安全防护检查表

Posted Debroon

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全防护检查表相关的知识,希望对你有一定的参考价值。

 


SQL-server 完整检查表

分类测评项预期结果评估操作示例检查情况结果整改建议
身份鉴别SQL Server用户身份验证方式SQL Server和Windows结合验证企业管理器>右键单击服务器属性>安全性>服务器身份验证选择SQLserver和Windows结合的验证方式
身份鉴别查看是否存在空口令用户不存在空口令用户新建查询:use master;select name,password from syslogins where password is null;在企业管理器>安全性>找到登录名>右键属性>SQLserver身份验证中设置新的密码
身份鉴别sa账户口令强度口令长度至少10位以上,包含数字,字母(大小写),特殊字符三种形式询问管理员口令的强度在企业管理器>安全性>登录名>sa账户>右键属性>修改密码符合要求
身份鉴别SQLserver账户口令强度口令长度至少10位以上,包含数字,字母(大小写),特殊字符三种形式询问管理员口令的强度在企业管理器>安全性>找到登录名>右键属性>修改密码符合要求
身份鉴别远程超时设置远程登录超时时间一般为20分钟在企业管理器>右键服务器属性>高级>远程登录超时值在企业管理器>右键服务器属性>高级>远程登录超时值,直接修改保存
身份鉴别远程查询超时设置远程查询超时设置为300秒在企业管理器>右键服务器属性>连接>远程查询超时值在企业管理器>右键服务器属性>连接>远程查询超时值,直接修改后保存
身份鉴别数据库身份鉴别方式是否采用除用户名/密码外其他鉴别方式采用了除用户名/密码之外的第二种方式可以询问管理员或在登录时查看对于等保三级系统必须采用两种或两种以上的身份鉴别方式;对于非等保三级的系统我们只是建议采用多种身份鉴别方式,也可以加强密码强度
访问控制应启用访问控制功能,依据安全策略控制用户的访问权限明确了各账户的权限在企业管理器>安全性>登录名>每个用户的属性中,我们可以看到该用户的服务器角色和拥有的权限,如:db_securityadmin,db_owner(全部权限)根据实际需求,对每个用户的访问权限进行限制,对敏感的文件夹限制访问用户的权限
访问控制每个登录用户的角色和权限应该是该用户所需的最小权限每个用户都只有该用户功能所需的权限,没有其他特殊权限访谈管理员,了解每个用户的作用、权限,并在企业管理器中对每个用户的权限进行查看:企业管理器>安全性>登录名>右键用户属性>用户映射,查看每个用户的权限给予账户所需最小权限,避免出现特权用户
访问控制应实现操作系统和数据库系统特权用户由不同用户担任操作系统和数据库的特权用户的权限必须分离,避免一些特权用户拥有过大的权限,减少人为误操作询问管理员,操作系统管理员和数据库管理员是否分离分离数据库和操作系统的特权用户,不能使一个用户权限过大
访问控制应及时删除多余的、过期的账户不存在多余、过期和共享账户在企业管理器中新建查询,输入:select name from syslogins 查所有的用户名删除多余、过期无用的账户
安全审计数据库审核级别数据库登录审核全部开启企业管理器>右键单击服务器属性>安全性>登录审核企业管理器>右键单击服务器属性>安全性>登录审核选择:成功和失败得登录都审核
安全审计SQL日志记录是否包括重要用户行为(如登录系统、增加/删除用户等)、系统资源异常和重要系统命令的使用(如xp_cmdshell存储过程)的日志记录审计功能已开启,包括:登录系统、增加/删除用户等)、系统资源异常和重要系统命令的使用(如xp_cmdshell存储过程)企业管理器>管理>SQLserver日志对每个命令的操作都要进行记录,可以在安全性>审核,新建审核来对系统的操作进行记录
安全审计审计记录应包括事件的日期、触发事件的主体与客体标识、事件类型、事件结果审计记录信息中应包括日期、时间、事件类型、主体标识(如用户名等)、客体标识(如数据库表、字段戒记录等)和事件操作结果等内容管理>SQLserver日志>选择当前日期的日志打开若未开启日志记录则开启
资源控制是否在防火墙或其他网络设备/安全设备上限制终端登录,防止数据库被非授权访问数据库的访问受到限制询问管理员是否在防火墙等安全设备上对数据库的访问做了限制建议在安全设备上对数据库的访问做限制
资源控制数据库是否设置登录终端操作超时锁定时间查询结果remote login timeout的run_value有最大时间的限制sp_configure ‘remote login timeout (s)’在企业管理器>右键服务器属性>连接>使用查询调控器防止查询长时间运行,直接修改后保存

