阿里云平台安全管理规范.doc
- 文档编号:18069337
- 上传时间:2023-08-08
- 格式:DOC
- 页数:28
- 大小:253KB
阿里云平台安全管理规范.doc
《阿里云平台安全管理规范.doc》由会员分享,可在线阅读,更多相关《阿里云平台安全管理规范.doc(28页珍藏版)》请在冰点文库上搜索。
阿里云平台安全管理规范
目录
目录 1
范围 4
第一章 总则 5
1.1管理目标 5
1.2管理原则 5
第二章 安全管理规范 6
2.1 安全事件上报 6
2.1.1安全事件分类 6
2.1.2安全事件监控及上报 7
2.2帐号口令管理 8
2.3 安全域划分及端口管理 10
2.4防病毒制度 11
2.5 日志审计 12
2.5.1日志审计总则 12
2.5.2 日志管理 13
第三章应急保障 13
3.1应急保障范围 13
3.2应急保障流程 14
3.3应急保障措施 14
第四章日常安全运维制度 15
4.1资产信息维护 15
4.1.1安全设备资产 15
4.1.2业务设备资产 15
4.1.3网络设备资产 16
4.2安全设备维护 16
4.2.1远程安全巡检 16
4.2.2机房安全巡检 16
4.2.3设备故障处理 17
3.2.4设备权限检查 17
4.3安全策略运维 17
4.3.1安全策略信息维护 17
4.3.2安全策略开通 17
4.3.3安全漏洞扫描 18
4.3.4安全策略清理 18
4.3.5网络和端口梳理 18
4.3.6日志审计 19
4.4安全报告输出 19
4.4.1安全方案输出 19
4.4.2安全运维月报输出 19
4.5重大事件保障 19
4.6工作实施方案 20
第五章安全基线 20
5.1云数据库安全基线 20
5.1.1账号管理 20
5.1.2主机操作系统权限 20
5.1.3数据库优化 21
5.2linux安全基线 21
5.2.1账号管理 21
5.2.2可疑文件 21
5.2.3访问控制 21
5.2.4系统优化 22
5.2.5SSH安全 22
5.2.6其他项目 22
5.3网络设备安全基线 23
5.3.1数据层面 23
5.3.2控制层面 23
5.3.3监控层面 23
5.3.4管理层面 24
5.4windows安全基线 24
5.4.1日志配置操作 24
5.4.2IP协议安全配置 24
5.4.3设备其他配置操作 25
5.5防火墙安全基线 25
5.5.1账号认证 25
5.5.2日志配置 25
5.5.3安全策略配置 26
5.5.4IP协议安全要求 27
编制历史
版本
更新日期
修改
更新说明
文档
状态
V.1.0.0
2016-7.15
周阳
讨论稿
V2.0.0
2017-2.22
周阳
初定稿
V3.0.0
2017.12.26
周阳
修改稿
19
范围
为适应政务云的发展,特制定本管理办法。
具体包括政务云运行及维护过程中所涉及到的病毒防范、网络接入、访问控制、日志审计、账号管理等内容,不包括信息源和信息内容的合法性问题、通信安全(如网络容灾备份)等网络安全问题。
第一章 总则
1.1管理目标
本办法的目标是通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为政务云开展各类业务的安全运行提供保障。
在合理的安全成本基础上,实现网络运行安全和业务安全。
1.2管理原则
有效性:
安全措施的实施必须能够确保风险被降低到可以接受的水平,达到期望的安全目标。
可行性:
安全措施必须在技术上是可操作的,可以实现的。
某些安全措施不具备通用性,需要因地制宜。
实际性:
应从管理、财务等非技术因素详细分析待实施的安全措施,综合比较实施成本与由此减少的潜在损失,非经济因素也应考虑在内。
第二章 安全管理规范
2.1 安全事件上报
2.1.1安全事件分类
本办法所指的安全事件是一个或一系列与网络与系统安全、业务安全、信息安全相关的,并极有可能危害系统可用性、完整性或保密性的事件。
1. 影响系统可用性的安全事件主要包括:
拒绝服务攻击(DOS和DDOS)、恶意代码攻击、漏洞攻击、僵尸网络、垃圾邮件等;
