安全等级保护技术培训教材_主机部分_V21

1、信息安全培训信息安全培训主机系统安全测评主机系统安全测评1目录目录1. 前言前言2. 测评准备工作测评准备工作3. 现场测评内容与方法现场测评内容与方法4. 总结总结2前言前言3前言前言 主机的相关知识点主机的相关知识点主机按照其规模或系统功能来区分规模或系统功能来区分，可分为巨型、大型、中型、小型、微型计算机和单片机主机安全主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现，主机测评则是依据基本要求对主机安全进行符合性检查。目前运行在主机上的主流的操纵系统主流的操纵系统有Windows、Linux、SunSolaris 、IBM AIX、HP-UX等等4操作系统级别Li

2、Linux/Unix/Netware/U i /NC2级MS WinNT/2000C2C 级SalorisC2级DOS/Win9XD级前言前言 测评对象是主机上各种类型的操作系统。测评对象是主机上各种类型的操作系统。5层面一级二级三级四级主机安全主机安全6193236层面一级二级三级四级主机安全主机安全4679前言前言 基本要求中主机各级别的控制点和要求项对比基本要求中主机各级别的控制点和要求项对比不同级别系统控制点的差异不同级别系统要求项的差异6前言前言 熟悉操作系统自带的管理工具熟悉操作系统自带的管理工具 WindowsComputer managementMicrosoft manage

3、ment console (mmc)Registry editorCommand prompt Linux常用命令：cat、more、ls等具备查看功能的命令7前言前言 MMCMMC是用来创建、保存、打开管理工具的控制台，在其中可以通过添加各种管理工具插件来实现对软硬件和系统的管理，8前言前言 MMCmmc本身不提供管理功能，而是通过各个管理单元（snap-in）来完成的。9前言前言 检查流程检查流程现场测评准备现场测评和结果记录结果确认和资料归还10内容目录内容目录1. 前言前言2. 测评准备工作测评准备工作3. 现场测评内容与方法现场测评内容与方法4. 总结总结11测评准备工作测评准备工作

4、 信息收集信息收集 服务器设备名称、型号、所属网络区域、操作系统版本、IP地址、安装应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门12测评准备工作测评准备工作 测评指导书准备测评指导书准备根据信息收集的内容，结合主机所属等级，编写测评指导书。注意：测评方法、步骤一定明确、清晰。13目录目录1. 前言前言2. 测评准备工作测评准备工作3. 现场测评内容与方法现场测评内容与方法4. 总结总结14现场测评内容与方法现场测评内容与方法身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复15现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别a) 应对登录操

5、作系统和数据库系统的用户进行身份标识和鉴别。应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 条款理解条款理解用户的身份标识和鉴别，就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的身份是否属实的过程。16现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别SAMWinlogon明文口令客户端请求登录被散列服务器发出8字节质询8字节质询发送应答用口令对质询进行散列通过比较决定是否允许登录17用口令对质询进行散列并比较现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。应对登录操作系统和数据库系统的用户进行身份

6、标识和鉴别。 检查方法检查方法 Window：访谈系统管理员系统用户是否已设置密码，并查看登陆过程中系统账户是否使用了密码进行验证登陆。 Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态。18现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别#cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon: :2:2:daemon:/sbin:/sbin/nologin#cat /etc/sha

7、dowroot:$1$crpkUkzg$hLl/dYWm1wY4J6FqSG2jS0:14296:0:99999:7:bin:$1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0daemon:*:14296:0:99999:7:.19现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。特点，口令应有复杂度要求并定期更换。 条款理解条款理解要求系统应具有一定的密码策略，如设置密码历史记录、

8、设置密码最长使用期限、设置密码最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密。20现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。特点，口令应有复杂度要求并定期更换。 检查方法检查方法 Windows:本地安全策略-帐户策略-密码策略中的相关项目 Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/login.defs文件中相关配置参数21现场测评内容与方法现场测评内容与方法身份鉴别身

9、份鉴别22现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别#more /etc/login.defsPASS_MAX_DAYS 90 #登录密码有效期90天PASS_MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次PASS_MIN_LEN 8 #登录密码最小长度8位PASS_WARN_AGE 7 #登录密码过期提前7天提示修改FAIL_DELAY 10 #登录错误时等待时间10秒FAILLOG_ENAB yes #登录错误记录到日志SYSLOG_SU_ENAB yes #当限定超级用户管理日志时使用SYSLOG_SG_ENAB yes #当限定超级用户组管理日

