基线管理概述

2024-05-27 09:36
文章标签 概述 管理 基线

本文主要是介绍基线管理概述,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、基线概念

①安全基线

②安全基线与英文排版的基线类似,是一条参考标准线。

③安全基线表达了最基本需要满足的安全要求。

④安全基线表达了安全的木桶原理木桶原理:一只木桶盛水的多少,并不取决于桶壁上最高的那块

木块,而恰恰取决于桶壁上最短的那块。

⑤一个组织的安全防御能力,并不取决于组织最严密的安金防控,而是取决于组织中最脆弱的一台

设备。

二、基线核查

是安全基线配置核查(或检查)的简称,一般指根据配置基线(不同行业及组织具有不同安全配置基线

要求)要求对IT设备的安全配置进行核实检查,以发现薄弱或未满足要求的配置。

基线检查标准

①OWASP 基线标准

②CIS基线标准

③各厂商自己的基线,如微软、红帽等

基线核查对象

注意在任何基线相关管理过程中,都需要优先统计出资产的数量、类型

如果有资产没有纳入基线管理的范围,那么整个基线检查工作都会失去意义

三、基线核查维度

不论是对硬件或软件,基线核查都有通用的维度,主要包含以下方面

①访问控制

用户权限管理

用户口令管理,重命名默认用户,修改默认口令

删除或停用不必要的账号,避免共享账号

用户最小权限,权限分离

访问控制颗粒度,进程、文件、数据库表

敏感信息安全标记

②授权管理

各应用系统、设备的用户管理(用户及权限评审、密码管理)

登录失败处理(账号锁定、超时退出)

远程管理链路要加密(https ssh  rdp)

双因素验证

③入侵防范

设备和系统的最小安装原则

端口服务默认关闭

设备管理时需要设置允许管理范围

系统和设备的漏洞管理

对重要节点和设备自身的入侵检测

④日志审计

所有设备和系统是否开启安全审计

审计包含用户、时间、事件类型、事件成功等

审计记录定期备份

审计进程的保护

审计设备的时钟统一

应用上的用户行为审计

⑤资源管理

限制单用户的对资源和进程的使用

重要节点设备的冗余

重要节点的监控,CPU 内存硬盘

重要节点的服务性能检测

应用闲置时,自动结束会话

业务系统或中间件的最大会话数限制

单用户的会话限制

进程所占用资源的限制

在不同的系统中,会有不同的特定的基线配置,因系统而异

我国基线参照标准

工信部发布的电信与互联网安全防护基线配置要求

公安部发布网络安全等级保护系列:

四、基线检查要点举例:

网络设备

账号口令

1)应按照用户分配账号,避免不同用户间共享账号,避免用户账号和设备间通信使用的账号共享。

为了控制不同用户的访问级别,应建立多用户级别。根据用户的业务需求,将用户账号分配到相应

的用户级别。

2)应删除与设备运行、维护等工作无关的账号。

3)应配置定时账户自动登出,如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等,

登出后用户需再次登录才能进入系统。

4)对于采用静态口令认证技术的设备,口令长度应至少8位,并包括数字、小写字母、大写字母标

点和特殊符号4类中至少3类,且与账号无相关性,同时应定期更换口令,更换周期不大于90天。

5)静态口令应使用不可逆加密算法加密后以密文形式存放于配置文件中。

6)应配置consol口密码保护功能。

7)应修改root密码

认证授权

1)在设备权限配置能力内,应根据用户的业务需要,配置其所需的最小权限

2)系统远程管理服务TELNET、SSH应只允许特定地址访问。

3)应通过相关参数配置,与认证系统联动,满足账号、口令和授权的强制要求

日志安全

1)应配置日志功能,对用户登录进行记录,并记录用户对设备的操作。

2)应配置日志功能,记录对与设备相关的安全事件。

3)应配置远程日志功能,所有设备日志均能通过远程日志功能传输到日志服务器,并支持至少一种

通用的远程标准日志接口,如SYSLOG、FTP等。

4)应开启NTP服务,保证日志功能记录的时间的准确性。路由器/交换机与NTP SERVER之间应开

启认证功能。

5)设置系统的配置更改信息应保存到单独的change.log文件内。

协议安全(网络设备特有)

