Equipamento de segurança para ambiente de computação seguro
1. Identificação
a) O usuário que faz o login deve ser identificado e autenticado, a identificação é única, e as informações de identificação possuem requisitos de complexidade e são regularmente substituídas
1) Deve-se verificar se o usuário adotou medidas de autenticação de identidade ao efetuar login
2) A lista de usuários deve ser verificada para testar se a identidade do usuário é única
3) Verifique as informações de configuração do usuário ou entreviste o administrador do sistema para verificar se não há nenhum usuário com uma senha vazia
4) Verifique se as informações de autenticação do usuário têm requisitos de complexidade e substitua-as regularmente
b) Com a função de processamento de falha de login, medidas relevantes, como encerrar a sessão, limitar o número de logins ilegais e efetuar logout automaticamente quando a conexão de login expirar, devem ser configuradas e habilitadas
1) Verifique se a função de tratamento de falha de login está configurada e habilitada: Defina a falha de login padrão 3 vezes e saia da interface de login
2) Deve-se verificar se está configurado e habilitado para limitar o número de logins ilegais para alcançar a função de bloqueio de conta após um certo número de vezes
3) Verifique se o tempo limite de conexão de login remoto e a função de logout automático estão configurados e habilitados
c) Ao conduzir o gerenciamento remoto, as medidas necessárias devem ser tomadas para evitar que as informações de autenticação sejam interceptadas durante a transmissão da rede
1) Deve ser verificado se o sistema é gerenciado remotamente por criptografia e outros métodos de segurança para evitar que as informações de autenticação sejam espionadas durante a transmissão da rede. Se o Bastion Host estiver implantado na rede, primeiro verifique quais medidas o Bastion Host adota para evitar que as informações de autenticação sejam espionadas durante a transmissão da rede, como SSH, etc.
d) Duas ou mais combinações de tecnologias de autenticação, como senhas, técnicas criptográficas e biotecnologia devem ser usadas para autenticar usuários, e uma das técnicas de autenticação deve, pelo menos, usar técnicas criptográficas para alcançar
1) Deve-se verificar se o sistema usa duas ou mais combinações de tecnologias de autenticação, como senha, tecnologia de senha e biotecnologia para autenticar a identidade do usuário.
"Tome o firewall Tianrongxin como exemplo, faça login por meio da WEB por meio de um navegador.
1) Em Após inserir o nome de usuário e senha do administrador do firewall na interface de login, clique no botão "Login" para entrar na interface de gerenciamento. Em seguida, selecione Autenticação do Usuário >> Gerenciamento do Usuário na árvore de navegação à esquerda e ative o botão " Guia Gerenciamento de usuários ", conforme mostrado na figura abaixo.
2) as informações da lista de usuários exibidas à direita, conforme mostrado abaixo:
3) Se dois ou requer as técnicas de autenticação de usuário de dois ou mais deles, clique no ícone" editar " à direita da entrada do usuário, a visualização de autenticação do usuário O método deve ser "senha local + autenticação de certificado" ou "senha externa + autenticação de certificado".
Por exemplo, se o administrador deseja executar autenticação de certificado e senha de servidor externo autenticação para o usuário "doc", clique no lado direito da entrada do usuário "doc" Após o ícone "modificar", o "modo de autenticação" das propriedades do usuário deve ser "senha externa + autenticação de certificado", conforme mostrado na figura abaixo de."
2. Controle de acesso
a) Contas e permissões devem ser atribuídas ao usuário conectado;
1) Entreviste administradores de rede, administradores de segurança, administradores de sistema ou verifique a conta do usuário e as configurações de permissão
2) Deve-se verificar se os direitos de acesso de conta padrão anônimos foram desabilitados ou restritos "
"Tome o firewall Tianrongxin como exemplo. Depois de inserir o nome de usuário e a senha do administrador do firewall na interface de login, clique no botão" Login "para entrar na interface de gerenciamento. Em seguida, selecione Autenticação do usuário >> Gerenciamento do usuário na árvore de navegação à esquerda e ative a guia "" Gerenciamento de usuários ", as informações da lista de usuários são exibidas à direita, conforme mostrado na figura abaixo.
