2023年7月31日发(作者:)
NO123456检查类别检查项目禁止共享帐号无用帐号管理管理员禁止远程登录账号管理数据库运行权限账号最小授权用户属性控制7密码安全要求口令管理8用户口令策略是否符合安全要求9补丁漏洞管理10检查补丁更新情况漏洞管理11访问控制可信IP地址访问控制12记录登陆日志13日志审计记录操作日志14记录系统安全事件15数据库审计策略检查要点应按照用户分配账号,避免不同用户间共享账号应删除或锁定与数据库运行、维护等工作无关的账号,删除过期账号限制具备数据库超级管理员权限的用户远程登录禁止以管理员帐号权限运行数据库根据用户的业务需要,配置最小权限对用户的属性进行控制,包括密码策略、资源限制等。注:要求所有用户账号列表,除应用程序账号1、口令中不能含有与IP地址、键盘顺序、账号名、公司名、人名、通用字符、记念日、电话、E-mail等有关的字符;2、不同主机、不同账号均不能使用同一个密码;3、不同主机、不同账号均不能使用有规律的密码;检查对象通用对象通用对象通用对象通用对象通用对象通用对象检查方式检查检查检查检查检查检查通用对象检查最短密码长度8个字符,包含的字母最少1个,包含的非字母最少1个。密码至少包含以下四种类别的字符中的三种: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, *等对于于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。针对程序帐号之类通用对象的不能完全使用上述策略的帐号口令应予以原因说明对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。4.密码应至少每90天进行更换;5.启用帐号锁定配置备注:针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明检查检查系统的详细版本号,及时更新数据库发布的中高危补丁对于中高危漏洞,应及时修复;对于暂无修复手段的漏洞,应通过其他技术手段进行风险规避;注:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库最新版为判断依据。通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能访问数据库数据库应配置日志功能,对用户登陆进行记录,记录内容包括用户登陆使用的帐号、登陆是否成功、登陆时间以及远程登陆时用户使用的IP地址;如果已经通过4A来记录用户的登陆日志,可以不开启数据库日志功能数据库应配置日志功能,记录用户对数据库的操作。包括但不限于以下内容:帐号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号,操作时间,操作内容以及操作结果;如果已经通过4A来记录用户的操作日志,可以不开启数据库日志功能通过设置让系统记录安全事件,方便管理员分析;如果已经通过4A来记录用户的系统安全事件日志,可以不开启数据库日志功能。通用对象检查通用对象检查通用对象检查通用对象自查通用对象自查通用对象自查根据业务要求制定数据库审计策略;如果已经通过4A来记录日志,可以不开启数据库日志审计。通用对象自查检查方法1.省公司提供访问该数据库的用户列表;2.获取数据库当前帐号信息1.省公司需提交数据库帐号及说明;2.获取数据库当前帐号信息尝试用数据库超级管理员进行远程登陆查看数据库运行权限1. 查看用户权限;2. 提供数据库管理员权限用户清单。1. 通过访谈,了解个数据库用户所需权限2. 检查数据库用户的权限是否符合要求步骤一:获取数据库密码hash,离线进行暴力破解,进行验证是否符合检查要点步骤二:1、省公司将4A系统级所有资源的口令密文保存为,放置在4A服务器中。注:密码用回车符分隔步骤一:获取数据库密码hash,离线进行暴力破解,进行验证是否符合检查要点步骤二:1、省公司将4A系统级所有资源的口令密文保存为,放置在4A服务器中。注:密码用回车符分隔2、省公司将检查组提供的“弱口令字典”和“密码比对脚本”拷贝至同一台4A服务器;3、省公司使用4A系统的口令加密方式,将弱口令字典转换为"弱口令密文字典"4、运行密码比对脚本。如果"4A密文口令"与"弱口令密文字典"中存在重复的密码,则本项不通过。