一般被测的等保系统中会有很多网络及安全设备测评对象,例如:核心/汇聚交换机、堡垒机、防火墙、IPS等等,要对这些测评对象进行抽查,抽查的原则在另外一篇文章里面已经有介绍,这里不赘述。下面的测评记录以华为/H3C设备为例,一些常规项例如访问控制中:a)应对登录的用户分配账户和权限,就不列举了,直接根据标准操作即可。
说明:有制度或者配置密码策略定期更换密码。 采取的登录失败处理措施应考虑到设备部署的具体环境,防止攻击者利用登录失败处理功能进行拒绝服务攻击。 采用带外管理方式(out of band),在管理工具的连接为加密且物理访问控制严格的惜况下,判定为符合。
网络/安全设备至少要有三个账号,检查设备是否对各用户采用权限分级策略。HUAWEI/H3C网络设备系统中使用dis cu命令检查local-user用户类型及其权限如下列字段: local-user user1 authorization-attribute user-role network-admin local-user user2 authorization-attribute user-role network-operator local-user user3 authorization-attribute user-role role1
HUAWEI/H3C网络设备系统中使用display info-center 查看信息中心工作状态、各信息输出通道的配置、时间戳格式及堆叠情况下的信息输出情况。 如: Information Center:Enabled Console:Enabled Monitor:Enabled Log host:Enabled xxx.xxx.xxx.xxx Log buffer:Enabled Log file:Enabled 2、检查设备时间是否正确,使用dis time-range all检查系统现有时间(可选:可以使用dis cu | in ntp 或 dis ntp status查看是否正常使用ntp服务) 说明:开启日志记录功能且时间准确该项默认认符合。 HUAWEI/H3C网络设备系统中使用dis cu | in snmp命令检测community信息是否非“public”;版本 version v2以上;尽量仅为read模式。 启用日志服务器功能未设置IP为不合规项。
网络设备的管理系统很可能无法提供系统设计文档,只要测试验证系统确实进行了有效性检验,应该判为符合。
剩下部分按标准核查即可,一些项目例如:个人信息保护对于网络及安全设备可以直接填写不适用,因为标准中对于个人信息保护控制点指明了测评对象是针对:业务应用系统和数据库管理系统等。 8.1.4.5 恶意代码防范 8.1.4.6 可信验证 8.1.4.7 数据完整性 8.1.4.8 数据保密性 8.1.4.9 数据备份恢复 8.1.4.10 剩余信息保护 8.1.4.11 个人信息保护
等保测评过程中,涉及的常见操作系统有Windows、Linux、Unix、Solaris等。以下用Windows配置为例进行讲解:
2、Windows环境下,在运行中输入rundll32 netplwiz.dll, UsersRunDll,查看是否勾选了“要使用本机,用户必须输入用户名和密码”。 1、运行“gpedit.msc”计算机配置->Windows设置->安全设置>帐户策略-〉账户锁定策略 1、查看服务中是否启动了telnet服务 2、管理工具->管理服务配置,在右边“RDP-Tcp”的“属性”中的“常规”选项卡中启用了安全层参数;(win2008运行tsconfig.msc->“RDP-Tcp”的“属性”中的“常规”“安全性”选项卡中启用了安全层参数)(win2012无此选项默认符合)
1、系统关键目录(C盘、应用软件安装目录、缴据文件存放目录等),everyone用户没有写入权。 2、使用命令#net share检置是否关闭多余的默认共享其它文件共享。 3、检查是否关闭不必要的端口,如有特殊情况请说明,使用命令:netstat-an,端口列表为: 137,138,139,445(可选),123,1900。 4、运行compmgmt.msc检查是否禁用多余服务: Alerter、Clipbook、Computer、Browser、Messenger、Remote、Registry Service、Routing and Remote Access、Simple Mail Trasfer Protocol(SMTP)(可选)、Simple Network Management Protocol(SNMP) Trap(可选)、Telnet、World Wide Web、Publishing Service(可选)、Print Spooler、Automatic Updates(可选)、Terminal Service(可选)。 【说明】1、如果系统确需要使用到上述服务或者共享,应访谈系统管理员使用上述服务以及共享在系统应用当中的实际用途以及不能关闭或者删除的理由。 2、未提供权限表,但不同的用户使用不同的帐户登录系统结果判定为部分符合。 3、仅设置一个Administrator账户结果判定为不符合。 1、运行“compmgmt.msc”在计算机管理-〉本地用户和组->用户
1、运行“compmgmt.msc”在计算机管理-〉本地用户和组->用户
2、查看用户分组情况,询问是否按最小授权原则分配用户权限。查看用户分组情况。打开组策略编辑器一Windows-安全设置中-本地策略-用户权利指派。 【说明】采用单独的审计系统接收及完成日常审计工作可视为审计部分的权限分离 1)查看操作系统功能手册或相关文档,确认操作系统是否具备对信息资源设置敏感标记功能。 2)询问管理员是否对重要信息资源设置由专用安全设备生成的敏感标记,列如:等级分类可置为非密、秘密、机密、绝密等。 【说明】Windows系统默认无敏感标记功能,需第三方系统辅助实现(如采用堡垒机标记敏感信息及操作)。
1、运行“gpedit.msc”在计算机配置->Windows设置-〉安全设置->本地策略->审核策略,启用相关策略。 2、或采用第三方的审计工具,并覆盖所有用户操作。 1、日志最大容量满足要求(事件查看器中右键配置): 应用日志50M-1024M、安全日志50M-1024M、系统日志50M-1024M。 2、日志要求保存6个月以上。 3、应部署统一日志服务器对服务器日志进行统一存储管理。 【说明】检查日志服务器中的日志是否不能被删除,是否只有审计员才有权限查看(如果日志能删除,或者除审计员以外其他角色的管理员能查看,则为不符合) 1、运行regedit,并查看 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\system 下面是否有名为RestrictGuestAccess的键值且为1 2、运行“gpedit.msc”计算机配置->Windows设置->安全设置->本地策略->用户权利指派->管理审核和安全日志,查看是否除审计员、administrators外其他用户无权限。
应检查是否删除多余组件和应用程序,并禁用服务,“管理工具-〉服务->查看可以使用的服务”。 1、Windows Server2000/2003系统应启用TCP/IP筛选功能对接入终端控制,在“本地连接->属性->TCP/IP协议属性->高级->选项->TCP/IP筛选”中进行配置。 2、Windows Server 2008应在:“控制面板->防火墙->高级设置->入站规则”中进行配置。 3、可通过网络安全设备限制访问本机的IP地址。 4、主机服务器可通过IT运维审计系统统一集中管理。
a)查看操作系统用户的鉴别信息在分配给其他用户前是否释放,运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,检查系统是否启用“不显示上次的用户名”。 b)查看操作系统用户的鉴别信息在分配给其他用户前是否释放,运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,检查系统是否启用“关机前清除虚拟内存页面”。
8.1.4.5 恶意代码防范 8.1.4.6 可信验证 8.1.4.7 数据完整性 8.1.4.8 数据保密性 8.1.4.9 数据备份恢复 8.1.4.11 个人信息保护
