华为eSight 安全技术白皮书

华为eSight安全技术白皮书文档版本01发布日期2019-10-31华为技术有限公司华为eSight安全技术白皮书目 录目 录1 简介11.1 eSight系统概述11.1.1 eSight系统简介11.1.2 系统特性11.2 eSight安全面临的挑战22 安全解决方案52.1 安全概述52.2 安全策略52.3 安全架构72.4 eSight产品安全性92.4.1 应用层安全92.4.2 系统层安全92.4.3 网络层安全102.4.4 物理层安全102.4.5 管理层安全112.5 操作系统安全122.5.1 操作系统加固122.5.2 操作系统补丁162.6 数据库安全162.6.1 GaussDB数据库安全16A 缩略语18ii华为eSight安全技术白皮书1 简介1 简介1.1 eSight系统概述1.1.1 eSight系统简介eSight系统是华为公司研制的新一代面向企业基础网络、统一通信、智真会议、视频监控和数据中心的整体运维管理解决方案，支持对多厂商和多类型的设备进行统一的监控和配置管理，并对网络和业务质量进行监视和分析，实现对企业资源、业务、用户的统一管理以及智能联动。1.1.2 系统特性真正的轻量级系统，用户随时随地可访问网络，了解网络运行状态l B/S架构，客户端免安装，轻量化、Web化，减轻客户端电脑载荷，减少系统维护与升级成本和工作量l 可运行在便携机上，获得更好操作体验。组件化管理，按需构建企业运维平台l 统一平台，风格一致，优质的用户体验l 按需获取，灵活选择，降低成本，避免重复投资多厂商、多资源设备统一管理，用户可轻松实现全网设备统一管理l 全面的设备管理能力：全面支持华为路由器、交换机、AR、安全设备、WLAN、防火墙设备、UC、存储设备的管理；预集成对HP、Cisco、H3C等第三方主流设备的管理能力l 第三方设备定制能力：可支持设备厂商、设备类型、性能、告警管理的定制全方位故障监控系统，实时了解网络故障，快速定位故障原因、排除故障l 7*24小时不间断的故障监控，实时的故障提醒，以及故障远程通知 故障与拓扑和设备面板之间的快速跳转l 告警归并、告警屏蔽等措施，有效降低呈现在用户界面的告警数可视化管理，助力用户直观了解网络状态l 拓扑管理：提供物理拓扑和IP拓扑两张拓扑，实现网络设备的图形化、层次化展示，同时显示网元、链路状态l 性能管理：多种性能监视指标，多维度呈现网络状况；性能监视视图，持续刷新；不同图表展现不同性能监视指标 以及历史数据的分析简单便捷的日常运维操作，有效的降低运维人员的技能要求，提高工作效率l 智能配置工具：预置了常用的业务配置模板，用户可以方便的选择模板，进行设备批量配置；通过规划表方式，进行设备差异化批量配置l 配置文件管理：提供设备配置文件的备份、比较、恢复的功能。备份支持立即备份、周期备份、设备变更告警触发备份l 智能报表：提供丰富的预定义报表，同时提供强大易用的报表设计功能，用户可根据行业特点和自身运维要求进行客户报表定制高可靠的安全机制l 通过用户分级管理、信息数据加密等方式，为系统管理数据提供了安全传输机制，保障了访问和数据安全。l 通过对特定用户组授予特定设备的操作权限，实现分权管理，从而保障了eSight运行的高可靠性和安全性。1.2 eSight安全面临的挑战设备层面l 机房安全：非法进入、火灾、水灾、潮湿、雷电、静电等。l 设备安全：盗窃、毁坏等。l 线路安全：盗窃、窃听、干扰等。l 介质安全：盗窃、潮湿、毁坏等。网络层面l 信息收集：可以用与其他类型系统相同的方法发现网络设备并对其进行剖析。通常，攻击者最初是扫描端口，识别出开放端口后，并利用标题抓取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。具有这些信息后，攻击者可以攻击已知的可能没有更新安全补丁的缺陷。l 嗅探：嗅探是监视网络上数据（例如明文密码或者配置信息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用轻量级散列算法加密的数据包，并解密您认为是安全的有用负荷。l 欺骗：欺骗是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数据包的真实地址。可以使用欺骗来隐藏最初的攻击源，或者绕开存在的网络访问控制列表（ACL，它根据源地址规则限制主机访问）。l 拒绝服务（DoS/DDoS）：拒绝服务就是拒绝合法用户访问服务器或者服务。系统层面l 病毒、特洛伊木马和蠕虫：病毒是一种设计的程序，它进行恶意的行为，破坏操作系统或者应用程序。除了将恶意的代码包含在表面上是无害的数据文件或者可执行程序中，特洛伊木马很像一种病毒。除了可以从一个服务器自我复制到另一个服务器，蠕虫类似于特洛伊木马。蠕虫很难检测到，因为它们不是定期创建可以看见的文件。通常只有当它们开始消耗系统资源时，才能注意到它们，因为这时系统运行缓慢或者其他执行的程序停止运行。l 足迹：足迹的示例有端口扫描、ping 扫描和NetBIOS 枚举，它可以被攻击者用来收集系统级的有价值信息，有助于准备更严重的攻击。足迹揭示的潜在信息类型包括帐户详细信息、操作系统和其他软件的版本、服务器的名称和数据库架构的详细信息。l 破解口令：如果攻击者不能够与服务器建立匿名连接，他将尝试建立验证连接。为此，攻击者必须知道一个有效的用户名和口令组合。如果您使用默认的帐户名称，您就给攻击者提供了一个顺利的开端，攻击者只需要破解帐户的口令即可。