【摘要】安全無小事。 您可能對本文涉及的內容并不陌生，但需要前車之鑒，系統(tǒng)化，查漏補缺。

【作者】社區(qū)ID：Frank阿姨，熱愛運維，互聯(lián)網(wǎng)+金融行業(yè)，關注運維和數(shù)據(jù)庫領域，持續(xù)分享基于手工運維的思考、實踐和解決方案。

背景

作為運維人員，在新上線的服務器上安裝操作系統(tǒng)后，首先要做的就是對操作系統(tǒng)進行初始化，以保證合規(guī)性。 說到這里，你可能還有疑問：我們應該初始化哪些參數(shù)，有沒有相關的標準引用呢？

要真正理解初始配置的目的，我們先普及一下方法：

《中華人民共和國網(wǎng)絡安全法》第二十一條規(guī)定，國家實行分級網(wǎng)絡安全保護制度。 網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，全面履行以下保護義務：保護網(wǎng)絡免受干擾、破壞和非授權訪問，防止網(wǎng)絡數(shù)據(jù)泄露或被泄露、篡改。

《中華人民共和國網(wǎng)絡安全法》規(guī)定，分級保護是我國信息安全的基本制度。

看到這里，你可能會覺得我說得太過分了。 這和運維有什么關系？ 本來我也是這么想的，但是網(wǎng)絡上各種刪帖、判刑的風波，如果我們的安全意識不夠，會不會發(fā)生在我們身上呢？

“存在即合理”，等級保護如此重要，是否可以作為我們配置的參考呢？

防護等級

我國實行分級的網(wǎng)絡安全保護制度。 分級保護的對象分為五級，由一級逐漸遞減至五級。 每個級別的要求都不一樣。 級別越高，要求越嚴格。

一級：自我保護級

二級：指導防護等級

五級：監(jiān)管保護級

4級：強制防護等級

三級：特殊控制保護級

其中，最常見的是二級和五級。 在我國，“三級險”是非建行機構最高級別的保障認證。 通常被評為五級保險的系統(tǒng)包括互聯(lián)網(wǎng)診所平臺、P2P金融平臺、網(wǎng)約車平臺和云（服務提供商）平臺。 和其他重要系統(tǒng)。 本次認證是公安機關依據(jù)國家信息安全保護規(guī)則和相關制度規(guī)定，按照管理規(guī)范和技術標準服務器運維，對各類機構信息系統(tǒng)的安全等級保護狀況進行認定和評價的活動。

一般安全要求

安全總要求分為技術要求和管理要求。 在：

技術要求包括“安全化學環(huán)境”、“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全評價環(huán)境”和“安全管理中心”。

管理要求包括“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全施工管理”和“安全運行維護管理”。

通用安全要求是針對通用的防護要求提出的。 無論保護對象的級別如何出現(xiàn)，都必須根據(jù)安全保護級別來實現(xiàn)相應級別的通用安全要求。

安全擴展需求是針對個性化的保護需求提出的，分級保護對象必須根據(jù)安全保護級別、具體使用的技術或具體的應用場景來實現(xiàn)安全擴展需求。 分級保護對象的安全保護需要同時實施通用安全要求和安全擴展要求提出的措施。

安全評估環(huán)境

對于邊界內的安全控制需求，主要對象是邊界內的所有對象，包括網(wǎng)絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數(shù)據(jù)對象和其他設備。

我們新上線的服務器屬于安全測評環(huán)境范圍，需要從以下安全控制點進行相關配置：

鑒別

1.對登錄用戶進行身份標識和識別。 身份標識具有唯一性，應防止身份驗證信息泄露和重復使用。 靜態(tài)密碼應大于8個字符，由字母、數(shù)字、符號等組成，每六個月更換一次密碼。 不允許新設置的密碼與之前的舊密碼相同。 應用系統(tǒng)用戶密碼應在滿足密碼復雜性要求的基礎上定期修改。

