CTG-MBOSS安全规范-主机安全分册-v1.0-20070315.doc

CTG-MBOSS安全规范主机安全分册CTG-MBOSS安全技术规范主机安全分册V1.0中国电信集团公司2007年3月目 录1文档说明41.1编制说明41.2适用范围41.3规范文档41.4起草单位41.5解释权41.6版权52综述52.1主机系统所面临的挑战52.2目标52.3规范定位52.4内容说明63主机系统安全规范技术架构74主机系统安全规范技术要求84.1主机系统访问控制84.1.1帐户管理84.1.2身份鉴别94.1.3远程访问控制94.2主机系统安全防护104.2.1主机系统恶意代码防范104.2.2主机入侵检测104.3主机系统安全加固114.3.1配置要求114.3.2漏洞补丁控制124.4主机系统安全审计12附录14附录一 规范编制人员名单14附录二 术语14附录三 参考文献151 文档说明1.1 编制说明本规范作为中国电信CTG-MBOSS安全规范的重要组成部分。本规范的编制是在CTG-MBOSS 安全分总规范的总体框架体系指导下，参考了已有主机系统的安全规划，充分考虑了企业战略目标、3G等的引入形成的。本规范是CTG-MBOSS主机系统进行安全改造和建设时遵循的技术规范，阐述了进行主机系统安全建设的各项技术内容和相应的要求。1.2 适用范围本主机安全规范对中国电信CTG-MBOSS所广泛使用的主机系统安全特性进行了深入分析，从安全技术角度分析了中国电信CTG-MBOSS主机系统的安全现状和安全风险，并在此基础上阐述了针对主机系统的安全防范技术。1.3 规范文档主机系统安全规范在CTG-MBOSS信息安全规范体系中的位置如下图所示：1.4 起草单位本规范起草单位为中国电信集团公司。1.5 解释权本规范的解释权属于中国电信集团公司。1.6 版权本规范的版权属于中国电信集团公司。2 综述2.1 主机系统所面临的挑战CTG-MBOSS中的主机系统作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面，任何一个主机节点都有可能影响整个网络的安全。作为CTG-MBOSS系统中重要的组成部分，各种业务系统主机数量众多，资产价值高，面临的安全风险极大。一方面，主机是CTG-MBOSS系统各类业务系统数据和信息的主要载体，这些业务数据和信息是系统信息资产的重要组成部分；另一方面，病毒、木马等安全威胁很容易通过访问主机系统的终端渗透到后台各种业务应用和服务主机中，从而对CTG-MBOSS系统的整体安全带来危害。为此需要在终端和主机安全领域建立一套安全技术体系来保障其安全，从而进一步完善CTG-MBOSS的安全技术体系。2.2 目标随着中国电信公司CTG-MBOSS网络规模和各种业务系统不断扩大、整合，主机系统安全问题愈见突出。现有的主机系统为保证业务的连续运行，必须具有足够的安全水平抵御网络上的各种安全弱点探测和恶意攻击。本规范制定的目标是统一中国电信CTG-MBOSS的主机系统技术规范，指导中国电信支撑系统的主机设备的安全配置和维护，从而提高中国电信CTG-MBOSS的总体安全水平。2.3 规范定位本规范属于CTG-MBOSS整体技术规范的一部分，重点描述对于主机系统安全的总体要求，本规范在整体技术规范中的定位如下图所示：2.4 内容说明具体章节说明如下：第一章 文档说明 对本文档的适用范围、相关文档和起草单位等作了说明。第二章 综述 对目前主机系统面临的挑战、需要解决的关键问题进行了分析，并明确了规范的目标和范围。第三章 主机系统安全规范技术架构 对主机系统安全规范的技术架构进行了阐述。第四章 主机系统安全规范技术要求 对主机系统安全涉及到的不同的技术进行了详细说明。附录一 规范编制人员名单附录二 术语 给出总体规范中出现的关键术语的定义。附录三 参考文献3 主机系统安全规范技术架构主机系统安全规范技术架构图整个主机系统安全架构是以主机系统安全加固、备份和恢复、安全防护、访问控制和安全审计等五个功能模块为核心。这五个功能模块包括：1. 安全加固：主机系统的安全加固是指通过安全配置，安全漏洞的补丁管理和系统完整性保护几个方面对系统平台进行安全加固。