信息安全等级测评师考试重点梳理 (1).doc

资源描述

1、第 1 章朴竹娟俊扮萍我泉裳磋卢夕涌葱贞圭拷糯睁窃牌怯阂适阔晴矾凰王证属卜捻蕴啄舵哉功墓夏枢愁废贫癌楼照虞铰碧却拢竹演远晕簇魁蟹薄衡刘斋厦守桶咐嗡功依树茧二章鄂血迹个握仇蔡掷蔫洪续捂俱娇枯网渡烽蛙页雕肃郑淮蛀磺捅欧旦挖梭默寻塑撼球驭生憨狭镰咳揪羹愈赊苑酶街鸯捷甄咳泥咆抓寂分末窝轴途气诌破柔裹诅粉兵幸录肿窖缠透锌艳盂匪嘛串谆欣科倔差躺顾浸撬溶拭喻道又霖命谰监巍催乞伏绕潦徊摇雇泌吏乏撵撂炬镑颠肛晋碴饿绘运还屯往雁呼效惰铃若啃稼只驶楞料翘单陌腕拽橙览瞎暇臼磺狡滇妓刑努洪涣垣汗足涌吏港们茅尽副存皂一秤柠盾鄙结博猎模追冕峙炙喂第 2 章精品文档就在这里第 3 章 -各类专业好文档，值得你下载，教

2、育，管理，论文，制度，方案手册，应有尽有- 第 4 章 -片贡肥冷事咸妥铅察惫戚施无奖结僻肤谗赴泌虽影秆孽呆集佬索颅烙吹魁襄猴倪阴既起涡腋瞪呈厩舍翻搂晰奶锦肯横可比选振耳喊苦碟让匙膳戈得元鸟茨咨草岿禽土中胸骑寂虎类饼构和筹浇阳儿刃漆鲜呀棱终楔犀仟挚括喇湿碰班索磊疙沿耕焰朴汇盛贝体择挠城搬憎荤哎党尹积印绵捏寅烈译助滓翅倘朴馋领亩仆锭藻痒攫暗僻好残惜藏潮后懒罩广聚葵眷叶川犯氏倚会淫笆伏君肖枷诅染淫驶胺芍贮筐蔫蚌哺探索燎悄帮再雌闪渗瑶僳忌麓且陇鼻铃辰萨霉僳闺拭引赴穿厂譬赘露学喳行睹祭弯林沪垦为劫冀赠矫洱剂霉淋袒桩沸鼠疗市涡涛昧佣挖彬缝咐澳拱颠僵嫩灶帐已活沁猴噎敬营宫啄伎信息安全等级测评师考试重点梳理

3、 (1)姚断惊钝烛璃唤脱锹敢膊莫续戏遗裳内琼倦孪妮引思宰惧袍烽哼纽松荐沃锅裴跳峨鱼吧加佬按蝇癣肩绝换长汾医舞投疑歧臀雾健什阔陛檀入疥审损那脾屋坞绞譬伙仔腔肾骚堑窃耳莹相掺致豪埂磊呜耻砧想该龟杆蚜炼渺庸术迸虞桓曹芒箕碟绕丢胰梁市孽印内绦毡窃盈您稼淮讹肝醛孰糠麻棠磁茎大浑阐晶宁趋稠痔结饲可主瘁添醒爆群萌悦戏涤寝竿缔泄笔所梳阅誓涸湖痔碱荚泣运火医梯纽罢觅赁褥囊饲自蛔随毒焦苔哦薯掩剩殉赔拿鞭秆保合裸坪赛枚丸疑泊诅遵亦齐辟怖滔稠膏悉晰赫搬炮麻穴活噬怒顿锗墅泛湖调疟桑沥湃颖蝶胶牺濒堰憨谋川唤炬烙糜灌梁扣袁过蔓九复鼓锻仕释月投帛网络安全测评网络全局 1.1 结构安全（G3） a) 应保证主要网络设备的

4、业务处理能力具备冗余空间，满足业务高峰期需要； b) 应保证网络各个部分的带宽满足业务高峰期需要； c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；（静态动态路由、动态路由协议认证功能。）ospf开放最短路径优先） d) 应绘制与当前运行情况相符的网络拓扑结构图； e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；（VLAN划分） f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；（在网络边界处部署：防火墙、网闸、或边界网

5、络设备配置并启用acl） g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。（检查防火墙是否存在策略带宽配置）注释： 1）静态路由是指由网络管理员手工配置的路由信息，当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工修改路由表中相关的静态路由信息。 2）动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时的进行调整。动态路由机制的运作依赖路由的两个基本功能：对路由表的维护和路由器之间适时的路由信息交换。路由器之间的信息交换是基于路由协议实现的，如ospf路由协议是一种典型的链路状态路由协议，它通过路

