版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
安全日常运维管理
河北连益成信息技术有限企业
编写人陈磊
时间2023-12-2
版本Version1.0
目录
第一章安全运维管理体系分析......................................................4
1.1安全日常运维管理的必要性................................................4
1.2安全运维管理的技术支撑体系..............................................5
1.3安全运维管理遵照的PDCA周期.............................................7
1.4安全日常运维管理的目的J.............................................................................................7
第二章帐户口令管理..............................................................8
2.1职责定义.................................................................10
2.2口令账号五个保密等级....................................................10
2.2.1【最低等级】等级一.................................................10
2.2.2【低等级】等级二...............................................11
2.2.3【中档级】等级三...............................................12
2.2.4【结实级】等级四...............................................13
2.2.5【最高级】等级五...............................................14
2.3账号管理.................................................................15
2.3.1账号角色分配目的..................................................15
2.3.2建立的原则.........................................................16
2.3.3账号建立日勺过程....................................................17
2.4口令管理.................................................................19
2.4.1口令管理原则.......................................................19
2.4.2口令设置原则.......................................................20
2.4.3口令设置最低原则..................................................21
2.5权限管理.................................................................22
2.5.1概述...............................................................22
2.5.2拟定最小权限......................................................22
2.5.3建立权限体系......................................................24
2.6账号口令审计管理........................................................26
261概述...............................................................26
2.6.2账号审查通用耍求..................................................26
2.6.3账号口令审计流程设计提议.........................................27
第三章服务与端口...............................................................29
3.1什么是端口..............................................................29
3.2什么是服务..............................................................29
3.3常用端口列表............................................................30
第四章安全补丁..................................................................49
4.1概述....................................................................49
4.2补丁安装与操作..........................................................49
4.2.1检测内容...........................................................49
4.2.2提议操作...........................................................50
4.2.3操作成果...........................................................50
第五章终端管理..................................................................50
第六章数据备份..................................................................52
6.1备份管理.................................................................52
6.1.1信息辨认...........................................................52
6.1.2制定备份计划......................................................53
6.1.3实施备份计划......................................................54
6.1.4备份寄存...........................................................55
6.1.5备份测试...........................................................56
6.1.6备份恢复...........................................................56
6.2数据恢复.................................................................57
第一章安全运维管理体系分析
1.1安全日常运维管理的必要性
IT系统是否能够正常运营直接关系到业务或生产是否能够正常运营。但IT管理人员经
常面临H勺问题是:网络变慢了、设备发生故障、应用系统运营效率很低。IT系统的任^故障
假如没有及时得到妥善处理都将会造成很大的影响,甚至会造成可怕的经济损失。但是什么
原因造成IT系统屡出问题?是产品、技术、还是缺乏有效的、系统化的安全运维管理?
伴随电信IT系统的发展,业务应用时连续增长,其IT基础设施的架构越来越复杂,单纯
凭某个工具或某个人不可能有效地保护自己的整体网络安全;信息安全作为一种整体,需要
把安全过程中的有关各层次的安全产品、分支机构、运营网络、管理维护制度等纳入一种紧
密的统一安全管理平台(系统)中,才干有效地保障企业的网络和信息安全。
IT环境的复杂性,使更多的安全威胁被揭示出来。诸多企业尝试经过布署“最佳"安全
产品来保护自己例如防病毒网关、防火墙、入侵防护系统、VPN、访问控制、身份认证等。
在这种极度复杂的情况下,需要的是一种集成的处理方案,使得企业能够搜集、关联和管理
来自异类源的大量安全事件,实时监控和做出响应,需要的是能够轻松适应环境增长和变化
的管理体系,需要的就是企业完整的安全管理平台处理方案。
1.2综上所述,对于企业安全运维管理来说,三分技术,七分
管理,在企业内部建立一套完善的安全管理规章制度,使
管理机构根据相应的管理制度和管理流程对日常操作、运
营维护.审计监督.文档管理等进行统一管理,同步加强对
工作人员的安全知识和安全操作培训,建立统一的安全管
理体系,帮助企业辨认■管理和降低信息一般所面临的多种
威胁,架构企业的安全保障体系。
1.3安全运维管理的技术支撑体系
i.PPDRR模型涉及策略(Policy)、防护
(Protection)、检测(Detection)、响
应(Response)和恢复(Recovery)5
个主要部分,其中,防护、检测、响应和恢
复构成一种完整日勺、动态H勺安全循环,在
安全策略日勺指导下共同实现安全保障信息
安全日勺主要理论模型涉及信息安全日勺概念
范围、信息安全保障体系日勺构造框架、信
息安全的三维构造和PPDRR模型
2.制定网络和系统层面的整本安全技术保护方案和技术规范;
3.逐渐实现安全自评估,全方面掌握安全风险;
4.提供重大安全预警信息公布和处理方案;
5.协调响应网络层面的各类重大安全事件;
6.对各类安全事件有关数据进行综合分析,形成安全运营分析报告;
7.对生产层面的安全策略进行集中控制;
8.跟踪研究多种安全问题和凌术,搜集多种基础信息资源。
9.进行7x二十四小时的日常安全安全事件监测,负责受理安全投诉。
10.对安全事件进行搜集汇总,进行事件预处理。
11.系统日常口令维护,加载安全补丁和梳理服务端口等
12.实施各类安全设备和配套管理设备的日常维护。
13.实施一般安全预警和安全应急事件的处理。
落实系统本身安全应急预案,并参加安全应急演练
1.3安全运维管理遵照的PDCA周期
Do:
安全项目建设
安全维护作业
安全目标遵循的PDCA执行过程1、更新资产补丁'拓扑'服务等状态
2、安全事件通报...
