信息安全等级测评师培训教程初级学习笔记

第一章网络安全测评11网络全局111结构安全A）应保证主要网络设备的业务处理能力有冗余空间，满足业务高峰期需要B）应保证网络各个部分的带宽满足业务高峰期需要；C）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；D）应绘制与当前运行情况相符的网络拓扑结构图；E）应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网和网段，并按照方便管理和控制的原则为各子网、网段分配地址段F）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段G）应按照对业务服务的重要次序来制定带宽分配优先级别，保证在网络发生拥堵时优先保护重要主机。112边界完整性检查A）应能够对非授权设备私自联到内部网络的行为进行检查，准确定位，并对其进行有效阻断；技术手段网络接入控制，关闭网络设备未使用的端口、IP/MAC地址绑定等管理措施进入机房全程陪同、红外视频监控等B）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定位，并对其进行有效阻断；113入侵防范A）应在网络边界处监视以下攻击行为端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；B）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警114恶意代码防范A）应在网络边界处对恶意代码进行检测和清除；B）应维护恶意代码库的升级和检测系统的更新12路由器121访问控制A）应在网络边界处部署访问控制设备，启用访问控制功能；能够起访问控制功能的设备有网闸、防火墙、路由器和三层路由交换机等B）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；C）应对进出网络的信息内容进行过滤，实现对应用层HTTP,FTP,TELNET,SMTP,POP3等协议命令级的控制D）应在会话处于非活跃一定时间或会话结束后终止网络连接；E）应限制网络最大流量数及网络连接数；路由器可根据IP地址、端口、协议来限制应用数据流的最大流量；根据IP地址来限制网络连接数路由器的带宽策略一般采用分层的带宽管理机制，管理员可以通过设置细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议4个方面来限制带宽F）重要网段应采取技术手段防止地址欺骗地址欺骗中的地址可以使MAC地址，也可以使IP地址。目前发生比较多的是ARP地址欺骗，ARP地址欺骗是MAC地址欺骗的一种。ARP（ADDRESSRESOLUTIONPROTOCOL，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。ARP欺骗分为2种，一种是对网络设备ARP表的欺骗，另一种是对内网PC的网关欺骗。解决方法1在网络设备中把所有PC的IPMAC输入到一个静态表中，这叫IPMAC绑定；2在内网所有PC上设置网关的静态ARP信息，这叫PCIPMAC绑定。一般要求2个工作都要做，称为IPMAC双向绑定G）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户H）应限制具有拨号访问权限的用户数量122安全审计A）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；B）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；C）应能够根据记录数据进行分析，并生成审计报表；D）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；123网络设备防护A）应对登陆网络设备的用户进行身份鉴别；用户登录路由器的方式包括1利用控制台端口（CONSOLE）通过串口进行本地连接登录；2利用辅助端口（AUX）通过MODEM进行远程拨号连接登录3利用虚拟终端（VTY）通过TCP/IP网络进行远程登录无论哪一种登录方式，都需要对用户身份进行鉴别，口令是路由器用来防止非授权访问的常用手段，是路由器安全的一部分。需要加强对路由器口令的管理，包括口令的设置和存储，最好的口令存储方式是保存在TACACS或RADIUS认证服务器上。检查方法1）在特权模式下输入命令SHOWRUNNINGCONFIG会输出该路由器相关配置信息2）检查配置信息中是否存在类似如下的配置信息LINEVTY04（虚拟终端）LOGINPASSWORDXXXXXLINEAUX0（辅助端口）LOGINPASSWORDXXXXXXLINECON0（控制台端口）LOGINPASSWORDXXXXX3）为特权用户设置口令时，应当使用ENABLESECRET命令该命令用于设定具有管理员权限的口令，ENABLESECRET命令采用的是MD5算法，这种算法比ENABLEPASSWORD加密算法强，不容易被破解。