主机安全测评-尹湘培.pdf

信息安全等级测评师培训信息安全等级测评师培训 主机系统安全测评 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心 尹湘培尹湘培 1 目录目录 1 前言1 前言 2 测评准备工作2 测评准备工作 3 现场测评内容与方法3 现场测评内容与方法 4 总结总结 2 前言前言 3 前言前言 主机的相关知识点 主机按照其规模或系统功能来区分可分为巨型大型中型 主机按照其规模或系统功能来区分 可分为巨型 大型 中型 小型 微型计算机和单片机 主机安全是由操作系统自身安全配置相关安全软件以及第三方 主机安全是由操作系统自身安全配置 相关安全软件以及第三方 安全设备等来实现 主机测评则是依据基本要求对主机安全进行 符合性检查 符合性检查 目前运行在主机上的主流的操纵系统有Windows Linux Sun Solaris IBM AIX HP UX等等 等等 4 前言前言 测评对象是主机上各种类型的操作系统 操作系统级别操作系统级别 Li U i NC2级级Linux Unix NetwareC2级级 MS WinNT 2000C2级级C 级级 SalorisC2级级 DOS Win9XD级级 5 前言前言 基本要求中主机各级别的控制点和要求项对比 不同级别系统控制点的差异不同级别系统控制点的差异 层面一级二级三级四级 主机安全4679 不同级别系统要求项的差异不同级别系统要求项的差异 层面级二级三级四级 不同级别系统要求项的差异不同级别系统要求项的差异 主机安全6193236 层面一级二级三级四级 主机安全6193236 6 前言前言 熟悉操作系统自带的管理工具 Windows Computer management Microsoft management console mmc Registry editorRegistry editor Command prompt Linux 常用命令 catmorels等具备查看功能的命令常用命令 cat more ls等具备查看功能的命令 7 前言前言 MMC MMC是用来创建是用来创建保保MMC是用来创建是用来创建 保保 存 打开管理工具的存 打开管理工具的 控制台 在其中可以控制台 在其中可以 通过添加各种管理工通过添加各种管理工通过添加各种管理工通过添加各种管理工 具插件来实现对软硬具插件来实现对软硬 件和系统的管理件和系统的管理件和系统的管理件和系统的管理 8 前言前言 MMC mmc本身不提供 管理功能 而是 通过各个管理单 元 i 元 snap in 来完成的来完成的 9 前言前言 检查流程检查流程 现场测评准现场测评和结果确认和 备结果记录资料归还 10 内容目录内容目录 1 前言1 前言 2 测评准备工作2 测评准备工作 3 现场测评内容与方法3 现场测评内容与方法 4 总结总结 11 测评准备工作测评准备工作 信息收集信息收集 服务器设备名称 型号 所属网络区域 操作系统 版本IP地址安装应用软件名称主要业务应用版本 IP地址 安装应用软件名称 主要业务应用 涉及数据 是否热备 重要程度 责任部门 12 测评准备工作测评准备工作 测评指导书准备 根据信息收集的内容 结合主机所属等级 编 写测评指导书 注意 测评方法步骤一定明确清晰注意 测评方法 步骤一定明确 清晰 13 目录目录 1 前言1 前言 2 测评准备工作2 测评准备工作 3 现场测评内容与方法3 现场测评内容与方法 4 总结总结 14 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别身份鉴别身份鉴别 访问控制访问控制访问控制访问控制 安全审计安全审计安全审计安全审计安全审计安全审计安全审计安全审计 剩余信息保护剩余信息保护剩余信息保护剩余信息保护 入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范 恶意代码防范恶意代码防范恶意代码防范恶意代码防范 系统资源控制系统资源控制系统资源控制系统资源控制 备份与恢复备份与恢复备份与恢复备份与恢复 15 备份与恢复备份与恢复备份与恢复备份与恢复 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 a 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 条款理解 用户的身份标识和鉴别 就是用户向系统以一种安全的方式提 交自己的身份证实 然后由系统确认用户的身份是否属实的过 程 16 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 Winlogon SAM 明文口令 被散列 明文口令 被散列 客户端请求登录客户端请求登录 8字节质询字节质询 服务器发出服务器发出8字节质询字节质询 发送应答发送应答 用口令对质 询进行散列 用口令对质 询进行散列 用令对质询进用令对质询进 发送应答发送应答 通过比较决定是否允许登录通过比较决定是否允许登录 17 用用口口令对质询进令对质询进 行散列并比较行散列并比较 通过比较决定是否允许登录通过比较决定是否允许登录 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 a 应对登录操作系统和数据库系统的用户进行身份标识和鉴别 