 


Tomcat 完整检查表

分类检查选项评估操作示例符合情况加固操作示例
身份鉴别TOMCAT Manager 密码是否已设置密码(非空或非用户名与密码一样)Windows版本检查${CATALINA_HOME}/conf/tomcat-users.xml中,<user username=“tomcat” password="<must-be-changed>" roles=“tomcat”/> linux版本中:cat tomcat/conf/tomcat-users.xml密码包含数字,字母,特殊字符三种形式,长度不小于8位
身份鉴别是否启用安全域验证(BASIC、DIGEST、FORM其中之一)Windows版本:检查tomcat/conf/web.xml文件,auth-method方法为哪种,Linux版本中:cat CATALINA_HOME/conf/web.xml | grep auth-method查看1.BASIC(基本验证):通过HTTP验证,需要提供base64编码文本的用户口令 2.DIGEST(摘要验证):通过HTTP验证,需要提供摘要编码字符串的用户口令 3.FORM(表单验证):在网页的表单上要求提供密码,根据系统实际需求进行调整。
访问控制是否指定TOMCAT Manager 管理IP地址Windows版本:检查${CATALINA_HOME}/conf/server.xml,Host name=“IP地址”,Linux版本:cat CATALINA_HOME/conf/server.xml | grep Hostname指定特定的IP地址作为Tomcat的登录地址
访问控制是否修改远程关闭服务器的命令Windows版本:检查tomcat/conf/server.xml中,shutdown=“字符串”,Linux版本中:cat CATALINA_HOME/conf/server.xml | grep shutdown将shutdown字符串设置得更复杂一些,避免过于简单轻易被人远程关闭
访问控制是否tomcat中禁止浏览目录下的文件, listings值为falseWindows版本中:检查/tomcat/conf/web.xml中, <param-name>listings</param-name><param-value>false</param-value>,linux版本中:输入命令 cat tomcat/conf/ web.xml | grep listings将listings的值设为false
日志审计是否启用日志功能Windows版本:检查tomcat/conf/server.xml,ctrl+F搜索logs字段,在 <valve…….> 中无“!”及开启了日志功能,linux版本中:cat $CATLINA_HOME/conf/server.xml一般默认设置如:<!–<Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log.” suffix=".txt" pattern=“common” resolveHosts=“false”/>–> 日志启用时应无 <! – --> 此两个标志符
日志审计日志是否启用详细记录选项,pattern值为各种%Windows版本:检查tomcat/conf/server.xml中,pattern="%h %l %u %t",每个字母代表记录访问源IP、本地服务器IP、记录日志服务器IP、访问方式、发送字节数、本地接收端口、访问URL地址等相关信息在日志文件中Linux版本中:cat $CATLINA_HOME/conf/server.xml | grep pattern标准默认的配置是这样:<Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs"prefix=“localhost_access_log” suffix=”.txt"pattern="%h %l %u %t “%r” %s %b" /> 我们根据实际的业务需求来指定日志记录的类型
安全防护错误信息是否自定义检查conf/web.xml,在最后 </web-app>一行之前加入以下内容:<error-page> <error-code>404</error-code><location>/noFile.htm</location> </error-page>……………<error-page><exception-type>java.lang.NullPointerException</exception-type><location>/error.jsp</location> </error-page>将错误信息页面转到自己自定义的界面中,防止信息泄露,在最后一行之前加入以下内容:<error-page><error-code>404<location>/noFile.htm </error-page>……………<error-page><exception-type>java.lang.NullPointerException<location>/error.jsp</error-page>
安全防护更改默认管理端口检查conf/server.xml中,搜索"connection port",默认是8080,要求修改为其他未占用的端口,linux版本中:cat tomcat/conf/server.xml |grep ‘Connector port’Windows版本:记事本代开server.xml,修改connection port端口号为其他端口,保存退出。Linux版本:vim编辑server.xml,修改端口号,qw保存退出。
安全防护超时自动登出Windows版本:检查/tomcat/conf/server.xml,ConnectionTimeout字段的大小,默认是20000秒,要求修改为300秒,Linux版本:cat tomcat/conf/server.xml |grep connectionTimeoutWindows版本:记事本代开server.xml,修改ConnectionTimeout字段为300,保存退出。Linux版本:vim编辑server.xml,修改ConnectionTimeout,qw保存退出。
剩余信息保护是否禁止把session写入文件检查conf/web.xml <Manager pathname="" /> 取消注释:<!-- --> 默认:<!-- <Manager pathname=""/>–>Windows版本:记事本打开web.xml,取消<!-- -->;Linux版本:vim编辑web.xml,将<!-- -->删除了,qw保存退出
剩余信息保护是否增强SessiionID的生成算法和长度,加密算法为SHA-512,长度为40示例:<Manager className=“org.apache.catalina.session.StandardManager” algorithm=“SHA-512” sessionIdLength=“40”></Manager>Windows版本:记事本打开web.xml,查找SHA字段,修改为SHA-512,Length长度为40;Linux版本:vim编辑web.xml,按Windows修改,qw保存退出。
其他安全选项使用https通讯加密Windows版本:使用https方式登录tomcat manager管理界面,Linux版本:cat tomcat/conf/server.xml |grep scheme=”https” secure=”true”Windows版本:(1)使用JDK自带的keytool工具生成一个证书 $JAVA_HOME/bin/keytool -genkey –alias tomcat –keyalg RSA -keystore-keystore /path/to/my/.keystore生成keystore;.keystore 运行keystore;(2)修改tomcat/conf/server.xml配置文件,更改为使用https方式,增加如下行:<Connector classname=“org.apache.catalina.http.HttpConnector” port=“8443” minProcessors=“5” maxprocessors=“100” enableLookups=“true” acceptCount=“10” debug=“0” scheme=“https” secure=“true” clientAuth=“false” keystoreFile="/path/to/my/.keystore" keystorePass=“runway” protocol=“TLS”/>
其他安全选项是否删除不需要的管理应用和帮助应用根据实际需要删除
其他安全选项是否使用普通系统帐户启动TOMCAT1.windows环境下打开程序-管理工具-服务-打开名称为APACHE TOMCAT 的服务选择-登录选项卡查看此帐户项为普通用户(非ADMINISTRATORS组用户和SYSTEM用户,通过检查管理员组确定该启动帐户非管理员帐户)。2. unix(linux)使用ps -ef 命令检查TOMCAT的系统进程是否由非ROOT用户启动。根据实际需要设置

