网络安全基线核查

前言术语、定义(1)合规性（\hCompliance）企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序，以定期评价对适用法律法规的遵循情况的一项管理措施。(2)资产（Asset）信息系统安全策略中所保护的信息或资源。(3)计算机信息系统（Computerinformationsystem）由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。(4)保密性（Confidentiality）使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。(5)安全服务（Securityservice）根据安全策略，为用户提供的某种安全功能及相关的保障。服务概述服务概念基线核查服务是根据相关标准或规范，结合最佳实践，对客户的硬件资产（如：主机设备、网络设备、安全设备、办公终端等）和软件系统（如：操作系统、数据库、中间件和常用服务协议等）进行安全配置的核查，识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距，并提供相关优化建议。服务必要性基线核查是检验信息系统安全措施中的一种检查方式，信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。而安全基线正是这个平衡的合理分界线。基线核查服务，一方面可以根据基线核查的结果进行安全加固提升安全防护能力，减少信息系统的脆弱性，进而降低信息系统面临的安全风险；一方面可以满足合规性检查和国家政策要求。服务收益通过以工具为主，人工为辅的方法，对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查，输出专业的基线核查安全评估报告，通过该服务可以实现包括但不限于以下价值：帮助客户充分掌握当前IT设备的配置情况，了解潜在的IT设备、系统的配置隐患和安全风险。通过对基线核查发现的问题进行安全加固，有助于提升安全防护能力，降低因为安全配置导致的安全事件的概率。为客户进一步完善配置管理体系、满足合规要求，提供强有力的支撑和依据。为客户制定科学、有效地安全加固方案提供依据。实施标准和原则政策文件或标准基线核查服务将参考下列国内、国际与基线核查有关的标准、指南或规范进行工作：《信息安全技术网络安全等级保护测试评估技术指南》（GB/T36627-2018）《信息安全技术操作系统安全技术要求》（GB/T20272-2019）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2019）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息系统灾难恢复规范》（GB/T20988-2007）《信息安全技术服务器安全技术要求》（GB/T21028-2007）《信息安全技术网络交换机安全技术要求》（GB/T21050-2019）《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）服务原则我中心提供基线核查服务中，将遵循下列原则。保密性原则对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。标准性原则该服务实施依据国内、国际的相关标准进行。规范性原则项目实施由专业的工程师和项目经理依照规范的操作流程进行，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。可控性原则项目实施的方法和过程及使用的工具在双方认可的范围之内，保证项目实施的可控性。最小影响原则项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。准备阶段输出文档《安全运维服务方案》、《开工申请表》服务详情服务内容基线核查服务内容普遍集中于设备的账号管理和口令策略、认证授权、日志配置、通信协议等方面，覆盖了与安全问题相关的各个层面。基线核查服务针对不同IT资产的具体检查内容会有所不同，下面进行部分服务内容的举例：主机操作系统检查内容主机操作系统安全配置检查包含但不限于以下内容：帐号和口令管理、异常启动项、认证合授权策略、访问控制、通信协议、日志审核策略、文件系统权限、帐号和口令管理、防ddos攻击、剩余信息保护、其它安全配置。数据库检查内容数据库安全配置检查包含但不限于以下内容：帐号和口令管理认证、认证和授权策略、访问控制、通讯协议、日志审核功能、其他安全配置。中间件检查内容中间件及常见网络服务安全配置检查包含但不限于以下内容：帐号和口令管理认证、授权策略、通讯协议、日志审核功能、其他安全配置。网络设备及安全设备检查内容网络及安全设备安全配置检查包含但不限于以下内容：OS安全、异常启动项、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置。