4）如果设备启用了AAA认证，则查看配置信息应当存在类似如下配置信息AAANEWMODELTACACSSERVERHOST19216811SINGLECONNECTINGTACACSSERVERKEYSHARED1AAANEWMODELRADIUSSERVERHOST19216811RADIUSSERVERKEYSHARED1LINEVTY04AAAAUTHORIZATIONLOGINB）应对网络设备的管理员登录地址进行限制；C）网络设备用户的标识应唯一；D）主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别；双因子鉴别还需要访问者拥有鉴别特征采用令牌、智能卡、数字证书和生物信息等E）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；F）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；G）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；不应当使用明文传送的TELNET、HTTP服务，应当采用SSH、HTTPS等加密协议等方式来进行交互式管理H）应实现设备特权用户的权限分离；13交换机131访问控制A）应在网络边界部署访问控制设备，启用访问控制功能；B）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级C）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制D）应在会话处于非活跃一定时间或会话结束后终止网络连接；E）应限制网络最大流量数及网络连接数交换机可根据IP地址、端口、协议来限制应用数据流的最大流量；根据IP地址来限制网络连接数交换机的带宽策略一般采用分层的带宽管理机制，管理员可以通过设置细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议4个方面来限制带宽F）重要网段应采取技术手段防止地址欺骗G）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。132安全审计A）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；B）审计记录应包括时间的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；C）应能够根据记录数据进行分析，并生成审计报表D）应对审计记录进行保护，避免受到未预期的删除、修改或者覆盖等133网络设备保护A）应对登陆网络设备的用户进行身份鉴别；B）应对网络设备的管理员登陆地址进行限制C）网络设备用户的标识须唯一D）主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进行身份鉴别；E）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；F）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；G）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听H）应实现设备特权用户的权限分离133网络设备防护A）应对登录网络设备的用户进行身份鉴别B）应对网络设备的管理员登录地址进行限制；C）网络设备用户的标识应唯一；D）主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别E）身边鉴别信息应该具有不易被冒用的特点，口令应有复杂程度要求并定期更换；F）应具有登录失败处理的功能，可采取结束会话，限制非法登录次数和当网络登录连接超时自动退出的措施；G）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听H）应实现设备特权用户的权限分离14防火墙141访问控制A）应在网络边界部署访问控制设备，启用访问控制功能；B）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；防火墙的安全策略的配置应当根据信息系统的应用进行配置，只允许授权的IP地址、协议、端口通过，对于没有明确允许通过的数据流默认应当是被禁止的。同时可以通过配置NAT、静态地址映射、IP地址绑定等措施隐藏内部网络信息，以最大限度地保证被保护网络的安全C）应对进出网络的信息内容进行过滤，实现对应用层HTTP,FTP,TELNET,SMTP，POP3等协议命令级的控制D）应在会话处于非活跃一定时间或会话结束后终止网络连接；E）应限制网络最大流量数及网络连接数；F）重要网段应采取技术手段防止地址欺骗G）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户H）应限制具有拨号访问权限的用户数量142安全审计A）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；B）审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息；C）应能根据记录数据进行分析，并生成审计报表；D）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；143网络设备防护A）应对登录网络设备的用户进行身份鉴别B）应对网络设备的管理员登录地址进行限制；需要对远程管理防火墙的登录地址进行限制，可以是某一特定的IP地址，也可以来自某一子网、地址范围或地址组C）网络设备用户的标识应唯一；D）主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别E）身份鉴别信息应具有不易被冒用的特点，口令应有复杂程度要求并定期更换；F）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；G）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听H）应实现设备特权用户的权限分离15入侵检测/防御系统151访问控制A）应在网络边界部署控制设备，启用访问控制；此处的访问控制主要指入侵防御系统具有的访问控制功能，