等级保护2.0 三级-Linux 测评指导书V1.0
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
知识星球:网络安全等级保护交流
1.1 安全计算环境-Linux
1.1.1 身份鉴别
测评项: a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息 具有复杂度要求并定期更换; 测评方法: 1) 使用 root 权限的账户登录操作系统后,使用命令 more 查看/etc/shadow 文 件,核查第二列是否为空,为空即存在空口令账户 2) 使用命令 more 查看/etc/login. defs 文件,查看是否设置密码长度和定 期更换要求,使用命令 more 查看/etc/pam.d/system-auth 文件。查看密码长 度和复杂度要求,记录 PASS MAX_DAYS 、PASS MIN_DAYS 、PASS MIN_LEN 、 PASS WARN_AGE 测评项: b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登 录连接超时自动退出等相关措施; 测评方法: 1)查看登录失败处理功能相关参数,/etc/pam.d/system—auth 文件中存在 "account required /lib/security/pam_tally.so deny=3 no_ magic root reset" ; 2)记录在文件/etc/profile 中设置了超时锁定参数,在 profile 下设置 TMOUT= 300s 测评项: c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 测评方法: 1)如果是本地管理或 KVM 等硬件管理方式,此要求默认满足; 2)以 root 身份登录进入 Linux 查看是否运行了 sshd 服务,service - statusall | grep sshd 查看相关的端口是否打开,netstat -an|grep 22 若未使用
1.1.7 数据完整性
测评项: a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不
知识星球:网络安全等级保护交流
限千鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等; 不适用描述: 由应用系统、数据库系统等软件使用 https、ssh 等安全协议传输数据实现传 输过程中的完整性,故服务器不适用此测评项。 测评项: b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不 限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等。 不适用描述: 由应用系统、数据库系统等软件使用 sha256 等加密算法存储数据实现存储过 程中的完整性,故服务器不适用此测评项。
知识星球:网络安全等级保护交流
范围内 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈对审计进程监控和保护的措施 2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合 理。 3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
1.1.4 入侵防范
知识星球:网络安全等级保护交流
SSH 方式进行远程管理,则查看是否使用了 Telnet 方式进行远程管理 service - -status-all|grep running, 查看是否存在 Telnet 服务 测评项: d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户 进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 测评方法: 1)查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法, 是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书 Ukey、令牌、 指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术 2)记录系统管理员在登录操作系统使用的身份鉴别方法,同时记录使用密码的 鉴别方法
测评项: a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; 测评方法: 1)访谈安装系统时是否遵循最小化安装原则,查看安装操作手册 2)使用命令“yum list installed" 查看操作系统中已安装的程序包,询问是 否有目前不需要的组件和应用程序 测评项: b) 应关闭不需要的系统服务、默认共享和高危端口; 测评方法: 1)以有相应权限的身份登录进入 L.inux, 使用命令"service - status-all| grep running" 查看是否已经关闭危险的网络服务 2)以有相应权限的身份登录进入 L.inux,使用命令"netstat -ntlp”查看并确 认是否开放的端口都为业务需要端口,是否已经关闭非必需的端口,L.inux 不 存在共享问题 测评项: c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端 进行限制; 测评方法: 1 ) 查 看 在 /etc/hosts.deny 中 是 否 有 “ ALL: ALL", 禁 止 所 有 的 请 求 : 在
1.1.6 可信验证
测评项: a) 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用 程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测 到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 测评方法: 1)核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导 程序、系统程序或重要配置参数进行可信验证 2)修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进 行报警 3)是否将验证结果形成审计记录送至安全管理中心
知识星球:网络安全等级保护交流
1.1.5 恶意代码防范
