IT系统安全基线规范V30Word下载.docx

1、3.总体说明3.1编写背景xxxIT系统的设备、主机、应用等多采购自第三方，在部署之前往往只执行了功能测试，各个系统安全水平不一，容易遭受黑客攻击，存在很多安全隐患。为了保证整体安全水平，防止系统设备因为安全配置不到位而带来安全风险，有必要对系统设备的安全性进行检查和加固。若系统按照安全基线进行了检查和加固，则可以确保系统和设备安全符合性达到要求，杜绝大部分的安全隐患。为此，制定各系统的安全基线，作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固依据，同时也是满足内控管理要求的依据。此次系列安全基线规范覆盖了应用层、中间件层、操作系统层以及网络层，并依据这些安全基线建立准入措施

2、，从源头和根本上控制和提高系统的安全性。此次项目对安全基线的要求如下：覆盖面广，涵盖常见IT系统和设备，并涵盖Web应用和源代码的安全基线；可操作性强，针对每个检查项均有简洁的操作说明；定期更新，应当周期性的对基线进行补充和更新；成果可固化，基线可以被集成为检查工具；安全基线将作为系统和设备安全准入的必要条件。3.2安全基线制定的方法论安全基线制定主要基于以下方法：1.参考产品原厂商的技术资料2.参考安全服务及安全研究的成果3.参考国内外大型研究机构及企业现行的安全基线4.结合xxx集团总部下发的相关规范及xxx信息技术部的实际情况4.安全基线范围及内容概述4.1覆盖范围及适用版本目前省、市公

3、司IT系统中部署了数量众多的IT设备和系统，主要包括网络设备、主机、数据库、中间件和应用系统等。此次安全基线制定的范围需要涵盖xxx常见的IT系统和设备，具体包括：1、应用系统：Web应用层安全基线，针对Web应用的身份与访问控制、会话管理、代码质量、内容管理等方面制定安全检查项2、中间件：ApacheWebSphereTomcatIISWeblogic3、数据库：OracleDB2SQL Server4、主机：WindowsAIXHP-UXSolarisLinux5、设备：CiscoHuaWeiJuniper以上设备和系统之外的安全基线将根据需要进行补充。4.2安全基线编号说明安全基线采用S

4、BL-设备系统名称-数字-数字-数字的方式命名，设备系统名称是指此基线适用的设备或系统，例如windows、oracle等，后续的数字编号指基线要求的具体项目编号，例如SBL-WebAPP-02-02-01是指Web应用的安全基线，属于此基线第二章身份与访问控制第二小节登录用图片验证码的第一项要求，因此后续数字编号为 02-02-01。4.3安全基线组织及内容xxx信息技术部制定的安全基线主要分为两大类，第一大类是应用层基线，由于此层的应用系统多为定制开发，因此重在考虑设计、开发、测试环节引入的安全问题。Web应用层安全基线通常包括以下九个范畴的要求：1）身份与访问控制2）会话管理3）代码质量

5、4）内容管理5）防钓鱼与防垃圾邮件6）密码算法7）系统日志8）安装配置9）安全维护第二大类是通用的IT基础设施系统层基线，这类系统包括中间件、数据库、操作系统和网络设备等，它们多为非定制标准化产品，原厂商技术支持较好，资料完整，因此这类安全基线的内容主要关注帐号口令、安全策略，补丁情况，网络协议，日志等问题。5.Web应用安全基线规范5.1身份与访问控制5.1.1账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项安全基线编号 SBL-WebAPP-02-01-01安全基线项说明 用户登录失败一定次数后系统自动锁定账号一段时间，以防止暴力猜测密码。检测操作步骤尝试使用错误用户名口令

6、失败登录多次，基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。备注5.1.2登录用图片验证码Web应用登录验证策略安全基线要求项 SBL-WebAPP-02-02-01用户登录需提供图片验证码，以防止固定密码暴力猜测账号。检查登录认证界面输入项，并右键点击图片查看链接属性。要求包含图片验证码输入项，并且图片链接属性不得包含明文图片验证码。5.1.3口令传输Web应用口令传输策略安全基线要求项 SBL-WebAPP-02-03-01不能明文传输用户登录密码。尝试登录系统，并使用抓包工具查看交互过程中在网络传输的内容。要求不得出现明文口令5.1.4保存登录功能Web应用保存登录安全基线要

