主機(jī)指我們整個(gè)系統(tǒng)里面的操作系統(tǒng)(windows、linux),包括服務(wù)器和運(yùn)維終端,在測(cè)評(píng)里主機(jī)安全被歸類(lèi)為安全計(jì)算環(huán)境模塊(網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)都?xì)w在這個(gè)安全計(jì)算環(huán)境模塊)。
主機(jī)安全也就是在主機(jī)層面上所做的安全措施,包括身份鑒別措施、密碼復(fù)雜度、密碼定期更換、登錄失敗處理、空閑超時(shí)退出、啟用的遠(yuǎn)程管理協(xié)議、賬戶(hù)權(quán)限分配、日志審計(jì)功能啟用、入侵/殺毒軟件安裝和更新、數(shù)據(jù)傳輸/存儲(chǔ)的完整性和保密性、剩余信息清除等。這些措施都可以在我們主機(jī)上進(jìn)行配置,當(dāng)然了,如果在主機(jī)層面無(wú)法完成,也可以在網(wǎng)絡(luò)層進(jìn)行一些補(bǔ)償措施。
三級(jí)主機(jī)測(cè)評(píng)要求分為身份鑒別、訪(fǎng)問(wèn)控制、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份恢復(fù)測(cè)試、剩余信息保護(hù)這九大控制點(diǎn),共有32個(gè)測(cè)評(píng)項(xiàng)。
身份鑒別共四個(gè)測(cè)評(píng)項(xiàng),主要幾點(diǎn):密碼復(fù)雜度、密碼定期更換、登錄失敗處理、空閑操作超時(shí)退出、遠(yuǎn)程管理傳輸防竊聽(tīng)、雙因子。
(1)密碼復(fù)雜度、密碼定期更換
密碼需包含數(shù)字、大小寫(xiě)字母、特殊字符,長(zhǎng)度8位以上;密碼應(yīng)定期更換,每90天更換一次。
這項(xiàng)措施主要是為了讓所使用的密碼“長(zhǎng)”、“不易猜測(cè)”,防止口令暴力破解。
(2)登錄失敗處理、空閑操作超時(shí)退出
賬戶(hù)連續(xù)登錄失敗5-10次,鎖定賬戶(hù)一定時(shí)間(1-30分鐘);登錄后無(wú)操作5-15分鐘,自動(dòng)退出登錄狀態(tài)。
這項(xiàng)措施也是為了防止口令暴力破解,連續(xù)登錄失敗鎖定賬戶(hù)可以避免攻擊者多次猜測(cè)你的密碼。
(3)遠(yuǎn)程管理傳輸防竊聽(tīng)
使用加密傳輸協(xié)議,如SSH或RDP加密等。
這項(xiàng)措施主要是防止攻擊者通過(guò)網(wǎng)絡(luò)抓包獲取到賬號(hào)密碼,登錄時(shí)傳輸?shù)馁~號(hào)密碼如果是明文傳輸,拿到數(shù)據(jù)包就拿到了密碼。
(4)雙因子鑒別
除了我們常用的賬號(hào)密碼進(jìn)行認(rèn)證之外還需要增加一種身份鑒別措施,如指紋、證書(shū)、人臉等。而且要求兩種認(rèn)證方式同時(shí)通過(guò)才能進(jìn)行登錄,也就是說(shuō)兩種認(rèn)證方式必須是“且”關(guān)系而不是“或”關(guān)系。
這項(xiàng)措施是為了增加身份鑒別的安全性,也就是再加一道保險(xiǎn)鎖,避免攻擊者拿到了賬號(hào)密碼就能直接登錄主機(jī)。
訪(fǎng)問(wèn)控制共七個(gè)測(cè)評(píng)項(xiàng),包括賬號(hào)權(quán)限分配、默認(rèn)賬號(hào)名和口令修改、多余賬號(hào)清除、賬號(hào)權(quán)限分離、授權(quán)主體確定、訪(fǎng)問(wèn)粒度細(xì)化、安全標(biāo)記。
(1)賬號(hào)權(quán)限分配
給各個(gè)使用的賬號(hào)都分配一定權(quán)限,避免出現(xiàn)無(wú)權(quán)限的賬戶(hù)或過(guò)高權(quán)限賬戶(hù)。(主機(jī)方面只要賬戶(hù)創(chuàng)建都至少會(huì)默認(rèn)一個(gè)普通賬戶(hù)權(quán)限,主要是需要避免給普通賬戶(hù)分配過(guò)高權(quán)限)
這項(xiàng)措施是為了給不同賬戶(hù)一個(gè)權(quán)限區(qū)分,避免全是高權(quán)限賬戶(hù),容易對(duì)系統(tǒng)出現(xiàn)因操作失誤造成的增刪改查。
(2)默認(rèn)賬號(hào)名和口令修改
重命名默認(rèn)賬戶(hù)adminstratos、root等并修改他們的默認(rèn)口令。對(duì)沒(méi)辦法修改默認(rèn)賬戶(hù)名的(linux系統(tǒng)的root就改不了),可以禁止默認(rèn)賬號(hào)遠(yuǎn)程登錄。(有些測(cè)評(píng)機(jī)構(gòu)會(huì)認(rèn)為即使修改了賬戶(hù)名,但是用常見(jiàn)的賬戶(hù)名如admin、sys等也不行。)
這項(xiàng)措施也是為了防止口令爆破,如果使用默認(rèn)賬戶(hù)名,攻擊者就只需要重復(fù)嘗試口令。改了默認(rèn)賬戶(hù)名攻擊者就需要賬戶(hù)名、口令一起猜,可以加大攻擊難度。
(3)多余賬號(hào)清除
刪掉不用的賬號(hào)。
