本篇將會(huì)介紹等級(jí)保護(hù)中對(duì)主機(jī)層面的安全要求，文中內(nèi)容全是本人個(gè)人觀點(diǎn)，如有不對(duì)的地方歡迎糾正。文章以等保三級(jí)系統(tǒng)為基礎(chǔ)，從合規(guī)角度解讀要求。

正文

本部分從主機(jī)安全層面解讀標(biāo)準(zhǔn)要求。部分內(nèi)容與網(wǎng)絡(luò)部分會(huì)有重疊，要求一樣，但是基于主機(jī)層面的。

7.1.3.1 身份鑒別（S3）

a) 應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；

b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；

c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；

d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；

e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性。

f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別。

身份鑒別部分要求基本同網(wǎng)絡(luò)設(shè)備一樣，重點(diǎn)在于：

1） 用戶(hù)身份標(biāo)識(shí)唯一，用戶(hù)名具有一定代表性，內(nèi)部人員能夠從名稱(chēng)分辨賬戶(hù)用于哪些系統(tǒng)或操作；不同權(quán)限/分組或系統(tǒng)的用戶(hù)名原則上不能重復(fù)，不能多人使用；

2） 密碼8位以上（含8位），至少包含3種字符的組合；（這里提一句，最近都在宣傳無(wú)密碼登錄系統(tǒng)和管理平臺(tái)，預(yù)計(jì)未來(lái)會(huì)成為趨勢(shì)，好處是可以不用再去記復(fù)雜的密碼，也可以防止爆破、撞庫(kù)一類(lèi)的盜號(hào)行為，系統(tǒng)也不用存儲(chǔ)用戶(hù)的密碼信息。

3） 主機(jī)同樣要做好登陸失敗處置策略，要求（1）密碼輸入超過(guò)N此后，自動(dòng)鎖定該賬戶(hù)M分鐘（通常是N=5，M>15，只是建議，不是要求）；（2）登陸后無(wú)操作，S分鐘后要自動(dòng)斷開(kāi)（一般是S<5）；

4） 如無(wú)特殊業(yè)務(wù)需求，不建議開(kāi)放遠(yuǎn)程管理接口；如果需要，不能采用直接登陸方式，要先登陸堡壘機(jī)（或者先跳板機(jī)再轉(zhuǎn)堡壘機(jī)；再或者非重要服務(wù)器，至少要先登陸跳板機(jī)而后再訪問(wèn)服務(wù)器），再訪問(wèn)需要操作的服務(wù)器；并且連接路徑必須進(jìn)行加密；

5）主機(jī)登陸同樣采用雙因素認(rèn)證（堡壘機(jī)）。

7.1.3.2 訪問(wèn)控制（S3）

a) 應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)對(duì)資源的訪問(wèn)；

b)應(yīng)根據(jù)管理用戶(hù)的角色分配權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離，僅授予管理用戶(hù)所需的最小權(quán)限；

c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)限分離；

d)應(yīng)嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶(hù)，修改這些帳戶(hù)的默認(rèn)口令；

e)應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在。

f) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；

g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作；

訪問(wèn)控制部分要求的也比較多，逐條說(shuō)明。

a) 這里的資源指的是客體（信息），就是對(duì)于不同用戶(hù)的訪問(wèn)權(quán)限要進(jìn)行控制，避免越權(quán)；

b) 此項(xiàng)也是強(qiáng)調(diào)越權(quán)，要求最小化權(quán)限分配，只要能夠滿(mǎn)足工作需要即可，盡可能細(xì)化權(quán)限管理（網(wǎng)絡(luò)和安全設(shè)備上這點(diǎn)不太容易做，但是主機(jī)層面是可以的，只是大家嫌麻煩都不愿意去做）；提到的權(quán)限分離，就是避免一個(gè)賬戶(hù)擁有過(guò)多權(quán)限（比如超管，管理員賬戶(hù)），一般情況對(duì)于這種高權(quán)限賬戶(hù)使用前都是要走流程的，不會(huì)作為日常運(yùn)維的賬戶(hù)來(lái)使用；

