中国石化安全基线培训课件(6月16日上午远程教育视频培训)

中国石化安全基线培训信息化管理部中国信息安全测评中心2014年06月11.安全基线总体介绍2.安全基线使用方法目录3.安全基线详细介绍4.例题21.安全基线总体介绍目录3安全基线实施必要性4安全基线实施必要性IIS写入漏洞上传木马获取主机权限进一步攻击内网5安全基线实施目的将已有的安全投资发挥功效实现企业间的通信安全实现本企业网络、主机、数据、应用安全以最小成本提高风险对抗能力6安全基线是闭环的安全评估规划安全方案编制安全基线检查评估基线加固有效性测量安全建设基线加固遗留问题跟踪新问题建议基线改进7基线制定---制定原则非专业人员能正确理解基线内容为各企业的安全建设、运维、管理工作提供指导保证使用人员依照基本要求和判定方法可顺利完成配置操作和符合性检查工作通过验证环境进行测试以确保基线内容的准确性基线的要求及基本要求准确体现基线对象及其版本所导致的差异8基线制定自2013年2月开始，项目组与相关人员进行了10余次沟通，经过10多个版本的修改，目前已编制完成5大类，21种对象，共25份安全基线。92.安全基线使用方法目录10基线规范统一的基线格式规范•各文档内容均包括概况、安全配置要求、评审与修订三个部分；•各基线标注了适用范围、适用版本、使用方法、标号规则、参考标准等内容；•除个别基线外，基本按照帐号口令、服务及授权、补丁、日志审计、其他五大类安全要求来进行安全配置要求的划分；•每项配置要求包括安全基线要求内容、基线编号、基本要求、符合性检测判定方法、检测结果记录、整改情况记录六个组成部分。11基线实施流程1.确认加固对象及基线版本2.符合性检查3.和业务部门沟通加固细节，确认风险可控4.启动变更管理流程，准备回退方案5.重要系统尽量在先测试环境加固6.加固过程中实时记录加固内容（以便回退）12加固流程安全员制定访问控制策略统计业务部门服务端口及员工访问需求由于各种不可控因素无法准确统计宽松的访问控制策略或全通策略目前企业加固流程安全员制定访问控制策略缺省禁止所有访问业务部门和员工申请需要访问的端口及地址，建立权限审批流程形成细化可控的访问控制策略建议流程13目录3.安全基线详细介绍14安全基线详细介绍15序号基线类别内容1整体网络整体网络安全设计基本要求2网络设备安全cisco、h3c网络设备基本安全要求3安全设备防火墙、病毒网关、入侵检测设备基本安全要求4主机Windows、unix系统基本安全要求5数据库oracle、sqlserver系统基本安全要求6中间件Tomcat、IIS、Weblogic、Apache系统基本安全要求7WebB/S系统基本安全要求安全域划分、VLAN划分链路冗余、设备冗余、网络性能互联网出口防护、内网安全域边界防护、企业间网络边界防护身份认证及鉴别、协议及漏洞安全日志记录、日志存储实时监控、设备管理、风险预警、网络安全高危警告事件分析、安全备份安全域设计网络可用性网络边界防护内网安全网络安全审计网络安全管理整体网络16名称基本要求安全域划分根据业务系统的重要程度以及安全特性的要求并且参照现有网络状况进行安全域划分整体网络安全域划分17名称基本要求链路冗余内部主干网链路及互联网出口等主要链路进行冗余部署设备冗余重要网络设备及安全设备进行冗余设计网络性能保证出口带宽及核心设备处理性能可以满足业务需求整体网络可用性18名称基本要求互联网出口防护在互联网处理部署访问控制、VPN、DDOS、病毒防护、防垃圾邮件、入侵检测等安全措施内网安全域边界防护在内网不同安全域间部署访问控制、入侵检测等安全措施企业间网络边界防护与上下级单位及平级单位间部署访问控制、入侵检测等安全措施整体网络边界防护19名称基本要求身份认证及鉴别内网接入认证（802.1x）、无线采用WPA协议加密认证（删除缺省帐号口令）、通过VPN实现远程访问内网资源的用户认证及加密，并限制访问权限协议及漏洞安全对动态路由协议进行加密传输、确保当前的网络设备的IOS版本无高危安全漏洞整体网络内网安全20名称基本要求日志记录开启所有网络及安全设备日志记录功能，记录