安全等级保护技术培训教材-主机部分.ppt

《安全等级保护技术培训教材-主机部分.ppt》由会员分享，可在线阅读，更多相关《安全等级保护技术培训教材-主机部分.ppt（107页珍藏版）》请在三一办公上搜索。

1、,信息安全培训,主机系统安全测评,1,目录,1.前言,2.测评准备工作,3.现场测评内容与方法4.总结,2,前言,3,前言 主机的相关知识点,主机按照其规模或系统功能来区分，可分为巨型、大型、中型、小型、微型计算机和单片机主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现，主机测评则是依据基本要求对主机安全进行符合性检查。目前运行在主机上的主流的操纵系统有Windows、Linux、SunSolaris、IBM AIX、HP-UX等等,4,前言,测评对象是主机上各种类型的操作系统。,5,前言,基本要求中主机各级别的控制点和要求项对比,不同级别系统控制点的差异,不同级别系统

2、要求项的差异,6,前言,熟悉操作系统自带的管理工具,Windows,Computer management,Microsoft management console(mmc)Registry editor,Command prompt,Linux,常用命令：cat、more、ls等具备查看功能的命令,7,前言,MMC,MMC是用来创建、保,存、打开管理工具的控制台，在其中可以通过添加各种管理工具插件来实现对软硬件和系统的管理，,8,前言,MMC,mmc本身不提供管理功能，而是通过各个管理单元（snap-in）来完成的。,9,前言 检查流程,现场测评准备,现场测评和结果记录,结果确认和资料归还,

3、10,内容目录,1.前言,2.测评准备工作,3.现场测评内容与方法4.总结,11,测评准备工作,信息收集,服务器设备名称、型号、所属网络区域、操作系统版本、IP地址、安装应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门,12,测评准备工作,测评指导书准备,根据信息收集的内容，结合主机所属等级，编,写测评指导书。,注意：测评方法、步骤一定明确、清晰。,13,目录,1.前言,2.测评准备工作,3.现场测评内容与方法4.总结,14,现场测评内容与方法,身份鉴别访问控制安全审计,剩余信息保护,入侵防范,恶意代码防范系统资源控制,备份与恢复,15,现场测评内容与方法身份鉴别,a)应对登

4、录操作系统和数据库系统的用户进行身份标识和鉴别。条款理解,用户的身份标识和鉴别，就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的身份是否属实的过程。,16,现场测评内容与方法身份鉴别,SAM,Winlogon明文口令,客户端请求登录,被散列服务器发出8字节质询8字节质询,发送应答,用口令对质询进行散列,通过比较决定是否允许登录,17,用口令对质询进行散列并比较,现场测评内容与方法身份鉴别,a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别。检查方法,Window：,访谈系统管理员系统用户是否已设置密码，并查看登陆过,程中系统账户是否使用了密码进行验证登陆。Linux

5、：,采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态。,18,现场测评内容与方法身份鉴别,#cat/etc/passwd,root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologin,daemon:2:2:daemon:/sbin:/sbin/nologin,#cat/etc/shadow,root:$1$crpkUkzg$hLl/dYWm1wY4J6FqSG2jS0:14296:0:99999:7:daemon:*:14296:0:99999:7

6、:.,19,现场测评内容与方法身份鉴别,b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的,特点，口令应有复杂度要求并定期更换。,条款理解,要求系统应具有一定的密码策略，如设置密码历史记录、设置密码最长使用期限、设置密码最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密。,20,现场测评内容与方法身份鉴别,b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的,特点，口令应有复杂度要求并定期更换。,检查方法,Windows:,本地安全策略-帐户策略-密码策略中的相关项目,Linux:,采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/lo

7、gin.defs文件中相关配置参数,21,现场测评内容与方法身份鉴别,22,现场测评内容与方法身份鉴别,#more/etc/login.defs,PASS_MAX_DAYS 90#登录密码有效期90天,PASS_MIN_DAYS 0#登录密码最短修改时间，增加可以防止非法用户短期更改多次PASS_MIN_LEN 8#登录密码最小长度8位,PASS_WARN_AGE 7#登录密码过期提前7天提示修改FAIL_DELAY 10#登录错误时等待时间10秒FAILLOG_ENAB yes#登录错误记录到日志,SYSLOG_SU_ENAB yes#当限定超级用户管理日志时使用SYSLOG_SG_ENAB

