1.1.4 安全配置核查
除了资产扫描、漏洞扫描、网站扫描外,还有一个非常重要的、和扫描概念类似的安全配置核查。与各种扫描工具的目的相同,安全配置核查也相当于是对IT环境的体检,与其他扫描的不同之处在于,安全配置核查检查的不再是针对各个资产的安全漏洞,而是针对各个资产的静态配置。
安全漏洞通常是系统自身的问题,很多漏洞的出现是我们无力阻止的,企业只是非常无辜的受害者而已。比如说,操作系统出现某个漏洞,作为企业无法控制它是否出现,只能做一些被动的漏洞修复工作。安全配置则不同,它是企业自己可以控制的,例如在完全相同的操作系统中,如果安全配置不同,它们带来的安全风险将会是天壤之别。在现实环境中,很多企业只关心一些被动防御手段的部署,而忽略了很多非常基础但却十分重要的工作,例如所有IT资产的安全配置。一些统计表明,很多成功的攻击案例都是由于安全配置失误或者安全配置不当造成的。
1.制定安全配置核查标准
企业如果想把安全配置工作做好,首先就要完善符合企业自身环境的安全配置标准,形成安全配置技术规范文档,并按照规范文档执行。这个文档类型的标准,需要针对企业不同类型的IT资产,例如Linux、Windows、MySQL、Apache、Cisco Router等,提出相应的安全配置要求。与密码策略(Password Policy)相关的几个重要参数如下所示,企业需要针对这些参数设定相应的阈值。
·PASS_MAX_DAYS:密码能够使用的最长时间。
·PASS_MIN_DAYS:密码两次修改间的最短时间间隔。
·PASS_WARN_AGE:在密码过期前的几天开始告警。
·PASS_MIN_LEN:密码的最短长度。
·PASS_MAX_LEN:密码的最大长度。
·Password Complexity:密码的复杂度。
上面只是针对Linux操作系统的密码策略举个例子,在企业的真实环境中,资产类型会更加复杂,部署环境也会复杂很多,网络架构同样各有不同,因此企业需要根据自身情况,制定符合自身安全要求的安全配置标准。企业需要针对不同的IT资产出台对应的安全配置标准,以及相应的核查手段等,例如下面的一些文档类型。
·Windows操作系统安全配置要求及操作指南。
·Linux操作系统安全配置要求及操作指南。
·MySQL数据库安全配置要求及操作指南。
·Apache安全配置要求及操作指南。
·Tomcat安全配置要求及操作指南。
2.安全配置核查流程
如图1-5所示,在安全配置核查流程中,首先需要对企业现有资产进行梳理并分类,包括操作系统、数据库、中间件、Web服务器等。其次,针对不同类型的资产制定相应的安全配置标准,形成文档,并且明确核查手段(包括核查脚本、期望结果等)。最后,基于安全配置标准,对企业的所有资产进行手工或自动的安全配置核查,输出核查结果,并且明确哪些资产符合安全配置标准,哪些不符合,提出配置建议等。
图1-5 安全配置核查流程