基于等级保护梳理服务器安全合规基线.pdf

基于等级保护梳理服务器安全合规基线 背景 作为运维，当对新上架的服务器装完操作系统后，第一步就是对操作系 统进行初始化配置来保证配置合规，此时你可能就会有疑问：我们应该初始 化哪些参数，有没有相关标准参考呢？ 要想真正了解进行初始化配置的目的，我们先来普一下法： 《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等 级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列 全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据 泄露或者被窃取、篡改。 《中华人民共和国网络安全法》规定，等级保护是我国信息安全保障的 基本制度。 看到这个，大家可能觉得我扯远了，这个和运维有啥关系呢？起初我也 是这么认为的，但随着网上各种因删除跑路获刑事件不绝于耳，如果我们的 安全意识不足，会不会就发生到我们身上呢？ “存在即合理”，等级保护如此重要，那么它是否可以作为我们配置的参考 呢？ 1.等级保护级别 我国实行网络安全等级保护制度，等级保护对象分为五个级别，由一到 五级别逐渐升高，每一个级别的要求存在差异，级别越高，要求越严格。 一级：自主保护级 二级：指导保护级 三级：监督保护级 四级：强制保护级 五级：专控保护级 其中最常见的是等保二级和等保三级。在我国， “三级等保”是对非银 行机构 的最高等级保护认证，一般 定级为等保三级的系统有互联 网医院平 台、P2P 金融平台 、网约车平台 、云（服务商）平台和其他重要系统。这一 认证由公安机 关依据国家信息安全保护条例及相关制度规定，按照管理规 范和技术标准，对各机构 的信息系统安全等级保护状况进行认可及评 定。 2.安全通用要求 技术要求 安全通用要求细分为技术要求和管理要求。其中： 包括 “安全物理 环境 ”、 “安全通信网络”、 “安全区域边界”、 “安全计算环境 ”和 “安全管 理中心”。 管理要求包括 “安全管理制度”、 “安全管理机构 ”、 “安全管理人员”、 “安全建设管理”和 “安全运维管理”。安全通用要求针对共性化保护需求提出， 无论等级保护对象以何种形式出现，需要根据安全保护等级实现相应级别的安全 通用要求。 安全扩展 要求针对个性化保护需求提出 ，等级保护对象需要根据安全 保护等级、使用 的特 定技术或特 定的应用场景实现安全扩展要求。等级保护 对象的安全保护需要同时落实安全通用要求和安全扩展要求提出 的措施 。 3.安全计算环境 针对边界内部提出 的安全控制要求，主要对象为边界内部 的所有对象，包括 网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备 等。我们新上架的服务器属于安全计算环境范畴内，因此需要从 以下安全控制点 进行相关配置： 3.1 身份鉴别 1、应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，应实现身 份鉴别信息防窃取和防重用 。静态口令应在 8 位 以上，由字母、数字、符号等混 合组成并每半年更换口令，不允许新设定的口令与前次旧口令相同。应用系统用 户口令应在满足口令复杂度要求的基础上定期更换 。 2、应具有登录失败处理功能，应配置并启用结束会话、限制登录间隔、限 制非法登录次数和当登录连接超时自动退出等相关措施 。 3、当进行远程管理时，应对管理终端进行身份标识和鉴别，采用密码技术 防止鉴别信息在网络传输过程 中被窃听。 4、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对 用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现 。 3.2 访问控制 1、应对登录的用户分配账户和权限。 2、应重命名或删除默认账户，修改默认账户或预设账户的默认口令。 3、应用系统应对首次登录的用户提示修改默认账户或预设账户的默认口令。 4、应及时删除或停用多余的、过期的账户，避免共享账户的存在。 5、应授予管理用户所需的最小权限，实现管理用户的权限分离。 6、应严格限制默认账户或预设账户的权限，如默认账户和预设账户的权限 应为空权限或某单一功能专用权限等。