作者丨安全狗
出品丨北京一等一技術(shù)咨詢有限公司
獨(dú)家授權(quán),未經(jīng)許可不得轉(zhuǎn)載
HVV行動(dòng)作為國(guó)家級(jí)攻防演練具有重大意義,旨在通過(guò)檢驗(yàn)單位網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施的安全防護(hù)、應(yīng)急處置和指揮調(diào)度能力,提高信息系統(tǒng)的綜合防御能力。而要打好一場(chǎng)完美的防守戰(zhàn)役應(yīng)該先從組織本身的脆弱性整改開(kāi)始,其整改工作應(yīng)該具備全局性視圖。
本文將主要從HVV行動(dòng)第一階段,即,準(zhǔn)備階段時(shí)涉及到的檢測(cè)內(nèi)容和要點(diǎn)進(jìn)行梳理和分析,并給出相應(yīng)的加固建議。
從整體整改視圖出發(fā),到梳理相關(guān)資產(chǎn),發(fā)現(xiàn)相關(guān)風(fēng)險(xiǎn),以此開(kāi)展相應(yīng)工作等整體安全加固能全面有序的幫助大家度過(guò)前期的安全整改工作,為HVV攻防演練奠定堅(jiān)實(shí)基礎(chǔ)。
互聯(lián)網(wǎng)暴露面縮減
互聯(lián)網(wǎng)暴露面作為流量的入口,是攻擊方重點(diǎn)收集的目標(biāo),也是攻擊方重要的攻擊對(duì)象,因此降低互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)是藍(lán)隊(duì)最主要的工作。互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)范圍包括對(duì)外業(yè)務(wù)(如官網(wǎng)、APP及其它應(yīng)用系統(tǒng))的漏洞、對(duì)外開(kāi)放的測(cè)試環(huán)境、VPN系統(tǒng)、公有云上系統(tǒng)、以及共享在外的代碼(githup、百度云盤(pán)等公共倉(cāng)庫(kù)里共享的代碼)等。
互聯(lián)網(wǎng)暴露面排查方式:
外網(wǎng)資產(chǎn)信息收集;
子域名探測(cè);
敏感信息泄露探測(cè);
源代碼泄露探測(cè)。
互聯(lián)網(wǎng)暴露面縮減方式:
從代碼層修復(fù)漏掃及滲透發(fā)現(xiàn)的問(wèn)題;
關(guān)閉測(cè)試系統(tǒng)對(duì)外服務(wù)端口映射;
關(guān)閉直接對(duì)外服務(wù)的高危端口及其映射地址;
所有對(duì)外業(yè)務(wù)都該經(jīng)過(guò)安全防護(hù)設(shè)備(防火墻、WAF、入侵檢測(cè)、防毒墻等);
將VPN設(shè)備系統(tǒng)升級(jí)到最新版本,設(shè)置后臺(tái)管理頁(yè)面訪問(wèn)控制權(quán)限(僅允許個(gè)別IP訪問(wèn)),設(shè)置多因素登錄VPN;
對(duì)于無(wú)法從代碼層修復(fù)的系統(tǒng)應(yīng)直接關(guān)閉系統(tǒng)或關(guān)閉映射,若實(shí)在無(wú)法關(guān)閉的話,需要將其與其它系統(tǒng)單獨(dú)隔離出來(lái);
對(duì)于公有云上的資產(chǎn)應(yīng)該設(shè)置安全組,接入云安全防護(hù)(如云防火墻)、軟件安全防護(hù)軟件等。
04
補(bǔ)丁修復(fù)
根據(jù)2020年的HVV風(fēng)險(xiǎn)總結(jié)來(lái)看,內(nèi)網(wǎng)的隱患占到47%,排名第一,其大多數(shù)表現(xiàn)為內(nèi)網(wǎng)大批漏洞、補(bǔ)丁、弱口令不修復(fù)、內(nèi)網(wǎng)缺乏隔離產(chǎn)品等。在這里我們列舉一些紅隊(duì)利用頻率較高的漏洞:
中間件的反序列化漏洞:Jboss、Weblogic、shiro;
遠(yuǎn)程執(zhí)行代碼漏洞:Struts2系列漏洞、Jekins任意讀取、ElasticSearch任意文件讀取、Glassfish;