8、 yes#当限定超级用户组管理日志时使用MD5_CRYPT_ENAB yes#当使用md5为密码的加密方法时使用,23,现场测评内容与方法身份鉴别,c)应启用登录失败处理功能，可采取结束会话、限制非法登录次,数和自动退出等措施。,条款理解,要求系统应具有一定的登录控制功能。可以通过适当的配置“帐户锁定策略”来对用户的登录进行限制。如帐户锁定阈值，帐户锁定时间等。,24,现场测评内容与方法身份鉴别,c)应启用登录失败处理功能，可采取结束会话、限制非法登录次,数和自动退出等措施。,检查方法,Windows:,本地安全策略-帐户策略-帐户锁定策略中的相关项目,Linux:,采用查看方式，在root权

9、限下，使用命令more、cat或vi查看/etc/pam.d/system-auth文件中相关配置参数,25,现场测评内容与方法身份鉴别,26,现场测评内容与方法身份鉴别#cat/etc/pam.d/system-auth#%PAM-1.0#This file is auto-generated.#User changes will be destroyed the next time authconfig is run.,authauthauthauthaccountaccount,requiredsufficientrequisiterequiredrequiredsufficient,p

10、am_env.sopam_unix.so nullok try_first_passpam_succeed_if.so uid=500 quietpam_deny.sopam_unix.sopam_succeed_if.so uid 500 quiet,account required/lib/security/pam_tally.so deny=3 no magic_root reset27,现场测评内容与方法身份鉴别,d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息,在网络传输过程中被窃听。,条款理解,为方便管理员进行管理操作，众多服务器采用了网络登录的方式进行远程管理操作，例如

11、Linux可以使用telnet登陆，Windows使用远程终端服务。基本要求规定了这些传输的数据需要进行加密处理过，目的是为了保障帐户与口令的安全。,28,现场测评内容与方法身份鉴别,d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息,在网络传输过程中被窃听。,检查方法,Windows:确认操作系统版本,确认终端服务器使用了SSL加密确认RDP客户端使用SSL加密,29,现场测评内容与方法身份鉴别,d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息,在网络传输过程中被窃听。,检查方法,Linux:,在root权限下，使用命令more、cat或vi,查看是否运行了sshd服务：s

12、ervice status-all|grep sshd若未使用ssh方式进行远程管理，则查看是否使用了telnet方式进,行远程管理：service status-all|grep running,30,现场测评内容与方法身份鉴别,e)为操作系统和数据库的不同用户分配不同的用户名，确保用户,名具有唯一性。,条款理解,对于操作系统来说，用户管理是操作系统应具备的基本功能。用户管理由创建用户和组以及定义它们的属性构成。用户的一个主要属性是如何对他们进行认证。用户是系统的主要代理。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。因此，用户标识的唯一性至关重要

13、。如果系统允许用户名相同，而UID不同，其唯一性标识为UID，如果系统允许UID相同，而用户名不同，其唯一性标识为用户名。,31,现场测评内容与方法身份鉴别,e)为操作系统和数据库的不同用户分配不同的用户名，确保用户,名具有唯一性。,检查方法,Windows:,“管理工具”-“计算机管理”-“本地用户和组”中的“用户”,，检查其中的用户名是否出现重复。,Linux:,采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd文件中用户名信息,32,现场测评内容与方法身份鉴别,f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴,别。,条款理解,对于三级以上的

14、操作系统应使用两种或两种以上组合的鉴别技,术实现用户身份鉴别，如密码和令牌的组合使用等。,检查方法,访谈系统管理员，询问系统除用户名口令外有无其他身份鉴别,方法，如有没有令牌等。,33,现场测评内容与方法身份鉴别,小结,在三级系统中，身份鉴别共有6个检查项，分别是身份的标识、密码口令的复杂度设置、登录失败的处理、远程管理的传输模式、用户名的唯一性以及身份组合鉴别技术。,34,现场测评内容与方法,身份鉴别访问控制安全审计,剩余信息保护,入侵防范,恶意代码防范系统资源控制,备份与恢复,35,现场测评内容与方法访问控制a)应启用访问控制功能，依据安全策略控制用户对资源的访问。条款理解访问控制是安全防

