安全基线与配置核查技术与方法公安部第一研究所2014年5月2目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战•最早的安全基线–安全基线最早可以追溯到上个实际的六十年代《美国军服保密制度》,九十年代初期等级保护立法成为国家法律。•1991年欧共体发布了信息安全评估标准(ITSEC),1999年正式列为国际标准系列–ITSEC主要提出了资产的CIA三性:机密性、完整性、可用性的安全属性,对国际信息安全研发产生了重要影响,并一直沿用至今。•国内的安全基线发展–1994年,我国首次颁布《中华人民共和国计算机信息系统安全保护条例》–1999年推出《计算机信息系统安全保护等级划分准则》–2007年,《信息安全等级保护管理办法》,GB/T22239-2008“基本要求”和GB/T28448-2012“测评要求”–2010年,公安部发布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,觉得在全国部署开展信息安全等保测评工作。安全基线的发展历程3国内外信息安全评估标准演化视图45目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战安全运维的困境一漏洞、配置、端口,进程、文件,账号口令,这些都怎么查啊?这么多的设备,难道要我一台一台手工来查吗?何处开始,有什么工具能帮助我吗?我又不是安全专家,我怎么知道哪些是安全的?安全运维的困境二老大,这是上个月的报告。系统有X个高危漏洞,Y个配置问题。•当前的系统到底是安全还是不安全呢?•最近一次的安全整改到底有没有效果呢?•安全状况同比和环比有什么变化呢?•以上问题我们通过什么方式验证呢?问题分析何处下手,怎么查•如何保证效率•如何保证质量怎么衡量安全与否•安全业务数据价值•为安全决策提供支持如何呈现安全效果•体系安全工作效果•安全成果的可视化我们忽略了什么数据库、中间件是支持业务的重要组件,是不是都按照默认配置,使用出厂设置,这些配置是否适用于我们企业的安全要求,如何发现潜在的风险呢?为了保证业务安全,信息系统及数据安全,我们部署了很多安全设备,防火墙、入侵检测、网络设备、审计系统、安全平台等等,那么这些安全设备的自身安全谁来管理呢,端口、进程、帐号安全?目前我们的关注点是保证业务安全、数据安全,但所有系统平台的支撑最终还是落实到设备上,设备安全了,业务支撑才安全-目前我们的关注点是保证业务安全、数据安全,但所有系统平台的支撑最终还是落实到设备上,设备安全了,业务支撑才安全谁来关注它们的安全安全基线能给烟草用户带来什么•能够及时发现当前业务应用系统所面临的安全问题并可以提供有效的解决办法•可以成为用户对业务系统进行等级合规的有力检查和合规工具,出具符合国家局要求的合规检查报告•依据等保和“三全”的要求进行自动化检查(71个指标项的检查要求,35个技术指标,36个管理类,共计380项)安全技术物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全访问控制安全审计入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备份恢复数据完整性数据保密性备份和恢复安全管理安全管理制度管理制度制订和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理系统建设管理系统定级安全方案设计产品采购和使用软件开发工程实施测试验收系统交付系统备案等级测评系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理计算机应用管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理安全基线与配置核查安全基线(BaseLine)是保持信息系统安全的机密性、完整性、可用性的最小安全控制,是系统的最小安全保证,最基本的安全要求。安全基线包含配置核查,是人员、技术、组织、标准的综合的最低标准要求,同时也还涵盖管理类和技术类两个层面。配置核查是业务系统及所属设备在特定时期内,根据自身需求、部署环境和承载业务要求应满足的基本安全配置要求合集。13目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战目标业务系统支持业务所需要的支撑系统及应用软件,例如:Tomcat、weblogic、IIS、Apache、Oracle、Mysql操作系统及一些设备,例如:WindowsLinux、交换路由设备、防火墙设备什么是安全基线工具安全基线的根本目的是保障业务系统的安全,使业务系统的风险维持在可控范围内,为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,而制定安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。安全基线检查工具是采用技术手段,自动完成安全配置检查的产品,并提供详尽的解决方案。安全基线与漏洞的区别同属于扫描类产品,同属主动安全范畴,主动安全的核心是弱点管理,弱点有两类:•漏洞:系统自身固有的安全问题,软硬件BUG•配置缺陷:也叫暴露,一般是配置方面的错误,并会被攻击者利用相同点来源不同•漏洞:系统自身固有的安全问题,软硬件BUG,是供应商的技术问题,用户是无法控制的,与生俱来的•配置缺陷:配置是客户自身的管理问题,配置不当,主要包括了账号、口令、授权、日志、IP通信等方面内容检查方式不同漏洞:黑盒扫描配置缺陷:白盒扫描不同点安全基线的分类16基线体系BaseLine组织机构其它人与技术标准策略对比调研优化筛选对比筛选调研对比各地区、行业内及安全厂商多年实践的基线规范。筛选出各自基线规范中的不同点。结合实际情况,使用反馈,对现有资产的梳理,自定义。优化结合业务特点做局部调整,完善。安全基线规范梳理的方法论ITIL、ISO27001、三全标准•建立安全基线是系统安全运维第一步–建立信息系统的安全基线,包括系统安全配置以及重要信息,如:服务、进程、端口、帐号等。