入侵检测系统IDS不具有此功能B）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级C）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET，SMTP、POP3等协议命令级的控制；D）应在会话处于非活跃一定时间或会话结束后终止网络连接；E）应限制网络最大流量数及网络连接数F）重要网段应采取技术手段防止地址欺骗G）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；H）应限制具有拨号访问权限的用户数量152安全审计A）应对网络系统中的网络设备进行运行状况、网络流量、用户行为等进行日志记录；B）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息；C）应能够根据记录数据进行分析，并生成审计报表；D）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；153网络设备防护A）应对登录网络设备的用户进行身份鉴别B）应对网络设备的管理员登录地址进行限制；C）网络设备用户的标识应唯一；D）主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进行身份鉴别E）身边鉴别信息应具有不易被冒用的特点，口令应有复杂程度要求并定期更换；F）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施H）应实现设备特权用户的权限分离第2章主机安全测评21操作系统测评211身份鉴别A）应对登录操作系统和数据库系统的用户进行身份标识和鉴别B）操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；WINDOWSOS中查看“本地安全策略账户策略密码策略”中的相关项目1、设置密码历史要求（此设置可确保用户无法复用密码）242、设置密码最长使用期限70天3、设置密码最短使用期限2天4、设置最短密码长度8个字符5、设置密码复杂性要求启用6、启用密码可逆加密不启用LINUXOSPASS_MAX_DAYS90PASS_MIN_DAYS0PASS_MIN_LEN8PASS_WARN_AGE7登录密码过期提前7天提示修改FAIL_DELAY10登录错误时等待时间10秒FAILLOG_ENABYES登录错误记录到日志FAILLOG_SU_ENABYES当限定超级用户管理日志时使用FAILLOG_SG_ENABYES当限定超级用户组管理日志时使用MD5_CRYPT_ENABYES当使用MD5为密码的加密方法时使用C）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施D）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听E）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性F）应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别212访问控制A）应启用访问控制功能，依据安全策略控制用户对资源的访问；访问控制是安全防范和保护的主要策略，它不仅应用与网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法适用和访问，适用访问控制的目的在于通过限制用户对特定资源的访问来保护系统资源。主要涉及2个方面的内容文件系统和默认共享文件权限在WINDOWS系统中，重要目录不能对“EVERYONE”账户开放，在权限控制方面，尤其要注意文件权限更改后对于应用系统的影响；在LINUX系统中，应坚持LINUX系统主要目录的权限设置情况，对于配置文件权限制不能大于644，对于可执行文件不能大于755。以ROOT身份登录LINUX，使用”LSL文件名”查看重要文件和目录权限设置是否合理默认共享WINDOWSOS的默认共享功能的设计初衷是为了方便网管通过网络对计算机进行远程管理而设的，它的存在依赖于系统服务的“SERVER”。为保证系统安全性，通常我们可以将其关闭。LINUXOS通常不存在默认共享1）在命令模式下输入NETSHARE，查看共享2）查看注册表HKEY_LOCAL_MACHINESYSTEMCURRENTCONTROLSETCONTROLLSARESTRICTANONYMOUS值是否为“0”（0表示共享开启）B）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；C）应实现操作系统和数据库系统特权用户的权限分离；D）应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令E）应及时删除多余的、过期的账户，避免共享账户的存在F）应对重要信息资源设置敏感标记；G）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作213安全审计A）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；B）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；C）审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；D）应能够根据记录数据进行分析，并生成审计报表；E）应保护审计进程，避免受到未预期的中断；F）应保护审计记录，避免受到未预期的删除、修改或覆盖等；214剩余信息保护A）