【摘要】安全無小事。 您可能對(duì)本文涉及的內(nèi)容并不陌生，但需要前車之鑒，系統(tǒng)化，查漏補(bǔ)缺。

【作者】社區(qū)ID：Frank阿姨，熱愛運(yùn)維，互聯(lián)網(wǎng)+金融行業(yè)，關(guān)注運(yùn)維和數(shù)據(jù)庫(kù)領(lǐng)域，持續(xù)分享基于手工運(yùn)維的思考、實(shí)踐和解決方案。

背景

作為運(yùn)維人員，在新上線的服務(wù)器上安裝操作系統(tǒng)后，首先要做的就是對(duì)操作系統(tǒng)進(jìn)行初始化，以保證合規(guī)性。 說到這里，你可能還有疑問：我們應(yīng)該初始化哪些參數(shù)，有沒有相關(guān)的標(biāo)準(zhǔn)引用呢？

要真正理解初始配置的目的，我們先普及一下方法：

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國(guó)家實(shí)行分級(jí)網(wǎng)絡(luò)安全保護(hù)制度。 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，全面履行以下保護(hù)義務(wù)：保護(hù)網(wǎng)絡(luò)免受干擾、破壞和非授權(quán)訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或被泄露、篡改。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，分級(jí)保護(hù)是我國(guó)信息安全的基本制度。

看到這里，你可能會(huì)覺得我說得太過分了。 這和運(yùn)維有什么關(guān)系？ 本來我也是這么想的，但是網(wǎng)絡(luò)上各種刪帖、判刑的風(fēng)波，如果我們的安全意識(shí)不夠，會(huì)不會(huì)發(fā)生在我們身上呢？

“存在即合理”，等級(jí)保護(hù)如此重要，是否可以作為我們配置的參考呢？

防護(hù)等級(jí)

我國(guó)實(shí)行分級(jí)的網(wǎng)絡(luò)安全保護(hù)制度。 分級(jí)保護(hù)的對(duì)象分為五級(jí)，由一級(jí)逐漸遞減至五級(jí)。 每個(gè)級(jí)別的要求都不一樣。 級(jí)別越高，要求越嚴(yán)格。

一級(jí)：自我保護(hù)級(jí)

二級(jí)：指導(dǎo)防護(hù)等級(jí)

五級(jí)：監(jiān)管保護(hù)級(jí)

4級(jí)：強(qiáng)制防護(hù)等級(jí)

三級(jí)：特殊控制保護(hù)級(jí)

其中，最常見的是二級(jí)和五級(jí)。 在我國(guó)，“三級(jí)險(xiǎn)”是非建行機(jī)構(gòu)最高級(jí)別的保障認(rèn)證。 通常被評(píng)為五級(jí)保險(xiǎn)的系統(tǒng)包括互聯(lián)網(wǎng)診所平臺(tái)、P2P金融平臺(tái)、網(wǎng)約車平臺(tái)和云（服務(wù)提供商）平臺(tái)。 和其他重要系統(tǒng)。 本次認(rèn)證是公安機(jī)關(guān)依據(jù)國(guó)家信息安全保護(hù)規(guī)則和相關(guān)制度規(guī)定，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)服務(wù)器運(yùn)維，對(duì)各類機(jī)構(gòu)信息系統(tǒng)的安全等級(jí)保護(hù)狀況進(jìn)行認(rèn)定和評(píng)價(jià)的活動(dòng)。

一般安全要求

安全總要求分為技術(shù)要求和管理要求。 在：

技術(shù)要求包括“安全化學(xué)環(huán)境”、“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”、“安全評(píng)價(jià)環(huán)境”和“安全管理中心”。

管理要求包括“安全管理制度”、“安全管理機(jī)構(gòu)”、“安全管理人員”、“安全施工管理”和“安全運(yùn)行維護(hù)管理”。

通用安全要求是針對(duì)通用的防護(hù)要求提出的。 無論保護(hù)對(duì)象的級(jí)別如何出現(xiàn)，都必須根據(jù)安全保護(hù)級(jí)別來實(shí)現(xiàn)相應(yīng)級(jí)別的通用安全要求。