2. 影响系统完整性的安全事件主要包括:
信息篡改(如网页篡改、DNS劫持等)、后门木马(以破坏系统数据为目的)、漏洞攻击等;
3. 影响系统保密性的安全事件主要包括:
信息窃取(如后门木马、间谍软件、盗号软件等)、信息泄密、信息假冒(如网络钓鱼)、网络嗅探、漏洞攻击、僵尸网络等。
根据系统重要性以及安全事件对系统可用性、完整性、保密性的影响程度,安全事件可分为特别重大(一级)、重大(二级)、较大(三级)和一般(四级)四个级别:
1. 特别重大安全事件(一级)指以下安全事件:
(a) 政务云上对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件。
(b)政务云出现重大故障,导致设备瘫痪,数据丢失,云主机基础服务不可用的安全事件。
(c)政务云基础运维数据库出现严重信息泄密,导致大量数据丢失、被篡改或者窃取,影响政务云正常运维的安全事件。
2. 重大安全事件(二级)指以下安全事件:
(a) 政务云出现重大故障,导致部分功能无法使用的情况,如无法开通云主机、数据库模块故障、大数据分析模块无法使用等情况。
(b)政务云部分基础运维数据库出现信息泄密,导致部分数据丢失,被篡改或者窃取,影响政务云正常运维的安全事件。
3. 较大安全事件(三级)指以下安全事件:
(a) 政务云出现故障,导致部分功能短时无法使用的情况。
(b)政务云用户信息系统遭受攻击,导致用户信息系统无法使用或者部分功能不正常的情况。
4.一般安全事件(四级)指以下安全事件:
(a)平台级安全监控设备出现告警,如平台服务遭受拒绝服务攻击、恶意代码攻击、SQL注入等等,但尚未引起实质性安全威胁的安全事件。
(b)政务云用户信息系统遭受攻击,但尚未引起实质性安全威胁的安全事件。
2.1.2安全事件监控及上报
安全事件监控应由监控专业实施对政务云的集中化安全监控。
安全事件监控信息主要来自以下三个方面:
1. 网络安全设备或网络安全监控系统(阿里云安全中心)监测到的安全告警信息;
2. 政府相关部门或上级主管单位、有限公司通报的安全事件信息;
3. 安全事件投诉。
对于安全监控发现的安全事件,监控在进行预处理的同时,应及时对安全事件的影响范围和级别进行判断并决定是否需要上报当:
1. 特别重大安全事件发生时,应立即上报市府办相关领导/接口人员以及本公司相关领导,特别重大安全事件确认至上报不得超过10分钟
2. 重大安全事件发生时,应及时上报市府办相关领导/接口人员以及本公司相关领导。
重大安全事件确认至上报不得超过30分钟;
3. 较大安全事件发生时,应在当天内通知市府办接口人员以及本公司相关领导。
较大安全事件确认至上报不得超过1天;
4、一般安全事件发生时,根据事件的类型和严重程度,决定是否通知市府办接口人员。
2.2帐号口令管理
2.2.1帐号管理原则
1、帐号设置应与岗位职责相容,坚持最小授权原则,避免超出工作职责的过度授权;
2、应制定严格的审批和授权流程,规范帐号申请、修改、删除等工作,授权审批记录应编号、留档,并定期对用户账号和权限进行监督和审计监察。
3、原则上,除低权限的查询帐号外,各系统不允许存在其它共享帐号,必须明确每个帐号责任人,不得以部门或用户组作为最终责任人。
4、在完成特定任务后,系统管理员应立即收回临时帐号。
5、各系统应根据不同的角色确定用户账号,账号至少应当分为以下角色:
系统管理员:
一般应具有超级用户权限;
普通用户:
只具有相应访问内容和操作的最小权限;
第三方人员:
临时或长期进行系统维护的非本单位内部人员,应当根据第三方人员的维护范围确定其使用权限;
安全审计人员:
应能查看系统的日志和审计信息。
6、定期删除无关账号、空账号和临时账号,建议每月定期进行一次清理。
7、建议修改系统管理员账号和口令,防止被非法利用,如linux的root用户、windows的administrator用户。
2.2.2口令管理原则
1、所有网络系统密码、口令的设置至少应该符合以下要求:
长度大于8位;
大小写字母、数字,以及特殊字符混合使用,例如:
TmB1w2R!