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中B）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除；215入侵防范A）应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP，攻击的类型、目的、时间，并在发生严重入侵事件时提供报警；B）应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；C）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新216恶意代码防范A）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；B）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库C）应支持防恶意代码的统一管理217资源控制A）应通过设定终端接入方式、网络地址范围等条件限制终端登录；B）应根据安全策略设置登录终端的操作超时锁定；C）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；D）应限制单个用户对系统资源的最大或最小使用限度；E）应能够对系统的服务水平降低到预先规定的最小值进行检测和报警22数据库系统测评221身份鉴别A）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；B）操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂程度要求并定期更换；C）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施D）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听E）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；F）应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别222访问控制A）应启用访问控制功能，依据安全策略控制用户对资源的访问；B）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；C）应实现操作系统和数据库系统特权用户的权限分离；D）应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；E）应及时删除多余的、过期的账户，避免共享账户的存在；F）应对重要信息资源设置敏感标记；G）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；223安全审计A）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；B）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件C）审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等D）应能根据记录数据进行分析，并生成审计报表；E）应保护审计进程，避免受到未预期的中断；F）应保护审计记录，避免受到未预期的删除、修改或覆盖等；224资源控制A）应通过设定终端接入方式、网络地址范围等条件限制终端登录；B）应根据安全策略设置登录终端的操作超时锁定；C）应限制单个用户对系统资源的最大或最小使用限度第3章应用安全测评31身份鉴别A）应提供专用的登录控制模块对登录用户进行身份标识和鉴别；B）应对同一用户采用2种或者2种以上组合的鉴别技术实现用户身份鉴别；C）应提供用户身份标识唯一和鉴别信息复杂度检测功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；D）应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；E）应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查，以及登录失败处理功能，并根据安全策略配置相关参数；32访问控制A）应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；B）访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；C）应有授权主体配置访问控制策略，并严格限制默认账户的访问权限；D）应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；E）应具有对重要信息资源设置敏感标记的功能；F）应根据安全策略严格控制用户对有敏感标记重要信息资源的操作；33安全审计A）应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；B）应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；C）审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；D）应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能34剩余信息保护A）应保证用户鉴别信息所在的存储空间呗释放或再分配给其他用户前被完全清除，无论这些信息是存放在硬盘上还是在内存中；B）应保证系统内的文件、目录和数据库记录等资源所在的存储空间呗释放或重新分配给其他