3、安全加固
------干----_4、更«新安全现状和安全目标要求差距
口其他.•
PLAN:iYf\
安全目标要求一安全现状
安全计划(建设;维护…)"
heck:
日常安全检查
周期性安全评估
1、检交安全目标要求的完成状态
2、评值安全状况(资产状态;弱点
Action:状态),
调整安全目标要求3、安全现状是否符合可控安全环境
规划安全项目
绩效考核各部门、安全管理员
1.4安全日常运维管理的目的
安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,经过采用合适的安全技
术与安全管理措施,完毕下述网络与信息安全的保障任务。
0
>进不来:使用访问控制机制,阻止非授权顾客进入网络,从而确保网络系统的可用性
>拿不走:使用授权机制,实现对顾客的权限控制,即不该拿走的"拿不走",同步结合内
容审计机制,实现对网络资源及信息的可控性。
看不懂:使用加密机制,确保信息不泄漏给未授权的实体或进程,即"看不懂",从而
实现信息的保密性
改不了:使用数据完整性鉴别机制,确保只有得到允许的人才干修改数据,而其他人
"改不了",从而确保信息的完整性。
跑不了:使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者"走不脱",并
进一步对网络出现的安全问题提供调杳根据和手段,实现信息安全时可审查性。
为保障IT系统的正常运营,应能做到如下所示
贯穿于下述4个过程中
有序管理
遵循标准规范,操作流程等,逐步实
安全运维现运维电子化、全面流程化
总结:安全日常运维管理可总结为高效管理能力、全方面运
维能力、安全保护能力、隐患发觉能力、应急响应能力、迅
速恢复能力
第二章帐户口令管理
为何有这么多人钟情于窃取帐号口令?
攻击者窃取帐号有着非法的目的、意图,恶意毁坏操作等行为,他们或以出名,或以炫耀技
术为目的。而目前,窃取帐号的行为都与窃取商业机密和机密信息、数据、经济利益有关,大
都有着利益化的倾向犯罪行为。
帐号衩窃取的常见原因
2.1职责定义
业务系统或者网络
设备的负责部门负
责业务系统和网络
设备的维护工作,
帐号的具体生成、
变更和删除的操作
2.2口令账号五个保密等级
2.2.1【最低等级】等级一
只有基本的甚至没有保障措施,用于电子系统的帐号。
在第一等级的保障的情况下,只有基本的甚至没有保障措施用于电子系统的帐号,等级一的
情况下,错误的口令、帐号和权限管理可能造成给企业、客户或者第
三方带来最小时不便。
不会给企业、客户或者第三方带来直接的经济损失
不会给企业、客户或者第三方带来不快
不会给企业、客户或者第三方带来声誉或者地位的损失
不会破坏企业、客户或者第三方需要执行的商业措施或者交易
不会造成民事或者刑事犯罪
不会向未经授权的组织或个人暴露个人、企业、政府、商业的敏感信息
未验收和未投入使用的系统,工程过程中的系统(假设没有
涉及知识产权,例如软件代码泄密的问题的情况下)
2.2.2【低等级】等级二
经过常用的措施即可保护系统的可信认证,必须充分考虑代价和认证安全性的平衡
这种等级的认证被误用或者破坏可能造成:
给企业、客户或者第三方带来较小的不便
给企业、客户或者第三方带来较小直接的经济损失或者没有直接经济损失
会给企业、客户或者第三方带来较小的不快
会给企业、客户或者第三方带来较小声誉或者地位的损失
