分冊(cè)2-主機(jī)系統(tǒng)安全.docVIP

中國電信增值業(yè)務(wù)平臺(tái)安全管理辦法（試行）主機(jī)系統(tǒng)安全中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部二一年七月目錄一. 主機(jī)系統(tǒng)安全概述1二. 操作系統(tǒng)安全12.1 補(bǔ)丁狀況及安全防護(hù)12.1.1 病毒防范22.1.2 入侵檢測(cè)與防范22.2 鑒別與控制22.2.1 身份鑒別22.2.2 口令與帳號(hào)32.2.3 遠(yuǎn)程訪問控制32.3 系統(tǒng)服務(wù)42.4 文件系統(tǒng)安全42.5 日志配置要求52.6 備份與恢復(fù)5三. 數(shù)據(jù)庫安全63.1 賬戶策略63.1.1 口令管理63.1.2 遠(yuǎn)程訪問控制63.2 審計(jì)策略63.3 補(bǔ)丁升級(jí)73.4 備份與恢復(fù)7中國電信增值業(yè)務(wù)平臺(tái)安全管理辦法 分冊(cè)2-主機(jī)系統(tǒng)安全一. 主機(jī)系統(tǒng)安全概述主機(jī)系統(tǒng)作為信息存儲(chǔ)、傳輸、應(yīng)用處理的基礎(chǔ)設(shè)施，其自身安全性可能影響整個(gè)業(yè)務(wù)平臺(tái)的安全。作為業(yè)務(wù)平臺(tái)系統(tǒng)中重要的組成部分，各種業(yè)務(wù)系統(tǒng)主機(jī)數(shù)量眾多，資產(chǎn)價(jià)值高，面臨的安全風(fēng)險(xiǎn)極大。一方面，主機(jī)系統(tǒng)是各類業(yè)務(wù)系統(tǒng)數(shù)據(jù)和信息的主要載體，這些業(yè)務(wù)數(shù)據(jù)和信息是系統(tǒng)信息資產(chǎn)的重要組成部分；另一方面，病毒、攻擊入侵等安全威脅很容易通過訪問主機(jī)系統(tǒng)的終端滲透到后臺(tái)各種業(yè)務(wù)應(yīng)用和服務(wù)主機(jī)中，從而對(duì)業(yè)務(wù)平臺(tái)系統(tǒng)的整體安全帶來危害。本規(guī)范制定的目標(biāo)是統(tǒng)一業(yè)務(wù)平臺(tái)的主機(jī)系統(tǒng)技術(shù)規(guī)范，指導(dǎo)業(yè)務(wù)平臺(tái)主機(jī)的安全配置和維護(hù)，從而提高業(yè)務(wù)平臺(tái)各系統(tǒng)總體安全水平。二. 操作系統(tǒng)安全2.1 補(bǔ)丁狀況及安全防護(hù)對(duì)于操作系統(tǒng)，安全漏洞的存在是不可避免的，因此需要針對(duì)系統(tǒng)的缺陷進(jìn)行漏洞的修補(bǔ)，但考慮到補(bǔ)丁與現(xiàn)有業(yè)務(wù)系統(tǒng)的兼容性不能盲目的進(jìn)行漏洞修補(bǔ)，漏洞的修復(fù)工作必須慎重操作，主機(jī)系統(tǒng)的漏洞補(bǔ)丁升級(jí)需要滿足以下技術(shù)要求：u 應(yīng)采用專業(yè)的漏洞掃描、評(píng)估技術(shù)對(duì)操作系統(tǒng)（如：Windows、Linux、Unix、第三方軟件）進(jìn)行定期安全評(píng)估，并根據(jù)結(jié)果對(duì)系統(tǒng)進(jìn)行修復(fù)；u 在對(duì)操作系統(tǒng)的補(bǔ)丁進(jìn)行更新前，應(yīng)對(duì)補(bǔ)丁與現(xiàn)有業(yè)務(wù)系統(tǒng)的兼容性進(jìn)行測(cè)試，確認(rèn)后與系統(tǒng)提供廠商配合進(jìn)行相應(yīng)的修復(fù)；u 應(yīng)對(duì)操作系統(tǒng)的漏洞發(fā)展情況進(jìn)行跟蹤，形成詳細(xì)的安全更新狀態(tài)報(bào)表。u 安裝補(bǔ)丁軟件包則以必要為原則，非必需的包就不裝。