1)应配置路由策略,禁止发布或接收不安全的路由信息,只接受合法的路由更新,只发布所需的路

由更新。

2)应配置路由器,以防止地址欺骗攻击,不使用ARP代理的路由器应关闭该功能。3)对于具备

TCP/UDP功能的设备,应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地

址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。

4)网络边界应配置安全访问控制,过滤已知安全攻击数据包,例如UDP1434端口(防止SQLslammer蠕

虫)、TCP445、5800、5900(防止Della蠕虫)。

5)对于使用IP协议进行远程维护的设备,应配置使用SSH等加密协议。

6)启用动态IGP(RIPV2、OSPF、ISIS等)、EGP(BGP、MP-BGP等)或者LDP、RSVP标签分发婴

协议时,应配置路由协议认证功能(如MD5加密认证),确保与可信方进行路由协议交互。

7)应配置SNMP访问安全限制,设置可接收SNMP消息的主机地址,只允许特定主机通过SNMP访

问网络设备。

8)应修改SNMP的Community默认通行字,通行字应符合口令强度要求。

9)应关闭未使用的SNMP协议及未使用RW权限。

10)应配置为SNMP V2或以上版本。如接受统一网管系统管理,应配置为SNMPV3。

其他安全

1)应关闭未使用端口和不必要的网络服务或功能,使用的端口应添加符合实际应用的描述。

2)应修改路由缺省BANNER语,BANNER应没有系统平台或地址等有碍安全的信息。

3)应开启配置文件定期备份功能,定期备份配置文件。

基线配置不仅仅是一项工作任务,更是一项持续的、反复的安全审计项。

组织在定义基线后,需要不断的更新、检查基线的有效性。

比如:

在2010年,我们认为密码长度只需8位即可满足安全基线要求

在2020年,我们认为密码长度需要10位才可满足安全基线要求

五、基线检查方式

人工检查

①查看配置项

②查看日志

③查看截图

④随机抽查

基线检查方式

自动化系统检查

因为基线检查并不是一次性工作,可以认为是一个重复性工作,我们可以通过安全系统来完成基线

检查工作

自动化检查时比人工检查优点是工作量小,检查速度快

自动化系统检查原理

①在目标系统上安装代理agent,对操作系统、应用软件适用,但对封装成型的硬件设备不适用

②编写脚本运行,手动或自动运行,收集运行结果

③提供目标系统账号,由专用平台扫描检测

六、人工访谈

在人工访谈过程中,需要注意访谈技巧5,比如时间管理:访谈范围,把握重点

①观察和发现实事

②控制面谈的气氛和方向

③提出问题,表达明确

④注意聆听,双向沟通

⑤记录问题

在基线检查过程中,仅通过技术层面的检查不太能够。比如,怎么样确定管理员账号是唯一用户在

用,而非多人共用?

面对管理性的基线问题,我们需要以人工访谈的形式来进行检查。

如:

①请A用户登录设备,查看登录过程中的账号、密码复杂度、双因素验证

②请B用户登录设备,查看登录账号是否与A相同

人工访谈,提出以下类型问题

①封闭式问题:administrator这个账户平时有人在用吗?

②开放式问题:administrator这个账户平时谁在使用?

③思考型问题:为什么要使用administrator这个账户,而不使用一个实名账户?

④引导式问题:administrator这个账户所做的操作是否有记录?会有人查看这些记录吗?如何查看?

避免:欺诈式,多重式,含糊不清式

基线是满足安全需求的最低要求。完善的基线管理使企业有了最低的安全保障。

一、基线概念

二、基线核查

三、基线核查维度

四、基线检查要点举例:

五、基线检查方式

六、人工访谈


这篇关于基线管理概述的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1007102

相关文章

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

Java 创建图形用户界面(GUI)入门指南(Swing库 JFrame 类)概述

概述 基本概念 Java Swing 的架构 Java Swing 是一个为 Java 设计的 GUI 工具包,是 JAVA 基础类的一部分,基于 Java AWT 构建,提供了一系列轻量级、可定制的图形用户界面(GUI)组件。 与 AWT 相比,Swing 提供了许多比 AWT 更好的屏幕显示元素,更加灵活和可定制,具有更好的跨平台性能。 组件和容器 Java Swing 提供了许多

【编程底层思考】垃圾收集机制,GC算法,垃圾收集器类型概述

Java的垃圾收集(Garbage Collection,GC)机制是Java语言的一大特色,它负责自动管理内存的回收,释放不再使用的对象所占用的内存。以下是对Java垃圾收集机制的详细介绍: 一、垃圾收集机制概述: 对象存活判断:垃圾收集器定期检查堆内存中的对象,判断哪些对象是“垃圾”,即不再被任何引用链直接或间接引用的对象。内存回收:将判断为垃圾的对象占用的内存进行回收,以便重新使用。

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动

Sentinel 高可用流量管理框架

Sentinel 是面向分布式服务架构的高可用流量防护组件,主要以流量为切入点,从限流、流量整形、熔断降级、系统负载保护、热点防护等多个维度来帮助开发者保障微服务的稳定性。 Sentinel 具有以下特性: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应

Java 多线程概述

多线程技术概述   1.线程与进程 进程:内存中运行的应用程序,每个进程都拥有一个独立的内存空间。线程:是进程中的一个执行路径,共享一个内存空间,线程之间可以自由切换、并发执行,一个进程最少有一个线程,线程实际数是在进程基础之上的进一步划分,一个进程启动之后,进程之中的若干执行路径又可以划分成若干个线程 2.线程的调度 分时调度:所有线程轮流使用CPU的使用权,平均分配时间抢占式调度

NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别是只有少量活跃连接,NGINX有比较好的CPU和RAM利用率,如今是多终端保持在线的时代,更能让NGINX发挥这个优点。本文做一个简单测试,NGINX在一个普通PC虚拟机上维护100k的HTTP