存在一定的风险,可能破坏企业、客户或者第三方需要执行的商业措施或者交易不会造成民
事或者刑事才降。
存在一定风险,可能少许向未经授权的组织或个人暴露个人、企业、政府、商业的敏感信息
举例:
一台常用办公电脑,该电脑上没有存储任何机密文件,他的
帐号被窃取可能造成企业常用信息例如通讯录被泄漏。一种
有查询系统的帐号,顾客能够经过Internet注册来查询自
己的帐单。该帐号失窃可能造成顾客信息的泄漏。
2.2.3【中档级】等级三
假如该级别的帐号被破坏,攻击者往往能够经过这种系统作为中转,进而对部分关键的系统
主机进行破坏。这种级别的帐号口令虽然不是直接的业务系统或者数
据库的帐号,但是,假如该级别的帐号被破坏,攻击者往往能够经过
这种系统作为中转,进而对部分关键的系统主机进行破坏,该等级被
误用的主要风险有:
经过中转可能给企业、客户或者第三方带来较大的不便
经过中转有可能给企业、客户或者第三方带来较大直接的经济损失或没有直接经济损失
经过中转会给企业、客户或者第三方带来较大的不快
经过中转会给企业、客户或者第三方带来较大声誉或者地位的损失
存在一定的风险,会破坏企业、客户或者第三方需要执行的商业措施或者交易
可能会造成民事或者刑事犯罪
存在一定风险,可能大量向未经授权的组织或个人暴露个人、企业、政府、商业的敏感信息
举例:
维护终端的顾客帐号,因为某些业务系统会对终端做特定限
制,维护终端被破坏后,造成攻击者能够进一步破坏业务系
统,主要的可信网络设备的帐号等。
2.2.4【结实级】等级四
一般等级四意味着正式的业务流程使用的帐号,一般需要较高信心来确保身份的认证和正
确的授权。
一般等级四意味着正式的业务流程使用的帐号,一般需要较高信心来确保身份的认证和正
确的授权,这种等级的认证被误用或者破坏可能造成:
给企业、客户或者第三方带来较大的不便
给企业、客户或者第三方带来较大直接的经济损失或者没有直接经济损失
会给企业、客户或者第三方带来较大的不快
会给企业、客户或者第三方带来较大声誉或者地位的损失
存在较大的风险,会破坏企业、客户或者第三方需要执行的商业措施或者交易
会造成民事或者刑事犯罪
存在较大风险,可能大量向未经授权的组织或个人暴露个人、
企业、政府、商业的敏感信息
举例:一般的主机操作系统、数据库、和路由器的高权限帐
号,例如root、administrator^dba等。业务系统的关键
管理帐号,能够读写主要的顾客信息、业务信息和帐单信息。
2.2.5【最高级】等级五
等级五B勺保障一般相应需要非常大的信心保障B勺系统。
等级五时保障一般相应需要非常大的信心保障的系统这种等级的认证被误用或者破坏可能
造成:
给全部企业、客户或者第三方带来巨大的不便
给企业、客户或者第三方带来极大直接的经济损失或者没有直接经济损失
会给企业、客户或者第三方带来极大的不快
会给企业、客户或者第三方带来巨大声誉或者地位的损失
破坏企业、客户或者第三方需要执行的商业措施或者交易
会造成民事或者刑事犯罪
大量向未经授权的组织或个人暴露个人、企业、政府、商业的敏感信息
举例:关键系统,例如计费系统数据库主机的操作系统和数据库。
用于存储企业最高商业机密或密级为绝密的系统的认证。
2.3账号管理
系统管理员/超级用户
从IT管理角度
2.3.1账号角色分配目的
(-)加强网络与信息安全管理,明确各级系统顾客权的职责。
(二)根据业务系统的要求及网络信息管理规范,进一步完善各级顾客在系统中的职能划分
与角色定位.
