等保三级 主机安全测评要点课件.ppt

主机安全测评,湖南金字塔信息科技有限公司 2015.10.12,主讲人：刘杨杨,主机安全简介,主机安全主要包括两个部分：操作系统测评、数据库测评 操作系统测评主要涉及7个方面的内容：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制 数据库测评主要涉及4个方面的内容：身份鉴别、访问控制、安全审计、资源控制,身份鉴别,a.应对登录操作系统和数据库系统的用户进行身份标识和鉴别 描述：只有经过授权的合法用户才能访问操作系统。所谓的用户身份标识和鉴别，就是用户系统以一种安全的方式提交自己的身份证实，然后由系统确认用户身份是否属实。 检查方法：1.询问系统管理员，是否为系统用户设置密码 2.自己登录操作系统，验证是否设置密码,操作系统测评,b.操作系统和数据库系统管理用户身份鉴别信息具有不被冒用特点， 口令应有复杂度要求定期更换 描述：猜测密码是系统常遇的攻击方法之一，故控制和监视密码策略是不可缺少的。设置密码的密码历史记录、密码最长与最短使用期限、最短密码长度、密码复杂性要求。 检查方法：Windows操作系统：本地安全策略-帐户策略-密码策略 Linux操作系统：以root身份登录Linux 查看文件内容#more /etc/login.defs,c.启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 描述：非法用户能够通过反复的输入密码，达到猜测用户密码的目的。当用户多次输入错误密码后，系统应在一段时间内禁止用户登录 检查方法：Windows系统：本地安全策略-帐户策略-账户锁定策略 Linux操作系统：以root身份登录Linux 查看文件内容#cat /etc/pam.d/system-auth,d.对服务器进行远程管理时，应采取措施，防止鉴别信息在网络传输过程中被窃听 描述：为方便管理员管理操作，允许进行远程管理操作。Linux可以使用telnet，Windows使用远程终端服务。但传输数据需要加密处理，保账用户安全。 Windows远程终端服务端口3389，微软在2003 SP1中针对终端服务提供了SSL加密功能。Linux提供远程访问与管理的接口，可使用telnet、SSH远程登录。数据传输中，telnet是明文传输，SSH其传输数据是加密处理过的。 检查方法：Windows操作系统是否2003 SP1或其后版本 查看“终端服务配置连接”是否启用了SSL Linux系统是否开启远程登录，采用的是telnet，还是SSH,e.应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 描述：用户管理是操作系统具备的基本功能。用户管理由创建用户和组以及定义它们的属性构成。用户的属性控制它们的访问权、环境、认证的方式，以及何时、何地可以访问。 Windows创建一个新用户时，系统会自动为新用户分配一个全球唯一且不会重复出现的SID（安全标识符）。Windows用户标识是SID，不是用户名。Linux系统中，内核以纯粹的整数，以及UID，作为区分用户的“身份号”，因此UID 检查方法：Windows中SID具有唯一性，故只需检查系统用户是否有 重复。计算机管理-本地用户和组中的用户是否有重复 以root身份进入Linux系统，#cat /etc/passwd,其中UID为0的用户必须只有一个,f.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别描述：对于三级以上的操作系统应使用两种或两种以上的组合鉴别技术实现用户身份鉴别，如帐号+密码+key的组合使用等检查方法：访谈系统管理员，询问系统是否进行加固，除口令以为有无其它身份鉴别方式。,访问控制,a.应启用访问控制功能，依据安全策略控制用户对资源的访问描述：主要保证系统资源不被非法使用与访问，使用访问控制的目的在于通过限制用户对特定资源的访问。在操作系统中的每一个文件或目录都包含有访问权限，访问权限决定谁能访问和如何访问这些文件和目录。主要涉及两个方面的内容：文件权限和默认共享 在Windows中，重要目录不能对“everyong”账户开放。对于Linux中一些重要文件，应检查Linux系统主要目录的权限设置情况。 查看是否对重要文件的访问权限进行了限制，对系统不需要的服务、共享路径等进行了表用或删除,b.应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理员所需的最小权限描述：根据管理用户的角色对权限作为标准细致的划分，有利于各岗位工作协调。仅授予管理员所需的最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限。如可分为：系统管理员、安全管理员、安全审计员等，形成三权分立检查方法：1.查看用户分组情况 2.打开安全设置-本地策略，显示“审核策略”“用户权利指派”以及“安全选项”策略,c.应实现操作系统和数据库系统特权用户的权限分离描述：操作系统特权用户具有一下一些权限：安装和配置系统的硬件和软件、建立和管理用户、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。而数据库系统特权用户则更多的是对数据库的安装、配置、升级和迁移以及数据库用户的管理。 通过权限分离，能避免一些用户用拥有大的权限以及减少一些人为的误操作。 检查方法：访谈管理员，是否存在多个管理员共用一个账户。操作 系统管理员和数据库系统管理员是否同一个人,d.严格限制默认账户的访问权限，重命名系统默认账户，修改账户的默认口令描述：对于系统默认的账户，由于它们的某些权限和实际系统要求的可能存在差异，从而造成安全隐患，这些默认账户应禁用。