1) Para cada conta de usuário, verifique se a conta de usuário e as configurações de permissão são razoáveis. Por exemplo, administradores de conta e os administradores de configuração não devem ter direitos de usuário de auditoria.
2) Deve-se verificar se os direitos de acesso de contas anônimas e padrão foram desabilitados ou restritos. ”
b) A conta padrão deve ser renomeada ou excluída, e a senha padrão da conta padrão deve ser modificada
1) Verifique se a conta padrão foi renomeada ou se a conta padrão foi excluída
2) Verifique se a senha padrão da conta padrão foi modificada
"Tome como exemplo o firewall Tianrongxin. Depois de inserir o nome de usuário e a senha do administrador do firewall na interface de login, clique no botão" Login "para entrar na interface de gerenciamento. Em seguida, selecione Autenticação do usuário >> Gerenciamento do usuário na árvore de navegação à esquerda , e ativar a guia "" Gerenciamento de usuários ", as informações da lista de usuários são exibidas à direita, conforme mostrado na figura abaixo
1) Deve-se verificar se essas contas padrão
foram renomeadas ou excluídas 2) Deve-se verificar se as contas padrão a senha da conta padrão foi modificada.
c) Excluir ou desativar contas redundantes e expiradas a tempo de evitar a existência de contas compartilhadas;
1) Verifique se não há contas redundantes ou expiradas e se há uma correspondência direta entre usuários administradores e contas
2) Verifique e teste se contas redundantes e expiradas foram excluídas ou desativadas
"Tome o firewall Tianrongxin como exemplo. Depois de inserir o nome de usuário e a senha do administrador do firewall na interface de login, clique no botão" Login "para entrar na interface de gerenciamento. Em seguida, selecione Autenticação do usuário >> Gerenciamento do usuário na árvore de navegação à esquerda, e ative "Na guia Gerenciamento de usuários, as informações da lista de usuários são exibidas à direita, conforme mostrado na figura abaixo.
- Verifique a lista de contas de usuário de firewall, pergunte ao administrador a finalidade específica de cada conta, analise se há contas redundantes ou expiradas e verifique se há uma correspondência um a um entre os usuários administradores e contas.
2) Se algumas contas redundantes e expiradas não puderem ser excluídas devido a vários motivos, você deve testar se essas contas redundantes e expiradas foram desativadas. "
d) A autoridade mínima exigida pelo usuário administrativo deve ser concedida para realizar a separação da autoridade do usuário administrativo;
1) Deve-se verificar se as funções estão divididas, como administrador de rede, administrador de segurança, administrador de sistema, etc.
2) A estratégia de controle de acesso deve ser verificada para ver se a autoridade do usuário de gerenciamento foi separada
3) Deve-se verificar se a autoridade de gestão é a autoridade mínima necessária para a tarefa de trabalho
"Tome como exemplo o firewall Tianrongxin. Depois de inserir o nome de usuário e a senha do administrador do firewall na interface de login, clique no botão" Login "para entrar na interface de gerenciamento. Em seguida, selecione Autenticação do usuário >> Gerenciamento do usuário na árvore de navegação à esquerda , e ativar a aba "" Gerenciamento de usuários ", a informação da lista de usuários é mostrada no lado direito, conforme mostrado na figura abaixo
1) Deve-se verificar se as funções estão divididas. As contas no sistema são divididas em três tipos: administradores de sistema, administradores de segurança e administradores de auditoria. Entre eles, administradores de gerenciamento de segurança podem formular políticas de segurança, administradores de sistema podem configurar políticas de segurança e administradores de auditoria podem visualizar logs.