15、范和保护的主要策略，它不仅应用于网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源。对于本项而言，主要涉及到两个方面的内容，分别是：,文件权限默认共享,36,现场测评内容与方法访问控制,a)应启用访问控制功能，依据安全策略控制用户对资源的访问。检查方法,Windows:,1、选择%systemdrive%windowssystem、%systemrootsystem32config、等相应的文件夹，右键选择“属性”“安全”，查看everyone组、users组和administrators组的权限设置；,

16、2、在命令行模式下输入net share，查看共享；并查看注册表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous值是否为“0”（0表示共享开启）,37,现场测评内容与方法访问控制a)应启用访问控制功能，依据安全策略控制用户对资源的访问。检查方法 Linux:采用查看方式，在root权限下，使用命令ls-l查看/etc/passwd、/etc/shadow、/etc/rc3.d、/etc/profile、/etc/inet.conf、/etc/xinet.conf的权限说明：,-rwx-:等于数字表示700

17、。-rw-rw-r-x:等于数字表示665。,-rwxrr-:等于数字表示744。drwxxx:等于数字表示711。,drwx-:等于数字表示700。38,现场测评内容与方法访问控制,b)应根据管理用户的角色分配权限，实现管理用户的权限分离，,仅授予管理用户所需的最小权限。,条款理解,根据管理用户的角色对权限作出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块进行一些授权管理，并且系统的授权安全管理工作要做到细致，仅授予管理用户所需的最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限。,39,现场测评内容与方法访问控制,b)应根据管理用户的角色分配权限，实现管理用户的权限分离，

18、,仅授予管理用户所需的最小权限。,检查方法,记录系统是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。,40,现场测评内容与方法访问控制,41,现场测评内容与方法访问控制,c)应实现操作系统和数据库系统特权用户的权限分离。条款理解,操作系统特权用户可能拥有以下一些权限：安装和配置系统的硬件和软件、建立和管理用户帐户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权

19、限分离，能够避免一些特权用户拥有过大的权限以及减少一些人为的误操作，做到了职责明确。,42,现场测评内容与方法访问控制,c)应实现操作系统和数据库系统特权用户的权限分离。检查方法,结合系统管理员的组成情况，判定是否实现了该项要求,43,现场测评内容与方法访问控制,d)应严格限制默认账户的访问权限，重命名系统默认账户，并修,改这些账户的默认口令。,条款理解,对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控

20、制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。,44,现场测评内容与方法访问控制,d)应严格限制默认账户的访问权限，重命名系统默认账户，并修,改这些账户的默认口令。,检查方法,查看默认用户名是否重命名,查看guest等默认账户是否已禁用,45,现场测评内容与方法访问控制,e）应及时删除多余的、过期的账户，避免共享账户的存在。条款理解,对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问

21、控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。,46,现场测评内容与方法访问控制,e）应及时删除多余的、过期的账户，避免共享账户的存在。检查方法,查看是否存在多余的、过期的帐户，避免共享帐户,47,现场测评内容与方法访问控制,f）应对重要信息资源设置敏感标记。,g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操,作。,条款理解,敏感标记是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强

22、制访问控制。,48,现场测评内容与方法访问控制,f）应对重要信息资源设置敏感标记。,g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操,作。,检查方法,询问管理员是否对重要信息资源设置敏感标记,询问或查看目前的敏感标记策略的相关设置，如：如何划,分敏感标记分类，如何设定访问权限等,49,现场测评内容与方法访问控制,小结,在三级系统中，访问控制共有7个检查项，分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离、默认用户的访问权限、账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制。,50,现场测评内容与方法,身份鉴别访问控制安全审计,