這項(xiàng)措施依然是為避免賬號(hào)密碼猜測(cè),以及避免賬號(hào)已經(jīng)被攻擊者利用了卻發(fā)現(xiàn)不了。多一個(gè)賬號(hào),攻擊者就多一分猜測(cè)成功的概率。而且多余賬號(hào)沒(méi)有人用也沒(méi)人在意,攻擊者要是已經(jīng)拿到了這個(gè)賬號(hào)的密碼,再你的系統(tǒng)里進(jìn)進(jìn)出出跟穿著夜行衣一樣。
(4)賬號(hào)權(quán)限分離
劃分系統(tǒng)管理員、審計(jì)管理員、安全管理員賬戶(hù),并分配不同權(quán)限使其可以相互制約。
這項(xiàng)措施是為了避免一個(gè)賬戶(hù)獨(dú)大,如果攻擊者拿到了一個(gè)賬戶(hù)就有了系統(tǒng)全部權(quán)限。賬戶(hù)分權(quán)限,就像一個(gè)公司里有業(yè)務(wù)部、有技術(shù)部還有個(gè)監(jiān)視全體員工的人事部一樣。
(5)授權(quán)主體
確定一個(gè)賬戶(hù)進(jìn)行訪(fǎng)問(wèn)控制策略的配置。(這項(xiàng)實(shí)際測(cè)評(píng)中不需要該,一般默認(rèn)權(quán)限最高的系統(tǒng)管理員或者安全管理員)
這項(xiàng)措施是為了避免管理混亂,同一套策略要是每個(gè)賬戶(hù)都可以修改,一個(gè)改一點(diǎn),聽(tīng)誰(shuí)的?確定一個(gè)賬戶(hù)進(jìn)行策略配置,其他賬戶(hù)遵守策略就可以。
(6)訪(fǎng)問(wèn)粒度細(xì)化
賬戶(hù)為主體,可訪(fǎng)問(wèn)的系統(tǒng)資源(文件、進(jìn)程等)為客體,現(xiàn)在的操作系統(tǒng)基本上都能達(dá)到主體為用戶(hù)級(jí),客體為文件級(jí)或進(jìn)程級(jí),實(shí)際測(cè)評(píng)中不需要改。
這項(xiàng)措施是為了可以更好的進(jìn)行授權(quán),就是一間城堡三個(gè)區(qū),四百間房子,我給你哪間房子鑰匙你就能進(jìn)哪間,其他的進(jìn)不去。(鑰匙就是權(quán)限、房子就是系統(tǒng)資源)
(7)安全標(biāo)記
開(kāi)啟強(qiáng)訪(fǎng)問(wèn)控制。這時(shí)候無(wú)論是賬戶(hù)還是系統(tǒng)資源都是主體,訪(fǎng)問(wèn)需要雙方授權(quán),而不是單方面授權(quán)。這項(xiàng)需要借助第三方工具,沒(méi)有錢(qián)是整改不了的,一般為必丟的分?jǐn)?shù)。
這項(xiàng)措施是為了在訪(fǎng)問(wèn)上再加一道安全鎖。一間城堡兩個(gè)人,四百間房子,每間房子里面都有個(gè)扣腳大漢。你手上拿著鑰匙,大漢手上拿著可進(jìn)入的人員名單。我給你哪間房子鑰匙你不一定能進(jìn),必須要你的名字同時(shí)在大漢手上的人員名單里,大漢才會(huì)讓你進(jìn)去。而且這里鑰匙和名單也是“且”關(guān)系而不是“或”關(guān)系。
安全審計(jì)共四個(gè)測(cè)評(píng)項(xiàng),包括日志審計(jì)啟用及覆蓋類(lèi)型、審計(jì)記錄完善度、審計(jì)記錄存儲(chǔ)、審計(jì)進(jìn)程保護(hù)。
(1)日志審計(jì)啟用及覆蓋類(lèi)型
開(kāi)啟系統(tǒng)審計(jì)功能,審計(jì)類(lèi)型包括系統(tǒng)運(yùn)行狀態(tài)、登錄審計(jì)、訪(fǎng)問(wèn)審計(jì)、參數(shù)修改審計(jì)等,且審計(jì)應(yīng)該要覆蓋到所有的賬戶(hù)。
這項(xiàng)措施是為了系統(tǒng)操作所有變化都可以有跡可循,說(shuō)白了就是給系統(tǒng)開(kāi)監(jiān)控,做了什么、發(fā)生了什么都給記錄下來(lái)。
(2)審計(jì)記錄完善度
審計(jì)要包括日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件結(jié)果等。如果是開(kāi)的主機(jī)自身審計(jì)功能一般不需要改,該記錄的系統(tǒng)的都自動(dòng)記錄了.但如果是借助第三方審計(jì),比如什么日志分析與審計(jì)系統(tǒng)之類(lèi)的,可能有些版本老舊一些就容易缺日期時(shí)間什么的。
這項(xiàng)措施就是要審計(jì)內(nèi)容有效,能讓正常人或者分析系統(tǒng)看懂發(fā)生了什么事。記錄事件至少要有時(shí)間、人物、做了什么,要是一條日志記錄記了時(shí)間、人物,卻沒(méi)記做了什么,要這監(jiān)控也沒(méi)用…
(3)審計(jì)記錄存儲(chǔ)
日志轉(zhuǎn)存或定期備份,留存時(shí)間(可追溯)滿(mǎn)足180天。日志可以轉(zhuǎn)存到日志審計(jì)系統(tǒng)或?qū)С鰜?lái)備份。
這項(xiàng)措施就是要記錄可查,因?yàn)橄到y(tǒng)出現(xiàn)故障可能不是今天或者昨天造成的,可能是十天半個(gè)前的錯(cuò)誤設(shè)置或者十天半月前就中病毒了,但現(xiàn)在問(wèn)題才顯現(xiàn)出來(lái),這時(shí)候就需要查看之前的日志,找出出現(xiàn)問(wèn)題的原因,或者做來(lái)源追溯。等保要求的180天是有相關(guān)法律規(guī)定的,雖然時(shí)間我覺(jué)得很長(zhǎng),但是也沒(méi)辦法了。順便要提一下,根據(jù)我觀查,系統(tǒng)全開(kāi)審計(jì)的情況下,日志量是很大的,如果是存在主機(jī)本地,還是要謹(jǐn)慎設(shè)置,不然一個(gè)星期磁盤(pán)就滿(mǎn)了,根本存不了180天。