测评项: a) 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入 侵和病毒行为,并将其有效阻断。 测评方法: 1)查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否 超过一个月 2)询问系统管理员是否有统一的病毒更新策略和查杀策略 3)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库 4)询问系统管理员当发现病毒入侵Βιβλιοθήκη Baidu为时,如何发现,如何有效阻断等,报 警机制等 5)查看系统中采取何种可信验证机制,访谈管理员实现原理等
1.1.2 访问控制
测评项: a) 应对登录的用户分配账户和权限; 测评方法: 1) 以有相应权限的身份登录进入 Linux,使用“1s-1 文件名”命令,查看重要 文件和目录权限设置是否合理,如: # 1s -1 /etc/passwd #744。 测评项: b) 应重命名或删除默认账户,修改默认账户的默认口令; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用 more 查看/etc/shadow 文件,查 看文件中的用户,是否存在 adm、 lp. sync、 shutdown、 halt.、mail、 uucp、operator,、games.、gopher ftp 等默认的、无用的用户。 2)查看 root 账户是否能够进行远程登录 测评项: c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; 测评方法: 1)应核查是否不存在多余或过期账户,如查看 games、news、 ftp、 1p 等系
知识星球:网络安全等级保护交流
文件中的 SELINUX 参数的设定
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1)以 root 身份登录进入 Linux, 查看服务进程 2)若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4)以 root 身份登录进入 Linux 查看安全事件配置: #gerep“@priv-ops" /etc/audit/filter.conf .... more/etc/audit/audit.rules ..... 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用命令"ausearch-ts today ”,其 中,-ts 指定时间后的 log,或命令"tail -20 /var/log/audit/audit.log“查 看审计日志 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送 到日志服务器上等,并使用 sylog 方式或 smp 方式将日志发送到日志服务器。 2)如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的
知识星球:网络安全等级保护交流
统默认账户是否被禁用,特权账号 halt、shutdown 是否被删除 2)应访谈网络管理员、安全管理员、系统管理员不同用户是否采用不同账户登 录系统 测评项: d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; 测评方法: 1)以有相应权限的身份登录进入 Linux, 使用 more 查看/etc/passwd 文件中 的非默认用户,询问各账户的权限,是否实现管理用户的权限分离 2)以有相应权限的身份登录进入 Linux, 使用 more 查看/etc/sudo.conf 文 件,核查 root 级用户的权限都授予哪些账户 测评项: e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; 测评方法: 1)访谈系统管理员,是否指定授权人对操作系统访问控制权限进行配置 2)核查账户权限配置,是否依据安全策略配置各账户的访问规则 测评项: f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; 测评方法: 1)使用“ls -1 文件名”命令,查看重要文件和目录权限设置是否合理,如:#ls -1/etc/passwd #744,应重点查看以下文件和目录权限是否被修改过 测评项: g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访 问。 测评方法: 1)明确系统中是否有敏感信息 2)在主体用户或进程划分级别并设置敏感标记,在客体文件设置敏感标记 3)应测试是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策 略 4)以有相应权限的身份登录进入 Linux,使用 more 查看/etc/selinux/config
知识星球:网络安全等级保护交流
/etc/hosts.allow 中,是否有如下配置(举例):sshd: 192.168.1.10/255. 255. 255. 0 2)如果安装有主机防火墙则查看有无登录地址限制 测评项: d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的 内容符合系统设定要求; 不适用描述: 由应用系统对外提供输入接口,通过源代码设置或其他硬件措施实现数据有效 性校验功能,故服务器不适用此测评项 测评项: e) 应能发现可能存在的已知浦洞,并在经过充分测试评估后,及时修补漏洞; 测评方法: 1)访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索(试 图 Telnet.FTP 等),涉及命令“#more /var/log /secure|grep refused" 2)查看是否启用了主机防火墙、TCP SYN 保护机制等设置 3)访谈系统管理员是否安装了主机入侵检测软件。查看已安装的主机入侵,检 查系统的配置情况,是否具备报警功能。可执行命令 : find / -namie <daemonname> -print 检查是否安装了主机入侵检测软件,如 Dragon Squire by Enterasys Networks ,ITA by Symantec. Hostsentry by Psionic Software.Logcheck by Psiomc Software. RealSecure-agent by ISS 4)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如 IDS 测评项: f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报 警。 测评方法: 1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查 系统的配置情况,是否具备报警功能 2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如 IDS