未授權(quán)訪問(wèn):RabbitMQ、Redis;
操作系統(tǒng):windows 各種遠(yuǎn)程執(zhí)行代碼漏洞;
后臺(tái)弱口令和未授權(quán)訪問(wèn);
應(yīng)用系統(tǒng)的任意文件上傳Getshell;
05
中間件及第三方組件安全
常用的中間件及第三方組件是最容易被忽視和被利用的一個(gè)環(huán)節(jié)。常見(jiàn)的中間件及第三方組件有:redis、activemq、memcache、rabbitmq、AppServ、Xampp、寶塔、PhpStudy、Dedecms、thinkphp 5.x、phpcms、ecshop、Metinfo、discuz、帝國(guó)cms、wordpress、joomla、drupal等。
這些中間件及第三方組件主要問(wèn)題:
使用默認(rèn)密碼或直接未授權(quán)訪問(wèn);
使用的老舊版本存在大量已知漏洞,如:ThinkPHP3.x注入漏洞、ThinkPHP6 任意文件操作漏洞、CVE-2020-13920 Apache ActiveMQ 遠(yuǎn)程代碼執(zhí)行漏洞、wordpress File-manager任意文件上傳、CVE-2020-13933-Apache Shiro 權(quán)限繞過(guò)漏洞、PHPCMS v9全版本前臺(tái) RCE、PHPCMS v9全版本前臺(tái)RCE、PHPCMS V9 存在RCE漏洞、CVE-2020-25540 Thinkadmin v6 任意文件讀取漏洞;
后臺(tái)管理頁(yè)面直接對(duì)外提供服務(wù)。
加固建議:
升級(jí)到官方最新版本;
修改默認(rèn)密碼或空密碼;
限制訪問(wèn)這些資源。
06
中應(yīng)用系統(tǒng)
應(yīng)用系統(tǒng)最主要的風(fēng)險(xiǎn)來(lái)源于應(yīng)用系統(tǒng)或軟件的使用過(guò)程,尤其在網(wǎng)絡(luò)環(huán)境下,其主要包括:
應(yīng)用系統(tǒng)安全性;
未授權(quán)訪問(wèn)和改變數(shù)據(jù);
未授權(quán)遠(yuǎn)程訪問(wèn);
不精確的信息;
錯(cuò)誤或虛假的信息輸入;
授權(quán)的終端用戶濫用;
不完整的處理;
重復(fù)數(shù)據(jù)處理;
不及時(shí)處理;
通信系統(tǒng)失敗;
不充分的測(cè)試。
加固建議:
根據(jù)應(yīng)用系統(tǒng)業(yè)務(wù)重要性進(jìn)行分級(jí)處理;
對(duì)所有應(yīng)用系統(tǒng)進(jìn)行漏洞掃描并整改;
對(duì)重要系統(tǒng)進(jìn)行滲透測(cè)試并整改;
重要系統(tǒng)暫時(shí)無(wú)法修改進(jìn)行限制訪問(wèn);
非重要系統(tǒng)暫時(shí)無(wú)法修復(fù)建議暫時(shí)下線。
07
弱口令
根據(jù)數(shù)據(jù)分析顯示,所有成功突破外網(wǎng)邊界的手段中利用弱口令進(jìn)入的比例高達(dá)70%。口令是網(wǎng)絡(luò)信息安全基礎(chǔ)中的基礎(chǔ),直接決定了系統(tǒng)和信息的安全性,當(dāng)弱口令安全得不到保障時(shí),則黑客可以通過(guò)暴力破解等手段,輕易地進(jìn)入后臺(tái)或者系統(tǒng)中進(jìn)行數(shù)據(jù)竊取。據(jù)統(tǒng)計(jì),常見(jiàn)的弱口令top10有:123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123。
弱口令的修復(fù)主要從兩方面:一是技術(shù)手段、二是行政手段。
技術(shù)性修復(fù)弱口令:
1、密碼長(zhǎng)度應(yīng)不小于8位長(zhǎng)度;
2、密碼復(fù)雜度要有大寫(xiě)字母、小寫(xiě)字母、數(shù)字、特殊字符至少三種組合;
3、定期更換密碼,三級(jí)系統(tǒng)不超過(guò)30天,二級(jí)系統(tǒng)不超過(guò)90天,到期后下次登錄強(qiáng)制修改密碼;