(4)審計(jì)進(jìn)程保護(hù)
Linux系統(tǒng)開(kāi)auditd,Windows系統(tǒng)默認(rèn)符合。
這項(xiàng)措施就是要求審計(jì)不能被隨意中斷,按我的理解是需要給賬戶(hù)配權(quán)限,不要讓普通賬戶(hù)可以關(guān)閉審計(jì)功能。但在等保里面會(huì)將auditd進(jìn)程稱(chēng)為審計(jì)守護(hù)進(jìn)程,如果是在主機(jī)自身進(jìn)行審計(jì),要求開(kāi)啟這個(gè)進(jìn)程。而windows則是默認(rèn)符合的。沒(méi)有實(shí)驗(yàn)過(guò)auditd開(kāi)了和沒(méi)開(kāi)有什么區(qū)別,所以不理解,但無(wú)所謂,我可以照做,誰(shuí)讓我需要拿分呢…
主機(jī)入侵防范共六個(gè)測(cè)評(píng)項(xiàng),但實(shí)際主機(jī)測(cè)評(píng)中只需要測(cè)五項(xiàng),包括最小化安裝、關(guān)閉多余服務(wù)和高危端口、接入地址限制、漏洞掃描、入侵檢測(cè),不適用的一項(xiàng)是數(shù)據(jù)輸入有效性校驗(yàn)。
(1)最小化安裝
卸載不需要的程序、軟件。
這項(xiàng)措施是為了避免一些軟件有漏洞或者后續(xù)被發(fā)現(xiàn)有漏洞,進(jìn)而被攻擊者利用,所以要求不需要用到的軟件、插件全部都不允許安裝。
(2)關(guān)閉多余服務(wù)和端口
關(guān)閉系統(tǒng)默認(rèn)開(kāi)啟但不需要用到的一些進(jìn)程、端口。如Linux的telnet,Windows的默認(rèn)共享、高危端口135、445、137-139等等。
這項(xiàng)措施和上面最小化安裝的目的差不多,主要是防止攻擊者利用這些端口攻擊計(jì)算機(jī)或者感染計(jì)算機(jī)病毒,非要說(shuō)有什么其他用途,可能是不開(kāi)就不占運(yùn)行內(nèi)存吧。
(3)接入地址
限制遠(yuǎn)程管理終端的接入地址范圍,僅允許特地IP遠(yuǎn)程登錄。在這處的整改可以通過(guò)網(wǎng)絡(luò)策略限制,也可以通過(guò)主機(jī)自身的訪(fǎng)問(wèn)策略設(shè)置。
這項(xiàng)措施是為了避免計(jì)算機(jī)被嘗試非法訪(fǎng)問(wèn),如果主機(jī)對(duì)所有網(wǎng)絡(luò)都開(kāi)放訪(fǎng)問(wèn),那不就所有人都可以嘗試登錄你的系統(tǒng)主機(jī)。限制了可訪(fǎng)問(wèn)的地址僅你們辦公室地址或者指定單個(gè)IP,就可以在一定程度上減少主機(jī)被攻擊者嘗試訪(fǎng)問(wèn)的風(fēng)險(xiǎn)。
(4)漏洞掃描
定期對(duì)主機(jī)進(jìn)行漏洞掃描,掃描出有高危就修復(fù)。
這項(xiàng)措施是為了避免系統(tǒng)存在已知漏洞被攻擊者利用。等保測(cè)評(píng)中一方面要求定期做漏掃,另一方面會(huì)在現(xiàn)場(chǎng)對(duì)系統(tǒng)再做一次漏掃,有高危就需要修復(fù),有些漏掃設(shè)備報(bào)的高危也不一定就是高危,如果實(shí)際測(cè)試這個(gè)漏洞不好利用,是可以降風(fēng)險(xiǎn)為中危的。
(5)入侵檢測(cè)
主機(jī)上安裝入侵檢測(cè)工具,可進(jìn)行入侵檢測(cè)和報(bào)警。
這項(xiàng)措施是為了在系統(tǒng)被入侵時(shí)能及時(shí)發(fā)現(xiàn)。在我們實(shí)際系統(tǒng)部署中我們一般把入侵檢測(cè)部署在網(wǎng)絡(luò)層,比如在主要網(wǎng)絡(luò)節(jié)點(diǎn)上加裝一臺(tái)NIPS。但我們系統(tǒng)同一個(gè)網(wǎng)絡(luò)區(qū)比如說(shuō)多臺(tái)服務(wù)器之間或者服務(wù)器和運(yùn)維辦公室之間也是存在數(shù)據(jù)流的,而些數(shù)據(jù)流不一定都能經(jīng)過(guò)網(wǎng)絡(luò)上部署的NIPS,所以等保上要求在每臺(tái)主機(jī)上也安裝有入侵檢測(cè)工具。當(dāng)前很多廠(chǎng)商的EDR、IPS都可以通過(guò)在主機(jī)上安裝插件實(shí)現(xiàn)聯(lián)動(dòng)管理。
主機(jī)惡意代碼防范只有一個(gè)測(cè)評(píng)項(xiàng),病毒防范。
(1)病毒防范
在主機(jī)上安裝殺毒軟件。
這項(xiàng)措施就是為了防病毒,跟我們平時(shí)自己電腦上裝個(gè)360、火絨什么的一樣。需要注意的是我們大多數(shù)系統(tǒng)的主機(jī)一般都是部署在內(nèi)網(wǎng)中,這樣它的病毒特征庫(kù)是不會(huì)自動(dòng)更新的,測(cè)評(píng)中會(huì)看我們的病毒庫(kù)是不是最新版,所以需要定期下載離線(xiàn)包進(jìn)行更新。
主機(jī)可信驗(yàn)證也是只有一個(gè)測(cè)評(píng)項(xiàng)。
(1)可信驗(yàn)證
