信息化觀察網(wǎng)

本文來自微信公眾號“twt企業(yè)IT社區(qū)”，作者/社區(qū)ID：木訥大叔愛運維，互聯(lián)網(wǎng)+金融行業(yè)，專注于運維、數(shù)據(jù)庫領域，持續(xù)分享基于運維自動化的思考、實踐及解決方案。

背景

作為運維，當對新上架的服務器裝完操作系統(tǒng)后，第一步就是對操作系統(tǒng)進行初始化配置來保證配置合規(guī)，此時你可能就會有疑問：我們應該初始化哪些參數(shù)，有沒有相關標準參考呢？

要想真正了解進行初始化配置的目的，我們先來普一下法：

《中華人民共和國網(wǎng)絡安全法》第二十一條規(guī)定，國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列全保護義務：保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。

《中華人民共和國網(wǎng)絡安全法》規(guī)定，等級保護是我國信息安全保障的基本制度。

看到這個，大家可能覺得我扯遠了，這個和運維有啥關系呢？起初我也是這么認為的，但隨著網(wǎng)上各種因刪除跑路獲刑事件不絕于耳，如果我們的安全意識不足，會不會就發(fā)生到我們身上呢？

“存在即合理”，等級保護如此重要，那么它是否可以作為我們配置的參考呢？

等級保護級別

我國實行網(wǎng)絡安全等級保護制度，等級保護對象分為五個級別，由一到五級別逐漸升高，每一個級別的要求存在差異，級別越高，要求越嚴格。

一級：自主保護級

二級：指導保護級

三級：監(jiān)督保護級

四級：強制保護級

五級：?？乇Ｗo級

其中最常見的是等保二級和等保三級。在我國，“三級等保”是對非銀行機構的最高等級保護認證，一般定級為等保三級的系統(tǒng)有互聯(lián)網(wǎng)醫(yī)院平臺、P2P金融平臺、網(wǎng)約車平臺、云（服務商）平臺和其他重要系統(tǒng)。這一認證由公安機關依據(jù)國家信息安全保護條例及相關制度規(guī)定，按照管理規(guī)范和技術標準，對各機構的信息系統(tǒng)安全等級保護狀況進行認可及評定。

安全通用要求

安全通用要求細分為技術要求和管理要求。其中：

技術要求包括“安全物理環(huán)境”、“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”和“安全管理中心”。

管理要求包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”。

安全通用要求針對共性化保護需求提出，無論等級保護對象以何種形式出現(xiàn)，需要根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求。

安全擴展要求針對個性化保護需求提出，等級保護對象需要根據(jù)安全保護等級、使用的特定技術或特定的應用場景實現(xiàn)安全擴展要求。等級保護對象的安全保護需要同時落實安全通用要求和安全擴展要求提出的措施。

安全計算環(huán)境

針對邊界內(nèi)部提出的安全控制要求，主要對象為邊界內(nèi)部的所有對象，包括網(wǎng)絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數(shù)據(jù)對象和其他設備等。

我們新上架的服務器屬于安全計算環(huán)境范疇內(nèi)，因此需要從以下安全控制點進行相關配置：

身份鑒別

1、應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，應實現(xiàn)身份鑒別信息防竊取和防重用。靜態(tài)口令應在8位以上，由字母、數(shù)字、符號等混合組成并每半年更換口令，不允許新設定的口令與前次舊口令相同。應用系統(tǒng)用戶口令應在滿足口令復雜度要求的基礎上定期更換。

2、應具有登錄失敗處理功能，應配置并啟用結(jié)束會話、限制登錄間隔、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施。

3、當進行遠程管理時，應對管理終端進行身份標識和鑒別，采用密碼技術防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

4、應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。

訪問控制

1、應對登錄的用戶分配賬戶和權限。

2、應重命名或刪除默認賬戶，修改默認賬戶或預設賬戶的默認口令。

3、應用系統(tǒng)應對首次登錄的用戶提示修改默認賬戶或預設賬戶的默認口令。

4、應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

5、應授予管理用戶所需的最小權限，實現(xiàn)管理用戶的權限分離。

6、應嚴格限制默認賬戶或預設賬戶的權限，如默認賬戶和預設賬戶的權限應為空權限或某單一功能專用權限等。

7、應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

8、訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級。

9、應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。

安全審計

1、應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

2、審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

3、應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等，審計記錄保存時間應不少于6個月。

4、應對審計進程進行保護，防止未經(jīng)授權的中斷。

5、對于從互聯(lián)網(wǎng)客戶端登錄的應用系統(tǒng)，應在用戶登錄時提供用戶上一次非常用設備成功登錄的日期、時間、方法、位置等信息。

6、審計記錄產(chǎn)生時的時間應由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生，以確保審計分析的一致性與正確性。

入侵防范

1、應遵循最小安裝的原則，僅安裝需要的組件和應用程序。

2、應關閉不需要的系統(tǒng)服務、默認共享和高危端口。

3、應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制。

4、應提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求。

5、應能通過使用漏洞掃描工具、人工漏洞排查分析等漏洞檢查手段，及時發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞。