2. 备份和恢复：主机系统备份和故障恢复主要是规范在出现硬件故障、软件崩溃、数据库损坏以及自然灾害等影响情况下业务系统不能正常运行时的恢复机制。详情请参考CTG-MBOSS安全规范-容灾安全分册。3. 安全防护：主机系统安全防护主要是通过主机入侵检测系统和对恶意代码的防范来实现。4. 访问控制：主机系统访问控制，主要通过帐户管理、身份鉴别和远程访问控制等几个方面的控制来实现。5. 安全审计：主机系统的安全审计主要是对系统日志进行审计和对日志进行有效安全管理来实现。CTG-MBOSS系统中的主机的用户管理、访问控制和安全审计利用集中用户管理平台、集中访问认证平台和集中安全审计平台的相应功能实现，或者与之开放相应的互动接口。主机系统安全规范技术架构应该通过与之相适应的安全运维服务进行保障，和应用相应的主机安全管理策略来管理执行。4 主机系统安全规范技术要求4.1 主机系统访问控制4.1.1 帐户管理主机安全的一个重要方面是对有管理权限访问计算机资源或者服务的用户和组进行管理，从主机系统帐户角度出发，帐户管理应当包括以下功能：l 支持帐号管理基础操作功能，例如增加帐号、修改帐号信息、删除帐号、暂停帐号。l 支持帐号属性自定义l 支持帐号组l 支持针对帐号或者帐号组分配相应目录权限。l 可以对帐号的生命周期中的创建、修改、删除等全过程进行管理；l 结合管理策略，可以对帐号口令、登陆登录策略等进行全面控制。l 支持帐号目录认证，在多台服务器上可以使用相同的帐号进行认证。l 能够区分企业帐户和用户帐户。l 支持帐户与当前登录的用户不同的用户运行程序。l 能够限制帐户的登录方式，例如桌面登录、服务登录、远程拨号。l 能够支持定义管理员帐户策略CTG-MBOSS中主机系统需要在上述帐户管理要求的基础上，兼容或者满足用户集中管理平台的相关内容，将用户与其拥有的所有系统账号关联，集中进行管理，使其更高效、可控地使用CTG-MBOSS的各类IT资源。详细的集中用户管理平台规范参见CTG-MBOSS技术规范-用户管理分册。4.1.2 身份鉴别身份鉴别用于验证实体身份（是用户、计算机还是程序）的过程，该过程确定实体是它所声称的身份，从而可以正确应用保密性、完整性和可用性三个原则。由于主机系统承载着应用系统重要的业务和数据信息，这对于CTG-_MBOSS系统资产重要性和保护力度来说是重中之重，因此应采用严格身份鉴别技术用于主机系统用户的身份鉴别。主机系统身份鉴别技术应支持以下功能：1. 在帐号访问受保护资源时，系统应能够对访问者身份进行鉴别，只有合法的身份才能够访问资源和服务;2. 必须支持Kerberos， X.509等业界标准的认证协议；3. 支持提供标准认证接口，例如LDAP、ADSI；4. 支持安全套接层 (SSL) 3.0 和传输层安全 (TLS) 1.0 加密；5. 支持与应用程序联合身份识别；6. 需要满足登录过程的身份认证，提供多种身份鉴别方式，如设置复杂的口令，数字证书，动态口令，PKI体系等主流的身份鉴别方式。4.1.3 远程访问控制远程访问用于服务器的远程控制，管理员从任何一点就可以控制服务器系统，但远程访问管理须具备较高的安全能力，防止受到黑客攻击和利用。对系统远程的访问管理应当采用安全的方式进行，远程访问控制应实现以下功能：l 远程安全登录l 传输数据加密l 限制超级用户远程登陆登录系统，登录标识（banner）消息不得泄露主机系统的系统信息l 不允许出现过长的空闲连接或者死连接，以免无人看守的控制台空闲连接被利用，如果在设置的时间段没有任何操作，连接自动断开l 主机在无人使用应当锁定或采用相应措施l 支持设置某一用户可以进行的最大连接数，控制非法用户通过别人帐号进行连接操作4.2 主机系统安全防护4.2.1 主机系统恶意代码防范CTG-MBOSS中的主机系统需要采用适当的病毒防护系统进行病毒、恶意代码等的防治，实施以“层层设防、集中控制、以防为主”的策略。对于主机系统防病毒系统的要求如下：l 支持多种防病毒客户端的安装方式简化安装过程；l 能够自动识别客户机操作系统并下载和安装相应的防毒程序；l 支持通过服务器设置统一的防毒策略，实时防治病毒；l 有快速准确的进行间谍软件的检测和处理；l 自动保持最新，或者通过管理员进行内网手动更新。