 


WAF 完整检查表

分类测评项预测结果评估操作实例检查情况结果整改建议
访问控制应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级配置了合理的安全策略,只允许授权的IP地址、协议、端口通过
访问控制应对进出网络的信息内容进行过滤过滤的内容包括 java Applet,cookie,script,object 这4种中的几种
访问控制应在会话处于非活跃一定时间或会话结束后终止网络连接配置了会话超时管理策略,自动终止超时的网络会话
访问控制应限制网络最大流量数及网络连接数配置了网络最大流量数及网络连接数
访问控制重要网段应采取技术手段防止地址欺骗防火墙开启IP/MAC地址绑定方式,防止重要网段的地址欺骗
安全审计防火墙应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录对运行状况,网络流量,用户行为等都进行了记录
安全审计审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
安全审计应能够根据记录数据进行分析,并生成审计报表能够根据记录数据进行分析,并生成审计报表
安全审计应对审计记录进行保护,避免受到未预期的删除、修改或覆盖提供用户日志的完整性检查,防止用户删除操作记录
网络设备防护应对登录网络设备的用户进行身份鉴别通过web界面登录和通过console登录都需要账号和口令,并不存在空口令和弱口令
网络设备防护应对网络设备的管理员登录地址进行限制控制中心远程登录时对登录地址进行限制,避免未授权访问
网络设备防护主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别尽量都采用两种鉴别技术进行身份鉴别,如动态密码,CA证书等方式访谈管理员
网络设备防护身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天
网络设备防护应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施限制非法登录次数为5次,登录超时退出时间为300秒
网络设备防护当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听通过web界面登录防火墙时使用了ssl协议进行加密处理,即https登录