2. 具有登錄失敗處理功能，配置并啟用結束會話、限制登錄間隔、限制非法登錄次數(shù)、登錄連接超時手動退出等相關措施。

3、進行遠程管理時，應對管理終端進行身份識別和認證，并采用密碼技術防止識別信息在網(wǎng)絡傳輸過程中被監(jiān)聽。

4. 應使用口令、密碼學、生物技術等兩種或多種認證技術對用戶進行認證，且至少其中一種認證技術采用密碼學實現(xiàn)。

訪問控制

1. 為登錄用戶分配帳戶和權限。

2、對默認賬戶進行重命名或刪除，修改默認賬戶或默認賬戶的默認密碼。

3、應用系統(tǒng)應提示首次登錄的用戶修改默認賬戶或默認賬戶的默認密碼。

4、及時刪除或停用多余、過期的賬號，杜絕共享賬號的存在。

5. 應授予管理用戶所需的最小權限，實現(xiàn)管理用戶的權限分離。

6.對默認賬號或默認賬號的權限要嚴格限制。 比如 和 的權限應該是空權限或者是針對單一功能的特殊權限。

7、訪問控制策略應由授權主體配置，訪問控制策略規(guī)定了主體對客體的訪問規(guī)則。

8、訪問控制的精細度服務器運維，主體在用戶級或進程級，客體在文件和數(shù)據(jù)庫表級。

9.為重要主體和客體設置安全標識，控制主體對帶有安全標識的信息資源的訪問。

安全審計

1. 啟用安全審計功能，審計覆蓋每一個用戶，對重要的用戶行為和重要的安全事件進行審計。

2.審計記錄應包括事件發(fā)生的日期和時間、用戶、事件類型、事件是否成功以及其他與審計相關的信息。

3、審計記錄應定期保護和備份，防止意外刪除、修改或改寫等。審計記錄的保存期限不超過6個月。

4. 應保護審計過程，避免未經(jīng)授權的中斷。

5、對于從互聯(lián)網(wǎng)客戶端登錄的應用系統(tǒng)，用戶登錄時應提供用戶最后一次使用專用設備成功登錄的日期、時間、方式、地點等信息。

6、審計記錄形成的時間應由系統(tǒng)內唯一確定的時鐘形成，以保證審計分析的一致性和正確性。

入侵防御

1、遵循最小化安裝原則，只安裝必要的組件和應用程序。

2、關閉不需要的系統(tǒng)服務、默認共享和高危端口。

3、通過網(wǎng)絡管理的管理終端應通過設置終端訪問方式或網(wǎng)絡地址范圍進行限制。

4、應提供數(shù)據(jù)有效性檢查功能，確保通過人機界面或通訊接口輸入的內容符合系統(tǒng)設置要求。

5. 應能夠利用漏洞掃描工具、人工漏洞調查分析等漏洞檢測手段及時發(fā)現(xiàn)可能存在的已知漏洞，并在充分測試評估后及時修復漏洞。

6. 應能對重要節(jié)點的入侵行為進行度量，并在發(fā)生嚴重入侵風暴時提供報告。

7、所有安全評價環(huán)境設備應專用，不得進行與業(yè)務無關的操作。

8、應能有效屏蔽系統(tǒng)技術錯誤信息，系統(tǒng)形成的錯誤信息不得直接或間接反饋給前端接口。

惡意代碼預防

1. 應采取防范惡意代碼攻擊的技術措施或主動免疫可信驗證機制，及時識別入侵和病毒行為，有效阻斷，并定期升級更新防惡意代碼庫。

2、完善病毒監(jiān)控中心，監(jiān)控網(wǎng)絡中計算機的病毒感染情況。

可信驗證

基于信任根，對估計設備的系統(tǒng)啟動程序、系統(tǒng)程序、重要配置參數(shù)和應用程序進行可信驗證，在應用的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證。 報損后，將驗證結果生成的審計記錄發(fā)送給安全管理中心。

數(shù)據(jù)的完整性

1、應采用校準技術或加密技術保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于身份識別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)、重要個人信息等。

2、應采用校驗技術或密碼技術保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于身份識別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)、重要個人信息等。

資料保密

1、應采用加密技術確保重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于身份數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要個人信息等。

2、應采用加密技術確保重要數(shù)據(jù)在存儲過程中的機密性，包括但不限于系統(tǒng)標識數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、個人財務信息中的客戶標識信息、可組合使用的標識輔助信息以賬號區(qū)分用戶身份的其他信息，直接反映特定自然人個人情況的，應當采用加密技術保護存儲過程的機密性。