用户前得到完全清除；35通信完整性A）应采用密码技术保证通信过程中的数据的完整性；36通信保密性A）在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；B）应对通信过程中的整个报文或会话过程进行加密；37抗抵赖A）应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；B）应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能；38软件容错A）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；B）应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复；39资源控制A）当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方面能够自动结束会话；B）应能够对系统的最大并发会话连接数进行限制；C）应能够对单个账户的多重并发会话进行限制；D）应能够对一个时间段内可能的并发会话连接数进行限制；E）应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额；F）应能够对系统服务水平降低到预先规定的最小值进行检测和报警；G）应提供服务优先级设定功能，并在安装后根据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源；第4章数据安全测评41数据完整性A）应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；B）应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；42数据保密性A）应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；B）应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性；43备份和恢复A）应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；B）应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；C）应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；D）应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性第7章工具测试71测试目的工具测试，是利用各种测试工具，通过对目标系统的扫描、探测等操作，使其产生特定的响应等活动，查看、分析响应结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法72测试内容利用工具测试，不仅可以直接获取到目标系统本身存在的系统、应用等方面的漏洞，同时，也可以通过在不同的区域接入测试工具所得到的测试结果，判断不同区域之间的访问控制情况。73测试流程731收集信息1）网络设备目标网络设备的基本信息，如路由器、交换机型号等；需要了解目标系统网络设备的物理端口情况，是否具备接入测试工具的条件；目标网络设备的IP地址2）安全设备目标安全设备的基本信息，比如防火墙，IDS或者特殊安全设备型号等；目标安全设备的IP地址，注意防火墙，IDS等可能工作在透明模式或没有IP地址3）主机目标主机的基本信息，包括主机操作系统，运行的主要应用等目标主机的IP地址目标主机的主要业务时间段，为选择工具测试时间段做准备4）网络拓扑结果目标系统的网络结果，直接影响到测试时的接入点的设置。需要了解目标系统的网络区域划分，比如应用区，数据库区等；目标系统各个网络设备、安全设备的位置；确定目标系统不同区域之间的关系，比如区域级别的关系及区域之间的大概业务数据流程。732规划接入点工具测试的首要原则是在不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。接入点规划的，基本的、共性的原则（1）由低级别系统向高级别系统探测；（2）同一系统同等重要程度功能区域之间要相互探测；（3）由较低重要程度区域向较高重要程度区域探测；（4）由外联接口向系统内部探测；（5）跨网络隔离设备（包括网络设备和安全设备）要分段探测；733编制工具测试作业指导书工具测试作业指导书是工具测试顺利进行、测试证据准确获取的重要保证，是对之前各个准备阶段中获取到信息的总结，也是对我们进行现场工具测试的指导文件。734现场测试现场测试，是工具测试的一个重要实施阶段，也是取得工具测试证据的重要阶段。测试过程中，必须详细记录每一接入点测试的起止时间、接入IP地址（包括接入设备的IP地址配置，掩码、网管配置等）。如果测试过程中出现异常情况，要及时记录。测试结果要及时整理、保存，重要验证步骤要抓图为证，为测试结果的整理准备充足必要的证据。735结果整理从整理的结果中，可以分析出被测系统中各个被测个体存在的漏洞情况，也可以根据各个接入点测试结果的统计整理，分析出各个区域之间的访问控制策略配置情况。74注意事项1）工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段；2）接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认3）对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响（例如口令探测可能会造成的账号锁定等情况），要事先告知被测系统相关人员。