤即可，對(duì)任何在 此水平以下的情況進(jìn)行預(yù)警或通報(bào)，提出“補(bǔ)足差距”的建議方案；而這 個(gè)“理想化的綜合基線指標(biāo)”就是該組織的最優(yōu)安全狀態(tài)。追求規(guī)避全部風(fēng) 險(xiǎn)是不現(xiàn)實(shí)的，信息系統(tǒng)在達(dá)到這個(gè)指標(biāo)水平之后，部分風(fēng)險(xiǎn)自然會(huì)被轉(zhuǎn)移 或降低。 如此便可以實(shí)現(xiàn)持續(xù)定義升高這個(gè)綜合基線指標(biāo)， 持續(xù)監(jiān)管和持續(xù)改進(jìn)，可以使每一時(shí)期每一階段的安全 水平都是可控的。同時(shí)，收集完數(shù)據(jù)后，根據(jù)企業(yè)安全 狀況進(jìn)行風(fēng)險(xiǎn)的度量，輸出結(jié)合

15、政策法規(guī)要求的整體安全 建設(shè)報(bào)表。 合規(guī)落地合規(guī)落地 基本基本 保障保障 量化量化 差距差距 自動(dòng)化安全基線工具框架 安全狀況以及變化趨勢(shì) 基線策略庫(kù) 系統(tǒng)快照（當(dāng)前基線指標(biāo)） 安全運(yùn)行基本要求 安全基線指標(biāo)庫(kù) 21 目錄 什么是安全基線 安全基線檢查的技術(shù)方法 如何建立一套基線管理體系 舉例 企業(yè)面臨的困惑與運(yùn)維挑戰(zhàn) 安全配置核查關(guān)注什么 網(wǎng)絡(luò)設(shè)備配置主機(jī)配置數(shù)據(jù)庫(kù)配置中間件配置應(yīng)用配置安全設(shè)備配置 系統(tǒng)服務(wù) 文件權(quán)限 用戶帳號(hào) 口令策略認(rèn)證授權(quán) 網(wǎng)絡(luò)通信 日志審計(jì) 口令策略 檢查口令重復(fù)使用次數(shù)限制 檢查口令生存周期要求 文件權(quán)限 檢查關(guān)鍵權(quán)限指派安全要求-取得文件 或其他對(duì)象的所有權(quán) 查

16、看每個(gè)共享文件夾的共享權(quán)限，只允 許授權(quán)的賬戶擁有權(quán)限共享此文件夾 用戶賬號(hào) 檢查是否禁用guest用戶 刪除匿名用戶空鏈接 系統(tǒng)服務(wù) 檢查是否配置nfs服務(wù)限制檢查 是否禁止ctrl_alt_del 舉例：具體檢查哪些內(nèi)容 認(rèn)證授權(quán) 對(duì)于VPN用戶，必須按照其訪問(wèn)權(quán)限不 同而進(jìn)行分組，并在訪問(wèn)控制規(guī)則中對(duì) 該組的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格限制。檢查口 令生存周期要求 配置訪問(wèn)控制規(guī)則，拒絕對(duì)防火墻保護(hù) 的系統(tǒng)中常見(jiàn)漏洞所對(duì)應(yīng)端口或者服務(wù) 的訪問(wèn)。 網(wǎng)絡(luò)通信 防火墻以UDP/TCP協(xié)議對(duì)外提供服務(wù) ，供外部主機(jī)進(jìn)行訪問(wèn)，如作為NTP服 務(wù)器、TELNET服務(wù)器、TFTP服務(wù)器、 FTP服務(wù)器、SSH服務(wù)

17、器等，應(yīng)配置防 火墻，只允許特定主機(jī)訪問(wèn)。 日志審計(jì) 設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān) 注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。 檢查項(xiàng)名稱檢查項(xiàng)名稱 ：檢查口令重復(fù)使用次數(shù)限制檢查口令重復(fù)使用次數(shù)限制 被檢查設(shè)備類型：Windows系列 所屬分類 ：賬號(hào)口令 配置要求： 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備，對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置設(shè)備， 使用戶不能重復(fù)使用最近使用戶不能重復(fù)使用最近5次（含次（含5次）內(nèi)已使用的口令。次）內(nèi)已使用的口令。 檢測(cè)方法及 判定依據(jù) 檢測(cè)步驟: 一、進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳戶策略-密碼策 略”：查看是否“強(qiáng)制密碼歷史”設(shè)置為“記