使用主流漏洞扫描工具进行扫描,如存在中高危漏洞,登陆系统进行验证,验证补丁不存在,则认为不符合;使用主流漏洞扫描工具进行扫描,存在中高危漏洞,验证漏洞是否存在,如漏洞存在,则认为不符合;是否使用任意IP访问数据库登陆数据库,检查登陆信息是否记录成功。登陆数据库,做帐号、权限及相关业务操作,检查是否记录成功。方法一:登陆数据库,对数据库进行启停,检查是否产生启停事件日志。方法二: 如数据库自身有设置审计策略功能,检查要求是否符合规定。判断条件符合:如果未通过4A系统管理数据库,每一个用户均对应自己的数符合:根据比对结果,无关帐号已被删除或锁定,且账号不能正常符合:能远程使用数据库超级管理员登陆不符合:符合:不是操作系统管理员权限不符合:是操作系统管理员权限符合:根据访谈结果,帐号均实现最小授权不符合:符合:根据比对结果,权限属性设置无差异不符合:根据比对结果,权限属性不符合1、密码破解成功则认为不符合;2、不同数据库、不同账号密码文件中的密码加密数据一致,则不符合;3、如果历史命令中存在密码信息,则不符合;检查结果分值符合:密码符合相关管理要求(密码长度、复杂度、重复次数、有效期及锁定配置)不符合:密码不符合相关管理要求依据扫描及验证结果,存在补丁未更新情况,则不符合;存在中高危漏洞,则不符合;符合:不能从任意位置登陆不符合:可以从任意位置登陆符合:有登陆日志记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;不符合:符合:有操作日志记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;不符合:无操作日志记录符合:有系统安全日志记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;符合:对审计的对象进行一次数据库操作,有日志审计记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;得分收集信息配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图检查备注说明配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图
2023年7月31日发(作者:)
NO123456检查类别检查项目禁止共享帐号无用帐号管理管理员禁止远程登录账号管理数据库运行权限账号最小授权用户属性控制7密码安全要求口令管理8用户口令策略是否符合安全要求9补丁漏洞管理10检查补丁更新情况漏洞管理11访问控制可信IP地址访问控制12记录登陆日志13日志审计记录操作日志14记录系统安全事件15数据库审计策略检查要点应按照用户分配账号,避免不同用户间共享账号应删除或锁定与数据库运行、维护等工作无关的账号,删除过期账号限制具备数据库超级管理员权限的用户远程登录禁止以管理员帐号权限运行数据库根据用户的业务需要,配置最小权限对用户的属性进行控制,包括密码策略、资源限制等。注:要求所有用户账号列表,除应用程序账号1、口令中不能含有与IP地址、键盘顺序、账号名、公司名、人名、通用字符、记念日、电话、E-mail等有关的字符;2、不同主机、不同账号均不能使用同一个密码;3、不同主机、不同账号均不能使用有规律的密码;检查对象通用对象通用对象通用对象通用对象通用对象通用对象检查方式检查检查检查检查检查检查通用对象检查最短密码长度8个字符,包含的字母最少1个,包含的非字母最少1个。密码至少包含以下四种类别的字符中的三种: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, *等对于于采用静态口令认证技术的设备,帐户口令的生存期不长于90天。针对程序帐号之类通用对象的不能完全使用上述策略的帐号口令应予以原因说明对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近5次(含5次)内已使用的口令。4.密码应至少每90天进行更换;5.启用帐号锁定配置备注:针对程序帐号之类的不能完全使用上述策略的帐号口令应予以原因说明检查检查系统的详细版本号,及时更新数据库发布的中高危补丁对于中高危漏洞,应及时修复;对于暂无修复手段的漏洞,应通过其他技术手段进行风险规避;注:中高危漏洞以国内外权威的CVE漏洞库和国家互联网应急中心CNVD漏洞库最新版为判断依据。