10、志时使用MD5_CRYPT_ENAB yes #当使用md5为密码的加密方法时使用23现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。数和自动退出等措施。 条款理解条款理解要求系统应具有一定的登录控制功能。可以通过适当的配置“帐户锁定策略”来对用户的登录进行限制。如帐户锁定阈值，帐户锁定时间等。24现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次应启用登录失败处理功能，可采取结束会话、限制非法登

11、录次数和自动退出等措施。数和自动退出等措施。 检查方法检查方法 Windows:本地安全策略-帐户策略-帐户锁定策略中的相关项目 Linux:采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/pam.d/system-auth文件中相关配置参数25现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别26现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别# cat /etc/pam.d/system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next

12、time authconfig is run.authauthauthauthaccountaccountrequiredsufficientrequisiterequiredrequiredsufficientpam_env.sopam_unix.so nullok try_first_passpam_succeed_if.so uid = 500 quietpam_deny.sopam_unix.sopam_succeed_if.so uid “计算机管理”-“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。 Linux:采用查看方式，在root权限下，使用命令more、cat或

13、vi查看/etc/passwd文件中用户名信息32现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。别。 条款理解条款理解对于三级以上的操作系统应使用两种或两种以上组合的鉴别技术实现用户身份鉴别，如密码和令牌的组合使用等。 检查方法检查方法访谈系统管理员，询问系统除用户名口令外有无其他身份鉴别方法，如有没有令牌等。33现场测评内容与方法现场测评内容与方法身份鉴别身份鉴别 小结小结 在三级系统中，身份鉴别共有6个检查项，分别是身份的标识、密码口令的复杂度设置、登录失败的处理、远

14、程管理的传输模式、用户名的唯一性以及身份组合鉴别技术。34现场测评内容与方法现场测评内容与方法身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复35现场测评内容与方法现场测评内容与方法访问控制访问控制a) 应启用访问控制功能，依据安全策略控制用户对资源的访问。应启用访问控制功能，依据安全策略控制用户对资源的访问。 条款理解条款理解访问控制是安全防范和保护的主要策略，它不仅应用于网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源。对于本项而言，主要涉及到两个方面的内容，分别是：文

15、件权限文件权限默认共享默认共享36现场测评内容与方法现场测评内容与方法访问控制访问控制a) 应启用访问控制功能，依据安全策略控制用户对资源的访问。应启用访问控制功能，依据安全策略控制用户对资源的访问。 检查方法检查方法 Windows:1、选择%systemdrive%windowssystem、%systemrootsystem32config、等相应的文件夹，右键选择“属性”“安全”，查看everyone组、users组和administrators组的权限设置；2、在命令行模式下输入net share，查看共享；并查看注册表：HKEY_LOCAL_MACHINESYSTEMCurrent

16、ControlSetControlLsarestrictanonymous值是否为“0”（0表示共享开启）37现场测评内容与方法现场测评内容与方法访问控制访问控制a) 应启用访问控制功能，依据安全策略控制用户对资源的访问。应启用访问控制功能，依据安全策略控制用户对资源的访问。 检查方法检查方法 Linux:采用查看方式，在root权限下，使用命令ls -l查看/etc/passwd 、/etc/shadow、 /etc/rc3.d 、/etc/profile 、/etc/inet.conf 、/etc/xinet.conf的权限说明：-rwx-:等于数字表示700。-rw-rw-r-x:等于数

17、字表示665。-rwxrr-:等于数字表示744。drwxxx:等于数字表示711。drwx-:等于数字表示700。38现场测评内容与方法现场测评内容与方法访问控制访问控制b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。仅授予管理用户所需的最小权限。 条款理解条款理解根据管理用户的角色对权限作出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块进行一些授权管理，并且系统的授权安全管理工作要做到细致，仅授予管理用户所需的最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限。39现场测评内容

18、与方法现场测评内容与方法访问控制访问控制b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。仅授予管理用户所需的最小权限。 检查方法检查方法记录系统是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。40现场测评内容与方法现场测评内容与方法访问控制访问控制41现场测评内容与方法现场测评内容与方法访问控制访问控制c) 应实现操作系统和数据库系统特权用户的权限分离。应实现操作系统和数据库系统特权用户的权限分离。 条款理解条款理解操作系统特权用户可能拥有以下