检查方法 Window 访谈系统管理员系统用户是否已设置密码 并查看登陆过 程中系统账户是否使用了密码进行验证登陆 Linux 采用查看方式 在root权限下 使用命令more cat或vi采用看方式 在权限下 使用命令 或 查看 etc passwd和 etc shadow文件中各用户名状态 18 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 cat etc passwd t0 0t t bi bhroot x 0 0 root root bin bash bin x 1 1 bin bin sbin nologin daemon 2 2 daemon sbin sbin nologindaemon 2 2 daemon sbin sbin nologin cat etc shadow root 1 crpkUkzg hLl dYWm1wY4J6FqSG2jS0 14296 0 99999 7 bin 1 1234567890123456789012345678901 11664 0 1 1 1 1 0 daemon 14296 0 99999 7 19 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 b 操作系统和数据库系统管理用户身份标识应具有不易被冒用的 特点 口令应有复杂度要求并定期更换 条款理解 要求系统应具有一定的密码策略 如设置密码历史记录 设置 密码最长使用期限 设置密码最短使用期限 设置最短密码长 度 设置密码复杂性要求 启用密码可逆加密 20 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 b 操作系统和数据库系统管理用户身份标识应具有不易被冒用的 特点 口令应有复杂度要求并定期更换 检查方法 Windows 本地安全策略 帐户策略 密码策略中的相关项目 Linux 采用查看方式 在root权限下 使用命令more cat或vi采用看方式 在权限下 使用命令 或 查看 etc login defs文件中相关配置参数 21 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 22 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 more etc login defs PASS MAX DAYS 90 登录密码有效期90天 登录密码有效期天 PASS MIN DAYS 0 登录密码最短修改时间 增加可以防止非法用户短期更改多次 PASS MIN LEN 8 登录密码最小长度8位 PASS WARN AGE 7 登录密码过期提前7天提示修改 FAIL DELAY 10 登录错误时等待时间10秒 FAILLOG ENAB yes 登录错误记录到日志FAILLOG ENAB yes 登录错误记录到日志 SYSLOG SU ENAB yes 当限定超级用户管理日志时使用 SYSLOG SG ENAB yes 当限定超级用户组管理日志时使用 y当限定超级用户管日时使用 MD5 CRYPT ENAB yes 当使用md5为密码的加密方法时使用 23 o n l y 新建立的账户有效果 o l d u s e r 要用c h a n g e 更改 e t c u s e r 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 c 应启用登录失败处理功能 可采取结束会话 限制非法登录次 数和自动退出等措施 条款理解 要求系统应具有一定的登录控制功能 可以通过适当的配置 帐户锁定策略 来对用户的登录进行限制 如帐户锁定阈值 帐户锁定时间等 24 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 c 应启用登录失败处理功能 可采取结束会话 限制非法登录次 数和自动退出等措施 检查方法 Windows 本地安全策略 帐户策略 帐户锁定策略中的相关项目 Linux 采用查看方式 在root权限下 使用命令more cat或vi采用看方式 在权限下 使用命令 或 查看 etc pam d system auth文件中相关配置参数 25 s e r v e r 2 0 0 3 s p 1 c l i e n t w i n 2 0 0 0 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 26 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 cat etc pam d system auth PAM 1 0 PAM 1 0 This file is auto generated User changes will be destroyed the next time authconfig is run th id auth required pam env so auth sufficient pam unix so nullok try first pass auth requisite pam succeed if so uid 500 quiet auth required pam deny so