4）对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证工具取证。5）对于测试过程中出现的异常情况（服务器出现故障、网络中断等）要及时记录。6）测试结束后，需要被测方人员确认被测系统状态正常并签字后离场。附录A信息安全技术A1标识与鉴别A11技术简介标识是指用户（设备）向信息系统（或对等实体）表明其身份的行为；鉴别是指信息系统利用单一或者多重鉴别机制对用户（设备）所声称身份的真实性进行验证的过程1）基于用户所知的信息例如个人标识号（PIN），口令等2）基于用户所持有的物品例如门卡、智能卡、硬件令牌等记忆令牌、智能令牌3）基于用户特征例如指纹、虹膜、视网膜扫描结果或者其他生物特征等特有信息A12典型产品1）硬件令牌基于时间的动态令牌在一定的时间间隔内根据口令计算器（令牌）通过某种算法和其他要素动态生成一个口令，认证端根据相同的算法和要素计算出同一时刻的口令，进行比对。基于挑战应答的令牌其在实现原理上与时间令牌相似，同样是认证端随机生成挑战数，客户端对其进行加密运算并回传，与认证端相比对。2）数字证书数字证书是由认证中心生成并经认证中心数字签字的，标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。A2访问控制A21技术简介1）按访问控制策略划分自主访问控制、强制访问控制、基于角色的访问控制（ROLEBASEDACCESSCONTROL，RBAC）自主访问控制使用自主访问控制机制的系统允许资源所有者主体自主决定谁可以访问、如何访问其资源（客体）强制访问控制强制访问控制是一种不允许主体干涉的访问控制类型，在强制访问控制机制下，系统内的每一个用户或主体被赋予一个访问标签以表示他对敏感性客体的访问许可级别，同样，系统内的每一个客体也被赋予一个敏感性标签以反映该信息的敏感性级别，系统内的“引用监视器”通过比较主客体相应的标签来决定是否授予一个主体队客体的访问请求。主体对客体的访问必须满足以下条件A主体的安全级别不低于客体的安全级别；B主体的类别包含客体的类别基于角色的访问控制（ROLEBASEDACCESSCONTROL，RBAC）系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予响应的角色，一旦某个用户称为某角色的成员，则此用户可以完成该角色所具有的职能2）按层面划分网络访问控制主要限制网络设备或主机设备可以与哪些设备建立什么样的连接以及通过网络传输什么样的数据主机访问控制主要是指OS和DB提供的访问控制功能；它是限制OS或DB用户或进程可以访问哪些文件系统、系统设备或数据表，以及可以对它们进行哪些访问操作（如读、写、执行等）应用访问控制访问控制往往嵌入应用程序（或中间件）中以提供更细粒度的数据访问控制。通过内置的访问控制模型，应用程序可以限制用户对功能模块和数据的访问，以及对它们可以进行哪些操作等物理访问控制它主要是限制用户对物理环境和设备的物理访问，具体方式有给房间加锁、安装电子门禁系统，以及给设备加上防损设施等A22典型产品1）交换机网络交换机主要是通过其虚拟局域网（VLAN）功能实现网络访问控制；VLAN技术是基于链路层和网络层之间的隔离技术三层交换机由于集成了路由模块，也可以通过路由的访问控制列表实现网络访问控制功能，具体实现原理与路由器的实现原理相同2）路由器路由器工作在网络层，主要是通过访问控制列表来实现访问控制功能。访问控制列表是一种基于简单的包过滤的流向控制技术，在路由器上读取网络层及传输层包头中的信息来源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的标准访问控制列表的具体格式为ACCESSLISTACL号PERMIT/DENYHOSTIP例如ACCESSLIST10DENY19216811也可以对某个网段进行过滤ACCESSLIST10DENY19216810000255（将来自19216810/24的所有计算机数据包进行过滤丢弃）参见PS13）防火墙防火墙是最常见和成熟的网络访问控制产品，它一般部署在网络系统的边界处，属于网络边界的安全保护设备。所谓网络边界是采用不同安全策略的2个网络连接处，比如用户网路和互联网之间连接，和其他业务往来单位的网络连接，用户内网不同部门之间的连接等。根据防火墙的性能和功能，它的访问控制可以达到不同的级别连接控制，控制哪些应用程序终结点之间可建立连接；协议控制，控制用户通过一个应用程序可以进行什么操作；数据控制，防火墙可以控制应用数据流的通过包过滤防火墙根据分组包头源地址、目的地址和端口号、协议类型等标识确定是否允许数据包通过，所根据的信息来源于IP,TCP或UDP包头。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃应用代理防火墙它作用在应用层，分别与客户端和服务器建立单独的连接，彻底隔断内网与外网的直接通信。它在应用层能够提供强大的数据包内容过滤的功能，主要包括阻塞URL地址关键字过滤阻止JAVA，ACTIVEX和JAVASCRIPT等不安全内容的传输防止特洛伊木马的传输防止邮件缓存溢出状态检测防火墙状态检测技术是继“包过滤”技术和“应用代理”技术后发展起来的防火墙技术。它在保留了对每个数据包的头部、协议、地址、端口等信息进行分析的基础上，进一步发展了“会话功能”，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行4）网闸由于防火墙缺乏对未知网络协议漏洞造成的安全问题有效解决，并且无法检测基于内容的网络攻击，而互联网上病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重，由此诞生了基于协议对内容进行检查的产品网闸网闸是使用带有多种控制功能的固态开关读写介质连接2个独立主机系统的信息安全设备。