等保技术要求（安全计算环境）

安全计算环境

身份鉴别

a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

访问控制

a) 应对登录的用户分配账户和权限；

b) 应重命名或删除默认账户，修改默认账户的默认口令；

c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；

d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；

安全审计

⭕隐藏条件：

日志连续保存超过 180 天

a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

开启审计

日志记录相关内容够全

⭐够全：日志格式，不能只有「日期和时间、用户、事件类型、事件是否成功」，还有要其他的，比如操作内

容

⭐另一个含义：日志记录够全（类别，比如不能只有登录成功的记录）

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

d) 应对审计进程进行保护，防止未经授权的中断；

只有审计管理员可以中断审计进程。

1、具有审计管理员

2、只有审计管理员具有对应权限

入侵防范

a) 应遵循最小安装的原则，仅安装需要的组件和应用程序

b) 应关闭不需要的系统服务、默认共享和高危端口；

20、21--

>FTP

23--

>telnet

80--

>http

135-139--

> 网络工作站相关的

445--

>SMB（共享文件夹）

3389--

> 远程桌面（常见、容易被爆破、可以不开加密层）

⭐netstat -antulp

// 查看所有开放的网络连接信息

c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

该服务器应对管理终端进行限制

管理终端：登录，用于进行管理的主机

通过网络进行管理的管理终端 --

> 远程登录的管理终端

通过设定终端接入方式或网络地址范围

设定终端接入方式：只允许某类型的远程协议（具有限制性，比如只有个别终端符合登录要求）。

e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

nessus 漏扫

f) 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

重要节点：需要业主判断

非重要节点不适用

入侵检测 --

> 主机型入侵检测（HIDS）

恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

数据备份恢复

a) 应提供重要数据的本地数据备份与恢复功能；

b) 应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

要有灾备机房 / 容灾中心

默认不符合

c) 应提供重要数据处理系统的热冗余，保证系统的高可用性。

系统备份冗余 -

- 具有另一个实时热备的数据中心（设备环境两套）

默认不符合

剩余信息保护、个人信息保护 Linux 系统默认符合