《网络基础设施安全指南》——安全维护与认证授权审计

报名入口来源:中国教育在线 2022-06-01

1. 安全维护

升级硬件和软件来确保效率和安全

1.1 验证软件和配置完整性

NSA建议验证安装和设备上运行的操作系统文件的完整性,并将文件的哈希结果与厂商发布的哈希结果进行比较。在升级操作系统文件时,也需要进行完整性验证,以确保文件没有被修改。

1.2 维护适当的文件系统和启动管理

许多网络设备都有至少2种不同的配置,一个保存在硬盘上,一个运行在内存中。NSA鉴于检查设备上未使用的或非必要的文件并移除,比如老版的操作系统文件或过时的备份配置文件。

1.3 维持最新的软件和操作系统

维持最新版本的操作系统和稳定的软件版本可以应对已经识别和修复的关键漏洞。NSA建议在所有的设备上升级操作系统和软件到最新的稳定版本。许多网络基础设施设备并不支持自动更新,因此需要手动从厂商处获得最新的软件并安装。

1.4 使用厂商支持的硬件

NSA建议在厂商发布不再更新或提供技术支持的产品清单后,建立使用新设备来替换或升级受影响设备的计划。过期的或不再支持的设备应该立刻进行升级或替换来确保网络服务和安全支持的可用性。

2.认证授权审计

中心化的认证、授权和审计(AAA)服务器可以提供一种对设备的管理权限访问的管理。对这些服务器进行适当的配置可以提供一种管理和监控访问的授权源,改善访问控制的一致性,减少配置维护和管理成本。

2.1 实现中心化的服务器

NSA建议在网络中至少部署2个AAA服务器来确保可用性,以及帮助检测和预防恶意活动。如果一个服务器由于定期维护或其他原因不可用,其余服务器可以继续提供中心化的AAA服务。

2.2 配置认证

认证是对个人或实体身份的验证。所有的设备都应该配置为使用中心化的服务器来进行AAA服务,本地管理员账户作为一种备份方法只有所有的中心化服务器不可用时才使用。NSA建议对登录和启用访问配置中心化的认证。

2.3 配置授权

授权会验证个人或身体是否有权限访问特定的资源或执行特定的操作。NSA建议限制合法管理员被授权执行的操作,以预防恶意用户使用被入侵的账户来执行非授权的操作。

2.4 配置审计

审计记录着访问的所有相关的资源和执行的操作,以供管理员进行审计。NSA建议系统配置变化进行中心化记录,定期检查这些记录以检测可能的恶意活动。

2.5 应用最小权限原则

NSA建议所有的账户采用最小权限原则,并要求管理员在提升到更高权限来执行一些操作时需要额外输入凭证信息。并且对权限等级进行定期检查。

2.6 限制认证尝试次数

NSA建议将错误远程管理(认证)尝试的次数限制为3次及以下。此外,NSA还建议延长登陆尝试的间隔为至少1秒,以减缓暴力破解的次数。

我的题库在线题库
近期直播
联系方式

预报名

咨询

课程

题库