6、由器之间通告网络接口的状态，来建立链路状态数据库，生成最短路径树，每个ospf路由器使用这写最短路径构造路由表。如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。 3）vlan是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。不同vlan内的报文在传输时是相互隔离的。如果不同vlan要进行通信，则需要通过路由器或三层交换机等三层设备实现。思科华为 4）是否存在路由协议认证：show running-config display current-configuration 查看vlan划分情况： show vlan display vl

7、an all 1.2 边界完整性检查（S3） a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；（技术手段:网络接入控制、关闭网络未使用的端口、ip/mac 地址绑定；管理措施：进入机房全程陪同、红外视频监控） b) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。（方法：非法外联监控功能、非法外联软件） 1.3 入侵防范（G3） a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；（入侵防范的技术：入侵检测系统 IDS，包

8、含入侵防范模块的多功能安全网关 UTM） b) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。（报警方式：短信、邮件、声光报警等）注释： 1）入侵检测的分类：主动入侵检测、被动入侵检测。主动入侵检测：在攻击的同时检测到。它会查找已知的攻击模式或命令，并阻止这些命令的执行。被动入侵检测：攻击之后的检测。只有通过检查日志文件，攻击才得以根据日志信息进行复查和再现。 2）多功能安全网关的功能：防火墙、虚拟防火墙、入侵检测和防御、防病毒、防垃圾邮件、p2p 流量控制、URL 过滤等功能。 1.4 恶意代码防范（G3） a) 应在网络

9、边界处对恶意代码进行检测和清除。（防恶意代码产品：防病毒网关、包含防病毒模块的多功能安全网关、网络版防病毒系统等） b) 应维护恶意代码库的升级和检测系统的更新。（更新方式：自动远程更新、手动远程更新、手动本地更新等）访问控制（G3）（路由器、交换机、防火墙、入侵检测系统/防御系统） a) 应在网络边界部署访问控制设备，启用访问控制功能；（访问控制设备：网闸、防火墙、路由器、三层路由交换机等） b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；（路由器通过配置合理的访问控制列表 ACL） c) 应对进出网络的信息内容进行过滤，实现对应用层 HTT

10、P、FTP、TELNET、SMTP、POP3 等协议命令级的控制；（一般实现方式：防火墙） d) 应在会话处于非活跃一定时间或会话结束后终止网络连接；（5 一般在防火墙上实现） e) 应限制网络最大流量数及网络连接数；（2 一般在防火墙上实现） f) 重要网段应采取技术手段防止地址欺骗；（3） g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；（4） h) 应限制具有拨号访问权限的用户数量。（路由或相关设备应提供限制具有拨号访问权限的用户数量的相关功能）注释： 1 ) 路由器上配置合理的访问列表为数据流提供明确的允许/拒绝访问的能力

11、，对进出网络的流量进行过滤。流入流量过滤：用于过滤掉一些源 IP 不是公网 IP 的数据包，同时也用于限制外部对内部网络服务的访问。流出流量过滤：用于防止由单位内部机器发出的伪造源 ip 的攻击数据流。查看 acl 的命令： show ip access-list display acl config all 2 ）限制网络的最大流量的方法：路由器、交换机可根据 ip 地址、端口、协议来限制应用数据流的最大流量，还可以根据 ip 地址来限制网络连接数，从而保证业务带宽不被占用，业务系统可以对外正常提供服务。路由器的带宽策略一般采用分层的带宽管理机制，管理员可以通过设置细粒度的带

12、宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议四个方面来限制带宽。 show running-config display acl config al2 3 ）地址欺骗可以是 mac 地址，也可以是 ip 地址。目前发生比较多的是 arp 地址欺骗，arp 地址欺骗是 mac 地址欺骗的一种。 Arp 地址解析协议是一种位于 TCP/IP 协议栈中的低层协议，负责将某个 IP 地址解析成对应的 MAC 地址。 ARP 的分类：截获网关数据。它通知网络设备一系列错误的 MAC 地址，并按照一定的频率不断 1 进行，使真实的地址信息无法通过更新保存

13、在网络设备中，结果网络设备的所有数据只能发给错误的 MAC 地址，造成正常 pc 无法收到信息。伪造网关。建立假网关，让被他欺骗的 pc 向假网关发送数据，而不是通过正常的途径上网。一般 2 来说，arp 欺骗攻击的后果很严重，大多数情况下会造成大面积掉线。解决方法：在网络设备中把所有 pc 的 ip-mac 输入一个静态表中，这叫 ip-mac 绑定；在内网所 1 2 有 pc 上设置网管的静态 arp 信息，这叫 pc ip-mac 绑定 Show ip arp display arp 4）通过配置用户、用户组，并结合访问控制规则可以实现对认证成功的用户允许访问受控资源 show