1.1 安全计算环境-Linux
1.1.1 身份鉴别
测评项: a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息 具有复杂度要求并定期更换; 测评方法: 1) 使用 root 权限的账户登录操作系统后,使用命令 more 查看/etc/shadow 文 件,核查第二列是否为空,为空即存在空口令账户 2) 使用命令 more 查看/etc/login. defs 文件,查看是否设置密码长度和定 期更换要求,使用命令 more 查看/etc/pam.d/system-auth 文件。查看密码长 度和复杂度要求,记录 PASS MAX_DAYS 、PASS MIN_DAYS 、PASS MIN_LEN 、 PASS WARN_AGE 测评项: b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登 录连接超时自动退出等相关措施; 测评方法: 1)查看登录失败处理功能相关参数,/etc/pam.d/system—auth 文件中存在 "account required /lib/security/pam_tally.so deny=3 no_ magic root reset" ; 2)记录在文件/etc/profile 中设置了超时锁定参数,在 profile 下设置 TMOUT= 300s 测评项: c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 测评方法: 1)如果是本地管理或 KVM 等硬件管理方式,此要求默认满足; 2)以 root 身份登录进入 Linux 查看是否运行了 sshd 服务,service - statusall | grep sshd 查看相关的端口是否打开,netstat -an|grep 22 若未使用
1.1.7 数据完整性
测评项: a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不
知识星球:网络安全等级保护交流
限千鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等; 不适用描述: 由应用系统、数据库系统等软件使用 https、ssh 等安全协议传输数据实现传 输过程中的完整性,故服务器不适用此测评项。 测评项: b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不 限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和 重要个人信息等。 不适用描述: 由应用系统、数据库系统等软件使用 sha256 等加密算法存储数据实现存储过 程中的完整性,故服务器不适用此测评项。
知识星球:网络安全等级保护交流
范围内 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈对审计进程监控和保护的措施 2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合 理。 3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
1.1.4 入侵防范
知识星球:网络安全等级保护交流
SSH 方式进行远程管理,则查看是否使用了 Telnet 方式进行远程管理 service - -status-all|grep running, 查看是否存在 Telnet 服务 测评项: d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户 进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 测评方法: 1)查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法, 是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书 Ukey、令牌、 指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术 2)记录系统管理员在登录操作系统使用的身份鉴别方法,同时记录使用密码的 鉴别方法
测评项: a) 应遵循最小安装的原则,仅安装需要的组件和应用程序; 测评方法: 1)访谈安装系统时是否遵循最小化安装原则,查看安装操作手册 2)使用命令“yum list installed" 查看操作系统中已安装的程序包,询问是 否有目前不需要的组件和应用程序 测评项: b) 应关闭不需要的系统服务、默认共享和高危端口; 测评方法: 1)以有相应权限的身份登录进入 L.inux, 使用命令"service - status-all| grep running" 查看是否已经关闭危险的网络服务 2)以有相应权限的身份登录进入 L.inux,使用命令"netstat -ntlp”查看并确 认是否开放的端口都为业务需要端口,是否已经关闭非必需的端口,L.inux 不 存在共享问题 测评项: c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端 进行限制; 测评方法: 1 ) 查 看 在 /etc/hosts.deny 中 是 否 有 “ ALL: ALL", 禁 止 所 有 的 请 求 : 在
1.1.6 可信验证
测评项: a) 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用 程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测 到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 测评方法: 1)核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导 程序、系统程序或重要配置参数进行可信验证 2)修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进 行报警 3)是否将验证结果形成审计记录送至安全管理中心
知识星球:网络安全等级保护交流
1.1.5 恶意代码防范