account required pam unix so account sufficient pam succeed if so uid 计算机管理 本地用户和组 中的 用户 检查其中的用户名是否出现重复 Linux 采用查看方式 在root权限下 使用命令more cat或vi 查看 etc passwd文件中用户名信息查看 etc passwd文件中用户名信息 32 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 f 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴 别 条款理解 对于三级以上的操作系统应使用两种或两种以上组合的鉴别技 术实现用户身份鉴别 如密码和令牌的组合使用等 检查方法 访谈系统管理员 询问系统除用户名口令外有无其他身份鉴别访谈统管员 问统除用户名令外有无其他身份别 方法 如有没有令牌等 33 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别 小结小结 在三级系统中 身份鉴别共有6个检查项 分别 是身份的标识密码口令的复杂度设置登录失是身份的标识 密码口令的复杂度设置 登录失 败的处理 远程管理的传输模式 用户名的唯一 性以及身份组合鉴别技术 34 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别身份鉴别身份鉴别 访问控制访问控制访问控制访问控制 安全审计安全审计安全审计安全审计安全审计安全审计安全审计安全审计 剩余信息保护剩余信息保护剩余信息保护剩余信息保护 入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范 恶意代码防范恶意代码防范恶意代码防范恶意代码防范 系统资源控制系统资源控制系统资源控制系统资源控制 备份与恢复备份与恢复备份与恢复备份与恢复 35 备份与恢复备份与恢复备份与恢复备份与恢复 现场测评内容与方法现场测评内容与方法 访问控制访问控制 a 应启用访问控制功能 依据安全策略控制用户对资源的访问 条款理解 访问控制是安全防范和保护的主要策略 它不仅应用于网络层 面 同样也适用于主机层面 它的主要任务是保证系统资源不 被非法使用和访问 使用访问控制的目的在于通过限制用户对 特定资源的访问保护系统资源 对于本项而言 主要涉及到两 个方面的内容 分别是 个方面内容 分别是 文件权限 默认共享 36 现场测评内容与方法现场测评内容与方法 访问控制访问控制 a 应启用访问控制功能 依据安全策略控制用户对资源的访问 检查方法 Windows 1 选择 systemdrive windows system systemroot system32 config 等相应的文件夹 右键选择 属性 安全 查看everyone组 users组和administrators组的权 限设置 2 在命令行模式下输入net share 查看共享 并查看注册表 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Con 值是否为表示共享启trol Lsa restrictanonymous值是否为 0 0表示共享开启 37 现场测评内容与方法现场测评内容与方法 访问控制访问控制 a 应启用访问控制功能 依据安全策略控制用户对资源的访问 检查方法 Linux 采用查看方式 在root权限下 使用命令ls l查看 etc passwd etc shadow etc rc3 d etc profile etc inet conf etc xinet conf的权限 说明 rwx 等于数字表示700 rwxr r 等于数字表示744 rw rw r x 等于数字表示665 drwx x x 等于数字表示711 d等于数字表示700drwx 等于数字表示700 38 r w z 1110 0 0 0 0 0 7 0 0 现场测评内容与方法现场测评内容与方法 访问控制访问控制 b 应根据管理用户的角色分配权限 实现管理用户的权限分离 仅授予管理用户所需的最小权限 条款理解 根据管理用户的角色对权限作出标准细致的划分 有利于各岗 位细致协调的工作 同时对授权模块进行一些授权管理 并且 系统的授权安全管理工作要做到细致 仅授予管理用户所需的 最小权限 避免出现权限的漏洞使一些高级用户拥有过大的权最权限 免现权限漏洞使高级用户拥有大权 限 39 现场测评内容与方法现场测评内容与方法 访问控制访问控制 b 应根据管理用户的角色分配权限 实现管理用户的权限分离 仅授予管理用户所需的最小权限 检查方法 记录系统是否有完整的安全策略 系统主要有哪些角色 每个 角色的权限是否相互制约 每个系统用户是否被赋予相应的角 色 40 现场测评内容与方法现场测评内容与方法 访问控制访问控制 41 现场测评内容与方法现场测评内容与方法 访问控制访问控制 c 应实现操作系统和数据库系统特权用户的权限分离 条款理解 操作系统特权用户可能拥有以下一些权限 安装和配置系统的 硬件和软件 建立和管理用户帐户 升级软件 备份和恢复等 业务 从而保证操作系统的可用性 完整性和安全性 数据库 系统特权用户则更多是对数据库的安装 配置 升级和迁移以 及数据库用户的管理 从而保证数据库系统的可用性 完整性及数据库用户管 