安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。
安言咨询为企业提供的信息系统全生命周期安全基线工作是以《国家信息系统安全等级保护基本要求》为基础,以相关行业信息安全及风险监管条例安全基线要求、信息安全技术信息系统通用安全技术要求、信息安全技术操作系统安全技术要求、信息安全技术数据库管理系统安全技术要求、信息安全技术服务器安全技术要求为参考,结合互联网应用环境中高危风险威胁分析,及客户方信息系统安全管理和安全技术现状,对服务端操作系统、中间件、数据库、应用系统,针对安全技术方面提出的不同安全等级的保护要求制定基线标准。
安全基线的梳理工作需要对操作系统、中间件、数据库各个版本的特性及区别以及应用系统的安全需求进行调研,并结合和参考客户方已有的安全基线文档,以使新版本的服务端安全基线规范及安全技术手册更快的融入到客户方的实际工作中。
同时,需要对国家信息系统安全等级保护基本要求、行业信息安全及风险监管条例安全基线要求、信息安全技术信息系统通用安全技术要求、信息安全技术操作系统安全技术要求、信息安全技术数据库管理系统安全技术要求、信息安全技术服务器安全技术要求中提到的技术相关内容的要求进行统筹和梳理,并对互联网应用环境中高危风险威胁进行分析和梳理,为服务端安全基线规范的制定提供依据。
1.安全基线规范的规定
以安全基线梳理的内容为依据制定服务端安全基线规范,按照国家信息系统安全等级保护基本要求,对不同等级的系统制定不同的基线要求,同时对服务端不同类型不同版本的操作系统、中间件、数据库和应用系统在用户管理、系统网络通讯、系统资源环境、日志及监控审计等方面的安全基线规范进行制定,以达到对系统运行维护人员完成日常的系统配置和检查工作起到指导作用的目的。
安全基线规范的制定以《国家信息系统安全等级保护基本要求》为基础,以行业信息安全及风险监管条例安全基线要求、信息安全技术信息系统通用安全技术要求、信息安全技术操作系统安全技术要求、信息安全技术数据库管理系统安全技术要求、信息安全技术服务器安全技术要求为参考,结合互联网应用环境中高危风险威胁分析,通过信息系统安全基线规范的使用及配置,实现服务端系统的规范化、标准化管理,统一系统环境,降低安全风险。安全技术手册的编制。
以服务端安全基线规范为依据,针对服务端不同类型不同版本的操作系统、中间件、数据库和应用系统在用户管理、系统网络通讯、系统资源环境、日志及监控审计等方面的安全基线规范,编写与其相对应的安全技术手册,以描述具体的服务端安全配置检查操作步骤。
包含的操作系统、中间件、数据库的类型及版本如下表所示:
服务端安全技术手册对于不同安全等级的内容上,将采用增量式编写,一方面可以避免内容上的重复;另一方面可以更清晰的展现不同安全等级要求上的区别,即:第一级部分表示其适用于一级、二级、三级的安全要求;第二级部分表示其为相对于一级要求新增部分的安全要求,适用于二级、三级;第三级部分表示其为相对于二级要求新增部分的安全要求,仅适用于三级。
业务系统的安全基线建立起来后,可以形成针对不同系统的基本安全要求和checklist要求,为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规性安全检查(上级检查)、日常安全检查等。通过对目标系统展开合规安全检查,找出不符合的项并选择和实施安全措施来控制安全风险。
最后,根据安全基线技术手册编写与其对应的配置脚本。一方面可提高安全基线的配置效率;另一方面可与客户方目前所使用的信息化系统相结合并符合其要求。同时,对编写的配置脚本进行加固验证,以确保配置脚本的有效运行。
2.安全基线库示例
应通过配置系统安全管理工具,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。
基线技术要求
基线标准点(参数)
说明
管理远程工具
安装ssh
openssh为远程管理高安全性工具,可保护管理过程中传输数据的安全
访问控制
安装tcp wrapper,配置/etc/hosts.allow,/etc/hosts.deny
配置本机访问控制列表,提高对主机系统访问控制
用户账号与口令安全
应通过配置用户账号与口令安全策略,提高主机系统账户与口令安全。
基线技术要求
基线标准点(参数)
说明
限制系统无用的默认账号登录
1)daemon
2)bin
3)sys
4)adm
5)uucp
6)nuucp
7)lpd
8)imnadm
9)ldap
10)lp
11)snapp
12)invscout
清理多余用户账号,限制系统默认账号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存
root远程登录
禁止
禁止root远程登录
口令策略
1)maxrepeats=3
2)minlen=8
3)minalpha=4
4)minother=1
5)mindiff=4
6)minage=1
7)maxage=25(可选)
8)histsize=10
1)口令中某一字符最多只能重复3次
2)口令最短为8个字符
3)口令中最少包含4个字母字符
4)口令中最少包含一个非字母数字字符
5)新口令中最少有4个字符和旧口令不同
6)口令最小使用寿命1周
7)口令的最大寿命25周
8)口令不重复的次数10次
ftp用户账号控制
/etc/ftpusers
禁止root用户使用ftp
日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求
基线标准点(参数)
说明
日志记录
记录authlog、wtmp.log、sulog、failedlogin
记录必需的日志信息,以便进行审计
日志存储(可选)
日志必须存储在日志服务器中
使用日志服务器接受与存储主机日志
日志保存要求
2个月
日志必须保存2个月
日志系统配置文件保护
文件属性400(管理员账号只读)
修改日志配置文件(syslog.conf)权限为400
日志文件保护
文件属性400(管理员账号只读)
修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为400