18、住5個(gè)密碼” 判定依據(jù): 強(qiáng)制密碼歷史=5則合規(guī)，否則不合規(guī). 加固方案參考配置參考配置: (1).進(jìn)入進(jìn)入“控制面板控制面板-管理工具管理工具-本地安全策略本地安全策略”，在，在“帳戶策略帳戶策略-密碼策密碼策 略略”：“強(qiáng)制密碼歷史強(qiáng)制密碼歷史”設(shè)置為設(shè)置為“記住記住5個(gè)密碼個(gè)密碼” 檢查項(xiàng)名稱檢查項(xiàng)名稱 ：檢查關(guān)鍵權(quán)限指派安全要求檢查關(guān)鍵權(quán)限指派安全要求-取得文件或其他對(duì)象的所有權(quán)取得文件或其他對(duì)象的所有權(quán) 被檢查設(shè)備類型：Windows系列 所屬分類 ：認(rèn)證授權(quán) 配置要求： 在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給在本地安全設(shè)置中取得文件或其它對(duì)象的所有權(quán)僅指派給Admini

19、strators。 檢測(cè)方法及 判定依據(jù) 檢查步驟: 一、進(jìn)入“控制面板-管理工具-本地安全策略”， 在“本地策略-用戶權(quán)利指派”：查看是否“取得文件或其它對(duì)象的所有 權(quán)”設(shè)置為“只指派給Administrators組”。 判定依據(jù): “取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組” 加固方案參考步驟參考步驟: (1).進(jìn)入進(jìn)入“控制面板控制面板-管理工具管理工具-本地安全策略本地安全策略”，在，在“本地策略本地策略-用戶權(quán)用戶權(quán) 利指派利指派”：“取得文件或其它對(duì)象的所有權(quán)取得文件或其它對(duì)象的所有權(quán)”設(shè)置為設(shè)置為“只指派給只指派給 Administrators組

20、組”。 舉例：?jiǎn)⒂眠h(yuǎn)程日志功能舉例：?jiǎn)⒂眠h(yuǎn)程日志功能 檢查項(xiàng)名稱檢查項(xiàng)名稱 ：文件與目錄缺省權(quán)限控制文件與目錄缺省權(quán)限控制 被檢查設(shè)備類型：Linux系列 所屬分類 ：日志審計(jì) 配置要求： 設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。設(shè)備配置遠(yuǎn)程日志功能，將需要重點(diǎn)關(guān)注的日志內(nèi)容傳輸?shù)饺罩痉?wù)器。 檢測(cè)方法及 判定依據(jù) 檢測(cè)步驟: linux 一、查看文件 /etc/syslog.conf或者/etc/rsyslog.conf存在類似如下語(yǔ)句 *.*68 sue 一、查看文件/etc/syslog-ng/syslog-ng.conf,存在類似如下內(nèi)容

21、: destination logserver udp(68 port(514); ; log source(src); destination(logserver); ; 判定依據(jù): 步驟1或者步驟2滿足其一則合規(guī),否則不合規(guī) 加固方案參考步驟參考步驟: linux 1).編輯文件編輯文件 /etc/syslog.conf或者或者/etc/rsyslog.conf,增加如下內(nèi)容增加如下內(nèi)容: *.* suse 1)編輯文件編輯文件/etc/syslog-ng/syslog-ng.conf,增加如下內(nèi)容增加如下內(nèi)容: destination logserver udp(

22、68 port(514); ; log source(src); destination(logserver); ; #日志服務(wù)器日志服務(wù)器ip視實(shí)際情況來(lái)確定視實(shí)際情況來(lái)確定. 2).重啟重啟syslog服務(wù)服務(wù) #/etc/init.d/syslog stop #/etc/init.d/syslog start 舉例：?jiǎn)⒂眠h(yuǎn)程日志功能舉例：?jiǎn)⒂眠h(yuǎn)程日志功能 檢查項(xiàng)名稱檢查項(xiàng)名稱 ：檢查是否配置檢查是否配置DDOS攻擊防護(hù)攻擊防護(hù) 被檢查設(shè)備類型：華為防火墻 所屬分類 ：協(xié)議安全 配置要求： 可打開(kāi)可打開(kāi)DOS和和DDOS攻擊防護(hù)功能。對(duì)攻擊告警。攻擊防護(hù)功能。對(duì)攻擊