从而保数据库统用性 完性 和安全性 将操作系统和数据库系统特权用户的权限分离 能 够避免一些特权用户拥有过大的权限以及减少一些人为的误操够避免些特权用户拥有过大的权限以及减少些人为的误操 作 做到了职责明确 42 现场测评内容与方法现场测评内容与方法 访问控制访问控制 c 应实现操作系统和数据库系统特权用户的权限分离 检查方法 结合系统管理员的组成情况 判定是否实现了该项要求 43 现场测评内容与方法现场测评内容与方法 访问控制访问控制 d 应严格限制默认账户的访问权限 重命名系统默认账户 并修 改这些账户的默认口令 条款理解 对于系统默认的用户名 由于它们的某些权限与实际系统的要 求可能存在差异 从而造成安全隐患 因此这些默认用户名应 禁用 对于匿名用户的访问原则上是禁止的 查看服务器操作 系统 确认匿名 默认用户的访问权限已被禁用或者严格限制统 确认名 默认用户访问权限被用或者严格限制 依据服务器操作系统访问控制的安全策略 以未授权用户身 份 角色测试访问客体 是否不允许进行访问 份 角色测试访问客体 是否不允许进行访问 44 现场测评内容与方法现场测评内容与方法 访问控制访问控制 d 应严格限制默认账户的访问权限 重命名系统默认账户 并修 改这些账户的默认口令 检查方法 查看默认用户名是否重命名 查看guest等默认账户是否已禁用 45 某些e r p 系统 不允许删除或者更改默认用户名 现场测评内容与方法现场测评内容与方法 访问控制访问控制 e 应及时删除多余的 过期的账户 避免共享账户的存在 条款理解 对于系统默认的用户名 由于它们的某些权限与实际系统的要 求可能存在差异 从而造成安全隐患 因此这些默认用户名应 禁用 对于匿名用户的访问原则上是禁止的 查看服务器操作 系统 确认匿名 默认用户的访问权限已被禁用或者严格限制 依据服务器操作系统访问控制的安全策略 以未授权用户身依据服务操作统访问制安策略 以未授权用户身 份 角色测试访问客体 是否不允许进行访问 46 现场测评内容与方法现场测评内容与方法 访问控制访问控制 e 应及时删除多余的 过期的账户 避免共享账户的存在 检查方法 查看是否存在多余的 过期的帐户 避免共享帐户 47 询问 查看文档 现场测评内容与方法现场测评内容与方法 访问控制访问控制 f 应对重要信息资源设置敏感标记 g 应依据安全策略严格控制用户对有敏感标记重要信息资源的操 作 条款理解 敏感标记是强制访问控制的依据 主客体都有 它存在的形式 无所谓 可能是整形的数字 也可能是字母 总之它表示主客 体的安全级别 敏感标记是由强认证的安全管理员进行设置的体安级别敏标是强认安管员行设 通过对重要信息资源设置敏感标记 决定主体以何种权限对 客体进行操作 实现强制访问控制 客体进行操作 实现强制访问控制 48 r e a h a t 4以上 f e d r a l 3以上 s e l i n u x 功能可实现f g 现场测评内容与方法现场测评内容与方法 访问控制访问控制 f 应对重要信息资源设置敏感标记 g 应依据安全策略严格控制用户对有敏感标记重要信息资源的操 作 检查方法 询问管理员是否对重要信息资源设置敏感标记 询问或查看目前的敏感标记策略的相关设置 如 如何划 分敏感标记分类 如何设定访问权限等分敏标分类 如何设定访问权限 49 现场测评内容与方法现场测评内容与方法 访问控制访问控制 小结小结 在三级系统中 访问控制共有7个检查项 分别 是对系统的访问控制功能管理用户的角色分配是对系统的访问控制功能 管理用户的角色分配 操作系统和数据库系统管理员的权限分离 默 认用户的访问权限 账户的清理 重要信息资源 的敏感标记设置和对有敏感标记信息资源的访问的敏感标记设置和对有敏感标记信息资源的访问 控制 50 如何避免o s 非法访问 1 加强管理 2 身份认证 3 访问分配权限 4 访问控制 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别身份鉴别身份鉴别 访问控制访问控制访问控制访问控制 安全审计安全审计安全审计安全审计安全审计安全审计安全审计安全审计 剩余信息保护剩余信息保护剩余信息保护剩余信息保护 入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范 恶意代码防范恶意代码防范恶意代码防范恶意代码防范 系统资源控制系统资源控制系统资源控制系统资源控制 备份与恢复备份与恢复备份与恢复备份与恢复 51 备份与恢复备份与恢复备份与恢复备份与恢复 现场测评内容与方法现场测评内容与方法 安全审计安全审计 a 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户 和数据库用户 条款理解 安全审计定义是保障计算机系统本地安全和网络安全的重要技 术 通过对审计信息的分析可以为计算机系统的脆弱性评估 责任认定 损失评估 系统恢复提供关键性信息 因此覆盖范 围必须要到每个操作系统用户和数据库用户 围须要个操作统用户和数据库用户 检查方法 查看系统是否开启了安全审计功能查看系统是否开启了安全审计功能 询问并查看是否有第三方审计工具或系统 52 现场测评内容与方法现场测评内容与方法 安全审计安全审计 b 审计内容应包括重要用户行为 系统资源的异常使用和重要系 统命令的使用等系统内重要的安全相关事件 条款理解 有效合理的配置安全审计内容 能够及时准确的了解和判断安 