(三)强化系统帐户和密码的管理,降低帐户和密码泄漏对系统和数据安全产生的影响,确
保各有关信息报告系统安全、有效运营。
系统管理员和超级顾客是有权限对系统的配置、系统最关键信息进行更改的帐号和角色,
一般帐号是顾客用于访问业务系统,实现日常业务操作的顾客,是最为常见8勺顾客类型,
第三方帐号一般指因为某种特殊情况,系统允许移动以外的
人员和组织访问的帐号。
在关犍系统中,应该设置安全审计员帐号,该帐号能够对系
统安全设置和日志信息进行专门的审计。
2.3.2建立的原则
(1)不同类型顾客的)建立应遵照满足其工作需要的原则,而顾客的权限分配则应以保障网
络与信息的高效、精确、安全为原则。
(2)顾客的权限分配应尽量使用系统提供的角色划分。如需特殊的操作权限,应在精确了
解其各项操作内容的基础上,尽量防止和降低权限相互抵触、交叉及嵌套情况的发生,经测
试成功后,再创建相应的角色赋予本级顾客或直报顾客。
(3)经过对顾客进行角色划分,分配审计账号、顾客权限,
合理限制对其他角色顾客、数据的修改权限,将审查数据与
配置数据相对剥离,即原始配置数据与统计查看查看信息分
开。
(4)系统内全部涉及查看数据的帐户信息均必须采用真实
信息,即有查询机制确认审计人员信息精确。
2.3.3账号建立的过程
卷号管理。算的五个过程:
6090❷
帐号管理贯穿帐号创建、授权、权限变更及帐号撤消或者冻结全过程
>帐号设置应与岗位职责柜容;
>坚持最小授权原则,防止超出工作职责的过分授权;
>应制定严格的审批和授权流程,规范帐号申请、修改、删除等工作,授权审批统计应编
号、留档(表格命名规则及格式参见附件,各省企业可重新制定有关表格);
>帐号创建、调整和删除申请审批经过后,应及时更新系统中的帐号状态,确保与审批结
论保持一致;
原则上,除低权限的查询帐号外,各系统不允许存在其他共享帐号,必须明确每个帐号责任
人,不得以部门或顾客组作为最终责任人。
在完毕特定任务后,系统管理员应立即收回临时帐号。
帐号创建、变更、删除审批流程
超级帐号由主管领导以授权的方式授予详细的系统管理员,授权书至少应涉及系统名称、超
级帐号名、授予人姓名、职责描述、使用期等;
全部帐号,涉及系统管理员帐号、一般帐号、程序帐号的责任人应按要求的申请表格式要
求提出申请,申请表至少涉及申请人姓名、联络方式、申请人职责描述、申请时间、申请目
时、申请帐号所属系统名称、帐号类型、创建或者变更或者删除操作类型、帐号权限描述、
主管领导审批意见、系统管理员变更操作统计及签字确认、权责描述备注栏目等;
主管领导进行审批,要点检验所申请权限与申请人职责的一致性;
系统管理员负责创建、变更或者删除帐号,保存审批表格、并管案。
>如因系统能力或者管理原因无法按顾客创建帐号时,应采用如下管理措施:
>明确共享帐号责任人,责任人负责按照上述流程要求提出共享帐号审批表,并在审批表
中注明该共享帐号的全部顾客名单;
>限制共享帐号的使用人数,建立有关管理制度确保系统的每项操作均能够相应到执行
操作的详细人员;
>限定使用范围和使用环境;
>建立完善的操作统计制度,对交接班统计、主要操作统计表等等;
>定时更新共享帐号密码。
>对于程序运营或者程序本身因为管理需要访问其他系统所使用的专用帐号,应符合如
下要求:
>只允许系统和设备之间通信使用,不得作为顾客登录帐号使用;
将此类帐号的维护管理权限统一授权给该系统的系统管理员,
由后者归口管理;
2.4口令管理
2.4.1口令管理原则
>口令至少由6位及以上大小写字母、数字及特殊符号等混合、随机构成,尽量不要以姓
名、号码以及出生日期等作为口令或者口令的构成部分。
>应以HASH或者加密技术保存口令,不得以明文方式保存或者传播;
>口令至少每90天更换一次。修改口令时,须保存口令修改统计,涉及帐号、修改时间、
修改原因等,以备审计;
>5次以内指目设置相同的)口令;
>因为员工离职等原因,原帐号不能删除或者需要重新赋予另一种人时,应修改相应帐号
的口令。
>如系统能力支持,应开启并设置自动拒绝不符合上述口令管理规则帐号和口令的参数;
对于无法建立口令规则强制检验的系统,帐号顾客应在每次口令修改后留有统计。
对于无法进行定时修改口令的帐号,如内置帐号、专用帐号等,由系统管理员负责在系统升
级或重启时督促落实口令修改工作,负责督促落实调用该帐号的程序与所访问系统两侧的
口令同步工作。
>当发生下述情况时,应立即撤消帐号或更改帐号口令,并做好统计:
>帐号使用者因为岗位职责变动、离职等原因,不再需要原有访问权限时;
>临时性或阶段性使用的帐号,在工作结束后;
>帐号使用者违反了有关口令管理要求;
有迹象,表白口令可能已经泄露等。
2.4.2口令设置原则
>口令必须具有足够的长度和复杂度,使口令难于被猜测
>口令在一定时间或次数内不能循环使用
>不同帐号的口令应该不同,而且没有直接联络,以确保不可由一种帐号的口令推知其他
帐号的口令
>同一帐号前后两个口令之间的相同部分应该尽量降低,减低由前一种口令分析出后一
种口令的机会