2) Deve ser verificado se a autoridade do usuário de gerenciamento foi separados e se é a autoridade mínima necessária para tarefas de trabalho, como proibir o gerenciamento simultâneo de usuários Conceder permissões de administrador de configuração e administrador de auditoria "
e) O sujeito autorizado deve configurar a estratégia de controle de acesso, e a estratégia de controle de acesso estipula as regras de acesso do sujeito ao objeto;
1) Deve-se verificar se um sujeito autorizado (como um usuário administrador) é responsável por configurar as políticas de controle de acesso
2) Verifique se o sujeito autorizado configurou as regras de acesso do sujeito ao objeto de acordo com a política de segurança
3) Deve ser testado para verificar se o usuário possui acesso não autorizado
f) A granularidade do controle de acesso deve atingir o nível do usuário ou do processo como o assunto, e o nível do arquivo e da tabela do banco de dados como o objeto;
1) Verifique se a granularidade do controle de acesso atinge o nível do usuário ou o nível do processo como o assunto, e o nível do arquivo e da tabela do banco de dados como o objeto
g) Configurar marcas de segurança para assuntos e objetos importantes, e controlar o acesso do sujeito aos recursos de informação com marcas de segurança;
1) Deve-se verificar se as marcas de segurança estão definidas no assunto e no objeto
- Deve ser testado para verificar se a estratégia de controle de acesso obrigatório do sujeito ao objeto é controlada de acordo com o sujeito e a marca de segurança do objeto
3. Auditoria de Segurança
a) A função de auditoria de segurança deve ser habilitada, e a auditoria cobre todos os usuários, e comportamentos importantes do usuário e eventos de segurança importantes são auditados;
1) Verifique se a função de auditoria de segurança está habilitada; o dispositivo de rede define o endereço IP do servidor de log e usa syslog ou SMP para enviar logs para o servidor de log
2) Verifique se o escopo da auditoria de segurança cobre todos os usuários
3) Deve ser verificado se comportamentos importantes do usuário e incidentes de segurança importantes são auditados
Tome como exemplo o firewall Tianrongxin. Depois de inserir o nome de usuário e a senha do administrador do firewall na interface de login, clique no botão "Login" para entrar na interface de gerenciamento. Em seguida, selecione Logs e alarmes >> Configurações de log na árvore de navegação à esquerda, ative a guia "Gerenciamento de usuários", as informações da lista de usuários são exibidas
à direita e a página "Configurações de log" é exibida à direita, conforme mostrado em a figura abaixo , e o endereço de servidor correto é definido, porta e nível de log e tipo de log. Por exemplo, se você deseja gravar logs de política de bloqueio de nível 0-3, a caixa suspensa no lado direito do "nível de log" deve ser definida como "3", e o tipo de log de "política de bloqueio" deve ser verificado
b) O registro de auditoria deve incluir a data e hora do evento, usuário, tipo de evento, se o evento foi bem-sucedido e outras informações relacionadas à auditoria;
"Tome o firewall Tianrongxin como exemplo. Depois de inserir o nome de usuário e a senha do administrador do firewall na interface de login, clique no botão" Login "para entrar na interface de gerenciamento. Em seguida, selecione Logs e alarmes >> Configurações de log na árvore de navegação à esquerda para ativar Na guia "Gerenciamento de usuários", as informações da lista de usuários são exibidas no lado direito, conforme mostrado na figura abaixo.
Faça login no servidor de log e selecione Política de gerenciamento "Fonte de coleta de log, entre na interface de configuração da fonte de log, e ver todas as fontes de coleta de registro. Certifique-se de que a lista de fontes de registro contém
Selecione o IP do firewall. No servidor de registro, selecione Função >> Consulta de registro e selecione a guia "Domínio de auditoria". Depois de selecionar o firewall com base no endereço IP, você pode verificar o log do firewall para confirmar se ele inclui a data e hora, informações sobre o usuário, tipo de evento, se o evento foi bem-sucedido, etc.
"
c) Os registros de auditoria devem ser protegidos e submetidos a backup regularmente para evitar exclusão, modificação ou substituição inesperada;
"Tome o firewall Tianrongxin como exemplo. Depois de inserir o nome de usuário e a senha do administrador do firewall na interface de login, clique no botão" Login "para entrar na interface de gerenciamento. Em seguida, selecione Logs e alarmes >> Configurações de log na árvore de navegação à esquerda para ativar Na guia "Gerenciamento de usuários", as informações da lista de usuários são exibidas à direita.
