等保测评-Nginx中间件

Nginx

*排查有无Nginx中间件，可使用以下命令：

ps -ef | grep nginx、netstat -nutlp 

*确认Nginx中间件有运行，查看其目录：

find / -name nginx.conf、ps -ef | grep Nginx

*确认好目录后，查看版本：

nginx -v、nginx -V

#####################################################

安全审计模块：

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

此项主要考察是否Nginx中间件是否有开启日志审计功能，其安装目录下是否存在日志文件。常用方法：find / -name access.log和find / -name error.log进行查看。

亦可进入其配置文件nginx.conf查看日志是否开启，查用命令，cat nginx.conf | grep access.log、cat nginx.conf | grep error.log，主要查看access.log和error.log是否设置相关参数并取消注释。

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

此项主要查看Nginx中间件的日志文件是否包含操作人、操作IP、操作时间、操作内容、操作状态、操作结果等信息，一般需进入logs目录，查看access.log和error.log日志文件。若Nginx中间件未开启日志审计功能，则该项不符合。

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

此项主要查看Nginx中间件的日志文件信息是否可追溯至6个月前的记录以及是否有对Nginx中间件的日志文件进行定期备份，常用方法：进入logs目录，使用tail -10 access.log、tail -10 error.log和head -10 access.log、tail -10 error.log进行查看。至于备份，则需询问业主单位是否有制定相关策略对中间件日志信息进行备份。若未开启日志审计功能，则该项不符合。

d）应对审计进程进行保护，防止未经授权的中断。

若Nginx中间件已开启日志审计功能，则该项直接给符合，因为默认情况下，Nginx中间件的日志审计进程由root管理员进行配置管理，其他非授权人员不得随意更改。若Nginx中间件未开启日志审计功能，该项可给不符合。

入侵防范模块：

a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

直接给不适用即可。

b）应关闭不需要的系统服务、默认共享和高危端口；

直接给不适用即可。

c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

直接给不适用即可。

d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

直接给不适用即可。

e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

适用性：该项可结合漏洞工具进行查看，检查是否包含高风险漏洞信息。

不适用性：直接给不适用。

f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

直接给不适用即可。

可信验证模块：

a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

直接给不适用即可。

数据完整性模块：

a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

针对Nginx中间件，此项主要考察重要数据一般为：鉴别数据、审计数据和配置数据。

因Nginx中间件无独立控制台，不涉及用户身份认证，故无鉴别数据，且因该中间件中审计数据和配置数据均为本地运行，不涉及远程管理传输，综合以上，一般给不适用。

b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

此项主要考察Nginx中间件中是否有对审计数据和配置数据进行加密存储，在实际业务情况下，一般都不会进行加密存储，故在此一般给不符合。

数据保密性模块：

a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

此项同数据完整性模块a项不同，在此主要考察的重要数据为：鉴别数据。

因Nginx中间件无独立控制台，不涉及用户身份认证，故无鉴别数据，且仅为本地配置管理，故在此一般为不适用。

b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

借鉴上述描述，直接给不适用即可，无鉴别数据、业务数据和个人信息。

数据备份恢复模块：

a）应提供重要数据的本地数据备份与恢复功能；

此项主要考察两点：1、是否有对Nginx中间件重要数据进行备份，Nginx中间件重要数据一般为配置数据。2、是否有对已备份的Nginx中间件重要数据进行恢复测试。

该项需询问业主单位是否有制定备份策略及进行恢复性测试，有做备份，未作恢复性测试，则给部分符合；若未做备份和恢复性测试，则给不符合即可。

b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

该项需询问业主单位是否有做异地实时备份策略。

c）应提供重要数据处理系统的热冗余，保证系统的高可用性。

该项主要考察中间件是否有做主备冗余或集群方式部署，一般可观察调研表或询问业主单位即可。