本篇將會介紹等級保護(hù)中對主機(jī)層面的安全要求，文中內(nèi)容全是本人個人觀點(diǎn)，如有不對的地方歡迎糾正。文章以等保三級系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。

正文

本部分從主機(jī)安全層面解讀標(biāo)準(zhǔn)要求。部分內(nèi)容與網(wǎng)絡(luò)部分會有重疊，要求一樣，但是基于主機(jī)層面的。

7.1.3.1 身份鑒別（S3）

a) 應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；

b) 操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；

c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；

d) 當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。

f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。

身份鑒別部分要求基本同網(wǎng)絡(luò)設(shè)備一樣，重點(diǎn)在于：

1） 用戶身份標(biāo)識唯一，用戶名具有一定代表性，內(nèi)部人員能夠從名稱分辨賬戶用于哪些系統(tǒng)或操作；不同權(quán)限/分組或系統(tǒng)的用戶名原則上不能重復(fù)，不能多人使用；

2） 密碼8位以上（含8位），至少包含3種字符的組合；（這里提一句，最近都在宣傳無密碼登錄系統(tǒng)和管理平臺，預(yù)計未來會成為趨勢，好處是可以不用再去記復(fù)雜的密碼，也可以防止爆破、撞庫一類的盜號行為，系統(tǒng)也不用存儲用戶的密碼信息。

3） 主機(jī)同樣要做好登陸失敗處置策略，要求（1）密碼輸入超過N此后，自動鎖定該賬戶M分鐘（通常是N=5，M>15，只是建議，不是要求）；（2）登陸后無操作，S分鐘后要自動斷開（一般是S<5）；

4） 如無特殊業(yè)務(wù)需求，不建議開放遠(yuǎn)程管理接口；如果需要，不能采用直接登陸方式，要先登陸堡壘機(jī)（或者先跳板機(jī)再轉(zhuǎn)堡壘機(jī)；再或者非重要服務(wù)器，至少要先登陸跳板機(jī)而后再訪問服務(wù)器），再訪問需要操作的服務(wù)器；并且連接路徑必須進(jìn)行加密；

5）主機(jī)登陸同樣采用雙因素認(rèn)證（堡壘機(jī)）。

7.1.3.2 訪問控制（S3）

a) 應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；

b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；

c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；

e)應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。

f) 應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；

g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；

訪問控制部分要求的也比較多，逐條說明。

a) 這里的資源指的是客體（信息），就是對于不同用戶的訪問權(quán)限要進(jìn)行控制，避免越權(quán)；

b) 此項(xiàng)也是強(qiáng)調(diào)越權(quán)，要求最小化權(quán)限分配，只要能夠滿足工作需要即可，盡可能細(xì)化權(quán)限管理（網(wǎng)絡(luò)和安全設(shè)備上這點(diǎn)不太容易做，但是主機(jī)層面是可以的，只是大家嫌麻煩都不愿意去做）；提到的權(quán)限分離，就是避免一個賬戶擁有過多權(quán)限（比如超管，管理員賬戶），一般情況對于這種高權(quán)限賬戶使用前都是要走流程的，不會作為日常運(yùn)維的賬戶來使用；

c) 此項(xiàng)是說系統(tǒng)和數(shù)據(jù)庫賬戶不能由同一賬戶管理；舉個例子，以前安裝MS SQL的時候，會問你是不是要創(chuàng)建混合登錄賬戶，就是可以以windows賬戶登錄數(shù)據(jù)庫，這種設(shè)置一般不建議；

d) 通常的做法就是直接禁用默認(rèn)賬戶，如果非要用，那就重命名賬戶并設(shè)置復(fù)雜度較高的密碼，然后再行使用；

e) 此項(xiàng)是很多企業(yè)容易犯的錯誤，各種外包，各種測試環(huán)境，測完系統(tǒng)交付了，之前的環(huán)境就沒人管理了，不只是多余賬號，有的測試環(huán)境可以訪問生產(chǎn)網(wǎng)和辦公網(wǎng)，開了臨時接口也沒關(guān)，沒有防護(hù)措施，很容易被人作為跳板黑掉；就是缺乏對資產(chǎn)和流程的管理，產(chǎn)生邊緣資產(chǎn)，沒有人知道這些資產(chǎn)的狀況；這點(diǎn)其實(shí)很重要，引申出來的問題不僅僅是多余賬戶的事情；