23、剩余信息保护,入侵防范,恶意代码防范系统资源控制,备份与恢复,51,现场测评内容与方法安全审计,a)安全审计应覆盖到服务器和重要客户端上的每个操作系统用户,和数据库用户。,条款理解,安全审计定义是保障计算机系统本地安全和网络安全的重要技术，通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此覆盖范围必须要到每个操作系统用户和数据库用户。,检查方法,查看系统是否开启了安全审计功能,询问并查看是否有第三方审计工具或系统,52,现场测评内容与方法安全审计,b)审计内容应包括重要用户行为、系统资源的异常使用和重要系,统命令的使用等系统内重要的安全相关事件。

24、,条款理解,有效合理的配置安全审计内容，能够及时准确的了解和判断安,全事件的内容和性质，并且可以极大的节省系统资源。,53,现场测评内容与方法安全审计,b)审计内容应包括重要用户行为、系统资源的异常使用和重要系,统命令的使用等系统内重要的安全相关事件。,检查方法 Windows,在“安全设置”中，展开“本地策略”，显示“审核策略”、“用户权利指派”以及“安全选项”策略。,54,现场测评内容与方法安全审计,55,现场测评内容与方法安全审计,b)审计内容应包括重要用户行为、系统资源的异常使用和重要系,统命令的使用等系统内重要的安全相关事件。,检查方法,Linux,采用查看方式，在root权限下，查

25、看审计服务是否启动，查看审计配置文件。涉及命令如下：,56,现场测评内容与方法安全审计1、查看服务状态：#service syslog status#service audit status或#service status-all|grep running2、查看是否启用如下配置：,#,grep“priv-ops”/etc/audit/filter.confgrep“mount-ops”/etc/audit/filter.confgrep“system-ops”/etc/audit/filter.conf,57,现场测评内容与方法安全审计,c)审计记录应包括事件的日期、时间、类型、主体标识、客

26、体标,识和结果等。条款理解,审计记录是指跟踪指定数据库的使用状态产生的信息，它应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。通过记录中的详细信息，能够帮助管理员或其他相关检查人员准确的分析和定位事件。,58,现场测评内容与方法安全审计,c)审计记录应包括事件的日期、时间、类型、主体标识、客体标,识和结果等。检查方法 Windows,查看：事件查看器,Linux,在root权限下，使用命令more、cat或vi查看/var/log/audit.d文件,59,现场测评内容与方法安全审计,60,Windows日志分为三种：应用程序日志；系统日志；安全日志。,现场测评内容与方法安全审计查

27、看audit记录如下：,6058,2005-04-22T17:06:35 19440,-1 execve(/usr/bin/find,find,/usr/lib,-name,*.jar,data,len=0),2005-04-22T17:06:35 19441,6058,-1 open(/etc/ld.so.preload,O_RDONLY);result=-2 No such file or directory,2005-04-22T17:06:35 19442O_RDONLY);result=32005-04-22T17:06:35 19443,60586058,-1 open(/etc/

28、ld.so.cache,-1 open(/lib/tls/libc-,2.3.2.so,O_RDONLY);result=361,现场测评内容与方法安全审计,d）应能够根据记录数据进行分析，并生成审计报表。条款理解,安全审计将会产生各种复杂日志信息，巨大的工作量使得管理员手工查看并分析各种日志内容是不现实的，而且很难有效地对事件分析和定位，因此必须提供一种直观的分析报告及统计报表的自动生成机制，对审计产生的记录数据进行统一管理与处理，并将日志关联起来，来保证管理员能够及时、有效发现系统中各种异常状况及安全事件。,检查方法,查看对审计记录的查看、分析和生成审计报表情况,62,现场测评内容与方法安

29、全审计,e）应保护审计进程，避免受到未预期的中断。条款理解,保护好审计进程，当避免当事件发生时，能够及时记录事件发,生的详细内容。,检查方法 Windows,Windows系统具备了在审计进程自我保护方面功能,Linux,Auditd是Linux中的审计守护进程，syslogd是Linux中的日志守护进程，因此可以通过services命令查看其状态,63,现场测评内容与方法安全审计,f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。条款理解,非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的方法就是去看系统纪录和安全审计文件。因此，必须对审计记录进行安