>口令不应该取过于简朴的字符串,如号码、使用者的姓名、宠物、生日或其倒序,6
位字符都相同、6位连续字符等易于猜测的信息
>开户时设定时初始口令必须是随机产生的口令,而不能是相同或者有规律的口令
>全部系统管理员级别的口令(例如root、enable.NTadministrator.DBA等)在没
白使用增强口令的情况下,必需按照较短周期进行更改,例如每三个月更换一次。应该
注意关键性帐号信息的定时行备份。
顾客所使用的任何具有系统超级顾客权限(涉及并不限于系统管理员帐号和有sodu权
限帐号)帐号口令必需和这个顾客其他帐号的口令均不相同。
>假如有双要素认证机制,则以上的要求和下面有关强口令选择的要求能够不考虑。
>口令不能在电子邮件或者其他电子方式下以明文方式传播,
当使用SNMP时,communicationstring不允许使用缺
省B9Public、Private和system等,而且该
communicationstring不应该和系统的其他口令相同,应
该尽量使用SNMPv2以上的版本。
2.4.3口令设置最低原则
>假如技术上支持,口令至少要有6位长
>口令必须是字母和非字母B勺组合
>口令第1位和最终1位至少应涉及1个非数字字符
>与前次口令比较,在任^可,立置不能有超出3个字符连续相同
>口令不能涉及超出2个连续相同的字符
>顾客名不能作为口令一部分
>与前4次相同H勺口令不能反复使用
>口令不能被共享除非每个口令的行为都能被辨别
>对于级别要求很高的系统一般顾客口令要求8位以上
>管理员/超级顾客帐号近共20个口令不可反复,口令的长度不可不大于7位,口令中必
须涉及大写字母、4当字母和数字中的两类,口令中同一种符号不得多于2次,且不得
有1个以上的字符出现两次,前后2个口令中相同位置H勺字符相同的不得多于2个;口
令不得有明显的意义修改
>帐号时使用人应该定时修改帐号口令,修改口令时间隔应不大于本原则的有关要求,对
于本原则没有要求的顾客,其间隔应该不大于6个月
不同顾客的)修改口令的最大间隔为:
1)一般帐号应该不大于6个月
2)管理员帐号和超级管理员帐号应该不大于3个月
>匿名顾客帐号能够不修改口令
2.5权限管理
2.5.1概述
按照"谁主管,谁负责"、"谁使用、谁负责"、全部帐号均应落实责任人的原则制定本
措施。
帐号和口令管理涉及基于帐号的操作或访问控制权限的管理。帐号是作为访问的主体。
而基于帐号进行操作的目的就是访问的客体。一般这个客体被当成为资源。
对资源的访问控制权限的设定依不同的系统而不同。从移动
帐号管理的角度,能够进行基于角色的访问控制权限的设定。
即对资源的访问控制权限是以角色或组为单位进行授予。
2.5.2拟定最小权限
1.所谓最小特权(LeastPrivilege),指的是"在完毕某种操作时所赋予网络中每个主体(顾
客或进程)必不可少的特权”。最小特权原则,则是指"应限定网络中每个主体所必须的最
小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小".
2.最小特权原则一方面予以主体“必不可少”的特权,这就确保了全部的主体都能在所赋予
的特权之下完毕所需要完毕的任务或操作;另一方面,它只予以主体“必不可少"的特权,这
就限制了每个主体所能进行的操作。
最小特权原则要求每个顾客和程序在操作时应该使用尽量少的特权,而角色允许主体以参
加某特定工作所需要的最小特权去签入(Sign)系统。被授权拥有强力角色(PowerfulRoles)
的主体,不需要动辄利用到其全部的特权,只有在那些特权有实际需求时,主体才去利用它
们。如此一来,将可降低因为不注意的错误或是侵入者假装正当主体所造成的损坏发生,限
制了事故、错误或攻击带来B勺危害。它还暗氐了特权程序之间潜在的相互作用,从而使对特
权无意的、没必要的或不合酬使用不太可能发生。这种想法还能够引申到程序内部:只有
程序中需要那些特权的最小部分才拥有特权。
>3.基于角色的访问控制是一种新型访问控制模型,它的基本思想是将权限与角色联络
起来,在系统中根据应用的需要为不同的工作岗位创建相应的角色,同步根据顾客职务
和责任指派合适的角色,顾客经过所指派的角色取得相应的权限,实现对文件的访问。
它支持最小特权、责任分离以及数据抽象三个基本的安全原则。
4.最小权限原则要求:每个顾客/任务/应用在必需知情的前
提下被赋予明确的访问对象和模块的权限。遵照最小权限原
则运营的系统要求授予顾客访问对象的明确权限。准许或拒
绝访问数据库或服务器对象的第一步是认证和授权
对帐号的授权,应以其能进行系统管理、操作的最小权限进
行授权。例如这个帐号作为系统帐号只能进行数据备份的操
作,那就只授权其能够进行数据备份操作的命令。别的诸如
进行系统网络状态监控的命令则不授权其能够进行。
对于授权,应该支持一定的授权粒度控制,从而控制顾客的
访问对象和访问行为,确保顾客的最小授权。
2.5.3建立权限体系
基于角色访问控制(RBAC)模型是目前国际上流行的先进的安全访问控制措施。它经过分