全事件的内容和性质 并且可以极大的节省系统资源 53 现场测评内容与方法现场测评内容与方法 安全审计安全审计 b 审计内容应包括重要用户行为 系统资源的异常使用和重要系 统命令的使用等系统内重要的安全相关事件 检查方法 Windows 在 安全设置 中 展开 本地策略 显示 审核策略 用户权利指派 以 及 安全选项 策略 54 用户登录注销 用户的广引 系统重启 注销 现场测评内容与方法现场测评内容与方法 安全审计安全审计 55 现场测评内容与方法现场测评内容与方法 安全审计安全审计 b 审计内容应包括重要用户行为 系统资源的异常使用和重要系 统命令的使用等系统内重要的安全相关事件 检查方法 Linux 采用查看方式 在root权限下 查看审计服务是否启动 查看审计配置文 件 涉及命令如下 56 现场测评内容与方法现场测评内容与方法 安全审计安全审计 1 查看服务状态 service syslog status service audit status 或或 service status all grep running 2查看是否启用如下配置 2 查看是否启用如下配置 grep priv ops etc audit filter conf grep mount ops etc audit filter conf grep mount ops etc audit filter conf grep system ops etc audit filter conf 57 现场测评内容与方法现场测评内容与方法 安全审计安全审计 c 审计记录应包括事件的日期 时间 类型 主体标识 客体标 识和结果等 条款理解 审计记录是指跟踪指定数据库的使用状态产生的信息 它应该 包括事件的日期 时间 类型 主体标识 客体标识和结果等 通过记录中的详细信息 能够帮助管理员或其他相关检查人 员准确的分析和定位事件 员准确分析和定位件 58 现场测评内容与方法现场测评内容与方法 安全审计安全审计 c 审计记录应包括事件的日期 时间 类型 主体标识 客体标 识和结果等 检查方法 Windows 查看 事件查看器 Linux 在root权限下 使用命令more cat或vi查看在权限下 使用命令 或看 var log audit d文件 59 现场测评内容与方法现场测评内容与方法 安全审计安全审计 Windows日志分为三种 应用程序日志 应用程序日志 系统日志 安全日志 60 安全日志 现场测评内容与方法现场测评内容与方法 安全审计安全审计 查看audit记录如下 2005 04 22T17 06 35 1944060581 bi fi d 2005 04 22T17 06 35 194406058 1 execve usr bin find find usr lib name jar data len 0 2005 04 22T17 06 35 194416058 1 open etc ld so preload 2005 04 22T17 06 35 1944160581 open etc ld so preload O RDONLY result 2 No such file or directory 2005 04 22T17 06 35 194426058 1 open etc ld so cache O RDONLY result 3 2005 04 22T17 06 35 194436058 1 open lib tls libc 2 3 2 O RDONLY lt32 3 2 so O RDONLY result 3 61 现场测评内容与方法现场测评内容与方法 安全审计安全审计 d 应能够根据记录数据进行分析 并生成审计报表 条款理解 条款理解 安全审计将会产生各种复杂日志信息 巨大的工作量使得管理 员手工查看并分析各种日志内容是不现实的而且很难有效地员手工查看并分析各种日志内容是不现实的 而且很难有效地 对事件分析和定位 因此必须提供一种直观的分析报告及统计 报表的自动生成机制 对审计产生的记录数据进行统一管理与 处理 并将日志关联起来 来保证管理员能够及时 有效发现 系统中各种异常状况及安全事件 检查方法 查看对审计记录的查看 分析和生成审计报表情况 62 e x c e l 等第三发工具 现场测评内容与方法现场测评内容与方法 安全审计安全审计 e 应保护审计进程 避免受到未预期的中断 条款理解 保护好审计进程 当避免当事件发生时 能够及时记录事件发 生的详细内容 检查方法 Windows Windows系统具备了在审计进程自我保护方面功能统具备在审计程自我保护方面功 Linux Auditd是Linux中的审计守护进程 syslogd是Linux中的Auditd是Linux中的审计守护进程 syslogd是Linux中的 日志守护进程 因此可以通过services命令查看其状态 63 现场测评内容与方法现场测评内容与方法 安全审计安全审计 f 应保护审计记录 避免受到未预期的删除 修改或覆盖等 条款理解 非法用户进入系统后的第一件事情就是去清理系统日志和审计 日志 而发现入侵的最简单最直接的方法就是去看系统纪录和 安全审计文件 因此 必须对审计记录进行安全保护 避免受 到未预期的删除 修改或覆盖等 64 现场测评内容与方法现场测评内容与方法 安全审计安全审计 f 应保护审计记录 避免受到未预期的删除 修改或覆盖等 