4、強(qiáng)制密碼歷史,最近10次使用的密碼不可重復(fù)使用,且密碼中重復(fù)的字符不應(yīng)超過(guò)5位;
5、建立弱口令庫(kù)(收集互聯(lián)網(wǎng)上公開(kāi)的密碼庫(kù)、弱口令TOP1000字典等),新建密碼時(shí)對(duì)弱口令庫(kù)中的密碼進(jìn)行匹配,若匹配上了則無(wú)法使用該口令;
6、登陸界面設(shè)置驗(yàn)證碼,驗(yàn)證碼應(yīng)進(jìn)行扭曲、變形、干擾線條、干擾背景色、變換字體等處理,避免被OCR識(shí)別。驗(yàn)證碼使用一次后失效,且應(yīng)由后端服務(wù)器生成,避免被抓包繞過(guò)或重放利用。
行政性修復(fù)弱口令:
1、加強(qiáng)人員安全意識(shí)培訓(xùn);
2、通知統(tǒng)一修改一次密碼。
08
網(wǎng)絡(luò)設(shè)備
目前各個(gè)單位的網(wǎng)絡(luò)系統(tǒng)都有較大的規(guī)模,且結(jié)構(gòu)復(fù)雜,組網(wǎng)方式隨意性強(qiáng),這就導(dǎo)致了網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、安全設(shè)備缺少有效的策略控制。不規(guī)范的策略配置可能會(huì)導(dǎo)致設(shè)備故障配置丟失、非法外聯(lián)、非法內(nèi)聯(lián)、東西向的互聯(lián)網(wǎng)滲透、南北向的內(nèi)網(wǎng)橫向滲透、設(shè)備“0 day”漏洞等風(fēng)險(xiǎn)。
加固建議:
1、應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,并維護(hù)網(wǎng)絡(luò)中的設(shè)備資產(chǎn)清單,詳細(xì)記錄設(shè)備連接情況、接口信息、管理密碼等信息;
2、應(yīng)定期對(duì)所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備的配置進(jìn)行備份,并測(cè)試備份文件的有效性,備份周期建議不超過(guò)30天;
3、由于telnet協(xié)議是通過(guò)明文的方式進(jìn)行數(shù)據(jù)傳輸?shù)模诳涂梢酝ㄟ^(guò)arp攻擊、抓包等方式獲得設(shè)備的密碼,如非特殊情況應(yīng)關(guān)閉所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備的telnet服務(wù),即禁用23端口,采用更安全的SSH遠(yuǎn)程管理方式;
4、所有網(wǎng)絡(luò)設(shè)備(含物聯(lián)網(wǎng)設(shè)備)、安全設(shè)備應(yīng)啟用管理主機(jī),只允許可信的IP訪問(wèn)設(shè)備的運(yùn)維端口(22、80、443等端口),如視頻會(huì)議后臺(tái)、攝像頭登陸界面、設(shè)備登錄界面等;
5、網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)啟用密碼復(fù)雜度、登錄失敗次數(shù)鎖定以及會(huì)話超時(shí)退出等功能,且應(yīng)采用雙因子認(rèn)證的方式(采用動(dòng)態(tài)口令、數(shù)字證書(shū)、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別)進(jìn)行登錄;
6、所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)定期排查策略的有效性,并按照最小化原則進(jìn)行權(quán)限劃分;
7、所有接入網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備應(yīng)進(jìn)行IP/MAC地址綁定,保證設(shè)備的可靠運(yùn)行;