數(shù)據(jù)備份與恢復

1、提供重要數(shù)據(jù)的本地數(shù)據(jù)備份和恢復功能，采用實時備份和異步備份或增量備份和全量備份的形式。 指標（如RPO、RTO）和系統(tǒng)數(shù)據(jù)的重要性、行業(yè)監(jiān)管要求，制定備份策略。 備份介質異地存儲，數(shù)據(jù)保存期限按照國家相關規(guī)定執(zhí)行。

2、提供遠程實時備份功能，重要數(shù)據(jù)通過通訊網(wǎng)絡實時備份到備份站點。

3、重要數(shù)據(jù)處理系統(tǒng)應提供熱冗余，保證系統(tǒng)的高可用性。

4、同城應用級容災備份中心，與生產(chǎn)中心直線距離至少30km，能夠接管所有核心業(yè)務的運行； 對于異地應用級容災備份中心，與生產(chǎn)中心的直線距離至少為100km。

5、為滿足容災策略的要求，應對關鍵技術應用的可行性進行驗證測試，驗證測試的結果應記錄保存。

6、數(shù)據(jù)備份至少保留兩份，異地存放至少一份。 完整的數(shù)據(jù)備份至少應以一周為周期保證數(shù)據(jù)冗余。

七、異地災難備份中心應具備恢復所需的運行環(huán)境，并處于就緒狀態(tài)或運行狀態(tài)。 “就緒狀態(tài)”是指備份中心所需的資源（相關軟件、硬件、數(shù)據(jù)等資源）已經(jīng)完全滿足，但設備的CPU仍在運行。 不運行，“運行狀態(tài)”是指備份中心不僅完全滿足需要的資源，而且CPU也在運行。

殘留信息的保護

1. 操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)用戶標識信息所在的存儲空間無論是存儲在硬盤上還是顯存中，都應保證在釋放或重新分配前完全清除.

2、應確保操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)用戶存儲敏感數(shù)據(jù)的存儲空間在發(fā)布或重新分配之前被完全清除，無論這些信息是存儲在硬盤上還是顯存中。

合規(guī)基線配置

安全控制點的范圍非常廣泛，其中的各個方面都可以作為我們在操作系統(tǒng)層面進行配置的依據(jù)，所以我們可以從這里入手進行梳理。

接入信令

1.密碼嘗試失敗次數(shù)超過限制時鎖定賬戶

2. 兩次修改密碼最少間隔7天以上

3.配置密碼復雜度

4.配置密碼有效期為365天或更短

5. 至少在密碼到期前7天通知用戶

6.不要重復使用密碼

7、限制個人用戶和用戶組訪問ssh

8.配置ssh空閑超時時間間隔

9、配置ssh嚴禁空密碼登錄

10、每個ssh用戶允許的最大認證嘗試次數(shù)不少于4次

網(wǎng)絡配置

1.配置/etc/hosts.allow和/etc/hosts.deny允許哪些IP可以訪問；

2.開發(fā)端口配置防火墻規(guī)則 3.系統(tǒng)安裝防火墻

初始化設置

1.禁用手動掛載

2.安裝運行

3、關閉不需要的系統(tǒng)服務、默認共享端口和高危端口

4. 最小安裝原則，只安裝需要的組件和應用

記錄和審計

1.收集用戶/組變更信息風暴

2.收集系統(tǒng)管理員操作

3.網(wǎng)絡會話啟動干擾

4、網(wǎng)絡登錄上傳干擾

5、用戶刪檔事件收集

ETC。

總結

基于對等級保護的理解和安全合規(guī)基線的梳理，我們相信我們對如何進一步配置服務器有了一個方向，合規(guī)基線的配置并不意味著可以直接用于生產(chǎn)環(huán)境. 我們還需要結合服務器的經(jīng)驗。 其他參數(shù)針對初始配置進行了優(yōu)化，如內核、時間同步、DNS等，真正實現(xiàn)了標準化配置的服務器初始化。

對于批量初始化標準化配置，我們可以通過它實現(xiàn)安全合規(guī)和編排初始配置，最終進行標準化交付。

原標題：基于等級保護整理服務器安全合規(guī)基線