23、告警。 DDOS的攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。維護(hù)人員的攻擊告警的參數(shù)可由維護(hù)人員根據(jù)網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。維護(hù)人員 可通過(guò)設(shè)置白名單方式屏蔽部分告警。可通過(guò)設(shè)置白名單方式屏蔽部分告警。 檢測(cè)方法及 判定依據(jù) 一、檢測(cè)方法 執(zhí)行命令 display current-configuration | include defend 檢查判斷 存在如下 內(nèi)容則合規(guī)。 firewall defend * enable 備注：*表示任意字符。 二、判定依據(jù) 防火墻能夠抵御DDoS攻擊，并有相應(yīng)的日志告警。 加固方案參考配置操作參考配置操作 1）在用戶視圖下執(zhí)行命令）在用戶視圖下執(zhí)行命令sy

24、stem-view，進(jìn)入系統(tǒng)視圖。，進(jìn)入系統(tǒng)視圖。 2）執(zhí)行命令）執(zhí)行命令firewall defend syn-flood enable，開(kāi)啟，開(kāi)啟SYN Flood攻擊防攻擊防 范功能。范功能。 3）執(zhí)行命令）執(zhí)行命令firewall defend syn-flood interface GigabitEthernet 0/0/1 alert-rate 16000 max-rate 500000配置配置SYN Flood攻擊防范的閾值。攻擊防范的閾值。 4）執(zhí)行命令）執(zhí)行命令firewall defend udp-flood enable，開(kāi)啟，開(kāi)啟UDP Flood攻擊防攻擊防 范功能。

25、范功能。 5）執(zhí)行命令）執(zhí)行命令firewall defend udp-flood interface GigabitEthernet 0/0/1 max-rate 500000配置配置UDP Flood攻擊防范的閾值。攻擊防范的閾值。 6）執(zhí)行命令）執(zhí)行命令firewall defend icmp-flood enable,開(kāi)啟開(kāi)啟ICMP Flood攻擊防攻擊防 范功能。范功能。 7）執(zhí)行命令）執(zhí)行命令firewall defend icmp-flood interface GigabitEthernet 0/0/1 max-rate 20000配置配置ICMP Flood攻擊防范的閾值。

26、攻擊防范的閾值。 檢查項(xiàng)名稱檢查項(xiàng)名稱 ：文件與目錄缺省權(quán)限控制文件與目錄缺省權(quán)限控制 所屬分類 ：認(rèn)證授權(quán) 配置要求： 控制用戶缺省訪問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí)控制用戶缺省訪問(wèn)權(quán)限，當(dāng)在創(chuàng)建新文件或目錄時(shí) 應(yīng)屏蔽掉新文件或目錄應(yīng)屏蔽掉新文件或目錄 不應(yīng)有的訪問(wèn)允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改不應(yīng)有的訪問(wèn)允許權(quán)限。防止同屬于該組的其它用戶及別的組的用戶修改 該用戶的文件或更高限制該用戶的文件或更高限制 檢測(cè)方法及 判定依據(jù) 檢測(cè)步驟: 查看文件/etc/profile的末尾是否設(shè)置umask值: #awk print $1:$2 /etc/profile|grep um

27、ask|tail -n1 判定條件: /etc/profile文件末尾存在umask 027 加固方案參考步驟: 一、首先對(duì)/etc/profile進(jìn)行備份 #cp /etc/profile /etc/profile.bak 二、編輯文件/etc/profile,在文件末尾加上如下內(nèi)容: umask 027 三、執(zhí)行以下命令讓配置生效 #source /etc/profile 29 目錄 什么是安全基線 安全基線檢查的技術(shù)方法 如何建立一套基線管理體系 舉例 企業(yè)面臨的困惑與運(yùn)維挑戰(zhàn) 安全基線的工作介紹 工作步驟 獲取要檢查目標(biāo)的基本信息 IP地址 設(shè)備類型：Windows/Linux+Apa

28、che 將安全基線產(chǎn)品接入網(wǎng)絡(luò)（直連檢查），做好 準(zhǔn)備。 進(jìn)行目標(biāo)設(shè)備的配置核查工作，通過(guò)檢查報(bào)告 導(dǎo)出檢查結(jié)果。 結(jié)果分析，確定檢查結(jié)論并給出加固方案。 獲取要檢查目標(biāo)的基本信息 IPIP地址地址系統(tǒng)類型系統(tǒng)類型 是否安裝是否安裝 數(shù)數(shù)據(jù)庫(kù)據(jù)庫(kù) 是否安裝是否安裝 中中間件間件 是否提供是否提供 登錄信息登錄信息 網(wǎng)絡(luò)是否網(wǎng)絡(luò)是否 可達(dá)可達(dá) windowswindowsSQL ServerSQL Serverweblogicweblogic是是是是 linuxlinuxOracleOracleTomcatTomcat否否否否 aixaix