测评项: a) 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入 侵和病毒行为,并将其有效阻断。 测评方法: 1)查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否 超过一个月 2)询问系统管理员是否有统一的病毒更新策略和查杀策略 3)询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库 4)询问系统管理员当发现病毒入侵Βιβλιοθήκη Baidu为时,如何发现,如何有效阻断等,报 警机制等 5)查看系统中采取何种可信验证机制,访谈管理员实现原理等
1.1.2 访问控制
测评项: a) 应对登录的用户分配账户和权限; 测评方法: 1) 以有相应权限的身份登录进入 Linux,使用“1s-1 文件名”命令,查看重要 文件和目录权限设置是否合理,如: # 1s -1 /etc/passwd #744。 测评项: b) 应重命名或删除默认账户,修改默认账户的默认口令; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用 more 查看/etc/shadow 文件,查 看文件中的用户,是否存在 adm、 lp. sync、 shutdown、 halt.、mail、 uucp、operator,、games.、gopher ftp 等默认的、无用的用户。 2)查看 root 账户是否能够进行远程登录 测评项: c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在; 测评方法: 1)应核查是否不存在多余或过期账户,如查看 games、news、 ftp、 1p 等系
知识星球:网络安全等级保护交流
文件中的 SELINUX 参数的设定
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1)以 root 身份登录进入 Linux, 查看服务进程 2)若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4)以 root 身份登录进入 Linux 查看安全事件配置: #gerep“@priv-ops" /etc/audit/filter.conf .... more/etc/audit/audit.rules ..... 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用命令"ausearch-ts today ”,其 中,-ts 指定时间后的 log,或命令"tail -20 /var/log/audit/audit.log“查 看审计日志 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送 到日志服务器上等,并使用 sylog 方式或 smp 方式将日志发送到日志服务器。 2)如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的
知识星球:网络安全等级保护交流
统默认账户是否被禁用,特权账号 halt、shutdown 是否被删除 2)应访谈网络管理员、安全管理员、系统管理员不同用户是否采用不同账户登 录系统 测评项: d) 应授予管理用户所需的最小权限,实现管理用户的权限分离; 测评方法: 1)以有相应权限的身份登录进入 Linux, 使用 more 查看/etc/passwd 文件中 的非默认用户,询问各账户的权限,是否实现管理用户的权限分离 2)以有相应权限的身份登录进入 Linux, 使用 more 查看/etc/sudo.conf 文 件,核查 root 级用户的权限都授予哪些账户 测评项: e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; 测评方法: 1)访谈系统管理员,是否指定授权人对操作系统访问控制权限进行配置 2)核查账户权限配置,是否依据安全策略配置各账户的访问规则 测评项: f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; 测评方法: 1)使用“ls -1 文件名”命令,查看重要文件和目录权限设置是否合理,如:#ls -1/etc/passwd #744,应重点查看以下文件和目录权限是否被修改过 测评项: g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访 问。 测评方法: 1)明确系统中是否有敏感信息 2)在主体用户或进程划分级别并设置敏感标记,在客体文件设置敏感标记 3)应测试是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策 略 4)以有相应权限的身份登录进入 Linux,使用 more 查看/etc/selinux/config
知识星球:网络安全等级保护交流
/etc/hosts.allow 中,是否有如下配置(举例):sshd: 192.168.1.10/255. 255. 255. 0 2)如果安装有主机防火墙则查看有无登录地址限制 测评项: d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的 内容符合系统设定要求; 不适用描述: 由应用系统对外提供输入接口,通过源代码设置或其他硬件措施实现数据有效 性校验功能,故服务器不适用此测评项 测评项: e) 应能发现可能存在的已知浦洞,并在经过充分测试评估后,及时修补漏洞; 测评方法: 1)访谈并查看入侵检测的措施,如经常通过如下命令查看入侵的重要线索(试 图 Telnet.FTP 等),涉及命令“#more /var/log /secure|grep refused" 2)查看是否启用了主机防火墙、TCP SYN 保护机制等设置 3)访谈系统管理员是否安装了主机入侵检测软件。查看已安装的主机入侵,检 查系统的配置情况,是否具备报警功能。可执行命令 : find / -namie <daemonname> -print 检查是否安装了主机入侵检测软件,如 Dragon Squire by Enterasys Networks ,ITA by Symantec. Hostsentry by Psionic Software.Logcheck by Psiomc Software. RealSecure-agent by ISS 4)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如 IDS 测评项: f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报 警。 测评方法: 1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查 系统的配置情况,是否具备报警功能 2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如 IDS