主機(jī)上安裝可信根、可信芯片等在系統(tǒng)運(yùn)行前進(jìn)行可信驗(yàn)證。
這項(xiàng)措施應(yīng)該來(lái)說(shuō)是防病毒和防篡改的,要求在系統(tǒng)運(yùn)行前就先對(duì)系統(tǒng)做一次驗(yàn)證。但不得不說(shuō)可信根、可信芯片這種東西先不說(shuō)它技術(shù)在民用方面是否成熟,就算有,每臺(tái)設(shè)備都要裝,也是買(mǎi)不起的呀。可以說(shuō)是等保的必丟分?jǐn)?shù)了。
主機(jī)數(shù)據(jù)完整性涉及兩個(gè)測(cè)評(píng)項(xiàng),包括數(shù)據(jù)傳輸完整性、數(shù)據(jù)存儲(chǔ)完整性。
(1)數(shù)據(jù)傳輸完整性
使用SSH、RDP進(jìn)行遠(yuǎn)程管理。
這項(xiàng)措施是為了避免數(shù)據(jù)傳輸過(guò)程大量丟包或被截獲篡改后重放,也就是對(duì)傳輸協(xié)議有一定要求。服務(wù)器上的重要數(shù)據(jù)包括它的配置數(shù)據(jù)、鑒別數(shù)據(jù),這些數(shù)據(jù)傳輸主要是在遠(yuǎn)程運(yùn)維時(shí),所以對(duì)遠(yuǎn)程管理所用的協(xié)議作出要求。至于主機(jī)上存儲(chǔ)的應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)也是重要數(shù)據(jù),但業(yè)務(wù)數(shù)據(jù)會(huì)被歸類(lèi)到應(yīng)用系統(tǒng)去測(cè)評(píng),在主機(jī)測(cè)評(píng)里不做要求。
(2)數(shù)據(jù)存儲(chǔ)完整性
使用第三方工具進(jìn)行存儲(chǔ)完整性校驗(yàn)。
這項(xiàng)措施是為了保證數(shù)據(jù)的完整性,在主機(jī)中鑒別數(shù)據(jù)存儲(chǔ)會(huì)默認(rèn)有一個(gè)加密算法,Linux是SHA512,Windows是NTLM
Hash,但這兩個(gè)算法對(duì)鑒別信息的作用到底是保密還是校驗(yàn)是存在爭(zhēng)議的,所以這分可能得可能不得,要看測(cè)評(píng)機(jī)構(gòu)的標(biāo)準(zhǔn)。而配置數(shù)據(jù)存儲(chǔ)完整性,需要借助第三方工具完成,一般在三級(jí)系統(tǒng)里都做不到。
主機(jī)數(shù)據(jù)完整性涉及兩個(gè)測(cè)評(píng)項(xiàng),包括數(shù)據(jù)傳輸保密性、數(shù)據(jù)存儲(chǔ)保密性。
(1)數(shù)據(jù)傳輸保密性
使用SSH、RDP(RDP注意要開(kāi)啟加密)進(jìn)行遠(yuǎn)程管理。
這項(xiàng)措施是為了避免數(shù)據(jù)傳輸過(guò)程被截獲后讀取,也就是不能明文傳輸。服務(wù)器上的重要數(shù)據(jù)包括它的配置數(shù)據(jù)、鑒別數(shù)據(jù),但是配置數(shù)據(jù)是沒(méi)有保密性要求的(配置數(shù)據(jù)存儲(chǔ)同樣沒(méi)有保密性要求),所以要看的只是遠(yuǎn)程管理時(shí)鑒別數(shù)據(jù)的加密。
(2)數(shù)據(jù)存儲(chǔ)保密性
使用密碼算法對(duì)鑒別數(shù)據(jù)(賬號(hào)的密碼)進(jìn)行存儲(chǔ)加密。
這項(xiàng)措施是為了保證數(shù)據(jù)的完整性,在主機(jī)中鑒別數(shù)據(jù)存儲(chǔ)會(huì)默認(rèn)有一個(gè)加密算法,Linux是SHA512,Windows是NTLM Hash。
主機(jī)數(shù)據(jù)備份恢復(fù)涉及三個(gè)測(cè)評(píng)項(xiàng),而實(shí)際測(cè)評(píng)當(dāng)中只需測(cè)兩個(gè),包括數(shù)據(jù)定期備份、設(shè)備冗余,不適用項(xiàng)是異地備份。
(1)定期備份
對(duì)主機(jī)的主要配置數(shù)據(jù)進(jìn)行定期備份,并定期進(jìn)行備份恢復(fù)測(cè)試。
這項(xiàng)措施是為了當(dāng)主機(jī)配置遭到破壞或篡改時(shí)能根據(jù)備份的數(shù)據(jù)快速恢復(fù)系統(tǒng)功能,備份恢復(fù)測(cè)試則是為了確保備份文件是有效的,不然真的要用的時(shí)候發(fā)現(xiàn)一堆備份文件沒(méi)一個(gè)是能用的就完蛋了。至于什么是主要配置數(shù)據(jù),這個(gè)需要根據(jù)你需要的功能去識(shí)別,比如說(shuō)是一臺(tái)搭應(yīng)用的服務(wù)器,那設(shè)置了開(kāi)放端口、腳本的文件就是主要配置文件。而實(shí)際使用或備份操作當(dāng)中很難把某些配置文件單獨(dú)進(jìn)行備份(需要用備份工具),甚至可能配置文件全都備份了,到要做恢復(fù)的時(shí)候其實(shí)也沒(méi)什么用,本來(lái)就幾個(gè)配置項(xiàng),還不如手動(dòng)重新配。而且進(jìn)行備份恢復(fù)測(cè)試的話(huà)也不可能在使用著的服務(wù)器上直接測(cè)試,需要另外花大成本搭測(cè)試環(huán)境。所以如果是虛擬服務(wù)器就定期做個(gè)快照,物理服務(wù)器的話(huà)這分可以放棄,不用這么折騰。