7、求项 SBL-WebAPP-02-04-01不能提供“保存登录”功能，该功能可能被利用于CSRF攻击。检查登录界面是否提供了保存登录功能不得提供该功能。5.1.5纵向访问控制Web应用纵向访问安全基线要求项 SBL-WebAPP-02-05-01合理进行纵向访问控制，不允许普通用户访问管理功能。了解是否有不允许普通用户访问的功能，尝试直接在浏览器中访问功能链接。用户不得跨权限访问受控页面5.1.6横向访问控制Web应用横向访问安全基线要求项 SBL-WebAPP-02-06-01合理进行横向访问控制，不允许用户访问其他用户的敏感数据。了解是否存在敏感信息，检查是否对个人敏感信息进行了有效保护用

8、户不得跨权限查看其它用户受保护敏感信息5.1.7敏感资源的访问Web应用敏感资源访问安全基线要求项 SBL-WebAPP-02-07-01需要限制对敏感资源的访问，例如后台管理，日志记录等。检查服务器的文件是否存在敏感资源，测试是否限制了这些资源的访问。对敏感资源的访问应当受控。5.2会话管理5.2.1会话超时Web应用会话超时安全基线要求项 SBL-WebAPP-03-01-01当用户长时间不操作时，系统自动终止超时会话。登录系统后不操作，等待合理的时间间隔。要求预先设计的时间间隔后查看页面自动中止超时会话。5.2.2会话终止Web应用会话终止安全基线要求项 SBL-WebAPP-03-02

9、-01系统需提供“退出”功能，允许用户强制终止当前的会话。登录系统后点击系统提供的“退出”功能，然后在同一IE窗口下视图回退到登录后的页面，并访问相应的功能点击退出后，上述检测操作结果不成功5.2.3会话标识Web应用会话标识安全基线要求项 SBL-WebAPP-03-03-01会话标识必须足够随机，防止攻击者猜测标识或依据当前标识推导后续的标识。检查多个会话标识的格式。多个会话标识不得存在简单明了的逻辑关系，要求具有随机性5.2.4会话标识复用Web应用会话标识复用安全基线要求项 SBL-WebAPP-03-04-01安全基线项说明用户登录后必须分配新的会话标识，不能继续使用用户未登录前所使

10、用的标识。检查登录前后是否使用相同的会话标识。5.3代码质量5.3.1防范跨站脚本攻击Web应用防范跨站脚本安全基线要求项 SBL-WebAPP-04-01-01系统要防止将用户输入未经检查就直接输出到用户浏览器，防范跨站脚本攻击。检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入alert（“xss”）要求系统能够将输入内容中的控制字当作纯文本内容处理5.3.2防范SQL注入攻击Web应用防范SQL注入安全基线要求项 SBL-WebAPP-04-02-01系统要防止将用户输入未经检查就用于构造数据库查询，防范SQL注入攻击。检查系统是否存在SQL注入漏洞。例如在输入框中输入系统要使

11、用诸如prepared statement等方式防止SQL注入，将输入内容中的控制字也当作纯文本处理5.3.3防止路径遍历攻击Web应用防范路径遍历安全基线要求项 SBL-WebAPP-04-03-01系统要防止将用户输入未经检查就用于构造文件路径，防止路径遍历攻击。尝试在URL与输入中构造文件路径并查看页面反应不允许通过构造文件路径的方式直接查看文件5.3.4防止命令注入攻击Web应用防范命令注入安全基线要求项 SBL-WebAPP-04-04-01系统要防止将用户输入未经检查就用于构造操作系统命令并执行。尝试在各个输入点进行命令注入攻击命令注入攻击不得成功5.3.5防止其他常见的注入攻击W

12、eb应用防范其它注入安全基线要求项 SBL-WebAPP-04-05-01防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。尝试在各个输入点进行其它常见注入攻击各类注入攻击不得成功5.3.6防止下载敏感资源文件Web应用防范下载漏洞安全基线要求项 SBL-WebAPP-04-06-01如果系统提供了下载功能，要防止用户通过路径遍历漏洞下载敏感资源文件。如果系统提供了下载功能，试图通过路径遍历漏洞下载敏感资源文件。各类下载攻击不得成功5.3.7防止上传后门脚本Web应用防范上传漏洞安全基线要求项 SBL-WebAPP-04-07-01如果系统提供了文件上传功能，要防止用户

13、上传后门脚本。如果系统提供了上传功能，试图通过上传功能上传恶意文件。各类上传攻击不得成功5.3.8保证多线程安全Web应用多线程安全基线要求项 SBL-WebAPP-04-08-01如果系统某资源可被多人同时修改，或被同一用户经过不同的方式同时修改，或被用户线程与系统线程同时修改，需要保证多线程安全。如果系统存在多线程问题，分析保护多线程访问资源的安全解决方案必须有适当的解决方案5.3.9保证释放资源Web应用释放资源基线要求项 SBL-WebAPP-04-09-01系统需保证在正常与异常流程时都能正确释放不需要的资源，例如打开的文件，数据库连接等。分析正常与异常流程中资源释放的动作资源释放覆