;
不是任何语言的单词;
不能使用缺省设置的密码。
2、应定期的对系统层账号进行密码修改操作,原则上保证每个季度修改一次密码。
包括:
UNIX/Linux系统root用户的密码、网络设备的enable密码、Windows系统Administrator用户的密码,以及应用系统的管理用户密码。
3、用户层的密码至少每半年更换一次,包括:
电子邮件用户密码、web用户密码、OA用户密码,以及桌面系统的密码等。
4、密码不能以明文的方式通过电子邮件或者其他网络传输方式进行传输。
工作人员也不能将密码告诉别人。
如果系统密码泄漏,必须立即更改。
5、所有系统集成商在施工期间设立的缺省密码在系统投入使用之前都要删除。
6、密码在输入系统时,不能在显示屏上明文显示出来。
系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、复杂性等。
7、应以HASH或者加密技术保存口令,不得以明文方式保存或者传输;
8、修改口令时,须保留口令修改记录,包含帐号、修改时间、修改原因等,以备审计;
9、5次以内不得设置相同的口令;
10、由于员工离职等原因,原帐号不能删除或者需要重新赋予另一个人时,应修改相应帐号的口令。
11、设定口令锁定策略,加以设置为3-5次,降低口令爆破风险;设定会话超时时间。
2.3 安全域划分及端口管理
政务云应根据不同的业务、服务进行分区分域。
按照阿里云的特点,当前可以对不同的业务进行安全组划分,不同业务原则上不能放在同一个安全组,有明确端口互访需求的可以在安全组之间进行创建。
目前典型的网络应用场景包括互联网、互联网+政务网和专网。
专网单独通过VPC进行网络隔离,默认与其他网络均无法连通。
互联网和政务网+互联网应用场景,应区分前后台服务器,原则上设置两个及以上的安全组隔离,安全组之间采取最小化互通原则。
新增的云主机需求应进行初始开通端口确认,默认保持端口全关。
如有新增端口需求,则需及时提供端口变更需求。
针对互联网开通80/8080/443等端口,必须要求客户对先对端口进行备案后再予以开通。
所有网络互联需求应符合政务云运维管理的的实际需要,必须有明确的互联目的,互联所开放的访问权限应以满足而且不超出实际需求为标准。
2.4防病毒制度
1、应保证防病毒服务器运行稳定、可靠,不发生重大宕机事件,及时进行补丁更新和安全策略配置。
2、防病毒服务器是防病毒体系的关键部分,管理人员必须对服务器状态进行巡检,病毒定义码以不超过1天为准,并检查客户端分发状态。
3、定期在防病毒服务器上查看客户端连接通讯情况,掌握客户端连接数据和连接情况。
4、病毒疫情爆发时,在规定时间内快速确定病毒源和病毒类型,同时从服务商或网上获取有效信息以达杀毒目的,必要时必须及时给予网络隔离。
监控病毒传播情况,尽可能缩短时间控制病毒蔓延,同时检查服务器病毒定义码为最新,及时分发。
若是新型病毒,速采集病毒样本交服务商。
5、终端用户应保证客户端防病毒软件版本与服务器一致,防毒引擎和病毒代码统一自动更新,不得擅自安装其它防病毒软件。
及时进行补丁更新,不得擅自禁用防病毒软件的自动防护功能。
6、任何部门和个人向外发布文件或软件时,应该用规定的防病毒软件检查这些文件或软件,确保无病毒之后才能向外发布。
7、新购置的、借入的或维修返回的含存储功能的设备(如软盘、光盘、U盘、硬盘等)在使用前须进行病毒检测。
2.5 日志审计
2.5.1日志审计总则
政务云应配置日志审计管理系统,记录各网元的操作信息及流量信息,以便及时发现异常,对高危操作进行实时告警。
