安全计算环境之安全设备
1. 身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
1)应核查用户在登录时是否采用了身份鉴别措施
2)应核查用户列表,测试用户身份标识是否具有唯一性
3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户
4)应核查用户鉴别信息是否具有复杂度要求并定期更换
b)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1)应核查是否配置并启用了登录失败处理功能:设置默认登录失败3次,退出登录界面
2)应核查是否配置并启用了限制非法登录达到一定次数后实现账户锁定功能
3)应核查是否配置并启用了远程登录连接超时并自动退出功能
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
1)应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。如果网络中部署堡垒主机,先核查堡垒主机采用何种措施在进行远程登录时,防止鉴别信息在网络传输过程中被窃听,如SSH等方式
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
1)应核查系统是否采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户身份进行鉴别
“以天融信防火墙为例,通过浏览器以WEB方式登录。
1)在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择用户认证>>用户管理,激活“用户管理”页签,如下图所示。
2)右侧显示用户列表信息,如下图所示:
3)如果需要对用户进行两种或两种以上组合的鉴别技术,点击该用户条目右侧的“修改”图标,查看该用户的认证方式应该为“本地口令+证书认证”或者“外部口令+证书认证”。
例如,管理员希望对用户“doc”同时进行证书认证和外部服务器的口令认证,则点击用户“doc”条目右侧的“修改”图标后,用户属性的“认证方式”应该为“外部口令+证书认证”,如下图所示。”
2. 访问控制
a)应对登录的用户分配账户和权限;
1)应访谈网络管理员、安全管理员、系统管理员或核查用户账户和权限设置情况
2)应核查是否已禁用或限制匿名、默认账户的访问权限"
“以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择用户认证>>用户管理,激活“用户管理”页签,右侧显示用户列表信息,如下图所示。
1)应针对每一个用户账户,核查用户账启和权限设置情况是否合理,如账户管理员和配置管理员不应具有审计员权限。
2)应核查是否已禁用或限制匿名、默认账户的访问权限”
b)应重命名或删除默认账户,修改默认账户的默认口令
1)应核查是否已经重命名默认账户或默认账户已被删除
2)应核查是否已修改默认账户的默认口令
“以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择用户认证>>用户管理,激活“用户管理”页签,右侧显示用户列表信息,如下图所示
1)应核查是否重命名或删除这些默认账户
2)应核查是否已修改默认账户的默伙口令”
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
1)应核查是否不存在多余的或过期的账户,管理员用户与账户之间是否一一对应
2)应核查并测试多余的、过期的账户是否被删除或停用
"以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择用户认证>>用户管理,激活“用户管理”页签,右侧显示用户列表信息,如下图所示。
- 应核查防火墙用户账户列表,询问管理员各账户的具体用途,分析是否存在多余或过期账户,并核查管理员用户与账户之间是否一一对应。
2)如果因为种种原因导致某些多余的、过期的账户无法被删除,则应测试是否已经停用了这些多余的、过期的账户"
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
1)应核查是否进行角色划分,如划分为网络管理员,安全管理员、系统管理员等角色
2)应核查访问控制策略,查看管理用户的权限是否已进行分离
3)应核查管理用中权限是否为其工作任务所需的最小权
“以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择用户认证>>用户管理,激活“用户管理”页签,右侧显示用户列表信息,如下图所示
1)应核查是否进行角色划分,系统中的账户分为系统管理员、安全管理员和审计管理员三类,其中,安全管理员可以制定安全策略,系统管理员可以配置安全策略,审计管理员可以查看日志
2)应查看管理用户的权限是否已进行分离,是否为其工作任务所需的最小权限,如禁止对管理用户同时赋予配置管理员和审计管理员权限”
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
1)应检查是否由授权主体(如管理员用户)负责配置访问控制策略
2)应检查授权主体是否依据安全策略配置了主体对客体的访问规则
3)应测试验证用户是否有可越权访问情形
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
1)应检查访问控制的粒度是否达到主体为用户级或进程级,客体为文件、数据库表级
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问;
1)应检查是否对主体和客体设置安全标记
- 应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略
3. 安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)应核查是否开启了安全审计功能;网络设备设置日志服务器IP地址,并使用syslog方式或者SMP方式将日志发送到日志服务器
2)应核查安全审计范围是否覆盖到每个用户
3)应核查是否对重要的用户行为和重要安全事件进行审计
以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择日志与报警>>日志设置,激活“用户管理”页签,右侧显示用户列表信息,如下图所示
在右侧显示“日志设置”页面,设置正确的服务器地址、端口、以及日志级别和日志类型等信息。例如,如果希望记录0-3级的阻断策略日志,则“日志级别右侧的下拉框中应该设置为 “3”,并且勾选了“阻断策略”的日志类型
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
"以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择日志与报警>>日志设置,激活“用户管理”页签,右侧显示用户列表信息,如下图所示。
登录日志服务器,并选择管理策略》日志收集源,进入日志源配置界面,查看所有日志收集源。确保日志源列表中包含了该防火墙的IP。
在日志服务器上,选择功能>>日志查询并选择“审计域”页签。根据IP地址选择防火墙后,便可对该防火墙的日志进行核查,确认是否包括日期和时间、用户、事件类型、事件是否成功等相关的信息
"
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
“以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名口令后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择日志与报警>>日志设置,激活“用户管理”页签,右侧显示用户列表信息,如下图所示
登录日志服务器,并选择管理策略》日志收集源,进入日志源配置界面,查看所有日志收集源。确保日志源列表中包含了该防火墙的IP。
收集到的日志数据会保存在日志系统的数据库中,通过对数据库进行备份操作,便可实现防火墙数据的备份和保护。
在日志服务器上,选择管理策略》》任务调度策略,然后在左侧“本地配置”分页中点击“任务调度策略”,确保存在类型为“备份数据库任务”的计划任务。这些任务会定时执行数据库的备份任务,进而达到备份防火墙日志信息的目的”
d)应对审计进程进行保护,防止未经授权的中断;
应测试通过非审计员的其他账户来中断审计进程,验证审计进程是否受到保护
4. 入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
服务器
b)应关闭不需要的系统服务、默认共享和高危端口;
服务器
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
“如果网络中部署堡垒机的,先核查堡垒机是否限制终端接入范围进行限制,如果没有,登录设备进行核查。
以天融信防火墙为例,在登录界面中输入防火墙管理员的用户名密码后,点击“登录”按钮,进入管理界面。然后在左侧导航树中选择系统管理》配置,然后激活“开放服务”页签,如下图所示。
在右侧页面中,应该存在“服务名称”“为“webui”, ““ssh”” 或”“telnet’的服务规则。例如,只允许管理员使用IP地址为“192. 168. 83.234"“的主机登录防火墙,并且该主机连接在area_eth0区域,则应该配置的服务规则如下图所示:
图中,“控制地址”一列显示为”“doc. server””,是已经配置完成的主机地址资源名称,定义了主机地址“192. 168. 83. 234”。可以通过点击左侧导航树中选择资源管理>>地址,然后激活“主机”页签,查看主机资源名称和实际地址的对应关系,如下围所示"
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
应用层
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
1)应进行漏洞扫描,核查是否不存在高风险漏洞
2)应访谈系统管理员,核查是否在经过充分测试评估后及时修补漏洞
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
1)应核查防火墙是否有入侵检测功能,查看入侵检测功能是否正确启用
2)应核查在发生严重入侵事件时是否提供报警,报警方式般包括短信、邮件等
5. 恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
服务器
6. 可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和 应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检 测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;