(2)設(shè)備冗余
重要設(shè)備進(jìn)行雙機(jī)熱冗余部署或集群部署。
這項(xiàng)措施是為了當(dāng)一臺(tái)設(shè)備出問(wèn)題時(shí)另一臺(tái)設(shè)備能支撐起功能,不影響系統(tǒng)繼續(xù)運(yùn)行,一般在主機(jī)測(cè)評(píng)里把應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器作為重要設(shè)備看待。在一些要求高可用的系統(tǒng)里(比如民生、金融、重要工業(yè)等大型系統(tǒng)),會(huì)要求所有會(huì)影響業(yè)務(wù)使用的服務(wù)器都需要做熱冗余。這里需要注意,熱冗余和冷備份是有區(qū)別的,一個(gè)可能是同時(shí)運(yùn)行(或無(wú)縫銜接),一個(gè)是一臺(tái)掛掉后再啟用另一臺(tái)。
主機(jī)剩余信息保護(hù)涉及兩個(gè)測(cè)評(píng)項(xiàng),包含鑒別信息存儲(chǔ)空間清除、敏感數(shù)據(jù)存儲(chǔ)空間清除。
(1)鑒別信息存儲(chǔ)空間清除
清除登錄界面的賬戶(hù)名和口令,windows開(kāi)啟“交互式登錄:不顯示最后的用戶(hù)名”。
這項(xiàng)措施的本意是鑒別信息清除時(shí)要保證硬盤(pán)或內(nèi)存上的存放的鑒別信息要完全清除。以我個(gè)人的理解這項(xiàng)其實(shí)是為了防止通過(guò)技術(shù)手段對(duì)數(shù)據(jù)進(jìn)行恢復(fù),從而獲取數(shù)據(jù),就像我們平時(shí)電腦上刪除的數(shù)據(jù)如果沒(méi)有覆蓋掉其實(shí)是可以恢復(fù)的一樣。而在實(shí)際操作當(dāng)中要怎么去鑒別數(shù)據(jù)真的完全被清除了呢?用工具?看操作系統(tǒng)的開(kāi)發(fā)文檔有沒(méi)有寫(xiě)?寫(xiě)了就一定是真的嗎?太困難,所以衍生了一個(gè)接近但又不完全是的測(cè)評(píng)方法——用戶(hù)退出后清除登錄界面的賬戶(hù)名和密碼以及授權(quán)信息。Linux一般用SSH,不要記住密碼就可以了,windows有個(gè)配置項(xiàng)是“交互式登錄:不顯示最后的用戶(hù)名”要開(kāi)啟。
(2)敏感數(shù)據(jù)存儲(chǔ)空間清除
windows開(kāi)啟“關(guān)機(jī):清除虛擬內(nèi)存頁(yè)面文件”,Linux配置HISTSIEZ參數(shù)。
這項(xiàng)措施和上一項(xiàng)鑒別信息存儲(chǔ)空間清除是類(lèi)似的目的,只不過(guò)范圍擴(kuò)大了一點(diǎn),上一項(xiàng)是主要對(duì)鑒別信息,而這一項(xiàng)是對(duì)所有的敏感數(shù)據(jù)(配置數(shù)據(jù)、操作指令、存儲(chǔ)的重要數(shù)據(jù)等),發(fā)展過(guò)程也和上一項(xiàng)差不多,說(shuō)白了就是實(shí)際太難操作。測(cè)評(píng)中會(huì)檢查windows的“關(guān)機(jī):清除虛擬內(nèi)存頁(yè)面文件”配置,Linux的HISTSIEZ參數(shù)配置。
以上是三級(jí)等保測(cè)評(píng)主機(jī)涉及的所有測(cè)評(píng)項(xiàng)。測(cè)評(píng)當(dāng)中的涉及設(shè)備測(cè)評(píng)(網(wǎng)絡(luò)設(shè)備、安全設(shè)備)都是大同小異的。整篇文章可參考,但不一定正確,有錯(cuò)誤的地方歡迎指正。
入“等保2.0時(shí)代”以后,我國(guó)對(duì)于等級(jí)保護(hù)的要求更為嚴(yán)格和具體。等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)這三個(gè)詞,也因此總是出現(xiàn)在人們的視野之中,還總是被混淆。那這三者究竟分別是什么呢?如何區(qū)分它們?它們之間有什么聯(lián)系嗎?今天帶大家一起來(lái)了解一下。
概念
信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織和公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件進(jìn)行等級(jí)響應(yīng)、處置。
注意:這里所指的信息系統(tǒng),是指由計(jì)算機(jī)及其相關(guān)、配套的設(shè)備和設(shè)施構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)。信息則是指在信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)字化信息。
背景
圖|等級(jí)保護(hù)政策標(biāo)準(zhǔn)體系
1994年2月頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定:計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法,由公安部會(huì)同有關(guān)部門(mén)制定。