6、應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警。

7、所有安全計算環(huán)境設備應全部專用化，不得進行與業(yè)務不相關的操作。

8、應能夠有效屏蔽系統(tǒng)技術錯誤信息，不得將系統(tǒng)產(chǎn)生的錯誤信息直接或間接反饋到前臺界面。

惡意代碼防范

1、應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，將其有效阻斷并定期統(tǒng)一進行升級和更新防惡意代碼庫。

2、應建立病毒監(jiān)控中心，對網(wǎng)絡內(nèi)計算機感染病毒的情況進行監(jiān)控。

可信驗證

可基于可信根對計算設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。

數(shù)據(jù)完整性

1、應采用校驗技術或密碼技術保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。

2、應采用校驗技術或密碼技術保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。

數(shù)據(jù)保密性

1、應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等。

2、應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于系統(tǒng)鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和個人金融信息中的客戶鑒別信息以及與賬號結(jié)合使用可鑒別用戶身份的鑒別輔助信息等個人敏感信息，對于其他直接反應特定自然人某些情況的信息，宜使用密碼技術保護其存儲過程中的保密性。

數(shù)據(jù)備份與恢復

1、應提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復功能，采取實時備份與異步備份或增量備份與完全備份的方式，增量數(shù)據(jù)備份每天一次，完全數(shù)據(jù)備份可根據(jù)系統(tǒng)的業(yè)務連續(xù)性保障相關指標（如RPO，RTO）以及系統(tǒng)數(shù)據(jù)的重要程度、行業(yè)監(jiān)管要求，制定備份策略。備份介質(zhì)場外存放，數(shù)據(jù)保存期限依照國家相關規(guī)定。

2、應提供異地實時備份功能，利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地。

3、應提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

4、對于同城應用級災難備份中心，應與生產(chǎn)中心直線距離至少達到30km，可以接管所有核心業(yè)務的運行；對于異地應用級災難備份中心，應與生產(chǎn)中心直線距離至少達到100km。

5、為滿足災難恢復策略的要求，應對關鍵技術應用的可行性進行驗證測試，并記錄和保存驗證測試的結(jié)果。

6、數(shù)據(jù)備份應至少保存兩個副本，且至少一份副本異地存放，完全數(shù)據(jù)備份至少保證以一個星期為周期的數(shù)據(jù)冗余。

7、異地災難備份中心應配備恢復所需的運行環(huán)境，并處于就緒狀態(tài)或運行狀態(tài)，“就緒狀態(tài)”指備份中心的所需資源（相關軟硬件以及數(shù)據(jù)等資源）已完全滿足但設備CPU還沒有運行，“運行狀態(tài)”指備份中心除所需資源完全滿足要求外，CPU也在運行狀態(tài)。

剩余信息保護

1、應保證操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)用戶鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除，無論這些信息是存放在硬盤上還是內(nèi)存中。

2、應保證操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)用戶存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除，無論這些信息是存放在硬盤上還是內(nèi)存中。

合規(guī)基線配置

安全控制點的范圍很廣，但是其中的某些方面可以作為我們在操作系統(tǒng)層面的配置依據(jù)，因此我們可以從此入手去梳理。

訪問鑒權

1、配置嘗試密碼失敗次數(shù)超過限制時鎖定賬戶

2、兩次密碼更改之間的最短間隔為7天或以上

3、配置密碼復雜度

4、配置密碼有效期為365天或更短

5、密碼到期前至少提前7天通知用戶

6、禁止重復使用密碼

7、限制某些用戶及用戶組可以訪問ssh

8、配置ssh空閑超時間隔

9、配置ssh禁止空密碼登錄

10、ssh每個允許的最大身份驗證嘗試不大于4次

網(wǎng)絡配置

1、配置/etc/hosts.allow和/etc/hosts.deny允許哪些IP可以訪問；

2、開發(fā)端口配置防火墻規(guī)則3.系統(tǒng)安裝防火墻

初始化設置

1、禁用自動掛載

2、安裝selinux并運行

3、關閉不需要的系統(tǒng)服務、默認共享和高危端口

4、最小安裝的原則，僅安裝需要的組件和應用程序

日志與審計

1、收集user/group修改信息事件

2、收集系統(tǒng)管理員操作

3、收集會話啟動事件

4、收集登錄登出事件

5、收集用戶刪除文件事件

等等

總結(jié)

基于等級保護的了解及安全合規(guī)基線的梳理，相信我們對于服務器如何進一步配置有了方向，但是合規(guī)基線的配置并不等于就可以在生產(chǎn)環(huán)境中直接使用，我們還需要結(jié)合經(jīng)驗對服務器的其他參數(shù)進行初始化配置優(yōu)化，如內(nèi)核、時間同步、DNS等，這樣才能真正初始化一臺標準化配置的服務器。

對于批量初始化標準化配置，我們可以借助于Ansible Playbook實現(xiàn)安全合規(guī)和初始化配置的編排，最終進行標準化交付。