30、全保护，避免受到未预期的删除、修改或覆盖等。,64,现场测评内容与方法安全审计,f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。检查方法 Window,访谈审计记录的存储、备份和保护的措施，如配置日志服务器等,Linux,1、以 root 身份登录进入 linux,2、查看日志访问权限：ls la/var/log/audit.d,3、访谈审计记录的存储、备份和保护的措施，如配置日志服务器,等。,65,现场测评内容与方法安全审计,小结,在三级系统中，安全审计共有6个检查项，分别是审计范围、审计的事件、审计记录格式、审计报表得生成、审计进程保护和审计记录的保护。,66,现场测评内容与方法,

31、身份鉴别访问控制安全审计,剩余信息保护,入侵防范,恶意代码防范系统资源控制,备份与恢复,67,现场测评内容与方法剩余信息保护,a)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。,条款理解,剩余信息保护是指操作系统用户的鉴别信息存储空间，被释放,或再分配给其他用户前是否得到完全清除。,检查方法,打开“本地安全策略”-本地策略中的安全选项查看是否启用“不显示上次登录用户名”,68,现场测评内容与方法剩余信息保护,b）应确保系统内的文件、目录和数据库记录等资源所在的存储空,间，被释放或重新分配给其他用户前得

32、到完全清除。,条款理解,由于主存与辅存价格和性能的差异，现代操作系统普遍采用辅,存作为缓存，对于缓存使用的安全问题也尤其重要。,检查方法,打开“本地安全策略”-本地策略中的安全选项查看是否选中“关机前清除虚拟内存页面”,打开“本地安全策略”-“帐户策略”中的密码策略查看是否选中“用可还原的加密来存储密码”,69,现场测评内容与方法剩余信息保护,满足C2级别的各种类型的操作系统,70,现场测评内容与方法剩余信息保护,小结,在三级系统中，剩余信息保护共有2个检查项，,分别是鉴别信息清空、文件记录等的清空。,71,现场测评内容与方法,身份鉴别访问控制安全审计,剩余信息保护,入侵防范,恶意代码防范系统

33、资源控制,备份与恢复,72,现场测评内容与方法入侵防范,a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。,条款理解,要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。因此一,套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件,检查方法,询问系统管理员是否经常查看系统日志并对其进行分析。询问是否安装了主机入侵检测软件，查看已安装的主机入侵检查系统的配置情况，是否具备报警功能。询问并查看是否有第三方入侵检测系统，如IDS。,73,现场测评内容与方法入侵防范,1.过滤不需要使用的端口；,2.过滤

34、不需要的应用层网络服务；3.过滤ICMP数据包；,74,现场测评内容与方法入侵防范,75,Windows XP 以 后 版 本 集 成 Internet 连 接 防 火 墙(InternetConnection Firewall),现场测评内容与方法入侵防范,Linux,1、访谈并查看入侵检测的措施，如经常通过如下命令查看入侵的重要线索（试图telnet、ftp等），涉及命令“#more/var/log/secure|grep refused”。,2、查看是否启用了主机防火墙、TCP SYN保护机制等设置。,3、可执行命令：find/-name-print检查是否安装了以下主,机入侵检测软件。

35、Dragon Squire by Enterasys Networks、ITA bySymantec、Hostsentry by Psionic Software、Logcheck by PsionicSoftware、RealSecure agent by ISS。,4、询问是否有第三方入侵检测系统，如IDS，是否具备报警功能。,76,现场测评内容与方法入侵防范,b）应能够对重要程序完整性进行检测，并在检测到完整性受到破,坏后具有恢复的措施。,条款理解,对系统重要文件备份，或者对整个系统进行全备，有利于当系,统遭受到破坏后能够得到及时恢复,检查方法,访谈是否对使用一些文件完整性检查工具对重要

36、文件的完整性,进行检查，是否对重要的配置文件进行备份。,77,现场测评内容与方法入侵防范,c）操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。,条款理解,对于本项而言，主要涉及到两个方面的内容，分别是：系统服务、补丁升级。遵循最小安装原则，仅开启需要的服务，安装需要的组件和程序，可以极大的降低系统遭受攻击的可能性。及时更新系统补丁，可以避免遭受由系统漏洞带来的风险。,78,现场测评内容与方法入侵防范c）操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。检查方法,Windows,