政务云中使用的网络安全设备、应用平台、平台服务器和平台数据库等设备和系统产生的系统日志均应纳入日志审计管理系统中进行管理,并定期审计。
审计内容分类
1、物理主机操作系统:
用户登入、登出信息;系统配置变更日志
2、数据库系统:
数据记录变更日志、数据库结构变更日志
3、应用系统:
用户登入、登出信息、配置变更信息
4、网络、安全产品:
用户登录日志、配置变更信息、业务日志
5、日志保存时间应在半年以上
2.5.2日志管理
1、操作系统日志记录,系统的状况和安全有关的事件,包括用户登录和退出,系统文件的删除和修改,重要文件的访问、修改、删除、目录的访问,文件属性的更改,用户的添加、删除、修改,用户密码更改和策略更改等。
2、数据库日志记录数据库运行状况信息和安全事件,包括系统用户的添加、删除、修改、数据库系统的访问,数据库结构变化等。
3、网络日志记录网络设备的操作日志,包括账户登录管理、用户操作命令、配置变更等。
4、安全设备日志记录安全设备的操作日志和系统日志;
5、应用系统日志记录,如数据的添加、删除和修改。
6、网络设备和安全设备需设置syslog配置,防火墙设备需开启访问控制信息记录功能。
7、系统管理员、数据库管理员及安全管理员每周应对设备生成的审计日志进行分析。
第三章应急保障
3.1应急保障范围
政务云平台发生故障,造成大范围用户无法使用虚拟机、数据丢失、网络中断等情况。
重要业务系统发生故障,造成大范围无法提供服务或数据丢失。
重大活动(发文明确规定需保障的各类活动)期间,发生事件可能造成一定的社会影响。
3.2应急保障流程
①发生重大事件,政务云服务商或业务应用单位,立即通知政务云主管单位和各自单位相关人员。
②政务云主管单位通知政务云服务商或业务应用单位组织相关人员,启动应急方案。
③政务云服务和业务应用单位应急保障人员开展故障定位、事件处理工作。
根据事件处理进展情况,定期通告相关人员,并按需进行故障升级,确保快速解决。
④故障恢复后,政务云服务商或业务应用单位通告相关人员,组织进行业务测试验证。
⑤政务云服务商或业务应用单位安排人员进行观察、值守,总结分析事件发生原因和解决情况。
3.3应急保障措施
1)政务云服务提供商成立政务云平台应急保障团队,制定政务云平台应急保障方案,准备应急备品备件,定期组织应急演练,快速处置应急事件。
2)业务使用单位根据政务云应急保障方案,结合业务重要等级,制定业务应用系统应急保障方案,配合政务云服务提供商开展应急演练,组织人员处理本单位应急事件。
第四章日常安全运维制度
4.1资产信息维护
对资产信息进行维护,确保资产信息的完整性和准确性。
资产信息主要包括安全设备资产、业务设备资产和网络设备资产。
4.1.1安全设备资产
安全设备资产包括防火墙、WAF、VPN、堡垒机、漏扫等一系列保障云平台安全的物理设备、软件和平台等等;需要定期维护安全设备资产信息表中的资产属性和字段,以天粒度记录安全设备状态检测表,每个月提供一份安全设备资产状态监测表给大数据中心。
状态监测表包括安全设备的业务开通数量、运行状态、资源利用率、版本升级情况等等常见监测指标。
4.1.2业务设备资产
业务设备资产包括云主机、云数据库、云网盘、物理主机等一系列支撑业务的设备资产,需要定期维护业务设备资产信息表中的资产属性和字段,以天粒度记录安全设备状态检测表,并每个月提供一份业务设备资产状态监测表。
状态监测表包括主机运行状态、资源利用率、操作系统等等
4.1.3网络设备资产
网络设备资产包括网络物理设备和阿里云内的虚拟网络设备,需要定期维护网络设备资产信息表中的资产属性和字段,以天粒度记录安全设备状态检测表,并每个月提供一份网络设备资产状态监测表。
