《等级保护测评》实验指导书（模板）

1、实验五等级保护测评一、实验目的1、掌握路由器设备测评方法。2、掌握Windows系统的测评方法。2、掌握Linux系统的测评方法。二、实验环境路由器(Cisco 2811)模拟器、Windows 系统(Windows Server 2008 R2 X Linux 系统(CentOS )三、实验内容及实验步骤1、路由器设备测评应保证网络设备的业务处理能力满足业务高峰期需要正常业务情况下，CPU、内存不超过90%Routerttshow processes cpu historyRouter 01:31:15 AM Sunday Jan 4 1970 UTC11111100908070605040

2、3020100. 5. 1. 1. 2. 2. 3. 3. 4. 4. 5. 5.0505050505CPU% per second (last 60 seconds)Routerftshow processes memoryProcessor Pool Total:77753888 Used:10308864 Free:67445024I/O Pool Total:16777216 Used:4065504 Free:12711712应在网络边界或区域之间根据访问控制策略设置访问控制规那么，默认情况下除允许通信外受 控接口拒绝所有通信如果网络边界处未部署防火墙或其他平安访问控制设备，那么此处

3、的访问控 制主要指的是路由器。查看是否启用访问控制策略，且最后一条访问控制策略是否 为禁止所有通信。Routerttshow ip access-listsStandard IP access list 1 10 permit 192. 168. 3. 3 20 permit 192. 168. 30. 2 (2 matches)Extended IP access list 102应删除多余或无效的访问控制规那么，优化访问控制列表，并保证访问控制规那么数量最小化。核 查设备是否不存在多余或无效的访问控制策略和核查设备的不同访问控制策略之间的逻辑关系及前后 排列顺序是否合理。应在网络边界、重要

4、网络节点进行平安审计，审计覆盖到每个用户，对重要 的用户行为和重要平安事件进行审计查看交换机日志审计功能的开启情况Console logging、Monitor logging Buffer logging的level设置为informational。假设设备未配置日志服务器，那么 Trap logging可不启用Routerttshow loggingSyslog logging: enabled (1 messages dropped, 2 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disab

5、led)Console logging: level informational, 146 messages logged, xml disabled, filtering disabledMonitor logging: level debugging, 0 messages logged, xml disabled, filtering disabledBuffer logging: level informational, 30 messages logged, xml disabled, filtering disabledLogging Exception size (4096 by

6、tes) Count and timestamp logging messages: enabled或者Routerttshow running-config logging userinfo 记录用户权限相关日志 logging buffered 4096 informational logging console informational logging monitor informational通过访谈网络管理员采用何种方法对用户行为进行记录，并在管理员的配合 下进行验证由于设备本身日志只可对用户登录/登出行为进行记录，需要使用 ACS服务器等其它方式方可对用户的操作行为进行记录；Ci

7、scoworks, solarwinds等网管监控软件可对设备状态进行监控.Routerttshow running-configlogging userinfo 记录用户权限相关日志审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息O Show logging查看日志信息，是否包括事件的日期和时间、用户、事件类 型、事件是否成功及其他与审计相关的信息*Jan 1 09:21:34. 809: %SYS-5-CONFIG_I: Configured from console by console*Jan 1 09:23:22.513: %SEC_L0GIN-4-

8、L0GIN_FAILED: Login failed user: test Source: 192. 168. 30.2 localport: 23 Reason: Login Authentication Failed - BadPassword at 09:23:22 UTC Thu Jan 1 1970 *Jan 1 09:25:10. 773: %SYS-5-CONFIG:Configured from console by console*Jan 1 09:25:16.773: %SYS-6-L0GGINGH0ST_STARTST0P: Logging to host 192. 16

9、8.30.2 stopped - CLI initiated*Jan 1 09:25:16. 773: %SYS-6-L0GGINGH0ST_STARTST0P: Logging to host 192.168.30.2 started - CLI initiated应对审计记录进行保护，定期备份，防止受到未预期的删除、修改或覆盖等访谈网络设备管理员采用何种手段防止了审计日志的未授权修改、删除及破 坏.例如可以设置专门的日志服务器Routerftshow logging Trap logging: level informational, 150 message lines loggedLog