37、1、查看目前系统中运行的服务如：Alerter、Remote RegistryService、Messenger、Task Scheduler是否已启动2、访谈并查看系统补丁升级方式，以及最新的补丁更新情况：“开始”“设置”“控制面板”“添加删除程序”“更改或删除程序”，按照记录的系统安全补丁编号KBxxxxxx79,现场测评内容与方法入侵防范,1.不要安装不需要的网络协议2.删除不必要的服务和组件,80,现场测评内容与方法入侵防范,81,现场测评内容与方法入侵防范c）操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。检查方法,Linu

38、x,1、访谈系统管理员系统目前是否采取了最小安装原则。2、确认系统目前正在运行的服务：#service status-all|greprunning,查看并确认是否已经关闭危险的网络服务如echo、shell、login、finger、r命令等。关闭非必需的网络服务如talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等。3、访谈补丁升级机制，查看补丁安装情况：#rpm qa|grep patch82,现场测评内容与方法入侵防范,83,现场测评内容与方法入侵防范,小结,在三级系统中，入侵防范共有3个检查项，分别是入侵行为的记录和报警、重要文件的完整性保护、最小安装原则。,

39、84,现场测评内容与方法恶意代码防范,a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶,意代码库。,条款理解,无论是Windows主机还是Linux主机，都面临着木马、蠕虫等病毒软件的破坏。因此一般的主机为防范病毒，均会安装反病毒软件，如Norton Anti-Virus、金山毒霸等，并且通常也能及时更新病毒库。,检查方法,查看系统中安装了什么防病毒软件。询问管理员病毒库是否经常更新,。查看病毒库的最新版本更新日期是否超过一个星期。,86,现场测评内容与方法恶意代码防范,b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意,代码库。条款理解,基于网络和基于主机的防病毒软件在系统

40、上应构成立体的防护结构，属于深层防御的一部分。因此基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同。,检查方法,询问系统管理员网络防病毒软件和主机防病毒软件分别采用什,么病毒库。,87,现场测评内容与方法恶意代码防范,c）应支持恶意代码防范的统一管理。条款理解,一个机构的病毒管理应满足木桶原理，只有当所有主机都及时根新了病毒库才能够做到防止病毒的入侵。因此应有统一的病毒管理策略。例如统一更新，定时查杀等。,检查方法,询问系统管理员是否采有统一的病毒根新策略和查杀策略。,88,现场测评内容与方法恶意代码防范,89,现场测评内容与方法恶意代码防范,小结,在三级系统中，恶意代码防范共

41、有3个检查项，分别是安装防恶意代码软件、主机的防恶意代码库和网络防恶意代码库的差别、防恶意代码软件的统一管理。,90,现场测评内容与方法,身份鉴别访问控制安全审计,剩余信息保护,入侵防范,恶意代码防范系统资源控制,备份与恢复,91,现场测评内容与方法系统资源控制,a)应通过设定终端接入方式、网络地址范围等条件限制终端登录 条款理解,系统资源概念是指CPU、储存空间、传输带宽等软硬件资源。通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大的节省系统资源，保证了系统的可用性，同时也提高了系统的安全性。对于Windows系统自身来说，可以通过主机防火墙或TCP/IP筛选来实现以上功能。,

42、92,现场测评内容与方法系统资源控制,a)应通过设定终端接入方式、网络地址范围等条件限制终端登录 检查方法,Windows,1、询问并查看系统是否开启了主机防火墙或TCP/IP筛选,功能。,2、询问并查看是否通过网络设备或硬件防火墙实现了此项,要求。,93,现场测评内容与方法系统资源控制,94,现场测评内容与方法系统资源控制,a)应通过设定终端接入方式、网络地址范围等条件限制终端登录 检查方法,Linux,1、采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/hosts.deny 中是否有“ALL:ALL”（禁止所有的请求）,2、采用查看方式，在root权限下，使用命