2.1.1 病毒防范 考慮現(xiàn)階段類UNIX平臺(tái)的病毒風(fēng)險(xiǎn)情況，暫時(shí)對(duì)UNIX平臺(tái)病毒防護(hù)不作特別要求，但需要關(guān)注最新UNIX平臺(tái)病毒發(fā)展?fàn)顩r和對(duì)已知病毒進(jìn)行嚴(yán)格的防范。 針對(duì)業(yè)務(wù)平臺(tái)中windows平臺(tái)主機(jī)系統(tǒng)需要采用適當(dāng)?shù)牟《痉雷o(hù)系統(tǒng)進(jìn)行病毒、惡意代碼等的防治，防病毒系統(tǒng)應(yīng)滿足如下要求：u 主機(jī)系統(tǒng)必須安裝統(tǒng)一的病毒防治產(chǎn)品，應(yīng)在應(yīng)用系統(tǒng)廠商指導(dǎo)下部署實(shí)時(shí)檢測(cè)和查殺惡意代碼的軟件產(chǎn)品；u 支持通過防病毒服務(wù)器設(shè)置統(tǒng)一的防毒策略，實(shí)時(shí)防治病毒；u 防病毒系統(tǒng)應(yīng)自動(dòng)保持防病毒代碼的更新，或者通過運(yùn)維操作員進(jìn)行手動(dòng)更新。2.1.2 入侵檢測(cè)與防范通過主機(jī)入侵檢測(cè)系統(tǒng)、主機(jī)日志系統(tǒng)等主機(jī)安全技術(shù)，結(jié)合網(wǎng)絡(luò)安全技術(shù)（如網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、防火墻等），實(shí)現(xiàn)對(duì)各種已知入侵行為的檢測(cè)，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。u 應(yīng)設(shè)定資源報(bào)警域值，以便在資源使用超過規(guī)定數(shù)值時(shí)發(fā)出報(bào)警；u 應(yīng)進(jìn)行特定進(jìn)程監(jiān)控，限制操作人員運(yùn)行非法進(jìn)程；u 應(yīng)進(jìn)行主機(jī)賬戶監(jiān)控，限制對(duì)重要賬戶的添加和更改；u 應(yīng)檢測(cè)各種已知的入侵行為，記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；2.2 鑒別與控制2.2.1 身份鑒別身份鑒別用于驗(yàn)證實(shí)體身份（是用戶、計(jì)算機(jī)、程序等）的過程，該過程確定實(shí)體是它所聲稱的身份。由于主機(jī)系統(tǒng)承載著應(yīng)用系統(tǒng)重要的業(yè)務(wù)和數(shù)據(jù)信息，這對(duì)于業(yè)務(wù)平臺(tái)系統(tǒng)資產(chǎn)重要性和保護(hù)力度來說是重中之重，因此應(yīng)采用嚴(yán)格身份鑒別技術(shù)用于主機(jī)系統(tǒng)用戶的身份鑒別，操作系統(tǒng)的身份鑒別應(yīng)滿足下列技術(shù)要求：u 操作系統(tǒng)用戶的身份標(biāo)識(shí)應(yīng)具有唯一性；u 應(yīng)對(duì)登錄操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；u 操作系統(tǒng)用戶的身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長度、復(fù)雜性和定期的更新等；u 應(yīng)具有登錄失敗處理功能，如：結(jié)束會(huì)話、限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時(shí)，自動(dòng)退出；u 重要的主機(jī)系統(tǒng)應(yīng)對(duì)與之相連的服務(wù)器或終端設(shè)備進(jìn)行身份標(biāo)識(shí)和鑒別。