1999年,公安部組織起草了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999),規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí),即第一級(jí):用戶(hù)自主保護(hù)級(jí);第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí);第三級(jí):安全標(biāo)記保護(hù)級(jí);第四級(jí):結(jié)構(gòu)化保護(hù)級(jí);第五級(jí):訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)。GB17859中的分級(jí)是一種技術(shù)的分級(jí),即對(duì)系統(tǒng)客觀上具備的安全保護(hù)技術(shù)能力等級(jí)的劃分。
2002年7月18日,公安部在GB17859的基礎(chǔ)上,又發(fā)布實(shí)施了五個(gè)GA新標(biāo)準(zhǔn),分別是:GA/T 387-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》、GA 388-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》、GA/T 389-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求》、GA/T 390-2002《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》、GA 391-2002 《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》。這些標(biāo)準(zhǔn)是我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)系列標(biāo)準(zhǔn)的一部分。
2004年,在《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)的通知》(簡(jiǎn)稱(chēng)66號(hào)文)中,信息和信息系統(tǒng)的安全保護(hù)等級(jí)被劃分為五級(jí),即第一級(jí):自主保護(hù)級(jí);第二級(jí):指導(dǎo)保護(hù)級(jí);第三級(jí):監(jiān)督保護(hù)級(jí);第四級(jí):強(qiáng)制保護(hù)級(jí);第五級(jí):專(zhuān)控保護(hù)級(jí)。特別強(qiáng)調(diào)的是,66號(hào)文中的分級(jí)主要是從信息和信息系統(tǒng)的業(yè)務(wù)重要性及遭受破壞后的影響出發(fā)的,是系統(tǒng)從應(yīng)用需求出發(fā)必須納入的安全業(yè)務(wù)等級(jí),而不是GB17859中定義的系統(tǒng)已具備的安全技術(shù)等級(jí)。
概念
信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析,判斷安全事件發(fā)生的概率以及可能造成的損失,提出風(fēng)險(xiǎn)管理措施的過(guò)程。
背景
風(fēng)險(xiǎn)評(píng)估不是一個(gè)新概念,金融、電子商務(wù)等許多領(lǐng)域都有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí),就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。國(guó)內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快,具體的評(píng)估方法也在不斷改進(jìn)。風(fēng)險(xiǎn)評(píng)估也從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類(lèi)型的純技術(shù)操作,逐漸過(guò)渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。
2004年,國(guó)務(wù)院信息化工作辦公室組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,這對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。
概念
由具備檢驗(yàn)技術(shù)能力和政府授權(quán)資格的權(quán)威機(jī)構(gòu),依據(jù)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)或相關(guān)技術(shù)規(guī)范,按照嚴(yán)格程序?qū)π畔⑾到y(tǒng)的安全保障能力進(jìn)行的科學(xué)公正的綜合測(cè)試評(píng)估活動(dòng),以幫助系統(tǒng)運(yùn)行單位分析系統(tǒng)當(dāng)前的安全運(yùn)行狀況、查找存在的安全問(wèn)題,并提供安全改進(jìn)建議,從而最大程度地降低系統(tǒng)的安全風(fēng)險(xiǎn)。