 


Weblogic 完整检查表

分类测评项预期结果评估操作示例检查情况结果整改建议
设备管理管理控制台控制台console重命名,禁止默认访问domain》高级》控制台上下文路径不适用默认的console,更换为其他名称
用户账号与口令安全口令策略Weblogic的登录密码长度不能小于8位安全领域 > myrealm > 提供程序 > DefaultAuthenticator > 配置 > 提供程序待定 > 最小口令长度修改登录密码长度不能少于8位
用户账号与口令安全账号策略封锁阈值5次、封锁持续时间30分钟、封锁重置持续时间5分钟安全领域 > myrealm > 配置 > 用户封锁设置密码输入错误5次后,封锁该账号30分钟
日志与审计Weblogic日志记录定义日志名称及存储位置,记录相关日志,滚动文件大小为500,自动保留文件天数为7天Domain > 配置 > 日志记录设置日志存储的位置,滚动文件大小为500,自动保留日志7天
日志与审计HTTP日志定义日志名称及存储位置,记录相关日志,滚动文件大小为500,自动保留文件天数为7天Domain》监视 》 AdminServer 》 日志记录 》 HTTP设置日志存储的位置,滚动文件大小为500,自动保留日志7天
安全防护连接会话超时控制控制台连接超时时间为300秒Domain 》 配置 》 一般信息 》 高级 》 控制台会话超时控制台超时时间为300秒
安全防护数据传输安全启用SSL监听(默认端口为7002),并修改为非7002端口Domain 》 服务器 》AdminServer 》 配置 》 一般信息 》 启用SSL监听端口修改SSL默认监听端口》密钥库中导入SSL》在SSL服务中选定导入
安全防护SSL保护启用主机名校验,通过禁用”Hostname Verification Ignored”保护SSL中间人攻击domain > 服务器 >AdminServer > 配置 > SSL > 高级 > 主机名验证启用主机名验证
安全防护Banner信息禁止发送服务标识,通过禁用配置文件“Send Server Header”,防止信息泄漏domain > 服务器 > AdminServer > 协议 > HTTP > 发送服务器标头不勾选发送服务器头不勾选

 