8、優(yōu)化邊界防火墻的訪問(wèn)規(guī)則,限制除業(yè)務(wù)必須外聯(lián)的服務(wù)器以外的設(shè)備訪問(wèn)互聯(lián)網(wǎng),禁止服務(wù)主動(dòng)外聯(lián),如果發(fā)現(xiàn)主動(dòng)外聯(lián)的IP地址,應(yīng)立即報(bào)警追溯,特殊服務(wù)器(DNS服務(wù)器、補(bǔ)丁服務(wù)器等)需主動(dòng)外聯(lián)的除外;
9、防火墻應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則,優(yōu)化訪問(wèn)控制列表,并保證訪問(wèn)控制規(guī)則數(shù)量最小化,在訪問(wèn)控制列表第一條創(chuàng)建拒絕高風(fēng)險(xiǎn)端口(135、137、138、139、445等勒索病毒常用端口)通信規(guī)則,默認(rèn)情況下除允許通信外受控接口拒絕所有通信;
10、邊界防火墻應(yīng)刪除多余或無(wú)效的NAT規(guī)則,只保留業(yè)務(wù)必須的端口映射至外網(wǎng),嚴(yán)禁將高風(fēng)險(xiǎn)端口(運(yùn)維端口、數(shù)據(jù)庫(kù)端口等)映射至外網(wǎng),如果需要遠(yuǎn)程管理,盡可能使用VPN、專(zhuān)線、4A接入等手段,保證接入管理的安全性;
11、建議在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn),對(duì)重要用戶的行為和重要安全事件進(jìn)行日志審計(jì),便于對(duì)相關(guān)事件或行為進(jìn)行追溯,且審計(jì)記錄應(yīng)保存180天以上;
12、安全設(shè)備的規(guī)則庫(kù)版本應(yīng)升級(jí)至最新,才能及時(shí)有效地發(fā)現(xiàn)新型攻擊并阻斷,保證業(yè)務(wù)安全;
13、網(wǎng)絡(luò)設(shè)備、安全設(shè)備系統(tǒng)版本應(yīng)升級(jí)至最新,通過(guò)攻防演練已經(jīng)有較多安全設(shè)備出現(xiàn)“0 day”漏洞,且漏洞利用難度低,危害大。
09
網(wǎng)絡(luò)分區(qū)分域
由于資金、網(wǎng)絡(luò)規(guī)模、管理方便等歷史原因,網(wǎng)絡(luò)安全分區(qū)總是不那么合理。往往一個(gè)區(qū)域混雜多種流量,各個(gè)流量相互影響,容易由于某個(gè)業(yè)務(wù)遭受攻擊連帶影響到其他業(yè)務(wù)。當(dāng)規(guī)模不斷擴(kuò)大時(shí),就像一個(gè)隱形炸彈,管理人員光是梳理清楚流量都要耗費(fèi)大量的精力,甚至有時(shí)候由于人員變動(dòng),沒(méi)有人分得清楚流量間的關(guān)系,給后續(xù)的運(yùn)維帶來(lái)非常大的成本。一旦發(fā)生故障將要耗費(fèi)大量的時(shí)間排錯(cuò)。
根據(jù)網(wǎng)絡(luò)安全分區(qū)防護(hù)的要求,結(jié)合應(yīng)用系統(tǒng)服務(wù)器之間服務(wù)層次關(guān)系的分析,引出了新的層次型網(wǎng)絡(luò)安全區(qū)域模型。該模型用垂直分層、水平分區(qū)的設(shè)計(jì)思想系統(tǒng)闡述了這一新的網(wǎng)絡(luò)安全區(qū)域的劃分方法。
在劃分安全區(qū)域時(shí),需要明確幾個(gè)安全區(qū)域相關(guān)的定義,以免模糊他們之間的概念,造成區(qū)域劃分完之后,依然邏輯不清晰,安全策略無(wú)法明確,立體的縱深防御體系也無(wú)法建立。
一般在安全區(qū)域劃分時(shí),需要明確如下常用的定義:
(1)物理網(wǎng)絡(luò)區(qū)域
物理網(wǎng)絡(luò)區(qū)域是指數(shù)據(jù)網(wǎng)中,依照在相同的物理位置定義的網(wǎng)絡(luò)區(qū)域,通常如辦公區(qū)域,遠(yuǎn)程辦公室區(qū)域,樓層交換區(qū)域等。
(2)網(wǎng)絡(luò)功能區(qū)域