注意:認(rèn)證則是對(duì)測(cè)評(píng)活動(dòng)是否符合標(biāo)準(zhǔn)化要求和質(zhì)量管理要求所作的確認(rèn),認(rèn)證以標(biāo)準(zhǔn)和測(cè)評(píng)的結(jié)果作為依據(jù)。
背景
我國(guó)的系統(tǒng)認(rèn)證雖然起步較早,但由于認(rèn)證周期、建設(shè)差異等多方面的原因,目前的系統(tǒng)認(rèn)證數(shù)量還非常少。在我國(guó),中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心(簡(jiǎn)稱(chēng)CNITSEC)是較早并較有影響力的開(kāi)展有關(guān)系統(tǒng)安全測(cè)評(píng)認(rèn)證的機(jī)構(gòu)。
國(guó)家認(rèn)監(jiān)委等8部委聯(lián)合下發(fā)的《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》(簡(jiǎn)稱(chēng)57號(hào)文)明確規(guī)定,對(duì)信息安全產(chǎn)品進(jìn)行“統(tǒng)一標(biāo)準(zhǔn)、技術(shù)規(guī)范與合格評(píng)定程序;統(tǒng)一認(rèn)證目錄;統(tǒng)一認(rèn)證標(biāo)志;統(tǒng)一收費(fèi)標(biāo)準(zhǔn)”的“四統(tǒng)一”的認(rèn)證要求。在國(guó)家認(rèn)監(jiān)委對(duì)信息系統(tǒng)的安全認(rèn)證相關(guān)具體意見(jiàn)尚未出臺(tái)前,多數(shù)情況下,系統(tǒng)安全測(cè)評(píng)的結(jié)果可直接作為主管部門(mén)對(duì)系統(tǒng)安全認(rèn)可的依據(jù)。
等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系建設(shè)的一項(xiàng)基礎(chǔ)管理制度。
風(fēng)險(xiǎn)評(píng)估、系統(tǒng)測(cè)評(píng)則是在等級(jí)保護(hù)制度下,對(duì)信息及信息系統(tǒng)安全性進(jìn)行評(píng)價(jià)的兩種特定的、有所區(qū)分但又有所聯(lián)系的不同研究、分析方法。
從這個(gè)意義上講,等級(jí)保護(hù)要高于風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)。
· 等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估如何區(qū)別?
等級(jí)保護(hù)的前提是對(duì)系統(tǒng)定級(jí),系統(tǒng)定級(jí)根據(jù)系統(tǒng)信息的機(jī)密性、完整性、可用性等三大性來(lái)確定,即是明確各種信息類(lèi)型-確定每種信息類(lèi)型的安全類(lèi)別-確定系統(tǒng)的安全類(lèi)別三個(gè)步驟進(jìn)行系統(tǒng)最終的定級(jí)。
等級(jí)保護(hù)中的系統(tǒng)分類(lèi)分級(jí)的思想和風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)的重要性分級(jí)基本一致,不同的是:等級(jí)保護(hù)的級(jí)別是從系統(tǒng)的業(yè)務(wù)需求或CIA特性出發(fā),定義系統(tǒng)應(yīng)具備的安全保障業(yè)務(wù)等級(jí),而風(fēng)險(xiǎn)評(píng)估中最終風(fēng)險(xiǎn)的等級(jí)則是綜合考慮了信息的重要性、系統(tǒng)現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合評(píng)估結(jié)果,也就是說(shuō),在風(fēng)險(xiǎn)評(píng)估中,CIA價(jià)值高的信息資產(chǎn)不一定風(fēng)險(xiǎn)等級(jí)就高。
等級(jí)保護(hù)其實(shí)就是幫助用戶(hù)分析、評(píng)定信息系統(tǒng)的等級(jí),以便在后期的工作中根據(jù)不同的等級(jí)進(jìn)行不同級(jí)別的安全防護(hù);而風(fēng)險(xiǎn)評(píng)估則是幫助用戶(hù)了解目前的安全現(xiàn)狀,以便在后期進(jìn)行整體的安全規(guī)劃與建設(shè)。我們可以用風(fēng)險(xiǎn)評(píng)估這種手段檢查等保的落實(shí)和執(zhí)行情況,將風(fēng)險(xiǎn)評(píng)估的結(jié)果作為實(shí)施等級(jí)保護(hù)等級(jí)安全建設(shè)的出發(fā)點(diǎn)和參考。
注:在信息安全等級(jí)保護(hù)工作中,根據(jù)信息系統(tǒng)的機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)來(lái)劃分信息系統(tǒng)的安全等級(jí),三個(gè)性質(zhì)簡(jiǎn)稱(chēng)CIA。