windows 完整检查表

分类测评项预测结果评估操作示例检查情况结果整改建议
身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别1)操作系统使用口令鉴别机制对用户进行身份标识和鉴别;2)操作系统不存在密码为空的用户。访谈管理员,并查看登录过程中系统账户是否使用了密码进行登录验证操作系统和数据库每个用户都必须设置登录用户名和登录密码,不能存在空密码
身份鉴别操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换密码启用复杂度要求;密码最小长度为8位;密码最短使用期限为1天;密码最长使用期限90天;强制密码历史为0个;用可还原的加密来储存密码已禁用;cmd>secpol.msc>账户策略>密码策略密码启用复杂度要求;密码最小长度为8位;密码最短使用期限为1天;密码最长使用期限90天;强制密码历史为0个;用可还原的加密来储存密码已禁用;
身份鉴别应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施1.账户锁定时间10分钟;2.账户锁定阈值5次;3.重置账户锁定计数器10分钟后cmd>secpol.msc>账户策略>账户锁定策略1.账户锁定时间10分钟;2.账户锁定阈值5次;3.重置账户锁定计数器10分钟后
身份鉴别当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听客户端和服务器之间发送数据受加密保护,加密级别根据实际情况来判断,尽量符合FIPS标准cmd>control>管理工具>终端服务配置>连接>RDP-Tcp>右键属性>加密级别cmd>control>管理工具>终端服务配置>连接>RDP-Tcp>右键属性>加密级别,选择尽量高级别的加密
身份鉴别为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性不存在重复的用户名cmd>lusrmgr.msc查看“用户”中是否存在重复的用户名对重复的用户名进行修改
身份鉴别应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别对管理员访谈,对于三级系统,必须使用两种或两种以上组合的鉴别技术实现用户身份鉴别,如密码和口令的组合使用。访谈管理员三级系统建议采用用户名密码+证书口令登录的方式;三级以下系统可以采用一种鉴别技术。
访问控制是否开启默认共享没有共享文件夹cmd>fsmgmt.msc,查看共享目录下面的文件夹的内容关闭默认共享,cmd>fsmgmt.msc,点击共享,右键选择停止共享
访问控制是否禁止ipc$空连接进行枚举restrictanonymous=1cmd>regedit>HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>LSA,找到LSA中的restrictanonymous值是否等于1按照上述步骤,在注册表中修改restrictanonymous的值
访问控制应实现操作系统和数据库系统特权用户的权限分离操作系统和数据库的特权用户的权限必须分离,避免一些特权用户拥有过大的权限,减少人为误操作访谈管理员分离数据库和操作系统的特权用户,不能使一个用户权限过大
访问控制应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令管理员账户已更改名称,禁用了guest(来宾)账号cmd>lusrmgr.msc>用户,管理员账号是否改名(默认为administrator),guest账户是否被禁用cmd>lusrmgr.msc>用户,可以修改管理员账号名称和禁用guest账户。
访问控制应及时删除多余的、过期的帐户不存在多余、过期账户cmd>lusrmgr.msc>用户cmd>lusrmgr.msc>用户,删除一些与设备运行、维护等工作无关的账号
安全审计审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计功能已开启,包括:审核策略更改、审核登录事件、审核对象访问、审核过程跟踪、审核目录服务访问、审核特权使用、审核系统事件、审核帐户登录事件、审核帐户管理等设置cmd>secpol.msc>本地策略>审核策略cmd>secpol.msc>本地策略>审核策略,设置为成功或失败
安全审计日志记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等日志记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容cmd>eventvwr>系统,查看其中的系统日志详细信息
安全审计日志记录缓存的大小和达到上限后的覆盖规则日志存储上限为20480kb,达到存储上限后按需要覆盖事件cmd>eventvwr>系统>右键属性cmd>eventvwr>Windows日志>系统>右键属性,可自己调整日志记录规则和日志缓存大小
入侵防范设置升级服务器等方式保持系统补丁及时得到更新已经更新到最近的补丁版本cmd>control>添加删除程序>记录系统补丁号及时更新最新的系统补丁
入侵防范系统是否已经开启服务中一些不必要的服务未开启一些不必要的服务(如Alerter,Remote Registry Service,Messenger,Task Scheduler等)cmd>services.msc,查看正在运行的服务cmd>services.msc,对一些不必要的服务进行关闭
资源控制应根据安全策略设置登录终端的操作超时锁定应设置空闲的终端服务会话设置时间限制300秒cmd>gpedit.msc>计算机配置>管理模板>Windows组件>终端服务>超时时间建议设置为300秒
资源控制应根据安全策略限制终端连接的数量根据系统实际情况,建议限制终端连接数量为5个cmd>gpedit.msc>计算机配置>管理模板>Windows组件>终端服务>限制终端连接数量为5个,避免造成系统资源占用过多
剩余信息保护应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中在登录系统时不显示上次的用户登录名cmd>secpol.msc>本地策略>安全选项>交互式登录不显示上次的用户名是否禁用cmd>secpol.msc>本地策略>安全选项>交互式登录不显示上次的用户名,右键属性选择启用
剩余信息保护应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除系统启用关机前清除虚拟内存页面cmd>secpol.msc>本地策略>安全选项>关机:清除虚拟内存页面文件cmd>secpol.msc>本地策略>安全选项>关机:清除虚拟内存页面文件,右键属性选择开启

 