检查方法 Window 访谈审计记录的存储 备份和保护的措施 如配置日志服务器等 Linux 1 以 root 身份登录进入 linux 2 查看日志访问权限 ls la var log audit d 3 访谈审计记录的存储 备份和保护的措施 如配置日志服务器 等 65 现场测评内容与方法现场测评内容与方法 安全审计安全审计 小结小结 在三级系统中 安全审计共有6个检查项 分别 是审计范围审计的事件审计记录格式审计是审计范围 审计的事件 审计记录格式 审计 报表得生成 审计进程保护和审计记录的保护 66 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别身份鉴别身份鉴别 访问控制访问控制访问控制访问控制 安全审计安全审计安全审计安全审计安全审计安全审计安全审计安全审计 剩余信息保护剩余信息保护剩余信息保护剩余信息保护 入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范 恶意代码防范恶意代码防范恶意代码防范恶意代码防范 系统资源控制系统资源控制系统资源控制系统资源控制 备份与恢复备份与恢复备份与恢复备份与恢复 67 备份与恢复备份与恢复备份与恢复备份与恢复 现场测评内容与方法现场测评内容与方法 剩余信息保护剩余信息保护 a 应保证操作系统和数据库管理系统用户的鉴别信息所在的存储 空间 被释放或再分配给其他用户前得到完全清除 无论这些 信息是存放在硬盘上还是在内存中 条款理解 剩余信息保护是指操作系统用户的鉴别信息存储空间 被释放 或再分配给其他用户前是否得到完全清除 检查方法检方法 打开 本地安全策略 本地策略中的安全选项 查看是否启用 不显示上次登录用户名 68 l i n u x 默认 现场测评内容与方法现场测评内容与方法 剩余信息保护剩余信息保护 b 应确保系统内的文件 目录和数据库记录等资源所在的存储空 间 被释放或重新分配给其他用户前得到完全清除 条款理解 由于主存与辅存价格和性能的差异 现代操作系统普遍采用辅 存作为缓存 对于缓存使用的安全问题也尤其重要 检查方法 打开 本地安全策略 本地策略中的安全选项 查看是否选中 关机前清除虚拟内存页面 打开 本地安全策略 帐户策略 中的密码策略 查看是否选中 用可还原的加密来存储密码 69 现场测评内容与方法现场测评内容与方法 剩余信息保护剩余信息保护 满足C2级别的各种类型的操作系统 操作系统级别操作系统级别 级级Linux Unix NetwareC2级级 MS WinNT 2000C2级级级级 SalorisC2级级 DOS Win9XD级级 70 现场测评内容与方法现场测评内容与方法 剩余信息保护剩余信息保护 小结小结 在三级系统中 剩余信息保护共有2个检查项 分别是鉴别信息清空文件记录等的清空分别是鉴别信息清空 文件记录等的清空 71 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别身份鉴别身份鉴别 访问控制访问控制访问控制访问控制 安全审计安全审计安全审计安全审计安全审计安全审计安全审计安全审计 剩余信息保护剩余信息保护剩余信息保护剩余信息保护 入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范 恶意代码防范恶意代码防范恶意代码防范恶意代码防范 系统资源控制系统资源控制系统资源控制系统资源控制 备份与恢复备份与恢复备份与恢复备份与恢复 72 备份与恢复备份与恢复备份与恢复备份与恢复 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 a 应能够检测到对重要服务器进行入侵的行为 能够记录入侵的 源IP 攻击的类型 攻击的目的 攻击的时间 并在发生严重 入侵事件时提供报警 条款理解 要维护系统安全 必须进行主动监视 以检查是否发生了入侵和攻击 因此一 套成熟的主机监控机制能够有效的避免 发现 阻断恶意攻击事件 检查方法 询问系统管理员是否经常查看系统日志并对其进行分析 询问是否安装了主机 入侵检测软件 查看已安装的主机入侵检查系统的配置情况 是否具备报警功 能 询问并查看是否有第三方入侵检测系统 如IDS 73 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 1 过滤不需要使用的端口 过滤不需要使用的端口 2 过滤不需要的应用层网络服务 过滤不需要的应用层网络服务 3 过滤过滤ICMP数据包 数据包 74 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 Wi dXP 以 后 版 本 集 成以 后 版 本 集 成 I tt 连 接 防 火 墙连 接 防 火 墙 I tt 75 WindowsXP 以 后 版 本 集 成以 后 版 本 集 成 Internet 连 接 防 火 墙连 接 防 火 墙 Internet Connection Firewall 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 Linux 1访谈并查看入侵检测的措施如经常通过如下命令查看入侵的重要线索 试图1 访谈并查看入侵检测的措施 如经常通过如下命令查看入侵的重要线索 试图 telnet ftp等 涉及命令 more var