服务内容举例检查类型部分检查项举例必要性账号管理和口令策略无效账号清除或禁用、按照用户类型分配账号权限、密码复杂度、账户锁定策略等账号锁定策略：进入“控制面板->管理工具->本地安全策略”，在“帐户策略->账户锁定策略”：记录当前账户锁定策略情况。设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码，降低系统密码被暴力破解成功的概率。认证授权授权帐户登录、远端系统强制关机设置、“从网络访问此计算机”设置、“从本地登录此计算机”设置等“从网络访问此计算机”设置：进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看并记录“从网络访问此计算机”的当前设置。可以防止网络用户非法访问主机，降低非授权用户非法访问主机的风险。日志配置审核策略设置、日志记录策略设置等日志记录策略设置：进入“控制面板->管理工具->事件查看器”，查看并记录“应用日志”、“系统日志”、“安全日志”的当前设置。如果日志记录功能未开启，同时日志的大小超过系统默认设置，则无法正常记录超过最大记录值，缺失回溯追踪需要的历史记录，同时违反国家网络安全法，当发生安全事件时影响取证成果。通信协议启用TCP/IP筛选、开启系统防火墙、启用SYN攻击保护等启用TCP/IP筛选：进入“控制面板－>网络连接－>本地连接”，进入“Internet协议（TCP/IP）属性－>高级TCP/IP设置”，在“选项”的属性中查看“网络连接上的TCP/IP筛选”的状态，并记录。对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议，可以过滤不必要的端口，提高系统安全性。其它屏幕保护程序、共享文件夹访问权限、自动播放功能等关闭Windows自动播放：在“开始->运行->键入regedit”查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services、SynAttackProtect的值并记录。查看并记录注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services之下。TcpMaxPortsExhausted、TcpMaxHalfOpen、TcpMaxHalfOpenRetried的值并记录防止从移动设备感染病毒，在进行U盘插入操作的时候，可以避免系统被U盘中的病毒感染。服务范围基线核查服务范围包括各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。配置检查分类配置检查范围网路设备及安全设备主流网络设备、安全设备，等保二级和三级标准：Huawei、Cisco、H3C、Juniper等网络设备其它厂商设备：防火墙、入侵检测、入侵防御设备、防毒墙、垃圾邮件等主机操作系统主流主机操作系统，等保二级和三级标准：微软Windows系列操作系统，Windowsserver2003/2008/2012/2016等各类Linux系列操作系统，Redhat(例如Redhat6.5、Redhat7.1)、Centos(例如CentOS6.5、CentOS7.1等)、Debian、Ubuntu等各类Unix系列操作系统，例如Solaris11、AIX6.1等数据库主流数据库，等保二级和三级标准：微软MSSQL系列，SQLSever2005/2008/2012/2014/2017/2019等甲骨文Oracle系列，Oracle10g/11g/12c等其他数据库，MySQL(例如MySQL5.6/5.7/8)、DB2、MongoDB、PostgreSQL等常见中间件常见中间件，等保二级和三级标准：IIS，IIS6.0/7.0/7.5/8.0Tomcat，Tomcat7.0/8.0/9.0其它中间件，Jboss(例如Jboss6.0/7.0)、Weblogic(例如Weblogic11g/12c)、Nginx、WebSphere等实施阶段输出内容《安全设备基线核查记录表》《操作系统基线核查记录表》《数据库系统基线核查记录表》《网络设备基线核查记录表》《中间件基线核查记录表》服务方式基线核查服务主要为人工检查和自动化检查方式实施：（1）人工检查的内容主要包括登录信息收集、配置安全分析和形成检查报告，其中配置安全分析是比较重要的环节，分析结果直接影响报告的准确性、权威性；（2）自动化检查是借助安全评估工具来完成部分工作，比如完成目标设备登录、设备配置检查和配置信息记录工作，此部分工作借助自动化工具是为了消除手工误操作的隐患，提高检查效率和精确度。服务流程基线核查服务通过主要通过“人工分析”方式来完成，大致流程如下：第1步：收集被检查系统相关的登录信息，并将登录凭证录入到自动化检查工具中；第2步：检查工具凭着认证机制登录被检查系统；第3步