上次说到物理安全和网络安全部分继续说后面的主机安全应用安全数据安全以及备份恢复
0×2主机安全技术要求
PS:主机安全一般我们常说的基线,此部分内容较多,整改重点。由于操作系统种类,版本繁多,网上较多的类似加固或者基线文档多少有些错误的地方,哪怕是WINDOWS版本不同配置位置也有少许变化。不可盲目相信网上的基线,加固文档,需要自行测试。
身份鉴别
访问控制
安全审计(如有堡垒机三方运维审计应酌情考虑加分)
剩余信息保护
入侵防范
恶意代码防范
资源控制
PS:应用一般是C/S或B/S模式,一般所说的应用指WEB页面或有客户端程序的日常跟业务有关的软件或系统。
这部分负责等级保护整改工作协作部门无法整改,一般情况是联系应用的开发厂家,配合整改。如业务年代久远没有维保的情况,应用方面整改只能放弃,加强网络和主机方面的整改。
安全审计
基本要求解读备注a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;指应用用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清除。至少应保证删除的文件,资源等不可再被其他人读取。三级要求跟主机层面剩余信息保护要求类似。一般为不符合。严格意义上剩余信息保护,是需要清理所有缓存的,再说清理缓存并不是完全擦除,还是可以数据恢复,但本文不做过多讨论了。b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。解释同上针对对象变为、文件、目录、数据库记录所在的存储空间三级要求,一般情况为不符合。
通信完整性
通信保密性
抗抵赖
基本要求解读备注a)应具有在请求的情况下为数据原发者或接收者提供数据原发/接收证据的功能;本来是两条注意斜杠的位置/,一个是原发证据的功能,一个是接收证据的功能,不太好理解,简单说就是溯源,可以追溯发送方和接收的具体是哪个使用者而且无法抵赖。三级要求一般情况不符合,解决办法简单点的可以用数字签名证明身份。一般单位选择放弃此项。
软件容错
基本要求解读备注a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;在创建账户,写入业务数据的时候,是否存在最小最大字符数量限制上传大小和种类限制以及特殊字符限制,数据有效性等数据有效性比如:性别一栏只能选男女其他选择无效。一般情况部分符合,多数是应用对数据长度类型没有定义。不好整改一般放弃,项目如在开发维护中则可以整改。b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。当违反相对数据规则如上条最小最大字符数量限制上传大小和种类限制以及特殊字符限制,数据有效性等,能正确告知客户进行修正不对系统正常运行造成影响。应用业务数据需要定期备份。(有每日每周每月备份等)一般情况部分符合,多数应用有些限制,但都存在过滤不严的情况。结合上面一条软件容错主要是为了防止SQL注入等攻击,以及用户输入一定超过最大值或特殊字符进行溢出攻击。记得询问应用备份情况。
PS:这个部分原本条目比较少,一般是数据库的检测条目是被忽略的。
因为很多数据库没有办法进行整改主要担心影响业务,但是评测公司会评测。于是还是决定写详细一点。
此部分也不是整改重点为了自己不背锅建议不要碰数据库。改动数据任意一点都可能影响业务。
备份和恢复
特别说明:此部分的备份恢复是覆盖所有层面包括网络的建议双联路,服务器建议双机热备等。
1:管理层面和技术层面,管理制度的权重会高一些。大概为64开73开的样子。
2:技术层面整改建议放在网络层面和主机层面提高它们的分数,将较低和无法更改的平均分拉起来。
3:管理层面的评测大体有三个阶梯级一、是否有制度会给分二、制度是否有表格再给分三、制度是否有明细记录再给分(建议无记录的至少补充一年半左右的出入记录申请记录等)
4:测评机构会扫描漏洞,日常漏洞扫描是需要做的,或者在测评机构扫描时屏蔽一些高危IP,可以控制仅扫描安全较好的主机。
有些测评机构出现高危漏洞是一票否决。
0×6等级保护题外话
1:等级保护强调纵深防御思想几个关键要求出现的几个层面如审计日志要求访问控制要求双因子敏感信息标记
纵深防御思想好比军事作战需要海陆空三军协同作战一样,网络层面有访问控制主机层面有访问控制应用有访问控制防御措施是一环套一环
2:其实制度标准文件也好,认真解读规定其实还是算严格的。只是等级保护制度在执行时就要看人的执行力了
引用:
3:一些项目过程可能用到的文件一般情况是讲文档表格打印访谈形式,根据条目一条一条去核对和验证。然后出具差距分析报告。