2.2.2 口令與帳號(hào)u 操作系統(tǒng)安全的一個(gè)重要方面是對(duì)有管理權(quán)限訪問計(jì)算機(jī)資源，或者服務(wù)的用戶和組進(jìn)行管理，從操作系統(tǒng)帳戶角度出發(fā)，帳戶管理應(yīng)滿足如下的要求：結(jié)合帳號(hào)密碼管理策略，對(duì)帳號(hào)口令、登錄策略等進(jìn)行控制；u 應(yīng)采用合適的安全措施，嚴(yán)格進(jìn)行主機(jī)系統(tǒng)口令文件的保存；u 用戶對(duì)操作系統(tǒng)文件的訪問權(quán)限，應(yīng)該進(jìn)行嚴(yán)格的限制；u 能限制帳戶的登錄方式，例如桌面登錄、服務(wù)登錄、遠(yuǎn)程撥號(hào)，或者光驅(qū)CD-ROM、軟驅(qū)FDD啟動(dòng)。2.2.3 遠(yuǎn)程訪問控制遠(yuǎn)程訪問用于服務(wù)器的遠(yuǎn)程控制，用戶從任何一點(diǎn)就可以遠(yuǎn)程控制主機(jī)系統(tǒng)，但遠(yuǎn)程訪問管理須具備較高的安全防護(hù)能力，防止受到惡意攻擊或利用。考慮到遠(yuǎn)程訪問控制的高風(fēng)險(xiǎn)性，需要應(yīng)用安全的方式進(jìn)行，因此遠(yuǎn)程訪問控制應(yīng)滿足下列的安全要求：u 應(yīng)嚴(yán)格限制匿名用戶和默認(rèn)用戶的訪問權(quán)限；u 支持設(shè)置某一用戶可以進(jìn)行的最大連接數(shù)；u 遠(yuǎn)程訪問的客戶端和服務(wù)器端之間的數(shù)據(jù)傳輸應(yīng)該進(jìn)行加密；u 應(yīng)對(duì)用戶進(jìn)行嚴(yán)格的訪問控制，應(yīng)采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限，并在他們之間形成相互制約的關(guān)系；u 主機(jī)系統(tǒng)應(yīng)對(duì)連接超時(shí)進(jìn)行限制，當(dāng)用戶登錄設(shè)備后，一段時(shí)間未進(jìn)行操作后，就將自動(dòng)中斷此用戶的連接；u 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址、端口范圍等條件限制終端登錄。u 訪問控制的覆蓋范圍應(yīng)包括與信息安全直接相關(guān)的主體、客體及它們之間的操作；u 應(yīng)由授權(quán)主體設(shè)置對(duì)客體訪問和操作的權(quán)限；2.3 系統(tǒng)服務(wù)操作系統(tǒng)中默認(rèn)開啟很多不必要的服務(wù),考慮到系統(tǒng)的安全性,系統(tǒng)服務(wù)應(yīng)符合如下安全規(guī)范：u 禁用日常工作中不需要使用的服務(wù)，減小系統(tǒng)負(fù)荷，同時(shí)也能降低某些服務(wù)中未知的漏洞所帶來的風(fēng)險(xiǎn)。u 通過SNMP服務(wù)，遠(yuǎn)程惡意用戶可以列舉本地的帳號(hào)、帳號(hào)組、運(yùn)行的進(jìn)程、安裝的補(bǔ)丁和軟件等敏感信息，禁用或修改SNMP配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。u Windows自動(dòng)播放功能存在安全隱患，需要關(guān)閉自動(dòng)播放功能。u Linux系統(tǒng)應(yīng)檢查系統(tǒng)openssh安全配置，禁止使用協(xié)議1，和使用root直接登錄u Linux和Unix系統(tǒng)應(yīng)檢查系統(tǒng)root用戶環(huán)境變量path設(shè)置中是否包含”.”(root為了方便使用在他的當(dāng)前路徑末尾加了個(gè)點(diǎn).，存在安全隱患)u Soloris系統(tǒng)中應(yīng)配置使用SSH等加密協(xié)議代替Telnet。2.4 文件系統(tǒng)安全文件系統(tǒng)應(yīng)符合如下安全規(guī)范：u Windows操作系統(tǒng)應(yīng)要確保服務(wù)器上的所有分區(qū)都使用 NTFS 格式化，NTFS 分區(qū)提供訪問控制和保護(hù)功能，這些都是 FAT、FAT32 或 FAT32x 文件系統(tǒng)所無法提供的。