为助力企业等保合规,本文为您介绍堡垒机各能力与等保三级相关条款的对应关系,以便有针对性地提供佐证材料。
前提条件
安全区域边界
安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
本条款主要考察:是否有进行安全审计。堡垒机支持对云服务器运维操作进行监控和审计。
1. 使用管理员账号登录堡垒机,单击审计平台 > 操作行为审计 > 历史会话审计,进入会话审计页面。
2. 在会话审计页面,可查看用户对服务器的运维会话记录。
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
本条款主要考察:日志是否按照要求进行记录。
1. 使用管理员账号登录堡垒机,单击审计平台 > 操作行为审计 > 历史会话审计,进入会话审计页面。
2. 在会话审计页面,可查看用户对服务器的运维会话记录。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1. 使用管理员账号登录堡垒机,单击系统管理 > 数据维护 > 审计数据维护,进入审计数据维护页面。
2. 在审计数据维护页面,可新建备份任务、下载备份的日志。
d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
本条款主要考察:是否能够对远程访问的用户行为进行审计与数据分析。
1. 使用管理员账号登录堡垒机,单击审计平台 > 操作行为审计 > 历史会话审计,进入会话审计页面。
2. 在会话审计页面,可查看用户对服务器的运维会话记录。
安全计算环境
身份鉴别
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
本条款主要考察如下三点:
是否对登录用户进行身份识别和鉴别
使用浏览器访问堡垒机页面,证明需要对用户身份进行鉴别之后才可正常使用产品功能。
身份标识是否具有唯一性
1.1 使用管理员账号登录堡垒机,单击用户管理,进入用户页面。
1.2 在用户页面,单击新建,尝试输入重复的用户名和手机号,用户无法新建成功。
身份鉴别信息是否具有复杂度要求并定期更换
1.1 使用管理员账号登录堡垒机,单击策略管理 > 普通策略 > 口令策略,进入策略列表。
1.2 单击新建,新建符合要求的口令策略。
1.3 单击用户管理,选择一个用户,单击编辑,进入编辑页面之后,单击设置策略,设置口令策略。
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
本条款主要考察:是否有登录失败处理能力,以及对登录失败的处理措施。
1. 使用管理员账号登录堡垒机,单击策略管理 > 普通策略 > 锁定策略,进入策略列表。
2. 单击新建,新建符合要求的锁定策略。
3. 单击用户管理,选择一个用户,单击编辑,进入编辑页面之后,单击设置策略,设置访问锁定策略。
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
本条款主要考察:是否采用加密的协议进行远程管理。
使用运维账号登录堡垒机,登录成功之后,访问一台 Linux 主机,在访问资产弹窗当中,可查看访问协议为 SSH2,为加密的协议。
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
本条款主要考察:是否采用双因子进行身份鉴别。
1. 使用管理员账号登录堡垒机,单击系统管理 > 安全设置 > 全局认证方式,进入全局认证方式配置页面。
2. 选择 OTP 作为组合认证方式。
访问控制
a) 应对登录的用户分配账户和权限;
本条款主要考察:
是否给登录的用户分配账户
1.1 使用管理员账号登录堡垒机,单击用户管理,进入用户页面。
1.2 在用户页面,查看用户信息,证明给用户分配了账户。
是否给登录的用户分配权限
使用管理员账号登录堡垒机,堡垒机通过工作组对用户进行授权,单击任意工作组,可查看工作组绑定的用户、资源和策略信息。
b) 应重命名或删除默认账户,修改默认账户的默认口令;
本条款主要考察:
是否有默认账户
1.1 使用管理员账号登录堡垒机,单击用户管理,进入用户页面。
1.2 在用户页面,查看用户信息,可尝试搜索 admin、root、sysadmin、super 等用户名,证明系统内无此默认用户。
是否有默认口令
1.1 使用管理员账号登录堡垒机,单击用户管理,进入用户页面。
1.2 在用户页面,单击新建,用户需要管理员设置密码,证明用户无默认口令。
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
本条款主要考察:账户过期之后,能否继续使用。
说明:
请提前准备一个已经到期的用户。
1. 使用管理员账号登录堡垒机,单击用户管理,进入用户页面。
2. 在用户页面,单击编辑 > 高级选项,查看一个过期用户的用户信息,确认用户已过有效期。
3. 使用已过期的用户尝试进行登录,此时用户无法登录,并且页面提示“临时用户,已到期,失效”,证明过期的用户无法继续使用。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
本条款主要考察:是否给用户分配了最小权限。
1. 使用管理员账号登录堡垒机,选择一个岗位授权,单击绑定策略。
2. 在绑定策略页面,可设置字符命令、图形访问、文件传输、访问时间等的最小权限。
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
本条款主要考察:用户(主体)是否可以设置对资产(客体)的访问控制策略。
使用管理员账号登录堡垒机,选择一个岗位授权,可查看岗位授权绑定的用户、资源,证明可以配置访问控制策略。
安全审计
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
本条款主要考察:是否启用了审计功能,是否可以审计用户行为。
1. 使用管理员账号登录堡垒机,单击审计平台,进入审计页面。
2. 在会话审计页面,可查看认证、管理和操作行为的审计信息。
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
本条款主要考察:日志是否按照要求进行记录。
1. 使用管理员账号登录堡垒机,单击审计平台 > 管理审计,进入管理审计页面。
2. 在管理审计页面,可查看用户对堡垒机的操作日志详细内容,包含时间、用户、事件和结果,证明符合要求。