c) 此項(xiàng)是說(shuō)系統(tǒng)和數(shù)據(jù)庫(kù)賬戶(hù)不能由同一賬戶(hù)管理；舉個(gè)例子，以前安裝MS SQL的時(shí)候，會(huì)問(wèn)你是不是要?jiǎng)?chuàng)建混合登錄賬戶(hù)，就是可以以windows賬戶(hù)登錄數(shù)據(jù)庫(kù)，這種設(shè)置一般不建議；

d) 通常的做法就是直接禁用默認(rèn)賬戶(hù)，如果非要用，那就重命名賬戶(hù)并設(shè)置復(fù)雜度較高的密碼，然后再行使用；

e) 此項(xiàng)是很多企業(yè)容易犯的錯(cuò)誤，各種外包，各種測(cè)試環(huán)境，測(cè)完系統(tǒng)交付了，之前的環(huán)境就沒(méi)人管理了，不只是多余賬號(hào)，有的測(cè)試環(huán)境可以訪問(wèn)生產(chǎn)網(wǎng)和辦公網(wǎng)，開(kāi)了臨時(shí)接口也沒(méi)關(guān)，沒(méi)有防護(hù)措施，很容易被人作為跳板黑掉；就是缺乏對(duì)資產(chǎn)和流程的管理，產(chǎn)生邊緣資產(chǎn)，沒(méi)有人知道這些資產(chǎn)的狀況；這點(diǎn)其實(shí)很重要，引申出來(lái)的問(wèn)題不僅僅是多余賬戶(hù)的事情；

f) 這項(xiàng)基本來(lái)說(shuō)，大多數(shù)企業(yè)是直接放棄的，因?yàn)檫@項(xiàng)要求一般分?jǐn)?shù)不是很高，但做起來(lái)比較困難；敏感標(biāo)記包含物理和技術(shù)兩個(gè)方面（個(gè)人了解到的），敏感信息存儲(chǔ)的設(shè)備和介質(zhì)，你在其上貼了機(jī)密描述的標(biāo)簽，這也算做了物理層面的敏感標(biāo)記；技術(shù)上，敏感信息在數(shù)據(jù)中插入自定義的標(biāo)簽或標(biāo)識(shí)，做數(shù)據(jù)分類(lèi)，這種也是敏感標(biāo)記；當(dāng)年能做這些的公司不多，但從當(dāng)前來(lái)看是很有必要的，最近幾年都在吹的數(shù)據(jù)生命周期，其中就包含了要求所述的內(nèi)容；

g) 前面提到的是關(guān)于讀的問(wèn)題，這里說(shuō)的是寫(xiě)的問(wèn)題；就是做好權(quán)限管理，既不能越權(quán)去讀，也不能越權(quán)去寫(xiě)。

7.1.3.3 安全審計(jì)（G3）

a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶(hù)端上的每個(gè)操作系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)；

b)審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；

d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；

f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。

主機(jī)安全審計(jì)部分要求類(lèi)似網(wǎng)絡(luò)部分，個(gè)別部分有些區(qū)別。

1) 審計(jì)范圍除了系統(tǒng)自身所涉及的服務(wù)器外，還要求要能夠?qū)徲?jì)到重要客戶(hù)端的系統(tǒng)用戶(hù)和數(shù)據(jù)庫(kù)用戶(hù)操作；起初以為是像淘寶那樣，要求審計(jì)每個(gè)用戶(hù)的了瀏覽、購(gòu)買(mǎi)、登錄、退出等記錄，其實(shí)是想多了；這里要求其實(shí)是系統(tǒng)所關(guān)聯(lián)的服務(wù)器以及能夠訪問(wèn)系統(tǒng)后臺(tái)的終端的審計(jì)；比如管理員可以通過(guò)自己的PC訪問(wèn)系統(tǒng)后臺(tái)，那么這臺(tái)PC的日志都要留存，并能夠?qū)徲?jì)；

2) 對(duì)于操作的審計(jì)比較好理解，就是要全面，能記錄的有用信息都要記錄，便于后續(xù)審計(jì)和安全事件的溯源；標(biāo)準(zhǔn)中提到的審計(jì)報(bào)表，就是根據(jù)日志，對(duì)操作、訪問(wèn)、異常行為等進(jìn)行匯總統(tǒng)計(jì)，進(jìn)行趨勢(shì)的分析，形成報(bào)告，這也是檢查時(shí)要查看的；

