随着《网络安全法》出台后,等级保护制度上升到法律层面,越来越多的企业需要完成信息系统等级保护测评。根据以往的经验,许多企业因内部服务器众多,在进行服务器安全加固时,存在忘加固、漏加固、少加固等多种问题,因此在进行等保测评时,总能发现一些服务器未进行安全加固或少加固某些内容,为此,安全狗云主机安全产品云眼可为用户主机层面提供方便、快捷、可靠的安全检查服务,以方便用户实时了解自身服务器安全情况,高效通过等级保护测评。
那么等保测评需要对我们主机安全问题进行哪些方面的检测和修复呢,一起来看下吧:
1、身份鉴别:
a)应对登录的用户进行身份标示和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
等保测评项解读:该项主要检查服务器登录用户是否有唯一性,口令长度是否要求8位以上,且必须包含大写字母、小写字母、数字和特殊字符类型中的三种类型,每季度应更换一次口令。通过安全狗云眼-漏洞风险-弱口令,可识别操作系统上账户是否存在弱口令账户与过期账户。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
等保测评项解读:该项主要检查服务器是否开启登录失败处理与未操作自动退出功能,例如登录失败3次锁定账户30分钟,未操作30分钟自动退出。通过安全狗云眼-安全监控-登录监控,可识别通过暴力破解登录的账户,一旦识别成功将自动加入黑名单。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
等保测评项解读:该项主要检查服务器服务器是否开启远程管理服务,如服务器只在本地管理或通过KVM等硬件方式管理则该项符合。若服务器开启远程管理服务时,则需采用加密协议(ssh、https等)进行远程连接。 通过安全狗云眼-资产管理-账号,可快速识别操作系统账户远程登录方式,但Windows RDP默认为低安全加密方式,需在操作系统上开启高安全加密方式。
2、访问控制
a)应对登录的用户分配账户和权限
等保测评项解读:该项主要检查操作系统应具有访问控制模块,并针对相应管理人员分配相关账户
b) 应重命名或删除默认账户,修改默认账户的默认口令;
测评项解读:该项主要检查操作系统是否重命名或删除默认账户,例如Windows系统的administrator、guest等默认账户,liunx系统的root等默认账户
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评项解读:该项需咨询系统管理员,系统上存在账户的使用情况是否与管理员对应,检查是否存在多人共用同一账号的情况
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
测评项解读:该项主要检查系统上是否进行管理账户权限分离(审计员账户、操作员账户、管理员账户),并检查账户权限是否最小化。以上内容可通过安全狗云眼-资产管理-账户,识别操作系统上所有账户,并识别账户相应权限。
3、安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
测评项解读:该项主要检查操作系统上是否开启日志审计功能,并检查审计是否覆盖所有用户的重要行为(用户登录、用户退出、登录失败、增删用户、权限变更、口令修改等)。通过安全狗云眼-安全监控-登录监控/操作审计,可监控操作系统上所有账户登录行为与重要操作行为,云眼支持自定义重要行为。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
测评项解读:该项主要对审计记录的结果内容进行检查,必须包含时间、用户、地点、是否成功等要素。通过安全狗云眼-安全监控-登录监控,可监控操作系统上所有账户登录情况,包含登录IP、登录用户名、登录地点、登录时间。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
测评项解读:该项主要检查操作系统审计记录是否进行备份,且审计记录可溯源天数不小于180天。通过安全狗云眼-安全监控-操作审计,查看云眼的审计记录情况(独立),一定程度上可实现操作系统审计记录备份,且通过可视化审计日志,可定期进行日志分析,发现潜在威胁。
d)应对审计进程进行保护,防止未经授权的中断。
测评项解读:该项主要检查操作系统审计进程是否有进行监控,避免未授权的中断进程。通过安全狗云眼-安全监控-进程监控,可识别审计进程的异常情况,并进行相关报警。
4、入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
测评项解读:该项主要检查操作系统在使用安装和使用阶段,是否安装非必要的系统组件和应用程序。通过安全狗云眼-资产管理-软件应用,可识别操作系统上所有安装的应用程序
b)应关闭不需要的系统服务、默认共享和高危端口;
测评项解读:该项主要检查操作系统是否开启多余服务(如Alerter、Remote Registry Service、Messenger、Task Scheduler等),以及高危端口(135、137、138、139、445等)。通过安全狗云眼-资产管理-端口,可识别主机上的所有端口与相关端口服务。
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
测评项解读:该项主要检查操作系统是否对管理终端进行IP限制,方式可通过本地防火墙或在网络层面实现。
通过云眼-资产管理-端口,可对操作系统上的远程管理端口进行配置,实现远程端口登录限制。
d)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
测评项解读:该项主要检查系统管理员是否定期进行操作系统漏洞扫描,并检查是否针对漏洞扫描服务进行修补。通过安全狗云眼-漏洞风险-系统漏洞,可识别操作系统上的所有漏洞,用户可通过安全建议进行整改。
e)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
测评项解读:该项主要检查操作系统是否安装入侵检测软件,并要求入侵检测软件在发生安全事件时具备报警功能。通过安全狗云眼-入侵威胁-威胁分析,可识别主机上的所有入侵攻击行为,并进行邮件或短信报警。
5、恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
测评项解读:该项主要检查操作系统是否安装防恶意代码软件,并检查软件是否具备自动阻断功能。通过云眼-入侵威胁-病毒木马,可识别操作系统上的所有恶意代码,并自行加入黑名单库,软件特征库可自行设置更新方式。
以上就是安全狗给大家介绍的等保测评主机安全问题项解读的全部内容,希望对各个用户有帮助,如果您对等保测评有任何疑问,可以联系上方全国客服热线进行咨询。