Faça login no servidor de log conforme mostrado na figura abaixo e selecione Política de gerenciamento》 Fonte de coleta de log, entre na interface de configuração da fonte de log e veja todas as fontes de coleta de log. Certifique-se de que a lista de fontes de log contém o IP do firewall. Os
dados de log coletados serão armazenados no banco de dados do sistema de log. O backup e a proteção dos dados do firewall podem ser obtidos fazendo backup do banco de dados.
no servidor de log, selecione Gestão da Estratégia "Task estratégia de programação" e clique em "Task política de Agendamento" na aba "Configuração local" à esquerda para garantir que não existem tarefas agendadas do tipo "backup database Task". Estes tarefas realizarão tarefas de backup de banco de dados periodicamente para atingir o objetivo de fazer backup das informações de log do firewall. "
d) O processo de auditoria deve ser protegido para evitar interrupções não autorizadas;
Deve ser testado para interromper o processo de auditoria por meio de outras contas que não o auditor para verificar se o processo de auditoria está protegido
4. Prevenção de intrusões
a) O princípio de instalação mínima deve ser seguido, e apenas os componentes e aplicativos necessários devem ser instalados;
servidor
b) Serviços de sistema desnecessários, compartilhamento padrão e portas de alto risco devem ser fechados;
servidor
c) O terminal de gerenciamento gerenciado pela rede deve ser restringido pela configuração do modo de acesso do terminal ou faixa de endereço de rede;
"Se uma máquina bastião for implantada na rede, primeiro verifique se a máquina bastião restringe o intervalo de acesso do terminal para restringi-lo. Se não, faça login no dispositivo para verificação.
Tome o firewall Tianrongxin como exemplo, insira o nome de usuário e a senha o administrador do firewall na interface de login Em seguida, clique no botão "Login" para entrar na interface de gerenciamento. Em seguida, selecione Gerenciamento do sistema> Configuração na árvore de navegação à esquerda e, em seguida, ative a guia "Abrir serviço", conforme mostrado na figura abaixo.
Na página certa, deve haver "Nome do serviço" "" é a regra de serviço de "webui", "ssh" "ou" telnet ". Por exemplo, se apenas o administrador tem permissão para usar o host com o endereço IP de "192.168.83.234" "para fazer login no firewall, e o host está conectado à área area_eth0, as regras de serviço que devem ser configuradas são as mostrado na figura abaixo: Na
figura, a coluna "endereço de controle" exibida como "" servidor de documentos "" é o nome do recurso do endereço do host que foi configurado e o endereço do host é definido como "192. 168. 83. 234 ". Você pode clicar na árvore de navegação à esquerda para selecionar Gerenciamento de recursos >> Endereço e, em seguida, ativar a guia" Host "para ver a correspondência entre o nome do recurso do host e o endereço real, conforme mostrado na caixa a seguir"
d) A função de verificação de validade de dados deve ser fornecida para garantir que a entrada de conteúdo através da interface homem-máquina ou através da interface de comunicação atenda aos requisitos de configuração do sistema;
camada de aplicação
e) Deve ser capaz de encontrar possíveis vulnerabilidades conhecidas e reparar as vulnerabilidades em tempo hábil após testes e avaliação suficientes;
1) A varredura de vulnerabilidade deve ser realizada para verificar se não há vulnerabilidades de alto risco
2) O administrador do sistema deve ser entrevistado para verificar se as vulnerabilidades devem ser corrigidas a tempo após testes e avaliações suficientes
f) Deve ser capaz de detectar a intrusão de nós importantes e fornecer um alarme quando ocorrer um evento de intrusão grave;
1) Verifique se o firewall possui uma função de detecção de intrusão e verifique se a função de detecção de intrusão está ativada corretamente
2) Deve ser verificado se um alarme é fornecido quando ocorre um evento de intrusão grave. O método de alarme geralmente inclui SMS, e-mail, etc.
5. Prevenção de códigos maliciosos
a) Devem ser adotadas medidas técnicas contra ataques de código malicioso ou mecanismos de verificação de confiança imune ativos para identificar intrusões e comportamentos de vírus em tempo hábil e bloqueá-los de forma eficaz;
servidor
6. Verificação confiável
a) Com base na raiz de confiança, o programa de inicialização do sistema, programa do sistema, parâmetros de configuração importantes e programa de aplicativo do dispositivo de computação podem ser verificados com segurança e a verificação confiável dinâmica pode ser realizada no link de execução principal do aplicativo. à polícia depois que a segurança for danificada, formar um registro de auditoria do resultado da verificação e enviá-lo ao centro de gerenciamento de segurança;