3) 這里是對(duì)日志和審計(jì)記錄/報(bào)告的保護(hù)，要留存至少6個(gè)月的記錄，且有專(zhuān)人管理，有場(chǎng)外備份，能夠保證記錄完整性。

7.1.3.4 剩余信息保護(hù)（S3）

a) 應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶(hù)前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；

b) 應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶(hù)前得到完全清除。

本項(xiàng)要求，也是關(guān)于敏感信息泄露的防護(hù)措施。從幾個(gè)方向來(lái)看吧：

1） 緩存和RAM類(lèi)存儲(chǔ)還好說(shuō)，一般重啟或多讀取點(diǎn)信息，之前的內(nèi)容就沒(méi)了；這種信息泄露基本都是基于動(dòng)態(tài)的，系統(tǒng)運(yùn)行過(guò)程中，被黑了才能拿到數(shù)據(jù)，等保三的層面沒(méi)有要求到這么高，所以不會(huì)有硬性要求；

2） 存儲(chǔ)介質(zhì)（磁盤(pán)、U盤(pán)等）方面，如果再次投入使用，必須要做好數(shù)據(jù)清理工作，目前企業(yè)大多數(shù)還沒(méi)富裕到用完就報(bào)廢的水平，所以大多都是格式化然后分配給其他部門(mén)或人繼續(xù)使用；但眾所周知，即使低格后，很多數(shù)據(jù)還是可以恢復(fù)過(guò)來(lái)的，一般大公司的做法就是，格式化，然后滿(mǎn)格重復(fù)寫(xiě)入垃圾數(shù)據(jù)（3-7次，看實(shí)際情況）；這樣操作，基本上普通的恢復(fù)方式，恢復(fù)的大多是垃圾數(shù)據(jù)，對(duì)于大多企業(yè)來(lái)說(shuō)足矣；再一方面就是磁帶、CD，這類(lèi)介質(zhì)還是建議一次性使用，用完直接銷(xiāo)毀，本身成本也不高，企業(yè)沒(méi)必要為了這點(diǎn)錢(qián)重復(fù)使用。

3） 虛擬存儲(chǔ)方面，這部分在老標(biāo)準(zhǔn)中沒(méi)有要求，但是等保2.0有明確提出，其實(shí)是在資源控制部分的要求項(xiàng)，應(yīng)保證分配給虛擬機(jī)的內(nèi)存空間僅供其獨(dú)占訪問(wèn)，虛擬機(jī)僅能使用為其分配的計(jì)算資源。具體技術(shù)手段，這里寫(xiě)不下，我也不是做底層的，所以推薦一篇論文，有興趣的可以看看。

《虛擬機(jī)檢測(cè)技術(shù)研究》 王寶林，楊明，張永輝（解放軍理工大學(xué) 指揮自動(dòng)化學(xué)院，江蘇 南京）

7.1.3.5 入侵防范（G3）

a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源 IP 、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；

b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；

c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。

主機(jī)入侵防范涉及的技術(shù)太多了，這里主要說(shuō)下等保要求。

a） IPS搞定一切，做好和監(jiān)控平臺(tái)的聯(lián)動(dòng)就OK，能夠短信或郵件告警；

b） 個(gè)人理解，類(lèi)似于WAF的網(wǎng)頁(yè)防篡改，周期性去爬頁(yè)面進(jìn)行對(duì)比，完整性校驗(yàn)，有問(wèn)題馬上可以預(yù)警，這是前半部分；后半部分還要求具有恢復(fù)措施，就是應(yīng)急預(yù)案和應(yīng)急響應(yīng)團(tuán)隊(duì)，尤其是政府類(lèi)站點(diǎn)，非常重視此類(lèi)問(wèn)題，一旦出現(xiàn)篡改，都會(huì)馬上啟動(dòng)應(yīng)急響應(yīng)工作；

c） 系統(tǒng)最小安裝原則，說(shuō)了多少年的事，沒(méi)什么需要討論的；后半句，就是打補(bǔ)丁要及時(shí)，有些主機(jī)1年不打補(bǔ)丁，在當(dāng)前這種趨勢(shì)環(huán)境下，我覺(jué)得管理者的心也是夠大的；做安全運(yùn)營(yíng)和管理，還是要講求謹(jǐn)小慎微，不怕細(xì)致，穩(wěn)中發(fā)展，不能以不出事就行，出事再說(shuō)的心態(tài)。（這里還有個(gè)別情況，就是系統(tǒng)老舊，一旦打了新補(bǔ)丁系統(tǒng)就無(wú)法運(yùn)行，影響業(yè)務(wù)。對(duì)于這類(lèi)系統(tǒng)，建議企業(yè)還是趁早重新設(shè)計(jì)研發(fā)新系統(tǒng)，除非你的系統(tǒng)不需要對(duì)外連接，純封閉在內(nèi)網(wǎng)的，否則被黑是遲早的事）