10、ging to 192. 168.30.2 (udp port 514, audit disabled, link up), 57 message lines logged, xml disabled, filtering disabled 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求 并定期更换查看AUX 口、Console 口、VTY 口及特权模式是否设置口令。假设物理环境控制 严格，在AUX 口、Console 口无外联线路的情况下，可不设置口令。2.访谈管理员 口令强度.设置口令并要求8位以上，至少字母加数字，采用口令加密措施并定期 更换口令3,配置

11、文件是否明文存储密码，enable 口令采用secret方式加密。service password-encryption ! enable secret 5$l$ffkM$uSB08WaohEKdcjm0v40LY查看密码策略Routerttshow running-config security authentication failure rate 2 log security passwords min-length 8密码长度最短为 8应具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等 相关措施是否配置端口超时处理功能和登录超时处理功能Routert

12、tshow running-configline vty 0 4exec-timeout 5 0 登录超时timeout login response 300 端口处理超时是否配置登录失败处理功能Routerttshow loginRouter enabled to watch for login Attacks.If more than 5 login failures occur in 60 seconds or less, logins will be disabled for 600 seconds.Routerttshow running-config login block-for

13、 600 attempts 5 within 60 当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听启用SSH方式进行远程管理2.关闭 月瞪及SNMP月瞪 假设启用SNMP服务那么应修改 默认通信字并对其访问进行控制。Routerttshow running-config no ip server line vty 0 4 transport input sshSNMP默认只读通信字为public,默认读写通信字为private,不建议开启 SNMP读写特性；假设设备由带外管理，且带外管理区域人员较为可控，同时对非授权接 入的控制措施较完善，那么使用Telnet方式管理可调

14、整为符合。应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制 Routerttshow running-config access-list 1 permit 192.168.3.3 access-list 1 permit 192.168. 30. 2 line vty 0 4 access-class 1 in应对登录的用户分配账户和权限对不同的用户设定不同的权限Routerttshow running-configusername 360 privilege 15 secret 5 $l$iBv6$yPjODFA1vJVE/kz3Bv6MR1删除多余或无效的访问控制

15、规那么，优化访问控制列表，并保证访问控制规那么 数量最小化核查设备是否不存在多余或无效的访问控制策略和核查设备的不同访问控 制策略之间的逻辑关系及前后排列顺序是否合理。应在网络边界、重要网络节点进 行平安审计，审计覆盖到每个用户，对重要的用户行为和重要平安事件进行审计查看交换机日志审计功能的开启情况Console logging Monitor logging Buffer logging 的 level 设置为 informationalo假设设备未配置日志服务器，那么Trap logging可不启用 Routerttshow loggingSyslog logging: enabled (

16、1 messages dropped, 2 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)Console logging: level informational, 146 messages logged, xml disabled, filtering disabledMonitor logging: level debugging, 0 messages logged, xml disabled, filtering disabledBuffer logging: level i

17、nformational, 30 messages logged, xml disabled, filtering disabledLogging Exception size (4096 bytes)Count and timestamp logging messages: enabled或者 Routerftshow running-config logging buffered 4096 informational logging console informational logging monitor informationalRouter(config)ttlogin on-fai

18、lure logon-success通过访谈网络管理员采用何种方法对用户行为进行记录，并在管理员的配合 下进行验证 由于设备本身日志只可对用户登录/登出行为进行记录，需要使用 ACS服务器等其它方式方可对用户的操作行为进行记录；Ciscoworks . solarwinds等网管监控软件可对设备状态进行监控.Routerttshow running-configlogging userinfo 记录用户权限相关日志应对审计记录进行保护，定期备份，防止受到未预期的删除、修改或覆盖等访谈网络设备管理员采用何种手段防止了审计日志的未授权修改、删除及破坏. 例如可以设置专门的日志服务器Routertt