功能區(qū)域是指以功能為標(biāo)準(zhǔn),劃分的邏輯網(wǎng)絡(luò)功能區(qū)域,如互聯(lián)網(wǎng)區(qū)域,生產(chǎn)網(wǎng)區(qū)域,辦公網(wǎng)區(qū)域等。
(3)網(wǎng)絡(luò)安全區(qū)域
網(wǎng)絡(luò)安全區(qū)域是指網(wǎng)絡(luò)系統(tǒng)內(nèi)具有相同安全要求、達(dá)到相同安全防護(hù)等級(jí)的區(qū)域。同一安全區(qū)域一般要求有統(tǒng)一的安全管理組織和安全防護(hù)體系及策略,不同的安全區(qū)域的互訪需要有相應(yīng)得邊界安全策略。
(4)網(wǎng)絡(luò)安全層次
根據(jù)層次分析方法,將網(wǎng)絡(luò)安全區(qū)域劃分成幾個(gè)不同安全等級(jí)的層次,同一層次包含若干個(gè)安全等級(jí)相同的區(qū)域,同層安全區(qū)域之間相互邏輯或物理隔離。
盡管不同企業(yè)對(duì)安全區(qū)域的設(shè)計(jì)可能理解不盡相同,但還是有一般的安全區(qū)域設(shè)計(jì)原則可供參考。常規(guī)的網(wǎng)絡(luò)劃分包括DMZ區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)網(wǎng)辦公區(qū)、服務(wù)器區(qū)、安全管理中心。每個(gè)區(qū)域之間利用防火墻、網(wǎng)閘、ACL、VLAN實(shí)施邏輯、物理的隔離,形成一個(gè)垂直分層、水平分區(qū)的網(wǎng)絡(luò)安全區(qū)域模式。
當(dāng)整個(gè)網(wǎng)絡(luò)環(huán)境因歷史原因一時(shí)無(wú)法采用物理方法劃分到位時(shí),可采用微隔離產(chǎn)品進(jìn)行軟隔離,從而達(dá)到相對(duì)安全狀態(tài)。微隔離產(chǎn)品主要是對(duì)同一安全域內(nèi)服務(wù)器按一定規(guī)律進(jìn)行最小劃分組,實(shí)現(xiàn)組內(nèi)相對(duì)自由、組間嚴(yán)格管控,最大層面上縮減內(nèi)網(wǎng)暴露面提升內(nèi)網(wǎng)安全。
10
辦公網(wǎng)絡(luò)安全
辦公網(wǎng)絡(luò)存在主要存在以下幾個(gè)風(fēng)險(xiǎn):惡意攻擊和木馬病毒。
加固建議:
1、及時(shí)修復(fù)漏洞;
2、關(guān)閉無(wú)用的互聯(lián)網(wǎng)出入口;
3、及時(shí)更新防火墻、殺毒軟件病毒庫(kù)、規(guī)則庫(kù);
4、搭建統(tǒng)一桌面管理系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)并要求所有辦公電腦安裝兩個(gè)系統(tǒng)客戶端,并由各部門(mén)主管落實(shí)安裝情況或者開(kāi)啟相關(guān)系統(tǒng)準(zhǔn)入功能。將所有辦公電腦安裝完成后,可由桌面管理系統(tǒng)和防病毒系統(tǒng)進(jìn)行配合管理;
5、開(kāi)啟對(duì)應(yīng)辦公網(wǎng)段桌面準(zhǔn)入功能,凡是所有接入辦公網(wǎng)段均需要安裝桌面管理系統(tǒng)和防病毒系統(tǒng);
6、桌管及防病毒系統(tǒng)后臺(tái)進(jìn)行IP限制;
7、對(duì)辦公電腦進(jìn)行分組下發(fā)策略,如無(wú)特殊情況限制所有人員使用USB接口;
8、下發(fā)定時(shí)體檢定時(shí)掃描策略,每天中午分組對(duì)所有辦公下發(fā)定時(shí)體現(xiàn)、掃描策略,并根據(jù)體檢、掃描結(jié)果對(duì)問(wèn)題電腦進(jìn)行整改。
11
WIFI網(wǎng)絡(luò)安全
WIFI網(wǎng)絡(luò)主要存在以下幾個(gè)風(fēng)險(xiǎn):被盜用的風(fēng)險(xiǎn)、被竊聽(tīng)的風(fēng)險(xiǎn)、被控制的風(fēng)險(xiǎn)、釣魚(yú)攻擊風(fēng)險(xiǎn)。
加固建議:
1、隱藏服務(wù)標(biāo)識(shí);