7.1.3.6 惡意代碼防范（G3）

a) 應(yīng)安裝防惡意代碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)；

b) 主機(jī)防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫(kù)；

c) 應(yīng)支持防惡意代碼的統(tǒng)一管理。

惡意代碼防范其實(shí)在主機(jī)層面比較容易理解，第一是正版安全軟件（殺軟或者HIDS類(lèi)產(chǎn)品），不要覺(jué)得安個(gè)盜版應(yīng)付一下就OK了，按正常要求作為企業(yè)不允許使用盜版軟件，只是現(xiàn)在查的不嚴(yán)，哪天嚴(yán)起來(lái)怕是要后悔的；軟件版本和病毒庫(kù)更新要及時(shí)，不能用IPS或FW上的惡意代碼模塊代替安全軟件，要使用不同的特征庫(kù)；再就是針對(duì)軟件要進(jìn)行統(tǒng)一管理，不能按人或按部門(mén)管理。（多說(shuō)幾句，這里有企業(yè)反映過(guò)，linux系統(tǒng)安全，一般不用裝殺毒軟件，但事實(shí)證明，都是屁話，中招后爽了吧？再一方面，怕殺軟誤刪系統(tǒng)文件，導(dǎo)致業(yè)務(wù)暫停，這種情況確實(shí)存在，但是無(wú)論個(gè)人版還是企業(yè)版的殺軟可以自己定義策略，怕出問(wèn)題都設(shè)置成告警，手動(dòng)處理就好了，根據(jù)業(yè)務(wù)情況，及時(shí)更改策略，有些是真實(shí)請(qǐng)求的可以加白名單）

7.1.3.7 資源控制（A3）

a) 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；

b)應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；

c)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的 CPU 、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；

d)應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度；

e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警 。

在老等保標(biāo)準(zhǔn)中對(duì)于資源控制還是比較容易理解的，而且也容易實(shí)現(xiàn)，簡(jiǎn)單描述一下。

a) 能夠登錄堡壘機(jī)或跳板機(jī)的主機(jī)數(shù)量不能過(guò)多，而且要限制只允許某幾個(gè)IP登錄；

b) 服務(wù)器賬戶(hù)無(wú)操作，N分鐘后自動(dòng)鎖屏（建議：通常可以設(shè)置5-15分鐘，最長(zhǎng)不要超過(guò)30分鐘）；

c) 現(xiàn)在一些大的機(jī)房都有監(jiān)控平臺(tái)，即使沒(méi)有也可以用一些開(kāi)源工具自己搭一個(gè)；

de) 主機(jī)層面的SLA，設(shè)置不同用戶(hù)對(duì)系統(tǒng)資源調(diào)用的閾值；e中的要求可以在監(jiān)控平臺(tái)設(shè)置預(yù)警。

結(jié)尾

以上是主機(jī)安全部分的要求。推薦標(biāo)準(zhǔn)《YD/T 2701-2014》，有興趣的可以看下。

等級(jí)保護(hù)測(cè)評(píng)系列介紹

等級(jí)保護(hù)測(cè)評(píng)（一）：物理安全

等級(jí)保護(hù)測(cè)評(píng)（二）：網(wǎng)絡(luò)安全

等級(jí)保護(hù)測(cè)評(píng)（三）：主機(jī)安全

等級(jí)保護(hù)測(cè)評(píng)（四）：應(yīng)用與數(shù)據(jù)安全

等級(jí)保護(hù)測(cè)評(píng)（五）：制度與人員安全

等級(jí)保護(hù)測(cè)評(píng)（六）：系統(tǒng)建設(shè)管理

等級(jí)保護(hù)測(cè)評(píng)（七）：系統(tǒng)運(yùn)維管理