19、show loggingTrap logging: level informational, 150 message lines loggedLogging to 192. 168. 30. 2 (udp port 514, audit disabled, link up), 57 message lines logged, xml disabled, filtering disabled应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息 具有复杂度要求并定期更换设置AUX .Console 口、VTY 口及特权模式口令。假设物理环境控制严格，在AUX 口、Console 口无

20、外联线路的情况下，可不设置口令。Router(config)#1ine vty 0 4Router (config-line) ttlogin local 开始本地认证Oracle数据库平安加固 启动docker环境 docker run -d -p 8080:8080 -p 1521:1521 sath89/oracle-12c 进入oracle镜像交互式模式 docker exec -it *container ID* /bin/bash 使用 sqlplus 连接 oracle sqlplus sys/oracle as sysdba 启动oracle用户建立密码复杂度校验函数的脚本 /

21、u01/app/oracle-product/12. 1. 0/xe/rdbms/admin/utIpwdmg. sql 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具 有复杂度要求并定期更换设置密码复杂度验证 Oracle 12自带密码复杂度验 证函数 oral2c_verify_function 和 oral2c_strong_verify_function 参考 字段含义 oral2c_verify_function 长度至少为8且至少包含1个数字、1个字符，不能 和用户名相同或相反，不能包含oracle,与之前设置的密码至少有8个不同字符，至少包含1个特殊字符or

22、al2c_strong_verify_function 至少包括2个大写字符、2个小写字符、2 个数字、2.特殊字符，和2前设置的密码至少有4个不同字符oral2c_strong_verify_functionALTER PROFILE default LIMIT PASSWORD_VERIFY_FUNCTION oral2c_strong_verify_function;验证CREATE USER c#test IDENTIFIED BY 123456SQL错误：ORA-28003:指定口令的口令验证失败0RA-20001: Password length less than 928003.

23、 00000 - password verification for the specified password failed*Cause:The new password did not meet the necessary complexityspecifications and the password_verify_function failedAction:Enter a different password. Contact the DBA to know therules forchoosing the new password应具有登录失败处理功能，配置并启用结束会话、限制非

24、法登录次数和当登录 连接超时自动退出等相关措施默认做了账户锁定，可以根据实际情况进行调整字段 含义默认值FAILED_LOGIN_ATTEMPTS尝试登录失败次数10PASSWORD_LOCK_TIME 锁定时间（天）1应重命名或删除默认账户，修改默认账户的默认口令重命名默认用户，如SYS, SYSTEM, scott 2如果使用约定俗成的口令，需要进 行更换仅支持11版本，12版本移了 rename语法alter user scott rename to tiger;应及时删除或停用多余的、过期的账户，防止共享账户的存在应进行角色划分，并授予管理用户所需的最小权限，实现管理用户的权限分 离最

25、小权限原那么是指应为该系统的每个用户仅授予完成其预定任务或职能所 需的最小一组权限。授予用户或角色权限时，最好授予所需的特定对象权限，而不 是授予允许访问数据库中所有对象的广泛系统权限。同样，创立角色时应仅包含完 成特定职能所需的少量权限，而不是创立像内置的DBA角色这样非常强大的角色。 授予用户一些小权限角色可确保用户与所需完成的任务相匹配，而不必授予过多不 需要的权限。职责别离的理念与最小权限原那么密切相关。具体来说，应让多个用户 承当不同权限，而不是创立一个超级用户。采用这种方式划分管理权限可加强责任 界定，而且还可防止受信任的管理员滥用权限。为了支持最小权限和职责别离原那么，Oracle数据库很早就引入了 SYSOPER 管理权P艮,允许管理员执行启动和停止数据库拿寺定任务,而无需授予其SYSDBA的完全权 限。Oracle Database 12c 新增的管理权限包括 SYSBACKUP、SYSDG 和 SYSKM,分 别用于支持数据库备份、Data Guard管理和密钥管理。有了这些针对性的权限，管理员无需全能的SYSDBA权限也可执行管理数据库所需的一切常规操作。应启用平安审计功能，审计覆盖到每个用户，对重要的用户行