防火墙完整检查表

分类测评项预期结果评估操作示例检查情况结果整改建议
访问控制应在网络边界部署访问控制设备,启用访问控制功能启用了访问控制规则
访问控制应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级配置数据流只允许授权的IP地址、协议、端口通过
访问控制应对进出网络的信息内容进行过滤实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制
访问控制应在会话处于非活跃一定时间或会话结束后终止网络连接防火墙配置了连接超时时间设置
访问控制应限制网络最大流量数及网络连接数防火墙根据IP地址限制了网络连接数,对数据报文做了带宽限制
访问控制重要网段应采取技术手段防止地址欺骗防火墙开启IP/MAC地址绑定方式,防止重要网段的地址欺骗
访问控制应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户,并限制具有拨号访问权限的用户数量对远程连接的VPN等提供用户认证功能,并限制了拥有拨号权限的用户数量
安全审计防火墙应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录对运行状况,网络流量,用户行为等都进行了记录
安全审计审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
安全审计应能够根据记录数据进行分析,并生成审计报表能够根据记录数据进行分析,并生成审计报表
安全审计应对审计记录进行保护,避免受到未预期的删除、修改或覆盖人工不能对审计记录进行修改
网络设备防护应对登录网络设备的用户进行身份鉴别通过web界面登录和通过console登录都需要账号和口令,并不存在空口令和弱口令
网络设备防护应对网络设备的管理员登录地址进行限制对远程登录防火墙的登录地址进行限制,避免未授权访问
网络设备防护主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别尽量都采用两种鉴别技术进行身份鉴别访谈管理员
网络设备防护身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天
网络设备防护应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施限制非法登录次数为5次,登录超时退出时间为300秒
网络设备防护当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听通过web界面登录防火墙时使用了ssl协议进行加密处理,即https登录

 


IDS 完整检查表

分类测评项预期结果评估操作示例检查情况结果整改建议
安全审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录日志文件包含了设备运行状况、网络流量、用户行为登录到IDS中,找到日志管理,任意查询一下日志,查看日志详情日志需记录设备运行状况、网络流量、用户行为等,管理员可自行配置调整
安全审计审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息操作日志中应包括上述几种类型登录到IDS中,找到操作日志,查看操作日志详情根据不同的IDS类型,对操作日志的记录详情进行调整
安全审计应能够根据记录数据进行分析,并生成审计报表IDS应该能够根据记录数据进行分析,生成审计报表
网络设备防护应对登录网络设备的用户进行身份鉴别每个账户都有对应的口令,不存在空口令和弱口令用不同的账户和口令登录到系统中每个用户都要设置口令,不能存在空口令
网络设备防护应对网络设备的管理员登录地址进行限制只有固定的IP地址才能以管理员的权限登录到系统中登录到系统中>系统管理>管理员>管理员设置中有允许登录IP登录到系统中>系统管理>管理员>管理员设置中将允许登录IP设置为固定的IP地址
网络设备防护主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别采用了两种及两种以上组合鉴别技术进行身份鉴别在登录过程中可以知道根据实际需求,建议尽量都选用两种或两种以上的组合鉴别技术进行身份鉴别
网络设备防护身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天登录到系统中>系统管理>管理员>登录参数设置建议整改为口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天
网络设备防护应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施限制非法登录次数为5次,登录超时退出时间为300秒登录到系统中>系统管理>管理员>登录参数设置建议设置为限制非法登录次数为5次,登录超时退出时间为300秒,避免非法登录的风险
网络设备防护当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听应采用SSL加密方式对传输数据进行加密使用https+IP登录到管理后台,能成功登录就是采用了SSL登录到系统中>系统管理>管理员>web访问协议设置中选择启用https

 