安全擴(kuò)展需求是針對(duì)個(gè)性化的保護(hù)需求提出的，分級(jí)保護(hù)對(duì)象必須根據(jù)安全保護(hù)級(jí)別、具體使用的技術(shù)或具體的應(yīng)用場(chǎng)景來實(shí)現(xiàn)安全擴(kuò)展需求。 分級(jí)保護(hù)對(duì)象的安全保護(hù)需要同時(shí)實(shí)施通用安全要求和安全擴(kuò)展要求提出的措施。

安全評(píng)估環(huán)境

對(duì)于邊界內(nèi)的安全控制需求，主要對(duì)象是邊界內(nèi)的所有對(duì)象，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)對(duì)象和其他設(shè)備。

我們新上線的服務(wù)器屬于安全測(cè)評(píng)環(huán)境范圍，需要從以下安全控制點(diǎn)進(jìn)行相關(guān)配置：

鑒別

1.對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和識(shí)別。 身份標(biāo)識(shí)具有唯一性，應(yīng)防止身份驗(yàn)證信息泄露和重復(fù)使用。 靜態(tài)密碼應(yīng)大于8個(gè)字符，由字母、數(shù)字、符號(hào)等組成，每六個(gè)月更換一次密碼。 不允許新設(shè)置的密碼與之前的舊密碼相同。 應(yīng)用系統(tǒng)用戶密碼應(yīng)在滿足密碼復(fù)雜性要求的基礎(chǔ)上定期修改。

2. 具有登錄失敗處理功能，配置并啟用結(jié)束會(huì)話、限制登錄間隔、限制非法登錄次數(shù)、登錄連接超時(shí)手動(dòng)退出等相關(guān)措施。

3、進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)對(duì)管理終端進(jìn)行身份識(shí)別和認(rèn)證，并采用密碼技術(shù)防止識(shí)別信息在網(wǎng)絡(luò)傳輸過程中被監(jiān)聽。

4. 應(yīng)使用口令、密碼學(xué)、生物技術(shù)等兩種或多種認(rèn)證技術(shù)對(duì)用戶進(jìn)行認(rèn)證，且至少其中一種認(rèn)證技術(shù)采用密碼學(xué)實(shí)現(xiàn)。

訪問控制

1. 為登錄用戶分配帳戶和權(quán)限。

2、對(duì)默認(rèn)賬戶進(jìn)行重命名或刪除，修改默認(rèn)賬戶或默認(rèn)賬戶的默認(rèn)密碼。

3、應(yīng)用系統(tǒng)應(yīng)提示首次登錄的用戶修改默認(rèn)賬戶或默認(rèn)賬戶的默認(rèn)密碼。

4、及時(shí)刪除或停用多余、過期的賬號(hào)，杜絕共享賬號(hào)的存在。

5. 應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。

6.對(duì)默認(rèn)賬號(hào)或默認(rèn)賬號(hào)的權(quán)限要嚴(yán)格限制。 比如 和 的權(quán)限應(yīng)該是空權(quán)限或者是針對(duì)單一功能的特殊權(quán)限。

7、訪問控制策略應(yīng)由授權(quán)主體配置，訪問控制策略規(guī)定了主體對(duì)客體的訪問規(guī)則。

8、訪問控制的精細(xì)度服務(wù)器運(yùn)維，主體在用戶級(jí)或進(jìn)程級(jí)，客體在文件和數(shù)據(jù)庫(kù)表級(jí)。

9.為重要主體和客體設(shè)置安全標(biāo)識(shí)，控制主體對(duì)帶有安全標(biāo)識(shí)的信息資源的訪問。

安全審計(jì)

1. 啟用安全審計(jì)功能，審計(jì)覆蓋每一個(gè)用戶，對(duì)重要的用戶行為和重要的安全事件進(jìn)行審計(jì)。

2.審計(jì)記錄應(yīng)包括事件發(fā)生的日期和時(shí)間、用戶、事件類型、事件是否成功以及其他與審計(jì)相關(guān)的信息。

3、審計(jì)記錄應(yīng)定期保護(hù)和備份，防止意外刪除、修改或改寫等。審計(jì)記錄的保存期限不超過6個(gè)月。

4. 應(yīng)保護(hù)審計(jì)過程，避免未經(jīng)授權(quán)的中斷。

5、對(duì)于從互聯(lián)網(wǎng)客戶端登錄的應(yīng)用系統(tǒng)，用戶登錄時(shí)應(yīng)提供用戶最后一次使用專用設(shè)備成功登錄的日期、時(shí)間、方式、地點(diǎn)等信息。