内容应包括：事件发生的时间、操作者的身份、地址及做了哪些操作日志存储至少连续记录3个月日志，尽量部署统一审计系统（可以统一审计所有网络设备、安全设备、主机、中间件、数据库）整体网络安全审计21名称基本要求实时监控部署综合网络管理平台对网络、安全（主机）设备情况进行实时监控风险预警对网络突发事件进行告警，如：短信、邮件或其他告警方式网络安全高危警告事件分析每天对网络及安全设备的高危告警情况进行分析安全备份当网络设备及安全设备的配置变更时对其进行备份整体网络安全管理22帐户身份认证、特权口令安全、Console模式口令安全、帐户登录地址限制、登录会话超时通讯加密、禁用CDP协议、关闭缺省服务帐号口令安全安全配置日志审计修改默认Bannerlogin信息、禁止或修改SNMP服务指定DNS服务器IP地址、OSPF路由协议加密禁止AUX端口、NTP配置日志审计网络设备23名称基本要求帐号身份认证对登录帐户进行身份认证，可采用AAA认证配置或其他方式特权口令安全对口令加密存储，该登录口令要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合Console模式口令安全为Console口模式设置登录口令，该登录口令要以加密存储，要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合帐号登录地址限制应对管理帐户登录地址进行限制登录会话超时当登录会话超时，帐户应自动退出网络设备帐号口令安全24名称基本要求通讯加密采用加密网络协议，如SSH禁用CDP协议禁用cisco设备CDP发现协议关闭缺省服务关闭缺省状态下开启的高危服务修改默认Bannerlogin信息修改默认bannerlogin信息禁止或修改SNMP服务应禁止SNMP服务，或修改SNMP团体字符串（要求长度至少为8位,应为字母、数字、特殊符号中至少2类的组合）指定DNS服务器IP地址应指定DNS服务器IP地址OSPF路由协议加密对OSPF路由协议进行加密禁止AUX端口禁止AUX端口NTP配置应确保设备时间与内网NTP服务器同步网络设备安全配置25网络设备日志审计26名称基本要求日志记录开启所有安全设备日志记录功能，记录内容应包括：事件发生的时间、操作者的身份、地址及做了哪些操作日志存储至少连续记录3个月日志，尽量部署统一审计系统（可以统一审计所有网络设备、安全设备、主机、中间件、数据库）账号管理、口令策略访问控制、病毒过滤、入侵检测SNMP安全配置、通讯加密、可信管理地址、NTP时间服务日志记录、日志存储帐号口令安全安全策略自身安全日志审计安全设备27名称基本要求账号管理更改设备默认管理员帐号、删除或禁用多余帐号、会话超时自动退出功能口令策略口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合、登录失败5次锁定30分钟安全设备帐号口令安全28名称基本要求访问控制采用白名单访问控制规则，缺省拒绝所有访问；规则颗粒度达到端口级病毒过滤启用病毒、蠕虫、木马、间谍软件、漏洞攻击等恶意软件检测模块；定制拦截黑域名访问；开启监控阻断对WEB页面的恶意访问功能；病毒库至少每天一次更新入侵检测开启ARP、ICMP、TCP、UDP常用协议攻击匹配规则；及时更新规则库；配置流量异常监控策略；配置短信、警声、邮件等报警措施；每天对设备的高危告警事件进行分析；针对报警信息采用人工响应处理或防火墙联动阻断措施安全设备安全策略29名称基本要求SNMP安全配置SNMP团体名应设置为强字符串，不能为public或弱字符串通讯加密使用加密方式对安全设备进行远程管理（https、ssh）管理地址限制应对设备的管理员登录地址进行限制NTP时间服务将NTP指向内部时间服务器安全设备自身安全30名称基本要求日志记录开启所有安全设备日志记录功能，记录内容应包括：事件发生的时间、操作者的身份、地址及做了哪些操作日志存储至少连续记录3个月日志，尽量部署统一审计系统（可以统一审计所有网络设备、安全设备、主机、中间件、数据库）安全设备安全审计