使用空白或者脆弱的口令可以使攻击者的工作更为轻松。l 拒绝服务：可以通过多种方法实现拒绝服务，针对的是基础结构中的几个目标。在主机上，攻击者可以通过强力攻击应用程序而破坏服务，或者知道应用程序在其上寄宿的服务中以及运行服务器的操作系统中存在的缺陷。l 任意执行代码：如果攻击者可以在您的服务器上执行恶意的代码，攻击者要么会损害服务器资源，要么会更进一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行，任意执行代码所造成的危险将会增加。常见的缺陷时允许遍历路径和缓冲区溢出攻击的未打补丁的服务器，这种情况可能导致任意执行代码。l 未授权访问：不足的访问控制可能允许未授权的用户访问受限制信息或者执行受限制操作。业务与应用层面l 输入验证：缓冲区溢出，跨站点脚本编写，SQL 注入。l 身份验证：网络窃听，暴力破解，词典攻击，重放 cookie，盗窃凭据。l 授权：提高特权，泄漏机密数据，篡改数据，引诱攻击。l 配置管理：未经授权访问管理接口，未经授权访问配置存储器，检索明文配置数据，越权访问配置数据。l 敏感数据：访问存储器中的敏感数据，窃听网络，篡改数据。l 会话管理：会话劫持；会话重放，中间人。l 加密技术：密钥生成或密钥管理差，脆弱的或者自定义的加密术。l 参数操作：查询字符串操作，窗体字段操作，cookie 操作，HTTP 标头操作。l 异常处理：信息泄漏，拒绝服务。l 安全审计：用户拒绝执行某项操作，攻击者利用没有跟踪记录的应用程序，攻击者掩饰他或者她的跟踪记录。安全管理层面l 缺乏安全管理规章制度，或者没有严格执行安全管理规章制度。l 人员安全意识不足。l 多人共用帐号，责任无法追溯。l 安全资料不全，无法有效指导安全生产。4华为eSight安全技术白皮书2 安全解决方案2 安全解决方案2.1 安全概述安全方案从以下三个层次来实现eSight系统的安全，并通过向客户提供物理层安全和管理层安全的建议，从物理和管理规则上使得整个系统提供的安全措施得以执行。l 应用层安全解决方案：保护应用程序，如：访问控制、数据安全、通信及编码安全等。l 系统层安全解决方案：保护操作系统、数据库、中间件及应用程序依赖的服务。l 网络层安全解决方案：保护整个网络，为在该网络平台上运行的业务系统提供应用的支持。2.2 安全策略为保护eSight系统中的操作系统、数据库以及网络应用，引入了安全策略，这些安全策略中，大部分规则都可应用于操作系统、数据库与应用程序中。密码管理使用强密码策略与密码修改策略，如长度限制、字符组合及弱密码检测等，用于防止密码攻击。l 强密码策略包括： 密码不能包含用户名或者倒序的用户名。 不能少于8个字符，或超过32个字符。 同一字符不能出现次数可配置，取值范围：1-9，默认为3次。 至少包括一个大写字母（AZ），一个小写字母（az），一个数字字符（09）；口令中是否包含特殊字符可配置。 口令历史记录数可配置，取值范围：0-30；默认为3 个。 密码修改最短时间间隔可配置，取值范围：1-9999分钟，默认为5分钟。l 密码修改策略包括： 密码过期后强制修改密码。 修改自己的密码需验证旧密码。 重新初始化密码不受密码最短有效期的限制。 强制修改初始密码。 界面上的密码不能明文显示。 密码需加密保存，不允许明文保存或显示。 通过认证才可修改密码。 密码不能包含用户名或者倒序的用户名。帐号管理l 帐号具有唯一性，帐号最短长度可配置。l 新建帐号不能继承已删除帐号的属性。l 锁定不在有效时间内的帐号。l 长时间未使用自动锁定操作员帐号。l 由系统管理员锁定的帐号只能由系统管理员手工解锁。l 帐号锁定策略： 连续登录失败锁定策略的“限定的时间段”可配置。 连续登录失败锁定策略的“允许连续失败的次数”可配置。 锁定时长可配置。 连续登录失败锁定策略执行并在锁定时间超时后自动解锁。权限管理l 采用基于角色的帐号权限管理模型。l 不能将权限直接指派到帐号。l 新建帐号时默认最小化权限。l 分配最小权限给运行程序的帐号。l 分配最小权限给连接数据库的帐号。l 纵向越权防范：对于每一个需要授权访问的URL请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作。l 横向越权防范：合理进行横向访问控制，不允许用户越权访问其他用户的敏感数据。l 授权和用户角色数据存放在服务器端。l 为目录和文件分配最小权限。l 目录和文件的创建以及权限的分配自动完成。会话管理l 使用会话 cookie 维持会话。l 防止会话固定。l 会话中不允许修改的信息作为会话状态的一部分在服务器端存储和维护。l 清除非法会话。l 禁止使用客户端提交的未经审核的信息来给会话信息赋值。l 用户退出清除会话信息。l 设置会话超时机制。l 提供“注销/退出”按钮、菜单或命令。l 业务逻辑在服务器端处理。l 长时间未操作锁定界面或注销用户。认证l eSight系统基于会话对用户登录与鉴权进行管理，登录时引入验证码机制加强Web应用的安全。l 客户端在多次连续尝试登录失败后，服务端需要进行用户帐号或者是客户端所在机器的 IP 地址的锁定策略，此锁定策略可配置。安全协议l 用户登录eSight时必须使用Https（Http over SSL）协议。l 外部用户对内部系统访问时传输的敏感数据必须使用SSH、SFTP等协议进行传输数据加密。l 与设备交互使用SSH、SNMPV3安全协议。安全日志l 对安