19、一些权限：安装和配置系统的硬件和软件、建立和管理用户帐户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些人为的误操作，做到了职责明确。42现场测评内容与方法现场测评内容与方法访问控制访问控制c) 应实现操作系统和数据库系统特权用户的权限分离。应实现操作系统和数据库系统特权用户的权限分离。 检查方法检查方法结合系统管理员的组成情况，判定是否实现了该项要求43现场测

20、评内容与方法现场测评内容与方法访问控制访问控制d) 应严格限制默认账户的访问权限，重命名系统默认账户，并修应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令。改这些账户的默认口令。 条款理解条款理解对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。44现场测评内容与方法现场测评内容与方法访问控制访问控制d) 应严

21、格限制默认账户的访问权限，重命名系统默认账户，并修应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令。改这些账户的默认口令。 检查方法检查方法查看默认用户名是否重命名查看guest等默认账户是否已禁用45现场测评内容与方法现场测评内容与方法访问控制访问控制e）应及时删除多余的、过期的账户，避免共享账户的存在。）应及时删除多余的、过期的账户，避免共享账户的存在。 条款理解条款理解对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限

22、已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。46现场测评内容与方法现场测评内容与方法访问控制访问控制e）应及时删除多余的、过期的账户，避免共享账户的存在。）应及时删除多余的、过期的账户，避免共享账户的存在。 检查方法检查方法查看是否存在多余的、过期的帐户，避免共享帐户47现场测评内容与方法现场测评内容与方法访问控制访问控制f）应对重要信息资源设置敏感标记。）应对重要信息资源设置敏感标记。g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。作。 条款理解条款理

23、解敏感标记是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。48现场测评内容与方法现场测评内容与方法访问控制访问控制f）应对重要信息资源设置敏感标记。）应对重要信息资源设置敏感标记。g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。作。 检查方法检查方法 询问管理员是否对重要信息资源设置敏感标记 询问或查看目前的敏感标记策略的相关设置，如：

24、如何划分敏感标记分类，如何设定访问权限等49现场测评内容与方法现场测评内容与方法访问控制访问控制 小结小结 在三级系统中，访问控制共有7个检查项，分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离、默认用户的访问权限、账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制。50现场测评内容与方法现场测评内容与方法身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复51现场测评内容与方法现场测评内容与方法安全审计安全审计a) 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户安全审计应覆盖到服务器和重要客户端上的每个

25、操作系统用户和数据库用户。和数据库用户。 条款理解条款理解安全审计定义是保障计算机系统本地安全和网络安全的重要技术，通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此覆盖范围必须要到每个操作系统用户和数据库用户。 检查方法检查方法查看系统是否开启了安全审计功能询问并查看是否有第三方审计工具或系统52现场测评内容与方法现场测评内容与方法安全审计安全审计b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。统命令的使用等系统内重要的安全相关事件。 条款

26、理解条款理解有效合理的配置安全审计内容，能够及时准确的了解和判断安全事件的内容和性质，并且可以极大的节省系统资源。53现场测评内容与方法现场测评内容与方法安全审计安全审计b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。统命令的使用等系统内重要的安全相关事件。 检查方法检查方法 Windows在“安全设置”中，展开“本地策略”，显示“审核策略”、“用户权利指派”以及“安全选项”策略。54现场测评内容与方法现场测评内容与方法安全审计安全审计55现场测评内容与方法现场测评内容与方法安全审计安全审

27、计b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。统命令的使用等系统内重要的安全相关事件。 检查方法检查方法 Linux采用查看方式，在root权限下，查看审计服务是否启动，查看审计配置文件。涉及命令如下：56现场测评内容与方法现场测评内容与方法安全审计安全审计1、查看服务状态：#service syslog status#service audit status或#service status-all | grep running2、查看是否启用如下配置：#grep “priv-ops”

28、 /etc/audit/filter.confgrep “mount-ops” /etc/audit/filter.confgrep “system-ops” /etc/audit/filter.conf57现场测评内容与方法现场测评内容与方法安全审计安全审计c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。识和结果等。 条款理解条款理解审计记录是指跟踪指定数据库的使用状态产生的信息，它应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。通过记录中的详细信息，能够帮助管理员或其他相关检查人员准确的分析和定位事件

29、。58现场测评内容与方法现场测评内容与方法安全审计安全审计c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。识和结果等。 检查方法检查方法 Windows查看：事件查看器 Linux在root权限下，使用命令more、cat或vi查看/var/log/audit.d文件59现场测评内容与方法现场测评内容与方法安全审计安全审计60Windows日志分为三种：日志分为三种： 应用程序日志应用程序日志 ； 系统日志系统日志 ； 安全日志。安全日志。现场测评内容与方法现场测评内容与方法安全审计安全审计查看audit记录如下：6