43、令more、cat或vi查看/etc/hosts.allow中，是否有如下配置（举例）:,限制ip及其访问方式,95,现场测评内容与方法系统资源控制,b)根据安全策略设置登录终端的操作超时锁定。条款理解,如果系统管理员在离开系统之前忘记注销管理员账户，那么可能存在被恶意用户利用或被其他非授权用户误用的可能性，从而对系统带来不可控的安全隐患。,96,现场测评内容与方法系统资源控制,b)根据安全策略设置登录终端的操作超时锁定。检查方法 Windows,1、查看登录终端是否开启了带密码的屏幕保护功能。2、打开“组策略”，在“计算机配置”、“管理模板”、“Windows 组件”、“终端服务”、“会话”

44、中，查看在“空闲会话限制”中，是否配置了空闲的会话（没有客户端活动的会话）继续留在服务器上的最长时间。,Linux,查看/etc/profile中的TIMEOUT环境变量,97,现场测评内容与方法系统资源控制,c）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内,存、网络等资源的使用情况。,条款理解,对主机的监控除了做到人工监控外，另一个主要方面是自动监控。目前自动监控的主要方法是设定资源报警阈值，以便在资源使用超过规定数值时发出报警。,检查方法,1、询问系统管理员是否经常查看主机资源利用情况,2、询问是否有第三方工具实现上述要求,98,现场测评内容与方法系统资源控制,d)限制单个用户

45、对系统资源的最大或最小使用限度。条款理解,一个服务器上可能有很多用户，如果不对每个用户进行限制则很容易导致DOS攻击等，最终使系统资源耗尽。因此应限制单个用户的系统资源使用限度。,检查方法,访谈管理员针对系统资源控制的管理措施如：,Windows可以了解用户磁盘配额的设置,Linux可以查看/etc/security/limits.conf相关参数,99,现场测评内容与方法系统资源控制,查看/etc/security/limits.conf中参数nproc可以设置最大进程数。类似如,下配置：,*soft core 0,*hard rss 5000（所有用户：内存5M）,student hard

46、 nproc 20（student：进程20）faculty soft nproc 20,#more/etc/security/limits.conf，是否设置了用户进程优先级，priority,参数。,#more/etc/security/limits.conf查看类似如下设置：student-maxlogins 1,100,现场测评内容与方法系统资源控制,e）应能够对系统的服务水平降低到预先规定的最小值进行检测和,报警。,条款理解,当系统的服务水平降低到预先规定的最小值时，如磁盘空间不足，CPU利用率过高，硬件发生故障等等，通过报警机制，将问题现象发送给相关负责人，及时定位引起问题的原因和

47、对异常情况进行处理，从而避免故障的发生或将影响减少到最低。,检查方法,1、询问管理员日常如何监控系统服务水平。,2、若有第三方监控程序，询问并查看它是否有相关功能。,101,现场测评内容与方法系统资源控制,小结,在三级系统中，系统资源控制共有5个检查项，分别是接入控制、超时锁定、主机资源监控、单个资源利用、系统服务水平监控和报警机制。,102,现场测评内容与方法,身份鉴别访问控制安全审计,剩余信息保护,入侵防范,恶意代码防范系统资源控制,备份与恢复,103,现场测评内容与方法备份与恢复,d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，,保证系统的高可用性。,条款理解,对于可用性要求较

48、高的信息系统来说，仅仅进行数据备份是远远不够的，还必须进行系统备份。系统备份策略包括本地和远程两种方式。其中，本地备份主要使用容错技术和冗余配置来应对硬件故障；远程备份主要用于应对灾难事件，有热站和冷站两种选择。,104,现场测评内容与方法备份与恢复,d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，,保证系统的高可用性。,检查方法,访谈是否有备份机制，查看备份功能的实现方式可以，参考以,下备份方式：,1、本地备份、本地保存的冷备份2、本地备份、异地保存的冷备份3、本地热备份站点备份4、异地活动互援备份,105,现场测评内容与方法备份与恢复,小结,在三级系统中，备份与恢复共有1个检查项，是,硬件冗余。,106,目录,1.前言,2.测评准备工作,3.现场测评内容与方法4.总结,107,总结,谢 谢！,108,