f) 這項(xiàng)基本來說，大多數(shù)企業(yè)是直接放棄的，因?yàn)檫@項(xiàng)要求一般分?jǐn)?shù)不是很高，但做起來比較困難；敏感標(biāo)記包含物理和技術(shù)兩個方面（個人了解到的），敏感信息存儲的設(shè)備和介質(zhì)，你在其上貼了機(jī)密描述的標(biāo)簽，這也算做了物理層面的敏感標(biāo)記；技術(shù)上，敏感信息在數(shù)據(jù)中插入自定義的標(biāo)簽或標(biāo)識，做數(shù)據(jù)分類，這種也是敏感標(biāo)記；當(dāng)年能做這些的公司不多，但從當(dāng)前來看是很有必要的，最近幾年都在吹的數(shù)據(jù)生命周期，其中就包含了要求所述的內(nèi)容；

g) 前面提到的是關(guān)于讀的問題，這里說的是寫的問題；就是做好權(quán)限管理，既不能越權(quán)去讀，也不能越權(quán)去寫。

7.1.3.3 安全審計（G3）

a) 審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

b)審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

c)審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；

d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；

e)應(yīng)保護(hù)審計進(jìn)程，避免受到未預(yù)期的中斷；

f)應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。

主機(jī)安全審計部分要求類似網(wǎng)絡(luò)部分，個別部分有些區(qū)別。

1) 審計范圍除了系統(tǒng)自身所涉及的服務(wù)器外，還要求要能夠?qū)徲嫷街匾蛻舳说南到y(tǒng)用戶和數(shù)據(jù)庫用戶操作；起初以為是像淘寶那樣，要求審計每個用戶的了瀏覽、購買、登錄、退出等記錄，其實(shí)是想多了；這里要求其實(shí)是系統(tǒng)所關(guān)聯(lián)的服務(wù)器以及能夠訪問系統(tǒng)后臺的終端的審計；比如管理員可以通過自己的PC訪問系統(tǒng)后臺，那么這臺PC的日志都要留存，并能夠?qū)徲嫞?

2) 對于操作的審計比較好理解，就是要全面，能記錄的有用信息都要記錄，便于后續(xù)審計和安全事件的溯源；標(biāo)準(zhǔn)中提到的審計報表，就是根據(jù)日志，對操作、訪問、異常行為等進(jìn)行匯總統(tǒng)計，進(jìn)行趨勢的分析，形成報告，這也是檢查時要查看的；

3) 這里是對日志和審計記錄/報告的保護(hù)，要留存至少6個月的記錄，且有專人管理，有場外備份，能夠保證記錄完整性。

7.1.3.4 剩余信息保護(hù)（S3）

a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。

本項(xiàng)要求，也是關(guān)于敏感信息泄露的防護(hù)措施。從幾個方向來看吧：

1） 緩存和RAM類存儲還好說，一般重啟或多讀取點(diǎn)信息，之前的內(nèi)容就沒了；這種信息泄露基本都是基于動態(tài)的，系統(tǒng)運(yùn)行過程中，被黑了才能拿到數(shù)據(jù)，等保三的層面沒有要求到這么高，所以不會有硬性要求；

2） 存儲介質(zhì)（磁盤、U盤等）方面，如果再次投入使用，必須要做好數(shù)據(jù)清理工作，目前企業(yè)大多數(shù)還沒富裕到用完就報廢的水平，所以大多都是格式化然后分配給其他部門或人繼續(xù)使用；但眾所周知，即使低格后，很多數(shù)據(jù)還是可以恢復(fù)過來的，一般大公司的做法就是，格式化，然后滿格重復(fù)寫入垃圾數(shù)據(jù)（3-7次，看實(shí)際情況）；這樣操作，基本上普通的恢復(fù)方式，恢復(fù)的大多是垃圾數(shù)據(jù)，對于大多企業(yè)來說足矣；再一方面就是磁帶、CD，這類介質(zhì)還是建議一次性使用，用完直接銷毀，本身成本也不高，企業(yè)沒必要為了這點(diǎn)錢重復(fù)使用。

3） 虛擬存儲方面，這部分在老標(biāo)準(zhǔn)中沒有要求，但是等保2.0有明確提出，其實(shí)是在資源控制部分的要求項(xiàng)，應(yīng)保證分配給虛擬機(jī)的內(nèi)存空間僅供其獨(dú)占訪問，虛擬機(jī)僅能使用為其分配的計算資源。具體技術(shù)手段，這里寫不下，我也不是做底層的，所以推薦一篇論文，有興趣的可以看看。