u Linux和unix操作系統(tǒng)：1檢查關(guān)鍵文件的屬性, 把重要文件加上不可修改屬性2檢查關(guān)鍵文件的權(quán)限，/etc/shadow 文件屬性應(yīng)為400，/etc/xinetd.conf 文件屬性應(yīng)為6003檢查系統(tǒng)umask設(shè)置，新創(chuàng)建的文件屬主讀寫執(zhí)行權(quán)限，同組用戶讀和執(zhí)行權(quán)限，其他用戶無權(quán)限2.5 日志配置要求操作系統(tǒng)日志配置應(yīng)符合如下安全規(guī)范：u Windows操作系統(tǒng)：加強(qiáng)審核策略，以便出現(xiàn)安全問題后進(jìn)行追查。設(shè)置日志容量和覆蓋規(guī)則，保證日志存儲(chǔ)。啟用IIS日志記錄，并設(shè)置新日志時(shí)間間隔為每天。u Linux和unix操作系統(tǒng)：檢查系統(tǒng)日志審核，系統(tǒng)是否開啟了日志審核設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件。系統(tǒng)日志應(yīng)對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。2.6 備份與恢復(fù) 操作系統(tǒng)的備份主要是指在系統(tǒng)正常、數(shù)據(jù)完好的情況下，對(duì)其進(jìn)行備份；恢復(fù)是指由于各種原因?qū)е聰?shù)據(jù)的損壞、業(yè)務(wù)中斷，將原備份的數(shù)據(jù)再恢復(fù)到當(dāng)前運(yùn)行的系統(tǒng)中來，恢復(fù)業(yè)務(wù)的正常運(yùn)作。 備份應(yīng)該采用合適的技術(shù)手段，實(shí)現(xiàn)對(duì)主機(jī)系統(tǒng)進(jìn)行備份，主要的技術(shù)要求如下：u 應(yīng)對(duì)重要業(yè)務(wù)系統(tǒng)文件進(jìn)行數(shù)據(jù)歸檔，用于日后的查詢、分析；u 應(yīng)該對(duì)系統(tǒng)進(jìn)行恢復(fù)備份；u 應(yīng)對(duì)主機(jī)系統(tǒng)進(jìn)行統(tǒng)一的容災(zāi)備份； u 應(yīng)具有對(duì)備份操作進(jìn)行記錄并可查詢的功能。u 有測(cè)試環(huán)境的，應(yīng)考慮每年做一次恢復(fù)性測(cè)試，以確保備份數(shù)據(jù)的可恢復(fù)性。u 備份內(nèi)容應(yīng)定期（30天）轉(zhuǎn)儲(chǔ)存放到外部介質(zhì)上（如磁帶、光盤、服務(wù)器等），且上述外部介質(zhì)應(yīng)存放在應(yīng)與業(yè)務(wù)系統(tǒng)不同的樓宇內(nèi)。三. 數(shù)據(jù)庫安全3.1 賬戶策略3.1.1 口令管理數(shù)據(jù)庫的口令應(yīng)符合如下要求：u 應(yīng)按照用戶分配賬號(hào)，避免不同用戶間共享賬號(hào)；u 應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)；u 對(duì)于采用靜態(tài)口令進(jìn)行認(rèn)證的數(shù)據(jù)庫，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類；至少90天更新一次。u 更改數(shù)據(jù)庫默認(rèn)帳號(hào)的密碼。u 應(yīng)限制非法登錄次數(shù)，通常設(shè)置為3次。