30、0582005-04-22T17:06:35 19440-1 execve(/usr/bin/find,find, /usr/lib, -name, *.jar, data, len=0)2005-04-22T17:06:35 194416058-1 open(/etc/ld.so.preload,O_RDONLY); result=-2 No such file or directory2005-04-22T17:06:35 19442O_RDONLY); result=32005-04-22T17:06:35 1944360586058-1 open(/etc/ld.so.cache,-1

31、 open(/lib/tls/libc-2.3.2.so, O_RDONLY); result=361现场测评内容与方法现场测评内容与方法安全审计安全审计d）应能够根据记录数据进行分析，并生成审计报表。）应能够根据记录数据进行分析，并生成审计报表。 条款理解条款理解安全审计将会产生各种复杂日志信息，巨大的工作量使得管理员手工查看并分析各种日志内容是不现实的，而且很难有效地对事件分析和定位，因此必须提供一种直观的分析报告及统计报表的自动生成机制，对审计产生的记录数据进行统一管理与处理，并将日志关联起来，来保证管理员能够及时、有效发现系统中各种异常状况及安全事件。 检查方法检查方法查看对审计记录的

32、查看、分析和生成审计报表情况62现场测评内容与方法现场测评内容与方法安全审计安全审计e）应保护审计进程，避免受到未预期的中断。）应保护审计进程，避免受到未预期的中断。 条款理解条款理解保护好审计进程，当避免当事件发生时，能够及时记录事件发生的详细内容。 检查方法检查方法 WindowsWindows系统具备了在审计进程自我保护方面功能 LinuxAuditd是Linux中的审计守护进程，syslogd是Linux中的日志守护进程，因此可以通过services命令查看其状态63现场测评内容与方法现场测评内容与方法安全审计安全审计f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。应保护审计

33、记录，避免受到未预期的删除、修改或覆盖等。 条款理解条款理解非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的方法就是去看系统纪录和安全审计文件。因此，必须对审计记录进行安全保护，避免受到未预期的删除、修改或覆盖等。64现场测评内容与方法现场测评内容与方法安全审计安全审计f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。应保护审计记录，避免受到未预期的删除、修改或覆盖等。 检查方法检查方法 Window访谈审计记录的存储、备份和保护的措施，如配置日志服务器等 Linux1、以 root 身份登录进入 linux2、查看日志访问权限：ls la /va

34、r/log/audit.d3、访谈审计记录的存储、备份和保护的措施，如配置日志服务器等。65现场测评内容与方法现场测评内容与方法安全审计安全审计 小结小结 在三级系统中，安全审计共有6个检查项，分别是审计范围、审计的事件、审计记录格式、审计报表得生成、审计进程保护和审计记录的保护。66现场测评内容与方法现场测评内容与方法身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复67现场测评内容与方法现场测评内容与方法剩余信息保护剩余信息保护a) 应保证操作系统和数据库管理系统用户的鉴别信息所在的存储应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给

35、其他用户前得到完全清除，无论这些空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。信息是存放在硬盘上还是在内存中。 条款理解条款理解剩余信息保护是指操作系统用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全清除。 检查方法检查方法打开“本地安全策略”-本地策略中的安全选项查看是否启用 “不显示上次登录用户名”68现场测评内容与方法现场测评内容与方法剩余信息保护剩余信息保护b）应确保系统内的文件、目录和数据库记录等资源所在的存储空）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。间，被释放或重新分

36、配给其他用户前得到完全清除。 条款理解条款理解由于主存与辅存价格和性能的差异，现代操作系统普遍采用辅存作为缓存，对于缓存使用的安全问题也尤其重要。 检查方法检查方法打开“本地安全策略”-本地策略中的安全选项查看是否选中“关机前清除虚拟内存页面”打开“本地安全策略”-“帐户策略”中的密码策略查看是否选中“用可还原的加密来存储密码”69操作系统级别Linux/Unix/NetwareC2级MS WinNT/2000C2级SalorisC2级DOS/Win9XD级现场测评内容与方法现场测评内容与方法剩余信息保护剩余信息保护 满足满足C2级别的各种类型的操作系统级别的各种类型的操作系统70现场测评内容