4.2.2 主机入侵检测当主机系统受到外界入侵时，需要一套针对入侵的保护机制来发现、识别、分析相应的安全问题。对于主机系统的入侵检测需要满足下述技术要求。4.2.2.1 发现安全问题主机系统的入侵检测应能准确、高效的发现各种入侵行为，监视主机系统实时安全状况，应能识别以下事件： l 改变文件权限浏览资源的企图 l 建立新用户，添加新组员，未授权的管理员帐号的使用 l 执行未授权程序 l 对文件的故意损坏（不包括磁盘错误造成的损坏） l 非法帐号的登陆登录企图l 未授权的安全策略调整 4.2.2.2 识别入侵事件对于主机系统的入侵检测，应该准确的识别外来入侵，区分外部入侵和来自内部的威胁，应能识别以下常见的入侵形式：l 盗取密码，改变或重设密码l 发掘缺陷 l 欺骗用户或使用恶意应用l 扩大授权使用范围侵入其他电脑l 使用网络钓鱼实施侵害4.2.2.3 鉴识分析可疑事件鉴识分析进行事后调查，需要对一个或多个主机系统提供的详细事件列表进行分析，应能获得下面的分析结果：l 入侵的时间l 入侵的过程l 受影响的主机系统4.3 主机系统安全加固4.3.1 配置要求特定应用环境下的主机将完成特定而且相对稳定的业务功能，在默认主机配置中，将有很多的组件和服务都是该业务功能所不需要的，而这些组建和服务的存在将使得主机系统面临着不必要的安全威胁，为此需要对操作系统进行最小化配置，去除主机系统所不需要的冗余降低安全威胁，进行系统的安全定制。为此，需要对主机系统实施一系列的安全配置，对于各业务系统的主机安配置需要满足以下技术要求：1. 主机不使用服务组件的禁止安装或卸载，不使用的服务模块和端口的关闭；2. 支持安全策略统一配置，并保证安全配置的一致性；3. 系统重要文件进行保护，并设置较高级别的安全权限，防止入侵者非法篡改，保护文件完整性与机密性；4. 具备交互式自动配置功能，保证安全配置的完备性和正确性，避免由于操作人员的失误为系统留下安全隐患。4.3.2 漏洞补丁控制对于主机系统，系统漏洞的存在是不可避免的，因此需要针对系统的缺陷进行漏洞的修补，但考虑到补丁与现有业务系统的兼容性不能盲目的进行漏洞修补，漏洞的修复工作的必须慎重操作。主机系统的漏洞补丁控制需要满足以下技术要求：1. 通过专业的漏洞扫描、评估技术对指定的主机系统进行漏洞的评估，并得出详细的漏洞分析报告，提出修补建议；2. 在对主机系统的补丁进行更新前，应对补丁与现有业务系统的兼容性进行测试；3. 能够进行安全补丁的自动更新或者手动更新。4. 应有详细的安全更新状态报表，安全更新前，能够搜集终端补丁安装信息；安全更新后，能够查询更新状态报告。4.4 主机系统安全审计对主机系统的审计应首先提供内核和系统配置审计，为本地执行的指令和系统调用提供日志记录功能；其次进行登陆登录次数和认证失败的审计，记录用户登陆登录和用户切换状况；更重要的是对用户行为的审计，所有用户应该限制采用超级用户登陆登录，采用自己的用户名来登陆登录，如果需要超级用户的权限则进行临时提升。用户的所有行为都应该有记录。主机安全系统审计应包括两块内容：7. 应用安全审计：用于分析和发现应用程序存在的安全问题，这就要求各应用程序需要提供较充分的审计日志，以便于协助完成审计工作。8. 操作系统安全审计：用于分析和发现操作系统层面的安全问题，例如帐号的登录、配置策略的修改。对于CTGMBOSS系统，在每个业务系统内部建立集中安全审计平台，将各类业务系统中主机系统的日志进行收集，并在集中管理审计平台上进行统一、完整的审计分析。详细的集中安全审计平台规范参见CTG-MBOSS安全规范-安全审计分册。附录附录内容需调整附录一 规范编制人员名单【总编】 【副总编】【项目管理办公室】【专家组】【项目组】附录二 术语术语名称术语定义主机通常为承载业务系统的服务器端帐户识别用户的一种方式，通常是用户名。口令机密的鉴别信息，通常由一串字符组成。威胁系统或组织面临的不希望有的影响的原因。漏洞使信息资产易受威胁利用的任何弱点、管理流程、措施或物理暴露。授权用户经过验证后根据其身份授权访