–安全基线建立的原则是:•符合设备特点–生产厂商、上线年限、性能上限、硬件老化•适应系统特性–部署方式和位置、分布能力、存储能力•满足业务需求–主要业务需求建立合理的安全基线体系18建立安全基线的管理体系的必要性19首先根据组织状况,建立一套在当前时期或一段时期内的“理想化的综合基线指标”,即“基线体系”。这个“基线体系”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等。然后通过一些手段(比如自动化的评估工具)对组织现有的安全指标进行分析。通过对比“理想化的综合基线指标”,形成了一套差距分析结论。组织自身针对这个差距进行适时监测、确认和跟踪即可,对任何在此水平以下的情况进行预警或通报,提出“补足差距”的建议方案;而这个“理想化的综合基线指标”就是该组织的最优安全状态。追求规避全部风险是不现实的,信息系统在达到这个指标水平之后,部分风险自然会被转移或降低。如此便可以实现持续定义升高这个综合基线指标,持续监管和持续改进,可以使每一时期每一阶段的安全水平都是可控的。同时,收集完数据后,根据企业安全状况进行风险的度量,输出结合政策法规要求的整体安全建设报表。合规落地基本保障量化差距自动化安全基线工具框架安全状况以及变化趋势基线策略库系统快照(当前基线指标)安全运行基本要求安全基线指标库21目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战安全配置核查关注什么网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置系统服务文件权限用户帐号口令策略认证授权网络通信日志审计•口令策略–检查口令重复使用次数限制–检查口令生存周期要求•文件权限–检查关键权限指派安全要求-取得文件或其他对象的所有权–查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹•用户账号–检查是否禁用guest用户–删除匿名用户空链接•系统服务–检查是否配置nfs服务限制检查–是否禁止ctrl_alt_del举例:具体检查哪些内容•认证授权–对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制。检查口令生存周期要求–配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。•网络通信–防火墙以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置防火墙,只允许特定主机访问。•日志审计–设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。检查项名称:检查口令重复使用次数限制被检查设备类型:Windows系列所属分类:账号口令配置要求:对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。检测方法及判定依据检测步骤:一、进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:查看是否“强制密码历史”设置为“记住5个密码”判定依据:强制密码历史=5则合规,否则不合规.加固方案参考配置:(1).进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”:“强制密码历史”设置为“记住5个密码”检查项名称:检查关键权限指派安全要求-取得文件或其他对象的所有权被检查设备类型:Windows系列所属分类:认证授权配置要求:在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测方法及判定依据检查步骤:一、进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。判定依据:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”加固方案参考步骤:(1).进入“控制面板-管理工具-本地安全策略”,在“本地策略-用户权利指派”:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。举例:启用远程日志功能检查项名称:文件与目录缺省权限控制被检查设备类型:Linux系列所属分类:日志审计配置要求:设备配置远程日志功能,将需要重点关注的日志内容传输到日志服务器。检测方法及判定依据检测步骤:linux一、查看文件/etc/syslog.conf或者/etc/rsyslog.conf存在类似如下语句*.*@192.168.56.168sue一、查看文件/etc/syslog-ng/syslog-ng.conf,存在类似如下内容:destinationlogserver{udp(192.168.56.168port(514));};log{source(src);destination(logserver);};判定依据:步骤1或者步骤2满足其一则合规,否则不合规加固方案参考步骤:linux1).编辑文件/etc/syslog.conf或者/etc/rsyslog.conf,增加如下内容:*.*@日志服务器ip或者域名suse1)编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容:destinationlogserver{udp(192.168.56.168port(514));};log{source(src);destination(logserver);};#日志服务器ip视实际情况来确定.2).重启syslog服务#/etc/init.d/syslogstop#/etc/init.d/syslogstart举例:启用远程日志功能检查项名称:检查是否配置DDOS攻击防护被检查设备类型:华为防火墙所属分类:协议安全配置要求:可打开DOS和DDOS攻击防护功能。对攻击告警。DDOS的攻击告警的