常见的网闸产品主要分为2类空气开关型和专用交换通道型。5）安全操作系统或操作系统加固产品A3密码技术A31技术简介1）对称密钥加密（私钥加密）信息的发送方和接收方用同一个密钥去加密和解密数据。最大优势是加/解密速度快，适合于大数据量进行加密。对称密钥的加密算法有DES,3DES,AES等（3S）对于具有N个用户的网络，需要N（N1）/2个密钥（即CN2）2）非对称密钥加密（公钥加密）需要使用一对密钥来分别完成加密和解密操作，一个公开，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者用私用密钥去解密。非对称密钥加密算法主要有RSA,DSA,和ECC等（AAC）3）单向哈希函数A32典型产品VPN1）VPN概念2）VPN工作原理3）VPN涉及的关键技术IPSEC协议SSL协议4）VPN的应用领域远程访问组建内联网构建外联网A4安全审计和监控A41技术简介1）安全审计安全审计功能记录、跟踪系统运行状况检测安全事件对潜在的攻击者起到震慑或警告作用安全审计的分类系统级、应用级和用户级审计系统级审计要求至少能够记录登陆结果（成功和失败）、登录标识、登录尝试的日期和时间，退出的日期和时间，所使用的设备、登录后运行的内容（如用户启动应用的尝试，无论成功或失败）、修改配置文件的请求等；应用级审计跟踪监控和记录诸如打开和关闭数据文件，读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。用户审计跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试和所访问的文件和资源。2）安全监控概念P276A42典型产品安全审计的典型产品是网络安全审计系统（1），安全监控的典型产品是入侵检测系统（2）和入侵防护系统（3）。1）网络安全审计系统网络安全审计系统提供了一个统一的集中管理平台。对网络中的网络设备、服务器主机、数据库、WEB服务器等通用应用服务系统以及各种特定业务系统在运行过程中产生的日志、消息、状态等信息进行实时采集，在实时分析的基础上，检测各种软硬件系统的运行状态，发现各种异常事件并发出实时告警，并通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告，协助管理人员及时发现安全隐患，采取有效措施。包括网络探测引擎、数据管理中心、审计中心3部分2）入侵检测系统（IDS）通常由数据采集部分、数据分析部分、控制台部分以及日志部分几个部分构成，并且这几个部件往往放在不同的主机上。数据采集部分从整个信息系统中获得事件，并向系统的其他部分提供此事件。数据分析部分分析得到的数据，并产生分析结果。控制台部分则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。日志部分是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。数据采集1系统和网络日志文件2目录和文件中的不期望的改变3程序执行中的不期望行为4物理形式的入侵信息数据分析目前有3种技术手段来进行分析（各有什么优缺点）P280281模式匹配统计分析完整性分析事后分析模式匹配将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为统计分析统计分析的方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常包括文件盒目录的内容及属性，它在发生被更改的，被特洛伊化的应用程序方面特别有效。控制响应方式有记录日志、发出报警声、发送电子邮件通知管理员根据数据采集源的不同，IDS可分为主机型和网络型2种主机型入侵检测系统（HIDS）何时选择、优缺点网络型入侵检测系统（NIDS）概念、部署的地方、优缺点实时的入侵检测3）入侵防御系统（IPS）基于主机的入侵防御系统（HIPS）基于网络的入侵防御系统（NIPS）什么情况下选择IDS，还是IPS需要实地考察应用环境。IPS比较适合于阻止大范围的、针对性不是很强的攻击，但对单独目标的攻击阻截可能失效，自动预防系统也无法阻止专门的恶意攻击者的操作。在金融应用系统中，用户除了关心遭恶意入侵外，更担心误操作引发灾难性后果。这类系统中适合选择IDS。目前IPS还不具备足够智能识别所有对数据库应用的攻击，一般能做的也就是检测缓冲区溢出，另外IPS跟防火墙配置息息相关，如果没有安装防火墙，则没必要安装这类在线工具。如果用户熟知网段中的协议运用并易于统计分析，则可采用这类技术。A5恶意代码防范A51技术简介蠕虫、逻辑炸弹、特洛伊木马等A52典型产品1）防病毒软件2）防病毒网关A6备份与恢复A61技术简介1）数据备份完全备份、差异备份（不清除标记，即备份后不标记为已备份文件）、增量备份（清除标记）2）系统备份本地和远程2种方式本地备份主要使用容错技术和冗余配置来应对硬件故障；远程备份主要应对灾难事件，有热站和冷站的选择3）备份与恢复等级1本地备份、本地保存的冷备份2本地备份、异地保存的冷备份数据备份后送往异地保存，在本地要做好重要网络设备、通信线路和服务器的硬件冗余3本地热备份站点备份4异地活动互援备份主从系统不再固定，而是互为对方的备份系统，且备份中心也放在了异地。根据实际要求与资金投入，还可以选择2个系统之间只限于关键应用和数据的相互备份2个系统之间互为镜像，即0数据丢失等A62典型产品1）双机备份2）单机容错（可以实现更多的可用性）A7WEB安全防护A71技术简介常见的针对WEB攻击的手段有SQL注入利用现有应用程序，将恶意SQL命令注入到后台数据库引擎执行的能力跨站脚本攻击（XSS）它允许恶意WEB用户将代码植入到提供给其他用户使用的页面中。