等级保护测评策略建议整改措施(5)

发布时间：2020-12-25 15:54 所属栏目：53 来源：网络整理

导读：??????日志或自带审计系统对性能影响巨大，产生大量文件消耗硬盘空间，事实上中大型系统都不能使用，或只能在排查问题时偶尔使用;日志系统不直观、易篡改、不完整、难管理;无法自动智能设置规则; 另外，从安全管控

??????日志或自带审计系统对性能影响巨大，产生大量文件消耗硬盘空间，事实上中大型系统都不能使用，或只能在排查问题时偶尔使用;日志系统不直观、易篡改、不完整、难管理;无法自动智能设置规则; 另外，从安全管控的标准及法规角度来看，也需要第三方独立的审计设备。

入侵防范

??????a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；

??????b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；

??????c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

??????整体分析

??????整改方法：

??????建议整改：
（一）产品或服务部署
数据库防火墙

2.??应用安全

2.1.???????身份鉴别

b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别

整改方法：

验证检查：?
1、是否采用两种或两种以上组合的鉴别技术实现用户身份鉴别
建议整改：
1、采用双因素认证产品

d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

整体分析

整改方法：

验证检查：?
1、连续多次输入口令错误，是否有账号锁定或者退出客户端登录等措施
建议整改：
1、多次输入错误口令，系统应该锁定账号和退出客户端等措施

2.2.???????安全审计

a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；

b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；

c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；

d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

整体分析

整改方法：

验证检查：?
1、是否有安全审计功能模块，包括到每个用户的安全审计功能（备注：用户应该包括内部运维用户和使用者用户）
2、是否审计进程能中断，审计记录是否能被删除、修改和覆盖
3、审计的记录至少包括：时间、日期、发起者信息、类型、描述和结果
4、是否对审计记录进行查询、分析、统计和生成审计报表
建议整改：
1、审计包括客户及内部人员，包括应用系统的重要安全事件：账户建立、用户权限分配、重要业务数据操作、用户身份鉴别失败等（备注：审计的内容会根据每一个行业的业务方向有所不同）
2、审计记录至少保存6个月
3、审计记录需要定期进行查询、分析，生成对应的审计报表

软件容错

a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；

b)应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

整体分析

整改方法：

验证检查：?
1、检查系统是否在数据输入界面对无效或非法的数据进行校验
2、是否对数据的格式或长度进行校验
3、检查系统返回的错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等
4、若系统有上传功能，尝试上传与服务器端语言（jsp、asp、php）一样扩展名的文件或exe等
可执行文件后，确认在服务器端是否可直接运行
建议整改：
1、注册用户是否可以’—’、‘1=1’等恒等式用户名
2、上传给服务器的参数（如查询关键字、url中的参数等）中包含特殊字符是否能正常处理
3、不存在SQL注入、XSS跨站脚本等漏洞
4、部署WAF或网页防篡改等第三方产品

资源控制

a)当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；

b)应能够对系统的最大并发会话连接数进行限制；

c)应能够对单个帐户的多重并发会话进行限制；

d)应能够对一个时间段内可能的并发会话连接数进行限制；

e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；

f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警；

g)应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

整体分析

整改方法：

验证检查：?
1、系统是否具有超时结束会话功能
2、系统是否有最大并发会话连接数限制
3、系统是否限制单个用户多重并发会话数
4、系统是否设置资源限额
建议整改：
1、能够在合理的时间内结束超时空闲会话
2、禁止同一个用户同时登录系统操作（备注：根据自身业务情况而定）
3、能够对一个访问账户或一个请求进程占用的资源分配最大和最小限额

3.??数据库安全及备份恢复

3.1.???????备份和恢复

b)应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；

整改方法：

建议整改：?
网络和安全设备的策略配置文件进行异地备份，数据库数据进行异地备份；

4.??系统运维管理

4.1.???????监控管理和安全管理中心

b)应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；

整改方法：

建议整改：?
1、对监测和告警记录有定期的分析报告和对应措施

c)应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。

整改方法：

建议整改：?
1、建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理

网络安全管理

d)应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；

整改方法：

建议整改：?
1、定期的网络设备扫描，并有扫描报告和整改结果

h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。

整改方法：

建议整改：?
1、用户单位定期检查违反规定拨号上网或其他违反网络安全策略的行为

4.2.???????系统安全管理

b)应定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

整改方法：

（编辑：ASP站长网）