2、用戶認(rèn)證設(shè)備;
3、提高保密性能;
4、檢查辦公環(huán)境內(nèi)存在多少WIFI信號(hào),是否存在未知的信號(hào),加密類(lèi)型是否為弱加密;
5、檢查是否存在空口令的WIFI信號(hào);
6、使用萬(wàn)能鑰匙嘗試連接,對(duì)連接成功的需要查看信號(hào)源、口令強(qiáng)度以及是否可以訪問(wèn)內(nèi)網(wǎng);
7、連接成功的WIFI嘗試訪問(wèn)管理界面,查看是否存在弱口令;
8、嚴(yán)禁私拉WIFI,所有的WIFI信號(hào)都需要嚴(yán)格把控,做好設(shè)備準(zhǔn)入和訪問(wèn)控制(無(wú)線準(zhǔn)入、無(wú)線區(qū)域的防火墻),如果沒(méi)有準(zhǔn)入的話,要通過(guò)綁定ip/mac來(lái)限定,設(shè)備也要設(shè)置強(qiáng)口令。
12
安全產(chǎn)品自身安全
安全產(chǎn)品自身存在的風(fēng)險(xiǎn)主要是在安全產(chǎn)品部署和運(yùn)維過(guò)程中,尤其在復(fù)雜網(wǎng)絡(luò)環(huán)境下,因運(yùn)維操作而產(chǎn)生的風(fēng)險(xiǎn),主要包括:
1.可能存在安全產(chǎn)品老化或產(chǎn)品版本未更新等風(fēng)險(xiǎn)。
2.所有類(lèi)型的安全產(chǎn)品,可能存在運(yùn)維配置風(fēng)險(xiǎn),例如:弱口令,無(wú)登錄次數(shù)限制,無(wú)多因子認(rèn)證,未定期更新系統(tǒng)版本和相關(guān)規(guī)則庫(kù)。
3.對(duì)于相關(guān)的網(wǎng)關(guān)類(lèi)安全產(chǎn)品,可能存在全通策略等不嚴(yán)謹(jǐn)策略的風(fēng)險(xiǎn),不定期分析和加固策略的風(fēng)險(xiǎn)。
4.對(duì)于審計(jì)監(jiān)控類(lèi)型的安全產(chǎn)品,可能存在不定期鏡像流量異常情況或上傳日志文件有效性完整性等風(fēng)險(xiǎn)。
5.對(duì)于安全產(chǎn)品的管控方面,可能存在安全產(chǎn)品沒(méi)有開(kāi)啟帶外管理,或納入統(tǒng)一的安管平臺(tái),無(wú)法有效的管控等風(fēng)險(xiǎn)。
加固建議:
1. ?用戶身份鑒別:在用戶請(qǐng)求訪問(wèn)系統(tǒng)資源時(shí)至少進(jìn)行一次身份鑒別。
2. ?訪問(wèn)限制:有且只有授權(quán)用戶才能訪問(wèn)分配給該用戶的資源;用戶不能訪問(wèn)沒(méi)有分配給該用戶的資源。
3. ?用戶分級(jí)管理功能:安全防護(hù)產(chǎn)品應(yīng)具有多用戶分級(jí)管理功能,應(yīng)可建立具有不同權(quán)限的用戶,并可以針對(duì)不同客戶設(shè)定對(duì)資源的不同訪問(wèn)權(quán)限。
4. ?管理員身份鑒別:應(yīng)保證只有授權(quán)管理員和可信主機(jī)才有權(quán)使用產(chǎn)品的管理功能,對(duì)授權(quán)管理員和可信主機(jī)應(yīng)進(jìn)行身份鑒別。
5. ?管理員權(quán)限:定期隊(duì)管理員屬性進(jìn)行修改(更改口令等);并且制定和修改訪問(wèn)控制安全策略。
6. ?身份鑒別時(shí)效和失敗處理:當(dāng)用戶的失敗登錄次數(shù)超過(guò)允許的嘗試鑒別次數(shù)時(shí),應(yīng)能加以檢測(cè),并應(yīng)該阻止該用戶的進(jìn)一步登錄嘗試,直至授權(quán)管理員恢復(fù)對(duì)該用戶的鑒別能力。
7. ?安全防護(hù)產(chǎn)品在部署和安置的位置要尤為注意,需要進(jìn)行單獨(dú)分區(qū)分域管理,避免安全產(chǎn)品出現(xiàn)0day漏洞導(dǎo)致攻擊人員直接進(jìn)入業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行破壞或者其他進(jìn)一步操作。