31服务开启最小化、SNMP服务接受团体名称设置、系统时间同步、DNS服务指向补丁更新日志审核策略、日志存储、日志定期备份系统防火墙删除本地默认共享、共享文件权限限制禁止远程访问注册表、登录超时时间设置、限制匿名登录服务及授权安全补丁安全日志审计系统防火墙共享文件夹登录通信安全帐号口令安全帐号分配、帐号锁定、用户权限指派、帐户权限最小化、默认帐户管理口令长度及复杂度、口令最长使用期限、口令历史有效次数、口令锁定策略防病毒软件防病毒软件关闭自动播放功能关闭自动播放功能主机32名称基本要求帐号分配为不同用户分配不同的帐户，不允许不同用户间共享同一帐户帐号锁定删除或锁定过期帐户、无用帐户用户权限指派只允许指定授权帐户对主机进行远程访问帐户权限最小化根据实际需要为各个帐户分配最小权限默认帐户管理Administrator帐户重命名，禁用Guest帐户（windows）口令长度及复杂度操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合口令最长使用期限设置口令的最长使用期限小于90天口令历史有效次数配置操作系统用户不能重复使用最近5次（含5次）内已使用的口令口令锁定策略配置当用户连续认证失败次数为5次，锁定该帐户30分钟主机帐号口令安全33名称基本要求重要文件目录权限（UNIX）根据用户的业务需要，配置文件及目录所需的最小权限，如：/etc/shadow只有root可读服务开启最小化关闭不必要的服务SNMP设置SNMP团体名应设置为强字符串，不能为public或弱字符串系统时间同步设置系统时间与NTP服务器同步DNS服务指向配置系统DNS指向企业内部DNS服务器主机服务及授权安全34名称基本要求补丁更新在确保业务不受影响的情况下及时更新操作系统补丁主机补丁安全35名称基本要求日志审核策略开启日志审计并配置策略，对用户登录及访问行为进行记录审计日志存储修改windows缺省日志存储空间大小及保存路径（尽量异地存储）日志定期备份定期对系统日志进行备份，系统日志至少每3个月进行一次转储，并至少保存3个月主机日志审计36名称基本要求系统防火墙启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口主机防火墙37名称基本要求防病毒软件（windows）安装由总部统一部署的网络版防病毒软件，并及时更新主机防病毒38名称基本要求关闭自动播放功能关闭Windows自动播放功能，防止病毒木马通过移动介质感染主机主机自动播放39名称基本要求删除本地默认共享关闭Windows本地默认共享（C$、D$、E$、ADMIN$）共享文件权限限制设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹主机共享文件夹40名称基本要求禁止远程访问注册表禁止远程访问windows注册表路径和子路径远程管理加密协议配置使用SSH等加密协议对UNIX系统进行远程管理，禁止使用Telnet等明文传输协议登录超时时间设置设置远程登录帐户的登录超时时间为30分钟限制匿名登录禁用匿名访问windows命令管道和共享主机登录通讯41帐号管理、口令策略帐号口令安全访问范围控制、限制特权用户登录访问控制权限最小化、禁止多余服务服务与授权并发限制资源控制日志审计安全审计数据备份数据备份数据库42补丁安全其他数据库帐号口令安全43名称基本要求帐号管理为不同用户分配不同帐号、删除或禁用无用过期帐号；禁止sqlserver系统使用管理员帐户启动SQLserver服务；限制oracle系统DBA组仅能添加Oracle帐户口令策略数据库系统口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合；口令过期警告天数7；口令最长使用天数90；口令历史有效次数5；登录失败5次锁定账号30分钟数据库服务与授权44名称基本要求最小化权限根据用户的业务需要，配置数据库帐户所需的最小权限禁止多余服务禁止不必要的服务进程，如：sqlserver的XPCmdShellEnab