包括运行状态、流量情况、版本信息等等。
4.2安全设备维护
4.2.1远程安全巡检
远程巡检指通过远程登录的方式,对设备的CPU、内存、存储、运行情况、版本和更新情况、NTP服务、网络配置和连通性、证书许可到期和日志存储情况等进行查看和记录。
针对异常需及时反馈处理。
安全运维工程师每天进行一次远程巡检。
4.2.2机房安全巡检
机房安全巡检指进入机房对设备的位置进行确认,对设备的温度、设备线路、硬盘工作灯等情况进行查看和记录。
安全运维工程师每月一次机房巡检。
设备巡检表模板
4.2.3设备故障处理
安全运维工程师针对安全设备存在的故障进行通告和预处理,按需联系设备厂家进行技术支持。
处理完毕后生成故障处理报告。
3.2.4设备权限检查
安全运维工程师需要定期检查所有安全设备的网络连通、账号开通、权限设置、登录次数限制、会话时长限制、登录源ip限制等等情况。
确保安全设备符合最小登录范围的要求。
安全运维工程师每月一次安全设备权限清理,并提供账号审计表格。
4.3安全策略运维
4.3.1安全策略信息维护
安全策略运维信息包括防火墙、WAF、VPN、堡垒机、漏扫等一系列安全设备的安全策略配置和云主机的应用情况。
在安全设备策略更新时需在一天内及时更新安全策略信息维护表,并定期维护安全策略运维信息表中的资产属性和字段,每个月提供一份安全策略鱼尾信息表,包括云主机的基本信息、应用了哪些安全服务等基本信息。
4.3.2安全策略开通
安全运维工程师应在收到申请单后,三个工作日内完成安全策略的开通。
安全策略开通包括VPN、堡垒机账号开通、防火墙策略配置、WAF策略配置、网页防篡改策略配置等等。
4.3.3安全漏洞扫描
安全运维工程师需要定期对所有的云主机和网站系统进行安全漏洞扫描,根据客户对象输出扫描报告和总体的扫描总结报告,总结报告需统计所有的高危漏洞情况并分类统计。
安全运维工程师每月一次安全漏洞扫描。
4.3.4安全策略清理
安全运维工程师应在收到安全服务下线通知后,三个工作日内完成安全策略的清理工作。
安全策略清理包括VPN、堡垒机账号清理、权限清理、防火墙策略配置、WAF策略配置、网页防篡改策略清理等等。
安全运维工程师应每月一次对安全策略进行常规清理,安全策略包括上述所有策略内容。
4.3.5网络和端口梳理
安全运维工程师需要定期对互联网开通80/8080/443端口、SSH端口22/3389、FTP端口20/21、数据库端口1521/3306/1433、文件共享端口137/138/139/445等高危端口进行梳理。
安全运维工程师每月一次网络和端口梳理,并提供梳理检查报告。
针对互联网上80/8080/443端口需检查是否有备案、其他端口原则上应予以关闭。
4.3.6日志审计
安全运维工程师需要定期对物理主机操作系统、数据库系统、应用系统、网络、安全产品进行日志审计。
安全运维工程师每周一次日志审计。
并按月输出日志审计报告。
4.4安全报告输出
4.4.1安全方案输出
安全运维工程师定期对政务云上所有信息系统进行安全检查,提供详细的漏洞扫描报告和安全建议,并根据客户对象进行邮件发送。
安全运维工程师每月一次安全方案输出。
4.4.2安全运维月报输出
安全运维工程师定期提供报告,包含安全设备运行情况、云平台各系统的运行情况(包含云主机、物理主机和数据库)、云平台高危漏洞通报及处理情况、安全设备日志分析等内容。
安全运维工程师每月一次安全运维月报输出。
4.5重大事件保障
根据大数据中心要求,开展重大事件保障工作。
主要内容包括专项漏洞扫描、安全预警、网站防护加固、应急演练等重大事件安全保障措施。
4.6工作实施方案
工作内容
工作频率
交付时间