网页挂马网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，再加代码使得木马在打开网页时运行，网页挂马的方法多种多样。A72典型产品1）WEB安全检查服务远程网页木马检查、远程网页漏洞检查2）基于WEB服务器的入侵防御系统（WIPS）基于攻击特征检测方法以SNORT为代表的这种检测方法，类似于传统的IDS，通过抽取SQL注入、XSS攻击中的关键字，构建攻击特征库，依据特征库进行比对检测。缺点漏报率很高，如果设置了过于严格的特征，又可能限制客户的WEB业务体验，甚至产生误报。基于异常攻击检测方法此方法的核心思想是通过学习期的训练，为WEB应用程序自动建立各参数的正常使用模型（URL/COOKIE）。在此后的检测过程中依据此模型来判断实际网络中的各种行为是否异常。优势能够不受限制地发现各种异常行为，但异常并不意味着攻击，其误报率较高，实时性不够。VXIDVXID技术（包括针对SQL注入攻击的VSID技术，以及针对XSS攻击的VXSSD等技术在内的WEB应用攻击防护技术统称）优势这种基于原理的检测方式避免了对固化特征的匹配造成的高漏报率，也避免了由于检测规则过于严苛造成的误报。A8终端安全A81技术简介内网安全问题，实质上并不是因为威胁高深莫测，而是在于内网安全管理有章可循，如果内网安全管理制度能够科学有效执行下去，内网安全问题将得到根本解决。合理管理主要包含以下几个方面（5）A）准入控制B）终端安全检查C）进程管理D）外设监控E）终端审计A82典型产品管理产品很多，比如非法外联监控系统、内网安全管理系统、内网安全风险管理与审计系统和合规管理系统等这些产品一般由客户端代理（CLIENT）、管理服务器（SERVER）和策略网关（CHECKPOINT）等部件组成附录B网络攻击技术B1网络攻击概述B11网络攻击发展1）网络攻击的自动化程度和攻击速度不断提高扫描工具发展攻击传播技术发展攻击工具的控制和协调变得更加容易2）攻击工具越来越复杂攻击工具的特征比以前更难发现，已经具备了反侦破，动态行为，攻击工具更加成熟的特点；3）黑客利用安全漏洞的速度越来越快B12网络攻击分类分类模式类型攻击角度主动攻击和被动攻击攻击目的拒绝服务攻击（DOS）、获取系统权限、获取敏感信息攻击切入点缓冲区溢出、系统设置漏洞纵向实施过程获取初级权限攻击、提升最高权限攻击、后门攻击、跳板攻击攻击的类型对各种OS的攻击、对网络设备的攻击、对特定应用系统的攻击攻击分类在最高层次，攻击可被分为两类主动攻击被动攻击主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口25找出公司运行的邮件服务器的信息；伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。正因为如此，如果要寻找他们是很容易发现的。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。说明这样分类不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。多数情况下这两种类型被联合用于入侵一个站点。但是，大多数被动攻击不一定包括可被跟踪的行为，因此更难被发现。从另一个角度看，主动攻击容易被发现但多数公司都没有发现，所以发现被动攻击的机会几乎是零。再往下一个层次看，当前网络攻击的方法没有规范的分类模式，方法的运用往往非常灵活。从攻击的目的来看，可以有拒绝服务攻击DOS、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。所以说，很难以一个统一的模式对各种攻击手段进行分类。实际上黑客实施一次入侵行为，为达到他的攻击目的会结合采用多种攻击手段，在不同的入侵阶段使用不同的方法。因此在这篇攻击方法讨论中我们按照攻击的步骤，逐一讨论在每一步骤中可采用的攻击方法及可利用的攻击工具。B2网络攻击过程攻击大概分为4个步骤信息搜集阶段，入侵阶段，提升权限阶段，隐藏踪迹阶段B21信息收集攻击者搜集目标信息一般采用7个基本步骤1）找到初始信息一些常见的方法利用公开渠道搜集公司新闻信息、公司员工信息、新闻组WHOIS（程序）攻击者会对一个域名执行WHOIS程序以找到附加的信息通过查看WHOIS的输出，攻击者会得到一些非常有用的信息得到一个物理地址、一些人名和电话号码（可利用来发起一次社交工程攻击）。非常重要的是通过WHOIS可获得攻击域的主要的（及次要的）服务器IP地址NSLOOKUP找到附加IP地址的一个方法是对一个特定域询问DNS另一个得到地址的简单方法是PING域名攻击者得到网络的地址，能够把此网络当作初始点2）找到网络的地址范围当攻击者有了一些机器的IP地址之后，下一步需要做的就是找出网络的地址范围或者子网掩码，以保证攻击者能几种精力对付一个网络而没有闯入其他网络攻击者可以用2种方法找到这一信息ARIN允许任何人搜索WHOIS数据库找到“网络上的定位信息、自治系统号码（ASN）、有关网络句柄和其他有关的接触点（POC）”。ARINWHOIS允许询问IP地址，帮助找到关于子网地址和网络如何被分割的策略信息TRACEROUTE可以知道一个数据包通过网络的路径，因此利用这一信息，能确定主机是否在相同的网络上。攻击者进入和决定公司地址范围的2种方法，既然有了地址范围，攻击者能继续搜集信息，下一步是找到网络上活动的机器3）找到活动机器知道了IP范围之后，攻击者想知道哪些机器是活动的，哪些不是PING使用PING可以找到网络上哪些机器是活动的【一次PING一台机器】PINGWAR一次同时PING多台机器（这种技术叫PINGSWEEPING）NMAP其主要是一个端口扫描仪，但也能PINGSWEEP一个地址范围4）找到开放端口