在使用者嘗試3次登錄都未成功的情況下，就將直接中止連接；3.1.2 遠(yuǎn)程訪問控制 考慮到遠(yuǎn)程訪問控制的高風(fēng)險(xiǎn)性，因此需要對(duì)遠(yuǎn)程訪問控制進(jìn)行嚴(yán)格限制，具體安全要求如下：u 應(yīng)嚴(yán)格限制匿名用戶的訪問權(quán)限；u 應(yīng)嚴(yán)格限制數(shù)據(jù)庫管理員的遠(yuǎn)程訪問權(quán)限，直接在業(yè)務(wù)平臺(tái)中使用數(shù)據(jù)管理管理員帳號(hào)，如：mysql的root、mssql的sa、oracle的sysdba帳號(hào)；u 遠(yuǎn)程訪問的客戶端和服務(wù)器端之間的數(shù)據(jù)傳輸應(yīng)該進(jìn)行加密； u 應(yīng)對(duì)用戶進(jìn)行嚴(yán)格的訪問控制，應(yīng)采用最小授權(quán)原則，分別授予不同用戶各自為完成自己承擔(dān)任務(wù)所需的最小權(quán)限；u 在某些應(yīng)用環(huán)境下可設(shè)置數(shù)據(jù)庫連接超時(shí)，比如數(shù)據(jù)庫將自動(dòng)斷開超過10分鐘的空閑遠(yuǎn)程連接。3.2 審計(jì)策略數(shù)據(jù)庫應(yīng)配置日志功能需滿足一下技術(shù)要求：u 對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶使用的IP地址。u 記錄用戶對(duì)數(shù)據(jù)庫的操作，包括但不限于以下內(nèi)容：賬號(hào)創(chuàng)建、刪除和權(quán)限修改、口令修改、讀取和修改數(shù)據(jù)庫配置、讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。u 記錄對(duì)與數(shù)據(jù)庫相關(guān)的安全事件。u 應(yīng)限制有DBA權(quán)限的用戶訪問敏感數(shù)據(jù)。u 數(shù)據(jù)庫監(jiān)聽器（LISTENER）的關(guān)閉和啟動(dòng)設(shè)置密碼。u 對(duì)無法實(shí)現(xiàn)上述功能的系統(tǒng)，應(yīng)嚴(yán)格控制數(shù)據(jù)庫帳號(hào)，限制直接登錄數(shù)據(jù)庫的帳號(hào)數(shù)量。一般人員數(shù)據(jù)操作應(yīng)通過平臺(tái)應(yīng)用系統(tǒng)維護(hù)界面進(jìn)行，并要求做好應(yīng)用系統(tǒng)的登錄操作日志管理。u 安全審計(jì)應(yīng)覆蓋到服務(wù)器和客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；u 安全審計(jì)應(yīng)記錄系統(tǒng)內(nèi)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用；u 安全相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等；u 安全審計(jì)應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；u 安全審計(jì)應(yīng)可以對(duì)特定事件，提供指定方式的實(shí)時(shí)報(bào)警；u 審計(jì)進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)期的中斷；u 審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。3.3 補(bǔ)丁升級(jí)數(shù)據(jù)庫補(bǔ)丁升級(jí)應(yīng)符合如下要求：u 升級(jí)前應(yīng)當(dāng)對(duì)數(shù)據(jù)庫進(jìn)行備份；u 應(yīng)當(dāng)安裝最新的大版本補(bǔ)??；u 應(yīng)安裝高危遠(yuǎn)程緩沖區(qū)溢出漏洞補(bǔ)丁。u 以上補(bǔ)丁操作應(yīng)與現(xiàn)有業(yè)務(wù)系統(tǒng)的兼容性進(jìn)行測(cè)試，確認(rèn)后與系統(tǒng)提供廠商配合進(jìn)行相應(yīng)的修復(fù)；3.4 備份與