依据服务器操作系统访问控制的安全策略，以未授权账户身份访问客体，是不允许进行访问。如Windows的系统管理员账户名称就是administrator，以及guest。检查方法：查看默认账号是否改名 询问是否已修改账户默认口令 查看是否已经禁用guest,e.应及时删除多余的、过期的账户，避免共享账户的存在。描述：因业务应用或管理员岗位调整，会出现一线多余的、过期的账户；另一方面，会有多个系统管理员或用户使用同一账户登录系统，造成审计追踪无法定位到自然人。因此应避免多余的、过期的账号，以及共享账户的存在。检查方法：询问系统账户的用途，确认账户是否属于多余的、过期的账户或共享帐户名。,f.应对重要信息资源设置敏感标记描述：敏感标记是强制访问控制的依据。敏感标记由安全管理员进行设置，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作检查方法：询问管理员是否对重要信息资源设置敏感标记,安全审计,a.审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户描述：安全审计通过关注系统和网络日志文件、目录和文件中不期望的改变、物理形式入侵信息等，用以检查和防止虚假数据和欺骗行为，是保障计算机系统本地安全和网络安全的重要技术，对审计信息的分析可以为计算机的脆弱性评估、责任认定、损失评估提供关键信息。检查方法：查看系统是否开启了安全审计功能 询问并查看是否部署第三方审计工具或系统,b.审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件描述：有效合理的配置安全审计内容,能够及时准确地了解和判断安全事件的内容和性质,c.审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等描述：审计记录指跟踪指定数据库的使用状态产生的信息，它包括事件的日期、时间、类型、主体标识、客体标识和结果。通过记录中的详细信息，能够帮助管理人员准确分析和定位事件 检查方法：查看日志文件是否满足此项要求,d.应根据记录数据进行分析，并生成报表描述：安全审计将产生各种复杂日志信息，巨大的信息使得管理员查看并分析内容是不现实的，且很难有效地对事件分析和定位，因此必须提供一种直观的分析报告及统计报表 的自动生成机制，对审计产生的记录数据进行统一管理与处理，保证管理员及时、有效地发现系统中各种异常状况及安全事件。如：系统自动将日志发送到集中审计服务器，由审计平台生成审计报表，并自动分析异常行为检查方法：访谈并查看对审计记录的查看、分析和生成审计报表的情况。,e.应保护审计过程，避免受到未预期的中断描述：应保护好审计进程，当事件发生时，能够及时记录事件发生的详细内容检测方法：访谈对审计进程监控和保护的措施 访谈是否有第三方对审计进程监控和保护措施,f.应保护审计记录，避免受到未预期的删除、修改或覆盖等描述：非法用户入侵系统，会清理系统日志和审计日志，而发现入侵最直接的方法就是看系统记录和安全审计文件。因此，必须对审计记录进行安全保护，避免受到未预期的删除、修改或覆盖等 检查方法：是否有日志服务器，记录日志的存储空间大小、更新模式,a.应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或在分配给其它用户前得到完全清除，无论这些信息是存放在硬盘还是内存中描述：此项是指操作系统用户的鉴别信息存储空间，被释放或在分配给其它用户前是否得到完全清除。检查方法：Windows：打开“本地安全策略-本地策略”中的安全选项，查看是否选中“不显示上次登录用户名” Linux：检查Linux操作系统维护操作手册，查看其是否明确用户的鉴别信息鉴别信息存储空间以及被释放或在分配给其它用户前的处理方法和过程,剩余保护信息,b.应明确文件、目录、数据库记录等资源所在的存储空间被释放或重新分配给其它用户前得到完全清除描述：Windows系统的缓存叫虚拟页，很多临时不用的数据会被主存交换到虚拟内存里。因此应检查虚拟内存的使用状况 Linux系统是C语言编写的，很多程序会用到 数组和指针，当指针引用的地址超出了分配给该程序的地址或者数组的索引超出了数组的边界，就会造成缓冲区溢出。 检查方法：Windows：清除虚拟内存页面，打开“本地安全策略-本地策略-安全选项”查看是否选中“关机前清除虚拟内存页面” Linux：检查Linux操作系统维护操作手册，查看其是否明确用户的鉴别信息鉴别信息存储空间以及被释放或在分配给其它用户前的处理方法和过程,入侵防范,a.应能够检测到对重要服务器进行入侵的行为，能够记录入侵源IP、攻击类型、攻击目标、攻击时间等，并在发生严重入侵事件时提供报警描述：要维护真正安全的环境，只具备安全系统还是远远不足。要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。入侵威胁分为外部渗透、内部渗透和不法行为三种，入侵行为分为物理入侵、系统入侵和远程入侵。主机安全所造成的入侵威胁的入侵行为主要是系统入侵和远程入侵两种，系统入侵指入侵者在拥有系统的一个低级账户权限下进行的破坏活动；远程入侵指入侵者通过网络渗透到一个系统中。检查方法：询问管理员是否安装了主机入侵检测软件或者第三方入侵检测系统，查看主机入侵检查系统的配置情况，是否具有报警功能。管理员是否经常查看系统日志并对其进行分析,b.应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复措施。描述：对系统重要文件备份，或者对整个系统进行全面备份，以便于当系统遭受到破坏后能够及时得到恢复。