37、与方法现场测评内容与方法剩余信息保护剩余信息保护 小结小结 在三级系统中，剩余信息保护共有2个检查项，分别是鉴别信息清空、文件记录等的清空。71现场测评内容与方法现场测评内容与方法身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复72现场测评内容与方法现场测评内容与方法入侵防范入侵防范a) 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。入侵事件时提供报警。 条款理解条款理解要维护

38、系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件 检查方法检查方法询问系统管理员是否经常查看系统日志并对其进行分析。询问是否安装了主机入侵检测软件，查看已安装的主机入侵检查系统的配置情况，是否具备报警功能。询问并查看是否有第三方入侵检测系统是否有第三方入侵检测系统，如IDS。73现场测评内容与方法现场测评内容与方法入侵防范入侵防范1. 过滤不需要使用的端口；2. 过滤不需要的应用层网络服务；3. 过滤ICMP数据包；74现场测评内容与方法现场测评内容与方法入侵防范入侵防范75Windows XP 以 后 版 本 集 成 I

39、nternet 连 接 防 火 墙 (InternetConnection Firewall)现场测评内容与方法现场测评内容与方法入侵防范入侵防范Linux1、访谈并查看入侵检测的措施，如经常通过如下命令查看入侵的重要线索（试图telnet、ftp等），涉及命令“#more /var/log/secure | grep refused”。2、查看是否启用了主机防火墙、TCP SYN保护机制等设置。3、可执行命令：find / -name -print检查是否安装了以下主机入侵检测软件。Dragon Squire by Enterasys Networks、ITA bySymantec、Host

40、sentry by Psionic Software、Logcheck by PsionicSoftware、RealSecure agent by ISS。4、询问是否有第三方入侵检测系统，如IDS，是否具备报警功能。76现场测评内容与方法现场测评内容与方法入侵防范入侵防范b）应能够对重要程序完整性进行检测，并在检测到完整性受到破）应能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。坏后具有恢复的措施。 条款理解条款理解对系统重要文件备份，或者对整个系统进行全备，有利于当系统遭受到破坏后能够得到及时恢复 检查方法检查方法访谈是否对使用一些文件完整性检查工具对重要文件的完

41、整性进行检查，是否对重要的配置文件进行备份。77现场测评内容与方法现场测评内容与方法入侵防范入侵防范c） 操作系统遵循最小安装的原则，仅安装需要的组件和应用程序操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。，并通过设置升级服务器等方式保持系统补丁及时得到更新。 条款理解条款理解对于本项而言，主要涉及到两个方面的内容，分别是：系统服务、补丁升级。遵循最小安装原则，仅开启需要的服务，安装需要的组件和程序，可以极大的降低系统遭受攻击的可能性。及时更新系统补丁，可以避免遭受由系统漏洞带来的风险。78现场测评内容与方法现场测评内容与方法入侵防

42、范入侵防范c） 操作系统遵循最小安装的原则，仅安装需要的组件和应用程序操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。，并通过设置升级服务器等方式保持系统补丁及时得到更新。 检查方法检查方法Windows1、查看目前系统中运行的服务如：Alerter、Remote RegistryService、Messenger、Task Scheduler是否已启动2、访谈并查看系统补丁升级方式，以及最新的补丁更新情况：“开始”“设置”“控制面板”“添加删除程序”“更改或删除程序”，按照记录的系统安全补丁编号KBxxxxxx79现场测评内容与方法

43、现场测评内容与方法入侵防范入侵防范1. 不要安装不需要的网络协议2. 删除不必要的服务和组件80现场测评内容与方法现场测评内容与方法入侵防范入侵防范81现场测评内容与方法现场测评内容与方法入侵防范入侵防范c） 操作系统遵循最小安装的原则，仅安装需要的组件和应用程序操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。，并通过设置升级服务器等方式保持系统补丁及时得到更新。 检查方法检查方法Linux1、访谈系统管理员系统目前是否采取了最小安装原则。2、确认系统目前正在运行的服务：#service status-all | greprunnin

44、g,查看并确认是否已经关闭危险的网络服务如echo、shell、login、finger、r命令等。关闭非必需的网络服务如talk、ntalk、pop-2、Sendmail、Imapd、Pop3d等。3、访谈补丁升级机制，查看补丁安装情况：# rpm qa | grep patch82现场测评内容与方法现场测评内容与方法入侵防范入侵防范83现场测评内容与方法现场测评内容与方法入侵防范入侵防范 小结小结 在三级系统中，入侵防范共有3个检查项，分别是入侵行为的记录和报警、重要文件的完整性保护、最小安装原则。84现场测评内容与方法现场测评内容与方法恶意代码防范恶意代码防范a) 应安装防恶意代码软件，