看完今天的科普之后,相信大家對(duì)等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)都有了一些基本的了解。2022年,各項(xiàng)法律政策越來(lái)越完善,定期開(kāi)展安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估已經(jīng)成為了國(guó)家對(duì)相關(guān)行業(yè)的基本要求,在等級(jí)保護(hù)制度之下,做好風(fēng)險(xiǎn)評(píng)估和系統(tǒng)測(cè)評(píng)工作,落實(shí)網(wǎng)絡(luò)安全審查要求、建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息共享機(jī)制是每個(gè)行業(yè)企業(yè)和網(wǎng)絡(luò)安全廠(chǎng)商應(yīng)盡的責(zé)任,了解相關(guān)的知識(shí),也可以幫助我們更好的為關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作貢獻(xiàn)力量。
參考來(lái)源:悟安、老男孩教育
覽器作為重要的上網(wǎng)入口,發(fā)揮著重要作用。瀏覽器的功能不只是用看網(wǎng)頁(yè)看視頻,現(xiàn)在已經(jīng)發(fā)展成為提供全方位服務(wù)的綜合工具。正是這個(gè)原因,瀏覽器的安全性受到了挑戰(zhàn),要想瀏覽器安全瀏覽得到保障,就要設(shè)置瀏覽器的安全級(jí)別,那么怎么設(shè)置呢?本文將分享瀏覽器安全級(jí)別的設(shè)置方法,需要的朋友可以繼續(xù)往下看。
1、打開(kāi)多御安全瀏覽器https://www.duoyux.com/,然后點(diǎn)擊瀏覽器右上角的三個(gè)點(diǎn),接著點(diǎn)擊【設(shè)置】;
2、在打開(kāi)的設(shè)置頁(yè)面中,點(diǎn)擊左邊列表的【隱私設(shè)置和安全性】,然后點(diǎn)擊右邊的【安全】;
3、在安全瀏覽下面有不同級(jí)別的保護(hù):增強(qiáng)型保護(hù)、標(biāo)準(zhǔn)保護(hù)、不保護(hù)(不建議),大家可根據(jù)需要,選擇自己想要設(shè)置的安全級(jí)別。此外,如果想要更安全的瀏覽,可以開(kāi)啟高級(jí)-【一律使用安全鏈接】的開(kāi)關(guān)。
電腦瀏覽器如果設(shè)置的安全瀏覽級(jí)別太低,就無(wú)法保護(hù)上網(wǎng)安全。如果選擇不保護(hù),那么就隨意用戶(hù)瀏覽不安全的網(wǎng)站,不會(huì)保護(hù)用戶(hù)免受危險(xiǎn)網(wǎng)站、下載內(nèi)容和擴(kuò)展程序的侵害。一般情況下,我們選擇標(biāo)準(zhǔn)保護(hù),它針對(duì)已知危險(xiǎn)網(wǎng)站、下載內(nèi)容和擴(kuò)展程序提供標(biāo)準(zhǔn)保護(hù)。
多御安全瀏覽器會(huì)定期檢查用戶(hù)的密碼是否已被列在網(wǎng)上發(fā)布的外泄密碼列表內(nèi)。當(dāng) Duoyu 進(jìn)行這項(xiàng)檢查時(shí),用戶(hù)密碼和用戶(hù)名都會(huì)被加密,所以絕不會(huì)被任何人員/任何一方(包括 Duoyu)讀取。 當(dāng)用戶(hù)登錄自己的 Duoyu 帳號(hào)后,系統(tǒng)即會(huì)啟用此功能。
1、設(shè)置瀏覽器的安全等級(jí),方法步驟如上所訴。可以防止用戶(hù)打開(kāi)危險(xiǎn)的網(wǎng)站、網(wǎng)頁(yè),這樣可以保護(hù)系統(tǒng)和計(jì)算機(jī)的安全。
2、清除瀏覽器的上網(wǎng)歷史記錄。瀏覽器的歷史記錄會(huì)泄露用戶(hù)的信息,用戶(hù)以前運(yùn)行過(guò)的程序、瀏覽過(guò)的網(wǎng)站,還有查找過(guò)的內(nèi)容可能會(huì)被泄露。因此,定時(shí)清理瀏覽器的上網(wǎng)歷史記錄,在一定程度上能夠保護(hù)用戶(hù)的隱私安全。
3、清除瀏覽器中的表單。瀏覽器的表單功能在一定程度上方便了用戶(hù),但是也經(jīng)常被不法分子用來(lái)竊取用戶(hù)的數(shù)據(jù)信息。因此,從安全的角度考慮,需要清除瀏覽器的表單并取消自動(dòng)記錄表單的功能。
4、刪除Cookie信息。Cookie是Web服務(wù)器發(fā)送到計(jì)算機(jī)的數(shù)據(jù)文件,它記錄了用戶(hù)名、口令和一些其他信息。在許多不規(guī)范的網(wǎng)站中,Cookie文件中的用戶(hù)名和密碼是不加密的明文信息,就更加容易泄露。因此,在離開(kāi)時(shí)刪除Cookie內(nèi)容是很有必要的。
我們?cè)谶x擇瀏覽器的時(shí)候要選擇具有安全防護(hù)的瀏覽器,在上網(wǎng)瀏覽的時(shí)候注意保護(hù)好自己的隱私安全。為了防止不小心進(jìn)入危險(xiǎn)網(wǎng)站,我們要將瀏覽器的安全性設(shè)置妥當(dāng),不要直接選擇不保護(hù)或者選擇安全性級(jí)別低的設(shè)置。以上分享了瀏覽器瀏覽器安全級(jí)別的設(shè)置方法,大家學(xué)會(huì)了嗎?
友情鏈接: 餐飲加盟
地址:北京市海淀區(qū) 電話(huà):010- 郵箱:@126.com
備案號(hào):冀ICP備2024067069號(hào)-3 北京科技有限公司版權(quán)所有