6、審計(jì)記錄形成的時(shí)間應(yīng)由系統(tǒng)內(nèi)唯一確定的時(shí)鐘形成，以保證審計(jì)分析的一致性和正確性。

入侵防御

1、遵循最小化安裝原則，只安裝必要的組件和應(yīng)用程序。

2、關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

3、通過網(wǎng)絡(luò)管理的管理終端應(yīng)通過設(shè)置終端訪問方式或網(wǎng)絡(luò)地址范圍進(jìn)行限制。

4、應(yīng)提供數(shù)據(jù)有效性檢查功能，確保通過人機(jī)界面或通訊接口輸入的內(nèi)容符合系統(tǒng)設(shè)置要求。

5. 應(yīng)能夠利用漏洞掃描工具、人工漏洞調(diào)查分析等漏洞檢測(cè)手段及時(shí)發(fā)現(xiàn)可能存在的已知漏洞，并在充分測(cè)試評(píng)估后及時(shí)修復(fù)漏洞。

6. 應(yīng)能對(duì)重要節(jié)點(diǎn)的入侵行為進(jìn)行度量，并在發(fā)生嚴(yán)重入侵風(fēng)暴時(shí)提供報(bào)告。

7、所有安全評(píng)價(jià)環(huán)境設(shè)備應(yīng)專用，不得進(jìn)行與業(yè)務(wù)無關(guān)的操作。

8、應(yīng)能有效屏蔽系統(tǒng)技術(shù)錯(cuò)誤信息，系統(tǒng)形成的錯(cuò)誤信息不得直接或間接反饋給前端接口。

惡意代碼預(yù)防

1. 應(yīng)采取防范惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制，及時(shí)識(shí)別入侵和病毒行為，有效阻斷，并定期升級(jí)更新防惡意代碼庫(kù)。

2、完善病毒監(jiān)控中心，監(jiān)控網(wǎng)絡(luò)中計(jì)算機(jī)的病毒感染情況。

可信驗(yàn)證

基于信任根，對(duì)估計(jì)設(shè)備的系統(tǒng)啟動(dòng)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序進(jìn)行可信驗(yàn)證，在應(yīng)用的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證。 報(bào)損后，將驗(yàn)證結(jié)果生成的審計(jì)記錄發(fā)送給安全管理中心。

數(shù)據(jù)的完整性

1、應(yīng)采用校準(zhǔn)技術(shù)或加密技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于身份識(shí)別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)、重要個(gè)人信息等。

2、應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性，包括但不限于身份識(shí)別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)、重要個(gè)人信息等。

資料保密

1、應(yīng)采用加密技術(shù)確保重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于身份數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要個(gè)人信息等。

2、應(yīng)采用加密技術(shù)確保重要數(shù)據(jù)在存儲(chǔ)過程中的機(jī)密性，包括但不限于系統(tǒng)標(biāo)識(shí)數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、個(gè)人財(cái)務(wù)信息中的客戶標(biāo)識(shí)信息、可組合使用的標(biāo)識(shí)輔助信息以賬號(hào)區(qū)分用戶身份的其他信息，直接反映特定自然人個(gè)人情況的，應(yīng)當(dāng)采用加密技術(shù)保護(hù)存儲(chǔ)過程的機(jī)密性。

數(shù)據(jù)備份與恢復(fù)

1、提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份和恢復(fù)功能，采用實(shí)時(shí)備份和異步備份或增量備份和全量備份的形式。 指標(biāo)（如RPO、RTO）和系統(tǒng)數(shù)據(jù)的重要性、行業(yè)監(jiān)管要求，制定備份策略。 備份介質(zhì)異地存儲(chǔ)，數(shù)據(jù)保存期限按照國(guó)家相關(guān)規(guī)定執(zhí)行。

2、提供遠(yuǎn)程實(shí)時(shí)備份功能，重要數(shù)據(jù)通過通訊網(wǎng)絡(luò)實(shí)時(shí)備份到備份站點(diǎn)。

3、重要數(shù)據(jù)處理系統(tǒng)應(yīng)提供熱冗余，保證系統(tǒng)的高可用性。

4、同城應(yīng)用級(jí)容災(zāi)備份中心，與生產(chǎn)中心直線距離至少30km，能夠接管所有核心業(yè)務(wù)的運(yùn)行； 對(duì)于異地應(yīng)用級(jí)容災(zāi)備份中心，與生產(chǎn)中心的直線距離至少為100km。