配和取消角色来完毕顾客权限时授予和取消,而且提供角色分配规则。安全管理人员根据需
要定义多种角色,并设置合适的访问权限,而顾客根据其责任和资历再被指派为不同的角色。
这么,整个访问控制过程就提成两个部分,即访问权限与角色有关联,角色再与顾客关联,
从而实现了顾客与访问权限的逻辑分离。
因为实现了顾客与访问权限的逻辑分离,基于角色的策略极大的以便了权限管理。例如,
假如一种顾客的职位发生变化只要将顾客目前的角色去掉,加入代表新职务或新任务的角
色即可。研究表白,角色/权限之间的变化比角色/顾客关系之间的变化相对要慢得多,而且
给顾客分配角色不需要诸多技术,能够由行政管理人员来执行,而给角色配置权限的工作比
较复杂,需要一定的技术,能够由专门的技术人员来承担,但是不给他们给顾客分配角色的
权限,这与现实中的情况恰好一致。
基于角色访问控制能够很好的描述角色层次关系,实现最小特权原则和职责分离原则
2.6账号口令审计管理
2.6.1概述
号口令管理的执行情况,在很大程度上取决于帐号口令审直
的监督力度。在企业内部推行帐号口令管理制度的很大一部
分工作需要经过不断的监督.审查再配合有关的奖惩要求来
确保。所以完善的帐号口令审查制度对于整个帐号口令管理
至关主要。
2.6.2账号审查通用要求
>对于保障等级一、二类帐号的一般顾客,能够根据实际情况决定是否进行定时审查
>对于保障等级一、二类帐号的)超级顾客,定时审查的)时间间隔不超出六个月
>对于保障等级三、四类帐号的T殳顾客,定时审杳的时间间隔不超出三个月
>对于保障等级四、四类帐号的超级顾客,定时审查的时间间隔不超出一种月
>对于保障等级五类帐号的全部顾客,定时宜的时间间隔不超出一种月
>任何变化发生后应进行审查,如:发生非法入侵、人员变动等;
>对于审查过程中出现的多出、闲置或非法的帐户,应及时予以冻结或删除
>对核查中发觉的问题,应督促有关人员采用必要措施予以纠正通用原则
>对于已经实施集中认证系统,审计的主要工作是对于认证和授权的日志进行检验,审核
是否有非法登陆事件,是否有越权使用的行为等
>对于操作系统级的帐号口令审计分为两种第一种能够设置帐号登陆和权限使用事件的
追踪,这种帐号口令的审计也是对系统日志和防火墙等访问控制设备日志的审计;对于
不能实现帐号登录和权限追踪的系统,需要人工进行审计,应该根据业务系统的属性制
定详细的审计checklist,由专门的安全组织进行定时或者不定时的帐号随机抽查审计
>对于应用系统的帐号审计工作也是参照操作系统的分类进行处理
>对于网络设备的帐号审计工作,因为大部分的设备帐号都是没有日志统计的,所以主要
审计方式是人工审计,由专门的信息安全组织根据设备的风险等级要求审计的频度和
审计的checklist
>审计checklist的内容主要根据审计对象的帐号口令管理要求制作,审计的关键点是帐
号口令的复杂度,权限,更改的要求等等
>在制作审计checklist设计H勺时候,需要区别不同业务系统不同级别帐号的差别,对于
关键业务系统和关键帐号的审计频度和审计的内容要求愈加严格
>审计的成果应该和奖惩要求挂钩,对于屡次审计不合格或者优异的员工和分企业要按
照奖惩要求进行相应的奖惩
专门的信息安全部门或者组织应该对审计的成果定时进行
公布,力求将审计的威慑力逐渐提升,让帐号使用者提升安
全使用帐号口令的意识
2.63账号口令审计流程设计提议
>帐号口令的审计流程以业务系统的风险等级做为差别定制,针对不同的风险等级制定
不同时审计checklist
>帐号口令的审计能够结合既有的IT技术,尽量经过日志又件等方式进行审计,但是有
部分系统没法提供电子审计对象,对于高风险等级的系统,必须制定替代的审计措施,
涉及手工的措施
帐号口令审计工作应该以省为单位由省企业安全部门牵头各业务系统维护单位负责
的方式,涉及难以实现电子化审计的,省安全审计责任人应该制定某些不定时抽查制度,
对于抽查中出现的与审计不符合的情况,应结合奖惩规从严处理
帐号口令管理流程中需要考虑相应的组织建立,能够明确责任的,拟定责任人,不能落
实到人的,落实到部门的安全相应领导
帐号口令审计后应该将审计成果及时公布,对于违规和体现
良好的能够进行经典案例的宣传,起到增强员工帐号口令安
全意识的作用
第三章服务与端口
3.1什么是端口
什么是端标语,一种端口就是一种潜在的通讯通道,也是一种入
侵通道,开放一种端口就是一台计算机在网络上打开了一扇窗
户,黑客入侵的措施就是用手工扫描或利用扫描软件找到服务
器所开放的端口,去根据其相应的漏洞对服务器进行入侵或攻
击,所以对端口的了解是非常主要的。
按相应的协议类型,端口有两种:TCP端口和UDP端口。因为
TCP和UDP两个协议是独立的,所以各自的端标语也相互独立,
例如TCP有235端口,UDP也能够有235端口,两者并不冲
突。
端标语只有整数,范围是从0到65535
3.2什么是服务
>一台拥有IP地址的主机能够提供许多服务,例如Web服务、ftp服务、SMTP服务