资产信息维护
安全设备资产
每天
1个工作日内
业务设备资产
每天
1个工作日内
网络设备资产
每天
1个工作日内
安全设备维护
远程安全巡检
每天
1个工作日内
机房安全巡检
每月
每月25日
故障处理
按需
1个工作日内
安全策略运维
策略信息维护
每天
1个工作日内
安全策略开通
按需
3个工作日内
安全漏洞扫描
每月
每月15日
安全策略清理
每月
每月30日
网络和端口清理
每月
每月25日
日志审计
每周
每周五
安全报告输出
安全方案输出
每月
每月25日前
运维月报输出
每月
每月30日前
重大事件保障
按需
NULL
第五章安全基线
5.1云数据库安全基线
5.1.1账号管理
1、设置root密码并修改root登录名
2、禁止使用root远程连接数据库
5.1.2主机操作系统权限
1、使用独立小权限用户启动数据库进程
2、限制数据库文件目录访问权限
5.1.3数据库优化
1、删除无用数据库
2、数据库定时备份
3、禁用LOCALINFILE,防止非授权用户访问本地文件
4、移除或禁用.mysql_history,防止非授权用户访问sql历史记录
5.2linux安全基线
5.2.1账号管理
1、删除UID为0的root用户
2、删除存在空密码的账户
5.2.2可疑文件
1、扫描具有SUID、SGUID属性的二进制文件,检查是否存在潜在的可利用root的程序和后门,经确认后删除或消除‘S’位
2、扫描全局可写权限的目录,具有全局可写权限的目录,应设置粘连位,保证用户可创建文件,但不能删除、修改其他用户文件
3、扫描无主文件,发现无主文件,意味着系统有可能被入侵,或者是卸载程序之后的遗留文件,应删除无主文件
4、扫描.netrc文件,为安全性考虑,用户目录下不应存在.netrc文件
5.2.3访问控制
1、安全挂载tmp、home等目录,mount选项能用来被阻止文件解释为设备节点、防止二进制程序执行,不允许SUID位有效。
使用mount选项来防止入侵者进一步提升权限
2、修改deamon脚本执行权限,只有root用户才具有deamon脚本的控制权限
3、检查帐号相关文件权限设置,对账号相关文件设置合理的权限,降低安全风险
4、检查用户缺省UMASK,保证用户创建的文件目录的默认权限最小化
5、检查日志文件权限设置,应合理设置日志文件的权限
6、su和sudo命令使用授权,降低root使用频率
7、检查是否配置访问控制,应使用iptables对管理端口、监控端口严格控制,对业务端口适当控制
8、检查是否设置登录超时,用户空闲超时,会话应自动断开
5.2.4系统优化
1、使tcpsyncookie保护生效,抵御tcpsynflood
2、禁止不必要服务,关闭不必要服务,减少受攻击面
5.2.5SSH安全
1、修改默认SSH侦听端口,降低被大部分自动化工具扫到概率
2、禁止root用户直接登录系统,避免引起巨大的安全风险
3、强制使用protocol2,protocol1有安全缺陷,应使用protocol2
4、创建一个自定义SSHbanner,避免不必要的信息泄露
5、应是否最新的安全版本,降低安全风险
5.2.6其他项目
1、禁止使用ctrl+alt+del重启系统
2、限制shell记录history命令数,减少shell历史命令记录,防止用户操作不慎,密码等敏感信息泄露
3、修改SNMP的默认Community,减少shell历史命令记录,防止用户操作不慎,密码等敏感信息泄露
5.3
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 阿里 平台 安全管理 规范