通过数据库所在操作系统或防火墙限制,只有信任的IP地址才能访问数据库数据库应配置日志功能,对用户登陆进行记录,记录内容包括用户登陆使用的帐号、登陆是否成功、登陆时间以及远程登陆时用户使用的IP地址;如果已经通过4A来记录用户的登陆日志,可以不开启数据库日志功能数据库应配置日志功能,记录用户对数据库的操作。包括但不限于以下内容:帐号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号,操作时间,操作内容以及操作结果;如果已经通过4A来记录用户的操作日志,可以不开启数据库日志功能通过设置让系统记录安全事件,方便管理员分析;如果已经通过4A来记录用户的系统安全事件日志,可以不开启数据库日志功能。通用对象检查通用对象检查通用对象检查通用对象自查通用对象自查通用对象自查根据业务要求制定数据库审计策略;如果已经通过4A来记录日志,可以不开启数据库日志审计。通用对象自查检查方法1.省公司提供访问该数据库的用户列表;2.获取数据库当前帐号信息1.省公司需提交数据库帐号及说明;2.获取数据库当前帐号信息尝试用数据库超级管理员进行远程登陆查看数据库运行权限1. 查看用户权限;2. 提供数据库管理员权限用户清单。1. 通过访谈,了解个数据库用户所需权限2. 检查数据库用户的权限是否符合要求步骤一:获取数据库密码hash,离线进行暴力破解,进行验证是否符合检查要点步骤二:1、省公司将4A系统级所有资源的口令密文保存为,放置在4A服务器中。注:密码用回车符分隔步骤一:获取数据库密码hash,离线进行暴力破解,进行验证是否符合检查要点步骤二:1、省公司将4A系统级所有资源的口令密文保存为,放置在4A服务器中。注:密码用回车符分隔2、省公司将检查组提供的“弱口令字典”和“密码比对脚本”拷贝至同一台4A服务器;3、省公司使用4A系统的口令加密方式,将弱口令字典转换为"弱口令密文字典"4、运行密码比对脚本。如果"4A密文口令"与"弱口令密文字典"中存在重复的密码,则本项不通过。使用主流漏洞扫描工具进行扫描,如存在中高危漏洞,登陆系统进行验证,验证补丁不存在,则认为不符合;使用主流漏洞扫描工具进行扫描,存在中高危漏洞,验证漏洞是否存在,如漏洞存在,则认为不符合;是否使用任意IP访问数据库登陆数据库,检查登陆信息是否记录成功。登陆数据库,做帐号、权限及相关业务操作,检查是否记录成功。方法一:登陆数据库,对数据库进行启停,检查是否产生启停事件日志。方法二: 如数据库自身有设置审计策略功能,检查要求是否符合规定。判断条件符合:如果未通过4A系统管理数据库,每一个用户均对应自己的数符合:根据比对结果,无关帐号已被删除或锁定,且账号不能正常符合:能远程使用数据库超级管理员登陆不符合:符合:不是操作系统管理员权限不符合:是操作系统管理员权限符合:根据访谈结果,帐号均实现最小授权不符合:符合:根据比对结果,权限属性设置无差异不符合:根据比对结果,权限属性不符合1、密码破解成功则认为不符合;2、不同数据库、不同账号密码文件中的密码加密数据一致,则不符合;3、如果历史命令中存在密码信息,则不符合;检查结果分值符合:密码符合相关管理要求(密码长度、复杂度、重复次数、有效期及锁定配置)不符合:密码不符合相关管理要求依据扫描及验证结果,存在补丁未更新情况,则不符合;存在中高危漏洞,则不符合;符合:不能从任意位置登陆不符合:可以从任意位置登陆符合:有登陆日志记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;不符合:符合:有操作日志记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;不符合:无操作日志记录符合:有系统安全日志记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;符合:对审计的对象进行一次数据库操作,有日志审计记录;如果已经纳入4A管理,4A日志库中存在相关日志记录;得分收集信息配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图检查备注说明配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图配置或截图
![7.1.1 常见的操作系统攻击方式[共2页]](/uploads/image/0277.jpg)
发布评论