等,这些服务完全能够经过1个IP地址来实现。那么,主机是怎样辨别不同的网络
服务呢?显然不能只靠IP地址,因为IP地址与网络服务的关系是一对多的关系。
实际上是经过"IP地址+端标语"来辨别不同的服务0U
>需要注意的是,端口并不是——相应以例如你的电脑作为客户机访问一台服
务器时,服务器使用“80”端口与你的电脑通信,但你的电脑则可能使用"3457”
这么的端口
>端口都有确切的定义,相应着相应的服务,每一种打开的端口,都代表一种系统服
务。
>例如,80端口就代表Web服务。21相应着FTR25相应着SMTP.110相应着POP3
等。
动态端口(从1024到65535)当你需要与别人通信时,
Windows会从1024起,在本机上分配一种动态端口,假如
1024端口未关闭,再需要端口时就会分配1025端口供你使用,
依此类推。
但是有个别的系统服务会绑定在1024到49151的端口上,例
如3389端口(远程终端服务)。从49152至!165535这一段端口,
一般没有捆绑系统服务,允许Windows动态分配给你使用。
3.3常用端口列表
[tr]端标语码/
tcpmuxTCP端口服务多路复用
层名称注释[/tr]
1
5Ue远程作业入口
7echoEcho服务
9discard用于连接测试的空服务
11systat用于列举连接了的端口的系统状态
13daytime给祈求主机发送日期和时间
17qotd给连接了的主机发送每日格言
18msp消息发送协议
19chargen字符生成服务;发送无止境的字符流
20ftp-dataFTP数据端口
文件传播协议(FTP)端口;有时被文件服务协议(FSP)
21ftp
使用
22ssh安全Shell(SSH)服务
23telnetTelnet服务
25smtp简朴邮件传播协议(SMTP)
37time时间协议
39rip资源定位协议
42nameserver互联网名称服务
43nicnameWHOIS目录服务
用于基于TCP/IP验证和访问的终端访问控制器访问
49tacacs
控制系统
50re-mail-ck远程邮件检验协议
53domain域名服务(如BIND)
WHOIS++,被扩展了的WHOIS服务
63whois++
引导协议(BOOTP)服务;还被动态主机配置协议
67bootps
(DHCP)服务使用
Bootstr叩(BOOTP)客户;还被动态主机配置协议
68bootpc
(DHCP)客户使用
69tftp小文件传播协议(TFTP)
70gopherGopher互联网文档搜寻和检索
71netrjs-1远程作业服务
72netrjs-2远程作业服务
73netijs-3远程作业服务
73netgs-4远程作业服务
79finger用于顾客联络信息的Finger服务
80用于万维网()服务的超文本传播协议()
88kerberosKerberos网络验证系统
95supdupTelnet协议扩展
101hostnameSRI-NIC机器上的主机名服务
102/tcpiso-tsapISO开发环境(ISODE)网络应用
105csnet-ns邮箱名称服务器;也被CSO名称服务器使用
107rtelnet远程Telnet
109Pop2邮局协议版本2
110Pop3邮局协议版本3
用于远程命令执行的远程过程调用(RPC)协议,被网
111sunrpc络文件系统(NFS)使用
113auth验证和身份辨认协议
115sftp安全文件传播协议(SFTP)服务
117uucp-pathUnix到JUnix复制协议(UUCP)途径服务
用于USENET讨论系统的网络新闻传播协议
119nntp
(NNTP)
123ntp网络时间协议(NTP)
在红帽企业Linux中被Samba使用的NETBIOS
137netbios-ns
名称服务
在红帽企业Linux中被Samba使用的)NETBIOS
138netbios-dgm
数据报服务
在红帽企业Linux中被Samba使用的NETBIOS
139netbios-ssn
会话服务
143imap互联网消息存取协议(IMAP)
161snmp简朴网络管理协议(SNMP)
162snmptrapSNMP的陷阱
163cmip-man通用管理信息协议(CMIP)
164cmip-agent通用管理信息协议(CMIP)
174mailqMAILQ电子邮件传播队列
177xdmcpX显示管理器控制协议(XDMCP)
178nextstepNeXTStep窗口服务器
179bgp边界网络协议
191prosperoProspero分布式文件系统服务
194ire互联网中继聊天(IRC)
199smuxSNMPUNIX多路复用
201at-rtmpAppleTalk选路
202at-nbpAppleTalk名称绑定
204at-echoAppleTalkecho服务
206at-zisAppleTalk区块信息
209qmtp迅速邮件传播协议(QMTP)
210z39.50NISOZ39.50数据库