检查方法：访谈是否对使用一些文件完整性检查工具或脚本定时对重要文件的完整性进行检查。是否对重要的配置文件进行备份。,c.操作系统应遵循最小安装原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。描述：1、遵循最小安装原则，仅开启所需的服务，安装需要的组件和程序等。如：文件服务器安装了游戏软件，游戏软件则属于多余的应用程序 2、及时更新系统补丁，避免由于存在系统漏洞带来的风险。 检查方法：进入系统服务，关闭一些危险的服务，以及非必须的 服务；及时对系统进行补丁更新。,恶意代码防范,a.应安装防恶意代码软件，并及时更新恶意代码软件版本和恶意代码库描述：无论Windows还是Linux主机，都面临着木马、蠕虫等病毒软件的破坏。Windows系统更是木马、蠕虫等病毒泛滥。因此一般主机为防范病毒，均会安装反病毒附件，且能更新病毒库。检查方法：访谈管理员系统中安装了什么防病毒软件，病毒库是否经常更新。是否安装第三方防病毒设备。,b.主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。描述：基于网络与基于主机的防病毒软件在系统上应构成立体的防护结构，属于深层防御一部分。因此基于网络的防病毒的病毒库与基于主机的防病毒的病毒库不同检查方法：询问系统管理员网络防病毒产品与主机防病毒产品分别采用什么病毒库,c.应支持防恶意代码统一管理描述：一个机构的病毒管理应满足木桶原理，只有当所有主机都及时更新病毒库才能做到防止病毒的入侵。因此，应具有统一的病毒管理策略。例如：统一更新、定时查杀等检查方法：询问管理员是否采用统一的病毒更新策略和查杀策略,资源控制,a.应通过设定终端接入方式、网络地址范围等条件限制终端登录描述：通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大地节省系统资源（CPU、硬盘、内存、传输带宽等），保证系统的可用性，同时提高了系统的安全性。检查方法：询问并查看系统是否开启了主机防火墙或TCP/IP筛选功能；询问并查看是否通过网络设备或硬件防火墙实现此项要求,b.应根据安全策略设置登录终端的操作超时锁定描述：如管理员在离开系统前忘记注销账户，可能存在被恶意用户利用或被其它非授权用户误用的可能性，带来不可控的安全隐患。远程，可设置超时连接来终止终端操作；若本地，则可开启带有密码功能屏幕保护。检查方法：询问管理员并查看主要服务器的终端是否设置了操作超时锁定的配置,c.应对重要服务器进行监控，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况描述：通过设定终端接入方式、网络地址范围等条件限制终端登录可以极大地节省系统资源。对主机的监控一方面是人工监控外，另一方面是自动监控。目前监控的主要方法是设定资源报警阀值，也可以通过第三方软件或自制脚本的方法来实现。 Windows系统只有通过自身系统资源管理器对系统资源进行监控。Linux系统本身对syslog配置文件可以用邮件或短信方式进行报警，也可通过第三方软件或自制的脚本方法。 检查方法：询问系统管理员查看“系统资源监控器 ”频率 是否有第三方工具实现，如：主机监控软件或自制监控脚本,d.应限制单个用户对系统资源的最大或最小使用限度。描述：一个服务器上可能有多个用户，或运行多个不同的业务应用系统，如不对每个应用系统用户进行限制很容易导致DOS攻击，或因某个业务应用系统过多占用资源等，导致系统资源耗尽。检查方法：访谈管理员针对系统资源控制的管理措施,e.应能够对系统的服务水平降低到预先规定的最小值进行报警描述：当系统的服务水平降低到预先规定的最小值时，如磁盘空间不足、CPU利用率过高、硬件故障等，通过报警机制，将问题现象发送给相关负责人，及时定位问题并解决。检查方法：询问管理员如何监控系统服务水平 若有第三方监控程序，询问是否具有相关功能,身份鉴别,a.应对登录操作系统和数据库系统的用户进行身份标识和鉴别b.操作系统和数据库系统管理用户身份鉴别信息具有不被冒用特点，口令应有复杂度要求定期更换c.启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施d.对服务器进行远程管理时，应采取措施，防止鉴别信息在网络传输过程中被窃听e.应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。,数据库测评,访问控制,a.应启用访问控制功能，依据安全策略控制用户对资源的访问b.应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理员所需的最小权限c.应实现操作系统和数据库系统特权用户的权限分离d.严格限制默认账户的访问权限，重命名系统默认账户，修改账户的默认口令e.应及时删除多余的、过期的账户，避免共享账户的存在f.f.应对重要信息资源设置敏感标记,安全审计,a.审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户b.审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c.审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等d.应根据记录数据进行分析，并生成报表e.应保护审计过程，避免受到未预期的中断f.f.应保护审计记录，避免受到未预期的删除、修改或覆盖等,资源控制,a.应通过设定终端接入方式、网络地址范围等条件限制终端登录b.应根据安全策略设置登录终端的操作超时锁定c.应限制单个用户对系统资源的最大或最小使用限度,