基于等级保护梳理服务器安全合规基线.docx

基于等级保护梳理服务器安全合规基线 背景 作为运维，当对新上架的服务器装完操作系统后，第一步就是对操作系统进行初始化配置来保证配置合规，此时你可能就会有疑问：我们应该初始化哪些参数，有没有相关标准参考呢？ 要想真正了解进行初始化配置的目的，我们先来普一下法： 《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 《中华人民共和国网络安全法》规定，等级保护是我国信息安全保障的基本制度。 看到这个，大家可能觉得我扯远了，这个和运维有啥关系呢？起初我也是这么认为的，但随着网上各种因删除跑路获刑事件不绝于耳，如果我们的安全意识不足，会不会就发生到我们身上呢？ “存在即合理”，等级保护如此重要，那么它是否可以作为我们配置的参考呢？ 1.等级保护级别 我国实行网络安全等级保护制度，等级保护对象分为五个级别，由一到五级别逐渐升高，每一个级别的要求存在差异，级别越高，要求越严格。 一级：自主保护级 二级：指导保护级 三级：监督保护级 四级：强制保护级 五级：专控保护级 其中最常见的是等保二级和等保三级。在我国，“三级等保”是对非银行机构的最高等级保护认证，一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云（服务商）平台和其他重要系统。这一认证由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。 2.安全通用要求 安全通用要求细分为技术要求和管理要求。其中：技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”。 管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。安全通用要求针对共性化保护需求提出，无论等级保护对象以何种形式出现，需要根据安全保护等级实现相应级别的安全通用要求。 安全扩展要求针对个性化保护需求提出，等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护需要同时落实安全通用要求和安全扩展要求提出的措施。 3.安全计算环境 针对边界内部提出的安全控制要求，主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等。我们新上架的服务器属于安全计算环境范畴内，因此需要从以下安全控制点进行相关配置： 3.1身份鉴别 1、应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，应实现身份鉴别信息防窃取和防重用。静态口令应在8位以上，由字母、数字、符号等混合组成并每半年更换口令，不允许新设定的口令与前次旧口令相同。应用系统用户口令应在满足口令复杂度要求的基础上定期更换。 2、应具有登录失败处理功能，应配置并启用结束会话、限制登录间隔、限制非法登录次数和当登录连接超时自动退出等相关措施。 3、当进行远程管理时，应对管理终端进行身份标识和鉴别，采用密码技术防止鉴别信息在网络传输过程中被窃听。 4、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 3.2访问控制 1、应对登录的用户分配账户和权限。 2、应重命名或删除默认账户，修改默认账户或预设账户的默认口令。 3、应用系统应对首次登录的用户提示修改默认账户或预设账户的默认口令。 4、应及时删除或停用多余的、过期的账户，避免共享账户的存在。 5、应授予管理用户所需的最小权限，实现管理用户的权限分离。 6、应严格限制默认账户或预设账户的权限，如默认账户和预设账户的权限应为空权限或某单一功能专用权限等。 7、应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。 8、访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。 9、应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。 3.3安全审计 1、应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 2、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 3、应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等，审计记录保存时间应不少于6个月。 4、应对审计进程进行保护，防止未经授权的中断。 5、对于从互联网客户端登录的应用系统，应在用户登录时提供用户上一次非常用设备成功登录的日期、时间、方法、位置等信息。 6、审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的一致性与正确性。 3.4入侵防范 1