Linux 完整检查表

分类测评项预期结果评估操作示例检查情况结果整改建议
身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别1)操作系统使用口令鉴别机制对用户进行身份标识和鉴别;2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)操作系统不存在密码为空的用户。cat /etc/passwd,cat /etc/shadow 查看文件中各用户名状态操作系统和数据库每个用户都必须设置登录用户名和登录密码,不能存在空密码
身份鉴别操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换密码策略如下:PASS_MAX_DAYS 90(生命期最大为90天) PASS_MIN_DAYS 0(密码最短周期0天) PASS_MIN_LEN 10(密码最小长度10位) PASS_WARN_AGE 7(密码到期前7天提醒) 口令复杂度: 口令长度8位以上,并包含数字、字母、特殊字符三种形式more /etc/login.defs密码最大生存周期为90天;密码最短修改周期为0天,可以随时修改密码;密码最小长度为10位,包含数字,特殊字符,字母(大小写)三种形式;密码到期前7天必须提醒
身份鉴别应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施1)操作系统已启用登陆失败处理、结束会话、限制非法登录次数等措施;2)当超过系统规定的非法登陆次数或时间登录操作系统时,系统锁定或自动断开连接cat /etc/pam.d/system-auth,查看相应的登录设置建议限制,密码过期后重设的密码不能和前三次的密码相同
身份鉴别当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听1)操作系统使用SSH协议进行远程连接;2)若未使用SSH方式进行远程管理,则查看是否使用telnet方式进行远程管理;查看是否运行SSH: cat service -status-all | grep sshd; 查看是否使用telnet方式:cat service -status -all | grep running;系统远程登录时要采取SSH方式登录或采用密文传输信息,保障信息的安全性
身份鉴别为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性用户的标识唯一,若系统允许用户名相同,UID不同,则UID是唯一性标识;若系统允许UID相同,则用户名是唯一性标识。cat /etc/passwd文件中的用户名信息,每个信息用“:”分隔开来,每个字段对应的信息为: 注册名:口令(密文用x来代替):UID:GID:用户名:用户主目录:命令解释程序ShellUID是唯一性标识,每个用户必须采用不同的UID来区分
身份鉴别应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别对管理员访谈,对于三级系统,必须使用两种或两种以上组合的鉴别技术实现用户身份鉴别,如密码和口令的组合使用。访谈管理员三级系统建议采用用户名密码+证书口令登录的方式;三级以下系统可以采用一种鉴别技术。
访问控制应启用访问控制功能,依据安全策略控制用户对资源的访问root用户: passwd文件夹只有rw-r-r权限 shadow文件夹只有r- - -权限 r=4 w=2 x=1在root权限下:ls -l /etc/passwd ls -l /etc/shadow 查看用户权限。 -rw-r–r--:第一个rw表示文件所有者有读写权限; 第二个r表示与文件所有者同一组的用户只有读的权限; 第三个r表示不与文件所有者同一组的用户只有读的权限根据实际需求,对每个用户的访问权限进行限制,对敏感的文件夹限制访问用户的权限
访问控制应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;访谈管理员,了解每个用户的作用、权限给予账户所需最小权限,避免出现特权用户
访问控制应实现操作系统和数据库系统特权用户的权限分离操作系统和数据库的特权用户的权限必须分离,避免一些特权用户拥有过大的权限,减少人为误操作访谈管理员分离数据库和操作系统的特权用户,不能使一个用户权限过大
访问控制应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令默认账户已更名,或已被禁用cat /etc/passwd严格限制默认账户的访问权限,对存在的默认账户的用户名和口令进行修改。 使用usermod -L 用户名,来锁定默认用户。
访问控制应及时删除多余的、过期的帐户,避免共享帐户的存在不存在多余、过期和共享账户cat /etc/passwd删除、禁用例如uucp,ftp等多余账户
安全审计审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户系统开启了安全审计功能或部署了第三方安全审计设备service auditd status开启系统本身的安全审计功能,完整记录用户对操作系统和文件访问情况,或采用第三方的安全审计设备
安全审计审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审计功能已开启,包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等设置ps -ef | grep auditd开启审计功能,记录用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等操作
安全审计审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等内容cat /etc/audit/auditd.conf cat /etc/audit/audit.rules记录事件产生的时间,日期,类型,主客体标识等
安全审计操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新1)系统安装的组件和应用程序遵循了最小安装的原则;2)不必要的服务没有启动;3)不必要的端口没有打开;service --status-all | grep running在不影响系统的正常使用的前提下,对系统的一些端口和服务可以进行关闭,避免这些端口或服务的问题导致系统问题
资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录已设定终端登录安全策略及措施,非授权终端无法登录管理/etc/hosts.deny、/etc/hosts.allow中对终端登录限制的相关配置参数建议配置固定的终端、特定的网络范围内才能进行终端登录
资源控制应根据安全策略设置登录终端的操作超时锁定已在/etc/profile中为TMOUT设置了合理的操作超时时间cat /etc/profile超时时间建议设置为300秒

以上是关于安全防护检查表的主要内容,如果未能解决你的问题,请参考以下文章

战术网络安全检查表 | Symantec Connect

node-sequelize学习笔记二(创建删除表安全检查表表列的数据类型)

linux iptables:安全应用,防火墙

数据库触发器对于跨表完整性约束是不是安全?

数据库触发器对于跨表完整性约束是否安全?

信息安全服务分类