45、并及时更新防恶意代码软件版本和恶应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。意代码库。 条款理解条款理解无论是Windows主机还是Linux主机，都面临着木马、蠕虫等病毒软件的破坏。因此一般的主机为防范病毒，均会安装反病毒软件，如Norton Anti-Virus、金山毒霸等，并且通常也能及时更新病毒库。 检查方法检查方法查看系统中安装了什么防病毒软件。询问管理员病毒库是否经常更新。查看病毒库的最新版本更新日期是否超过一个星期。86现场测评内容与方法现场测评内容与方法恶意代码防范恶意代码防范b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意主机防恶意代码产品应具

46、有与网络防恶意代码产品不同的恶意代码库。代码库。 条款理解条款理解基于网络和基于主机的防病毒软件在系统上应构成立体的防护结构，属于深层防御的一部分。因此基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同。 检查方法检查方法询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。87现场测评内容与方法现场测评内容与方法恶意代码防范恶意代码防范c）应支持恶意代码防范的统一管理。）应支持恶意代码防范的统一管理。 条款理解条款理解一个机构的病毒管理应满足木桶原理，只有当所有主机都及时根新了病毒库才能够做到防止病毒的入侵。因此应有统一的病毒管理策略。例如统一更新，定时查杀等。 检查

47、方法检查方法询问系统管理员是否采有统一的病毒根新策略和查杀策略。88现场测评内容与方法现场测评内容与方法恶意代码防范恶意代码防范89现场测评内容与方法现场测评内容与方法恶意代码防范恶意代码防范 小结小结 在三级系统中，恶意代码防范共有3个检查项，分别是安装防恶意代码软件、主机的防恶意代码库和网络防恶意代码库的差别、防恶意代码软件的统一管理。90现场测评内容与方法现场测评内容与方法身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复91现场测评内容与方法现场测评内容与方法系统资源控制系统资源控制a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录应通过设定终端接

48、入方式、网络地址范围等条件限制终端登录 条款理解条款理解系统资源概念是指CPU、储存空间、传输带宽等软硬件资源。通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大的节省系统资源，保证了系统的可用性，同时也提高了系统的安全性。对于Windows系统自身来说，可以通过主机防火墙或TCP/IP筛选来实现以上功能。92现场测评内容与方法现场测评内容与方法系统资源控制系统资源控制a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录应通过设定终端接入方式、网络地址范围等条件限制终端登录 检查方法检查方法 Windows1、询问并查看系统是否开启了主机防火墙或TCP/IP筛选功能。2、询

49、问并查看是否通过网络设备或硬件防火墙实现了此项要求。93现场测评内容与方法现场测评内容与方法系统资源控制系统资源控制94现场测评内容与方法现场测评内容与方法系统资源控制系统资源控制a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录应通过设定终端接入方式、网络地址范围等条件限制终端登录 检查方法检查方法 Linux1、采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/hosts.deny 中是否有“ALL: ALL”（禁止所有的请求）2、采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/hosts.allow中，是否有如下配置（举例）

50、:sshd: 0/ 限制ip及其访问方式95现场测评内容与方法现场测评内容与方法系统资源控制系统资源控制b) 根据安全策略设置登录终端的操作超时锁定。根据安全策略设置登录终端的操作超时锁定。 条款理解条款理解如果系统管理员在离开系统之前忘记注销管理员账户，那么可能存在被恶意用户利用或被其他非授权用户误用的可能性，从而对系统带来不可控的安全隐患。96现场测评内容与方法现场测评内容与方法系统资源控制系统资源控制b) 根据安全策略设置登录终端的操作超时锁定。根据安全策略设置登录终端的操作超时锁定。 检查方法检查方法 Windows1、查看登录终端是否开启了带密码的屏幕保护功能。2、打开“组策略”，在“计算机配置”、“管理模板”、“Windows 组件”、“终端服务”、“会话”中，查看在“空闲会话限制”中，是否配置了空闲的会话（没有客户端活动的会话）继续留在服务器上的最长时间。 Linux查看/etc/profile中的TIMEOUT环境变量97现场测评内容与方法现场测评内容与方法系统资源控制系统资源控制c）应对重要服务器进行监视，包括监视服务器的）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内、硬盘、内存、网络等资