14、盖所有流程分支5.4内容管理5.4.1加密存储敏感信息Web应用加密存储敏感信息基线要求项 SBL-WebAPP-05-01-01系统应当加密存储敏感信息，如密码、信用卡号等。分析系统中敏感信息的存储与加密要求加密算法安全，对信息有适当访问控制5.4.2避免泄露敏感技术细节Web应用信息泄漏基线要求项 SBL-WebAPP-05-02-01系统应当避免向用户提示过多的技术细节，防止被攻击者利用。例如错误信息中可能包含SQL语句，这有利于攻击者构造合法的攻击字串；又如Html中可能包含了技术性的注释语句，可能被攻击者利用。分析各个页面的源码，查看提示页面，尤其是出错提示页面各个页面不得包含技术性

15、注释，各个提示页面不得包含Web服务器版本、源代码等信息5.5防钓鱼与防垃圾邮件5.5.1防钓鱼Web应用重定向基线要求项 SBL-WebAPP-06-01-01系统应当避免通过用户控制的参数来重定向或包含另外一个网站的内容。分析系统存在任意重定向或包含其它网站内容的控制不得由用户控制的参数生成重定向5.5.2防垃圾邮件Web应用垃圾邮件基线要求项 SBL-WebAPP-06-02-01如果系统提供了发送邮件的功能，应当防止被利用于发送垃圾邮件。检查系统发送邮件功能不得存在滥用此功能的可能5.6密码算法5.6.1安全算法Web应用安全算法基线要求项 SBL-WebAPP-07-01-01如果系

16、统采用了密码算法，应当采用安全的密码算法，且符合算法的应用场景。检查所有系统中使用的安全算法不得使用已经被证明为不安全的算法或者自定义不安全算法5.6.2密钥管理Web应用密钥管理基线要求项 SBL-WebAPP-07-02-01如果系统采用了密码算法，且拥有密钥，那么应当有文档化的密钥管理办法并严格遵照执行。检查所有系统中使用的密钥管理不得使用不安全的密钥管理办法6.中间件安全基线内容6.1Apache安全配置基线6.1.1日志配置6.1.1.1审核登录Apache审核登录策略安全基线要求项SBL-Apache-02-01-01设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括

17、时间，用户使用的IP地址等内容。1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t %r %s %b %Accepti %Refereri%User-Agenti combined CustomLog logs/access_log combinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：E

18、rrorLog syslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。1、判定条件查看logs目录中相关日志文件内容，记录完整。2、检测操作查看相关日志记录。3、补充说明6.1.2访问权限6.1.2.1禁止访问外部文件Apache目录访问权限安全基线要求项SBL-Apache-03-01-01禁止Apache访问Web目录之外的任何文件。编辑httpd.conf配置文件，Order Deny,Allow Deny from all

19、/Directory2、补充操作说明设置可访问目录，Directory /webOrder Allow,Deny Allow from all 其中/web为网站根目录。无法访问Web目录之外的文件。访问服务器上不属于Web目录的一个文件，结果应无法显示。6.1.3防攻击管理6.1.3.1错误页面处理Apache错误页面安全基线要求项SBL-Apache-03-02-01Apache错误页面重定向（1） 修改httpd.conf配置文件：ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument

20、 403 /custom403.htmlErrorDocument 404 /custom404.htmlErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.htmlCustomxxx.html为要设置的错误页面。（2）重新启动Apache服务指向指定错误页面URL地址栏中输入http:/ip/xxxxxxx（一个不存在的页面）6.1.3.2目录列表访问限制Apache目录列表安全基线要求项SBL-Apache-03-02-02禁止Apache列表显示文件（1） 编辑httpd.conf配置文件， Directory /

21、webOptions FollowSymLinks AllowOverride None Order allow,denyAllow from all将Options Indexes FollowSymLinks中的Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。 （2）设置Apache的默认页面，编辑%apache%confhttpd.conf配置文件，IfModule dir_module DirectoryIndex index.html/IfModule其中index.html即为默认页面，可根据情况改为其它文件。（3）重新启动Apache服务当WEB目录中没有默认首页如index.html文件时，不会列出目录内容直接访问http:/ip:8800/xxx（xxx为某一目录）6.1.3.3删除无用文件Apache无用文件安全基线要求项SBL-Apache-03-02-04删除缺省安装的无用文件。删除缺省HTML文件：# rm -rf /usr/local/apache2/htdocs/* 删除缺省的CGI脚本：# rm rf /usr/local/