《虛擬機(jī)檢測技術(shù)研究》 王寶林，楊明，張永輝（解放軍理工大學(xué) 指揮自動化學(xué)院，江蘇 南京）

7.1.3.5 入侵防范（G3）

a) 應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源 IP 、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；

b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；

c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時得到更新。

主機(jī)入侵防范涉及的技術(shù)太多了，這里主要說下等保要求。

a） IPS搞定一切，做好和監(jiān)控平臺的聯(lián)動就OK，能夠短信或郵件告警；

b） 個人理解，類似于WAF的網(wǎng)頁防篡改，周期性去爬頁面進(jìn)行對比，完整性校驗(yàn)，有問題馬上可以預(yù)警，這是前半部分；后半部分還要求具有恢復(fù)措施，就是應(yīng)急預(yù)案和應(yīng)急響應(yīng)團(tuán)隊(duì)，尤其是政府類站點(diǎn)，非常重視此類問題，一旦出現(xiàn)篡改，都會馬上啟動應(yīng)急響應(yīng)工作；

c） 系統(tǒng)最小安裝原則，說了多少年的事，沒什么需要討論的；后半句，就是打補(bǔ)丁要及時，有些主機(jī)1年不打補(bǔ)丁，在當(dāng)前這種趨勢環(huán)境下，我覺得管理者的心也是夠大的；做安全運(yùn)營和管理，還是要講求謹(jǐn)小慎微，不怕細(xì)致，穩(wěn)中發(fā)展，不能以不出事就行，出事再說的心態(tài)。（這里還有個別情況，就是系統(tǒng)老舊，一旦打了新補(bǔ)丁系統(tǒng)就無法運(yùn)行，影響業(yè)務(wù)。對于這類系統(tǒng)，建議企業(yè)還是趁早重新設(shè)計研發(fā)新系統(tǒng)，除非你的系統(tǒng)不需要對外連接，純封閉在內(nèi)網(wǎng)的，否則被黑是遲早的事）

7.1.3.6 惡意代碼防范（G3）

a) 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；

b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；

c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。

惡意代碼防范其實(shí)在主機(jī)層面比較容易理解，第一是正版安全軟件（殺軟或者HIDS類產(chǎn)品），不要覺得安個盜版應(yīng)付一下就OK了，按正常要求作為企業(yè)不允許使用盜版軟件，只是現(xiàn)在查的不嚴(yán)，哪天嚴(yán)起來怕是要后悔的；軟件版本和病毒庫更新要及時，不能用IPS或FW上的惡意代碼模塊代替安全軟件，要使用不同的特征庫；再就是針對軟件要進(jìn)行統(tǒng)一管理，不能按人或按部門管理。（多說幾句，這里有企業(yè)反映過，linux系統(tǒng)安全，一般不用裝殺毒軟件，但事實(shí)證明，都是屁話，中招后爽了吧？再一方面，怕殺軟誤刪系統(tǒng)文件，導(dǎo)致業(yè)務(wù)暫停，這種情況確實(shí)存在，但是無論個人版還是企業(yè)版的殺軟可以自己定義策略，怕出問題都設(shè)置成告警，手動處理就好了，根據(jù)業(yè)務(wù)情況，及時更改策略，有些是真實(shí)請求的可以加白名單）

7.1.3.7 資源控制（A3）

a) 應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；

b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；

c)應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的 CPU 、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；

d)應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；

e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警 。

在老等保標(biāo)準(zhǔn)中對于資源控制還是比較容易理解的，而且也容易實(shí)現(xiàn)，簡單描述一下。

a) 能夠登錄堡壘機(jī)或跳板機(jī)的主機(jī)數(shù)量不能過多，而且要限制只允許某幾個IP登錄；

b) 服務(wù)器賬戶無操作，N分鐘后自動鎖屏（建議：通?？梢栽O(shè)置5-15分鐘，最長不要超過30分鐘）；

c) 現(xiàn)在一些大的機(jī)房都有監(jiān)控平臺，即使沒有也可以用一些開源工具自己搭一個；

de) 主機(jī)層面的SLA，設(shè)置不同用戶對系統(tǒng)資源調(diào)用的閾值；e中的要求可以在監(jiān)控平臺設(shè)置預(yù)警。

結(jié)尾

以上是主機(jī)安全部分的要求。推薦標(biāo)準(zhǔn)《YD/T 2701-2014》，有興趣的可以看下。

等級保護(hù)測評系列介紹

等級保護(hù)測評（一）：物理安全

等級保護(hù)測評（二）：網(wǎng)絡(luò)安全

等級保護(hù)測評（三）：主機(jī)安全

等級保護(hù)測評（四）：應(yīng)用與數(shù)據(jù)安全

等級保護(hù)測評（五）：制度與人員安全

等級保護(hù)測評（六）：系統(tǒng)建設(shè)管理

等級保護(hù)測評（七）：系統(tǒng)運(yùn)維管理