log secure grep refused 2 查看是否启用了主机防火墙 TCP SYN保护机制等设置 3 可执行命令 find name print检查是否安装了以下主 机入侵检测软件 Dragon Squire by Enterasys Networks ITA by Symantec Hostsentry by Psionic Software Logcheck by Psionic SoftwareRealSecure agent by ISSSoftware RealSecure agent by ISS 4 询问是否有第三方入侵检测系统 如IDS 是否具备报警功能 76 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 b 应能够对重要程序完整性进行检测 并在检测到完整性受到破 坏后具有恢复的措施 条款理解 对系统重要文件备份 或者对整个系统进行全备 有利于当系 统遭受到破坏后能够得到及时恢复 检查方法 访谈是否对使用一些文件完整性检查工具对重要文件的完整性访谈是否使用文件完性检具要文件完性 进行检查 是否对重要的配置文件进行备份 77 C2 级都具备这个功能 重点关注重要文件 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 c 操作系统遵循最小安装的原则 仅安装需要的组件和应用程序 并通过设置升级服务器等方式保持系统补丁及时得到更新 条款理解 对于本项而言 主要涉及到两个方面的内容 分别是 系统服 务 补丁升级 遵循最小安装原则 仅开启需要的服务 安装 需要的组件和程序 可以极大的降低系统遭受攻击的可能性 及时更新系统补丁 可以避免遭受由系统漏洞带来的风险 及更新统补 以免受统漏洞带来风险 78 只装核心 需要添加 可有可无 不要 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 c 操作系统遵循最小安装的原则 仅安装需要的组件和应用程序 并通过设置升级服务器等方式保持系统补丁及时得到更新 检查方法 Windows 1 查看目前系统中运行的服务如 Alerter Remote Registry Service Messenger Task Scheduler是否已启动 2 访谈并查看系统补丁升级方式 以及最新的补丁更新情况 开 始 设置 控制面板 添加删除程序 更改或删 除程序 按照记录的系统安全补丁编号KBxxxxxx 79 补丁更新要经过测试 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 1 不要安装不需要的网络协议不要安装不需要的网络协议 2删除不必要的服务和组件删除不必要的服务和组件2 删除不必要的服务和组件删除不必要的服务和组件 80 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 81 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 c 操作系统遵循最小安装的原则 仅安装需要的组件和应用程序 并通过设置升级服务器等方式保持系统补丁及时得到更新 并通过设置升级服务器等方式保持系统补丁及时得到更新 检查方法 Lin Linux 1 访谈系统管理员系统目前是否采取了最小安装原则 2确认系统目前正在运行的服务 service status all grep2 确认系统目前正在运行的服务 service status all grep running 查看并确认是否已经关闭危险的网络服务如echo shellloginfingerr命令等关闭非必需的网络服务如talkshell login finger r命令等 关闭非必需的网络服务如talk ntalk pop 2 Sendmail Imapd Pop3d等 3 访谈补丁升级机制 查看补丁安装情况 3 访谈补丁升级机制 查看补丁安装情况 rpm qa grep patch 82 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 83 现场测评内容与方法现场测评内容与方法 入侵防范入侵防范 小结小结 在三级系统中 入侵防范共有3个检查项 分别 是入侵行为的记录和报警重要文件的完整性保是入侵行为的记录和报警 重要文件的完整性保 护 最小安装原则 84 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别身份鉴别身份鉴别 访问控制访问控制访问控制访问控制 安全审计安全审计安全审计安全审计安全审计安全审计安全审计安全审计 剩余信息保护剩余信息保护剩余信息保护剩余信息保护 入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范 恶意代码防范恶意代码防范恶意代码防范恶意代码防范 系统资源控制系统资源控制系统资源控制系统资源控制 备份与恢复备份与恢复备份与恢复备份与恢复 85 备份与恢复备份与恢复备份与恢复备份与恢复 现场测评内容与方法现场测评内容与方法 恶意代码防范恶意代码防范 a 应安装防恶意代码软件 并及时更新防恶意代码软件版本和恶 意代码库 条款理解 无论是Windows主机还是Linux主机 都面临着木马 蠕虫等病毒软 件的破坏 