江湖秘笈：二级等保之主机安全篇如何有效实现资源控制 防止无辜浪费及恶意事件发生

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。经过昨日的短暂庆祝后，各位看官是否又开始进入了新一轮的工作紧张备战之中呢？

特别是在各类型单位不断加强自身安全等保建设的同时，对于网络安全维稳运行也提出了更高要求。

无论是技术、操作方式、智能化概念、管理规范等，无不锥刺着各位看官们。

既然新一轮的等保定级备案以及测评工作开始进行，那么作为安全运维人员的我们，是否也要加速学习进程，尽快提升自身能力呢？

网络安全等级保护系列（十九）

今天，2 cats大侠要分享的内容为6.1.3 主机安全章节中6.1.3.6小节：资源控制。

如果说放在平时将这个章节拿出来单看的话，各位看官可能不会感到如何，可是将它移回到等保规范中，性质立刻发生变化。

从原有的普通操作规范，瞬间变为需要严格管控的考核要求，是不是有一些狗血剧情的成分在里面呢。

既然要说这个章节的内容，那么看官们就要注意，本章节是目前分享的等保信息中，全项重点考核的部分，所以注意力要集中哦。

1、检查关键服务器操作系统，查看是否设定终端接入方式、网络地址范围等条件限制终端登录；

从这条规范要求中，看官们看到了日常运维中的一些元素。例如终端接入方式、网络地址规划等。当然，在网络安全篇中也曾出现过同类要求，只是保护的方向略有差异。

其中6.1.2.1构造安全中游规定对网段划分不同区域，为保护具有重要性质的设备及信息得到有效保护，

6.1.2.4边界完整性检查中也同样有询问内部用户私自连接外网的行为标准。

从上述两点规范及当前规范来看，前后二者其实是有一定关联性的。

无论是主机、网络安全，还是其它，都特别注明要对网段进行划分。这样做的目的是将局域网、外部互联网、业务专网及封闭网络进行明确划分，相互间在借助不同方式进行数据流转的同时，一定程度上做到半隔离保护状态。

从另一个方面来看，IP地址的限制、MAC地址的绑定、身份认证的识别等，也是为了能够与终端接入方式形成良好的互助性。避免来自外部非法攻击者随意创造提权身份进入而做出准备。

2、检查关键服务器操作系统，查看是否设置了单个用户对系统资源的最大或最小使用限度；

这条内容从明面上看很容易被误解为是无用性内容。

资源，无非说的就是网络带宽、硬盘空间、访问连接数等，可是回过头来，如果一个普通工作者拥有过大的权限，那么他（她）就可以好无限制的出入主机操作系统当中对文件进行操作。

不论是复制粘贴，还是无限添加大空间消耗素材，都会使得主机在运行期间出现保存、记录、检索等，这时设备就会随着内容的增多、操作垃圾数据的记录，以及设备自身运转负荷的加大，都成为主机与系统应用逐渐变慢的原因，甚至高消耗类文件的操作，还会引来系统的崩溃等问题。

故此，这条内容成为了资源控制中第二条重点内容出现在这里。

3、检查访问关键服务器的终端是否设置了操作超时锁定的配置。

这条更多是与日常操作规范相结合的。此前，2cats大侠曾在某篇内容中曾聚过这样一个例子，就是安全运维人员在对系统进行远程操作时，突然遭遇紧急情况（如闹肚子、领导分发新任务等）需要处理，而此时若是长时间保持终端与服务器的连接，很可能被他人误操作或引发监听等行为出现，甚至严重的可能造成无法解释的攻击诬陷事件。

因此，在关键服务器中，需要配置终端访问时长，规定一个无操作自动断开连接的时间节点，这样既可以降低被监听的概率，又可以免除因长时间离开而无法保障误操作等行为出现的机会。

好啦，今天的网络安全等保内容就分享到这里，希望能够帮助到各位忙碌着安全等保工作的看官们。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！