互联网络分组互换协议(IPX),被NovellNetware
213ipx环境常用的数据报协议
220im叩3互联网消息存取协议版本3
245linkLINK/3-DNSiQuery服务
347fatservFATMEN文件和磁带官吏服务器
363rsvp_tunnelRSVP隧道
369rpc2portmapCoda文件系统端口映射器
370codaauth2Coda文件系统验洱艮务
372ulistprocUNIXLISTSERV
389Idap轻型目录存取协议(LDAP)
427svrloc服务位置协议(SLP)
434mobileip-agent可移互联网协议(IP)代理
435mobilip-rrn可移互联网协议(IP)管理器
443s安全超文本传播协议()
444snpp小型网络分页协议
445microsoft-ds经过TCP/IP的服务器消息块(SMB)
464kpasswdKerberos口令和钥匙改换服务
468photurisPhoturis会话钥匙管理协议
487saft简朴不对称文件传播(SAFT)协议
488gss-用于的通用安全服务(GSS)
用于协议独立的多址传播(PIM)服务的会合点发觉
496pim-rp-disc
(RP-DISC)
500isakmp互联网安全关联和钥匙管理协议(ISAKMP)
535iiop互联网内部对象祈求代理协议(HOP)
538gdomapGNUstep分布式对象映射器(GDOMAP)
546dhcpv6-client动态主机配置协议(DHCP)版本6客户
547dhcpv6-server动态主机配置协议(DHCP)版本6服务
554rtsp实时流播协议(RTSP)
563nntps经过安全套接字层的网络新闻传播协议(NNTPS)
565whoamiwhoami顾客ID列表
587submission邮件消息提交代理(MSA)
网络外设管理协议(NPMP)本地/分布式排队系统
610npmp-local
(DQS)
611npmp-gui网缗外设管理协议(NPMP)GUI/分布式排队系统
(DQS)
612hmmp-indHyperMedia管理协议(HMMP)表达/DQS
631ipp互联网打印协议(IPP)
636Idaps经过安全套接字层的轻型目录访问协议(LDAPS)
674acap应用程序配置存取协议(ACAP)
694ha-cluster用于带有高可用性的群集的心跳服务
749kerberos-admKerberos版本5(v5)的"kadmin”数据库管理
750kerberos-ivKerberos版本4(v4)服务
765webster网络词典
767phonebock网络簿
873rsyncrsync文件传播服务
992telnets经过安全套接字层的Telnet(TelnetS)
993im叩s经过安全套接字层的互联网消息存取协议(IMAPS)
994ires经过安全套接字层的互联网中继聊天(IRCS)
995pop3s经过安全套接字层的邮局协议版本3(POPS3)
端标语码/层名
称注释l/tlexec用于对远程执行叼进程进行验证
512/tcp
512/udpbiff[comsat]异步邮件客户(biff)和服务(comsat)
513/tcplogin远程登录(rlogin)
513/udpwho[whod]whod顾客统计守护进程
514/tcpshell[cmd]无统计的远程shell(rshell)和远程复制(rep)
514/udpsyslogUNIX系统日志服务
printer
515打印机(Ipr)假脱机
[spooler]
517/udptalkTalk远程对话服务和客户
网络交谈(ntalk),远程对话服务和客户
518/udpntalk
utime
519
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 京东POP客服选择题考试试题及答案
- 2026年主管护师资格考试真题与答案
- 2026年应急救援员练习50题(附答案)
- 2026年劳务员考试题库含完整答案(历年真题)
- 2026年初级康复治疗士考试备考冲刺模拟试卷含答案解析
- 2025年售前客服初级京东考试题及答案
- 声屏障工程施工组织设计
- 邮储银行招聘考试笔试题目集
- 2026北京教师面试题及答案
- 2026北美银行面试题及答案
- (2025)中医药知识与技能竞赛题库及参考答案
- 造纸和纸制品生产企业温室气体排放核算方法与报告指南
- 自动化电气元器件介绍与使用
- 职工基本医疗保险个人账户一次性支取申请表(样表)
- 北京汇文中学初一新生分班(摸底)语文考试模拟试卷(10套试卷带答案解析)
- 人教版八年级上册生物期中考试试卷
- 食品质量管理学智慧树知到期末考试答案章节答案2024年浙江海洋大学
- 培训教材(量具培训)
- 工程热力学教学课件-工程热力学
- 农村祖屋归属协议书
- 幕墙工程项目与其他单位的的配合、协调措施
评论
0/150
提交评论