因此一般的主机为防范病毒 均会安装反病毒软件 如 Norton Anti Virus 金山毒霸等 并且通常也能及时更新病毒库 检查方法 查看系统中安装了什么防病毒软件 询问管理员病毒库是否经常更新 查看病毒库的最新版本更新日期是否超过一个星期 86 现场测评内容与方法现场测评内容与方法 恶意代码防范恶意代码防范 b 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意 代码库 条款理解 基于网络和基于主机的防病毒软件在系统上应构成立体的防护 结构 属于深层防御的一部分 因此基于网络的防病毒软件的 病毒库应与基于主机的防病毒软件的病毒库不同 检查方法检方法 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什 么病毒库 么病毒库 87 现场测评内容与方法现场测评内容与方法 恶意代码防范恶意代码防范 c 应支持恶意代码防范的统一管理 条款理解 一个机构的病毒管理应满足木桶原理 只有当所有主机都及时 根新了病毒库才能够做到防止病毒的入侵 因此应有统一的病 毒管理策略 例如统一更新 定时查杀等 检查方法 询问系统管理员是否采有统一的病毒根新策略和查杀策略 问统管员是否采有统病毒根新策略和策略 88 现场测评内容与方法现场测评内容与方法 恶意代码防范恶意代码防范 89 现场测评内容与方法现场测评内容与方法 恶意代码防范恶意代码防范 小结小结 在三级系统中 恶意代码防范共有3个检查项 分别是安装防恶意代码软件主机的防恶意代码分别是安装防恶意代码软件 主机的防恶意代码 库和网络防恶意代码库的差别 防恶意代码软件 的统一管理 90 防管结合 预防病毒体系有效方式 1 安全补丁管理平台 2 防火墙 屏例如蔽一 些端口 屏蔽一些包等 3 网络入侵检测 I D S 4 系统和数据的备份 现场测评内容与方法现场测评内容与方法 身份鉴别身份鉴别身份鉴别身份鉴别 访问控制访问控制访问控制访问控制 安全审计安全审计安全审计安全审计安全审计安全审计安全审计安全审计 剩余信息保护剩余信息保护剩余信息保护剩余信息保护 入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范入侵防范 恶意代码防范恶意代码防范恶意代码防范恶意代码防范 系统资源控制系统资源控制系统资源控制系统资源控制 备份与恢复备份与恢复备份与恢复备份与恢复 91 备份与恢复备份与恢复备份与恢复备份与恢复 现场测评内容与方法现场测评内容与方法 系统资源控制系统资源控制 a 应通过设定终端接入方式 网络地址范围等条件限制终端登录 条款理解 系统资源概念是指CPU 储存空间 传输带宽等软硬件资源 通过设定终端接入方式 网络地址范围等条件限制终端登录 可以极大的节省系统资源 保证了系统的可用性 同时也提高 了系统的安全性 对于Windows系统自身来说 可以通过主 机防火墙或TCP IP筛选来实现以上功能 机防火墙或筛来实现以功 92 3层以上交换机才能做 现场测评内容与方法现场测评内容与方法 系统资源控制系统资源控制 a 应通过设定终端接入方式 网络地址范围等条件限制终端登录 检查方法 Windows 1 询问并查看系统是否开启了主机防火墙或TCP IP筛选 功能 2 询问并查看是否通过网络设备或硬件防火墙实现了此项 要求 要求 93 现场测评内容与方法现场测评内容与方法 系统资源控制系统资源控制 94 现场测评内容与方法现场测评内容与方法 系统资源控制系统资源控制 a 应通过设定终端接入方式 网络地址范围等条件限制终端登录 检查方法 Linux 1 采用查看方式 在root权限下 使用命令more cat 或vi查看 etc hosts deny 中是否有 ALL ALL 禁止所有的请求 2 采用查看方式 在root权限下 使用命令more cat 采用看方式 在权限下 使用命令 或vi查看 etc hosts allow中 是否有如下配置 举例 sshd 192 168 1 10 255 255 255 0sshd 192 168 1 10 255 255 255 0 限制ip及其访问方式 95 现场测评内容与方法现场测评内容与方法 系统资源控制系统资源控制 b 根据安全策略设置登录终端的操作超时锁定 条款理解 如果系统管理员在离开系统之前忘记注销管理员账户 那么可能存在 被恶意用户利用或被其他非授权用户误用的可能性 从而对系统带来 不可控的安全隐患 96 监窥 现场测评内容与方法现场测评内容与方法 系统资源控制系统资源控制 b 根据安全策略设置登录终端的操作超时锁定 检查方法 Windows 1 查看登录终端是否开启了带密码的屏幕保护功能 2 打开 组策略 在 计算机配置 管理模板 Windows 组件 终端服务 会话 中 查看在 空 闲会话限制 中 是否配置了空闲的会话 没有客户端活动的会 话 继续留在服务器上的最长时间 Linux 查看 etc profile中的TIMEOUT环境变量 97 现场测评内容与方法现场测评内容与方法 系统资源控制系统资源控制 c 应对重要服务器进行监视 包括监视服务器的CPU 硬盘 内 存 网络等资源的使用情况 条款理解 对主机的监控除了做到人工监控外 另一个主要方面是自动监 控 目前自动监控的主要方法是设定资源报警阈值 以便在资 源使用超过规定数值时发出报警 检查方法检方法 1 询问系统管理员是