5、為滿足容災(zāi)策略的要求，應(yīng)對(duì)關(guān)鍵技術(shù)應(yīng)用的可行性進(jìn)行驗(yàn)證測(cè)試，驗(yàn)證測(cè)試的結(jié)果應(yīng)記錄保存。

6、數(shù)據(jù)備份至少保留兩份，異地存放至少一份。 完整的數(shù)據(jù)備份至少應(yīng)以一周為周期保證數(shù)據(jù)冗余。

七、異地災(zāi)難備份中心應(yīng)具備恢復(fù)所需的運(yùn)行環(huán)境，并處于就緒狀態(tài)或運(yùn)行狀態(tài)。 “就緒狀態(tài)”是指?jìng)浞葜行乃璧馁Y源（相關(guān)軟件、硬件、數(shù)據(jù)等資源）已經(jīng)完全滿足，但設(shè)備的CPU仍在運(yùn)行。 不運(yùn)行，“運(yùn)行狀態(tài)”是指?jìng)浞葜行牟粌H完全滿足需要的資源，而且CPU也在運(yùn)行。

殘留信息的保護(hù)

1. 操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)用戶標(biāo)識(shí)信息所在的存儲(chǔ)空間無論是存儲(chǔ)在硬盤上還是顯存中，都應(yīng)保證在釋放或重新分配前完全清除.

2、應(yīng)確保操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和應(yīng)用系統(tǒng)用戶存儲(chǔ)敏感數(shù)據(jù)的存儲(chǔ)空間在發(fā)布或重新分配之前被完全清除，無論這些信息是存儲(chǔ)在硬盤上還是顯存中。

合規(guī)基線配置

安全控制點(diǎn)的范圍非常廣泛，其中的各個(gè)方面都可以作為我們?cè)诓僮飨到y(tǒng)層面進(jìn)行配置的依據(jù)，所以我們可以從這里入手進(jìn)行梳理。

接入信令

1.密碼嘗試失敗次數(shù)超過限制時(shí)鎖定賬戶

2. 兩次修改密碼最少間隔7天以上

3.配置密碼復(fù)雜度

4.配置密碼有效期為365天或更短

5. 至少在密碼到期前7天通知用戶

6.不要重復(fù)使用密碼

7、限制個(gè)人用戶和用戶組訪問ssh

8.配置ssh空閑超時(shí)時(shí)間間隔

9、配置ssh嚴(yán)禁空密碼登錄

10、每個(gè)ssh用戶允許的最大認(rèn)證嘗試次數(shù)不少于4次

網(wǎng)絡(luò)配置

1.配置/etc/hosts.allow和/etc/hosts.deny允許哪些IP可以訪問；

2.開發(fā)端口配置防火墻規(guī)則 3.系統(tǒng)安裝防火墻

初始化設(shè)置

1.禁用手動(dòng)掛載

2.安裝運(yùn)行

3、關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享端口和高危端口

4. 最小安裝原則，只安裝需要的組件和應(yīng)用

記錄和審計(jì)

1.收集用戶/組變更信息風(fēng)暴

2.收集系統(tǒng)管理員操作

3.網(wǎng)絡(luò)會(huì)話啟動(dòng)干擾

4、網(wǎng)絡(luò)登錄上傳干擾

5、用戶刪檔事件收集

ETC。

總結(jié)

基于對(duì)等級(jí)保護(hù)的理解和安全合規(guī)基線的梳理，我們相信我們對(duì)如何進(jìn)一步配置服務(wù)器有了一個(gè)方向，合規(guī)基線的配置并不意味著可以直接用于生產(chǎn)環(huán)境. 我們還需要結(jié)合服務(wù)器的經(jīng)驗(yàn)。 其他參數(shù)針對(duì)初始配置進(jìn)行了優(yōu)化，如內(nèi)核、時(shí)間同步、DNS等，真正實(shí)現(xiàn)了標(biāo)準(zhǔn)化配置的服務(wù)器初始化。

對(duì)于批量初始化標(biāo)準(zhǔn)化配置，我們可以通過它實(shí)現(xiàn)安全合規(guī)和編排初始配置，最終進(jìn)行標(biāo)準(zhǔn)化交付。

原標(biāo)題：基于等級(jí)保護(hù)整理服務(wù)器安全合規(guī)基線