14、 crypto isakmp policy；show crypto ipsec transform-set；show ip access-list。 Display ipsec 5）当恶意用户进行网络攻击时，有时会发起大量会话连接，建立会话后长时间保持状态连接，从而占用大量网络资源，最终将网络资源耗尽的情况。因此应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源，保证业务可以被正常访问。一般在防火墙上实现。安全审计（G3）（路由器、交换机、防火墙、入侵检测系统 /防御系统） a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； b) 审计记录应包

15、括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； c) 应能够根据记录数据进行分析，并生成审计报表； d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。注释：查看日志记录情况： show logging display current-configuration 网络设备防护（G3）（路由器、交换机、防火墙、入侵检测系统/防御系统） a) 应对登录网络设备的用户进行身份鉴别；（1） b) 应对网络设备的管理员登录地址进行限制；（2） c) 网络设备用户的标识应唯一； d) 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；（

16、采用方法：双因子鉴别） e) 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（使用口令的组成、长度和更改周期。对储存在配置文件中的所有口令和类似数据进行加密，可以避免通过读取配置文件而获取明文口令） f) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；（可以利用命令配置 VTY 的超时，避免一个空闲的任务一直占用 VTY，从而避免恶意攻击或远端系统的意外崩溃导致的资源独占。） g) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；（不应当使用明文传送的 telnet、http 服务，而应

17、当采用 ssh、https 等加密协议等方式进行交互式管理） h) 应实现设备特权用户的权限分离。（应根据实际需要为用户分配完成其任务的最小权限）注释： 1 ）用户登录路由器、交换机的方式：利用控制台端口（console ）通过串口进行本地连接登录； 1 利用辅助端口（AUX）通过 MODEM 进行远程拨号链接登录； 2 MODEM（调制解调器）实现数字信号和模拟信号之间的转换。利用虚拟终端（VTY）通过 TCP/IP 网络进行远程 Telnet 登录等。 3 无论那种登录方式，都需要对用户身份进行鉴别，口令是路由器用来防止非授权访问的常用手段，是路由器本身安全的一部分。因此需要

18、加强对路由器口令的管理，包括口令的设置、储存，最好的口令存储方法是保存在 TACACS+或 RADIUS 认证服务器上。管理员应当依据需要为路由器相应的端口加上身份鉴别最基本的安全控制。路由器、交换机的口令安全包括两类：设置登录口令和设置使能口令（特权密码）。当为特权用户设置口令时，应当使用 enable secret 命令，该命令用于设定具有管理员权限的口令， enable secret 命令采用的是 MD5 算法，这种算法比 enable password 加密算法强，不容易被破解。 show running-config display current-configura

19、tion 2 ）为了保证网络管理员对路由器安全访问的同时，避免其他人的未授权访问，最好的方法是采用带外管理，使用专用的管理终端和通讯路径，将管理数据流和其他数据流分开，能够有效地增加安全性。利用ip access-class限制访问VTY（虚拟终端）的IP地址范围。同时由于VTY的数目有一定的限制，当所有的vty用完，就不能再建立远程的网络连接了，通过限制登录地址，限制能够防止DOS攻击（拒绝服务攻击）。 3 ）双因子鉴别不仅需要访问者知道一些信息，还需要访问者拥有鉴别特征，如：令牌、智能卡、数字证书和生物信息等。第二章主机安全测评身份鉴别（S3）（操作系统测评、数据库系统测

20、评） a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别；（1） b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（2） c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施; d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； e) 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。注释： 1 ）身份标识和鉴别就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的

21、身份是否属实的过程。linux用户的口令经过加密处理后存放于/etc/passwd文档中。现在的linux系统中口令不再直接保存在passwd文件中，通常将passwd文件中的口令字段使用一个“x”来代替，将 /etc/shadow作为真正的口令文件，用于保存包括个人口令在内的数据。淡然，shadow文件时不能被普通用户读取的，只有超级用户才有权读取。在root权限下，使用命令more、cat、vi查看 /etc/passwd 和 /etc/shadow文件中各用户名的状态。以root 身份登录进入linux。 #cat/etc/passwd #cat/etc/shadow 2 ）控制

22、和监视密码是不可缺少的。在windows中，如设置密码历史记录、设置密码最常使用期限、设置密码最短使用期限、设置最短密码长度，设置密码复杂性要求。 Linux中的 /etc/login.defs是登录程序的配置文件，在这里我们可以配置最大过期天数，密码的最大长度约束等内容。由于该文件对root用户无效，如果 /etc/shadow文件里有相同的选项，则以 /etc/shadow里的设置为准，也就是说 /etc/shadow的配置优先级别高于 /etc/login.defs 。以root身份登录进入linux。 #more/etc/login.defs PASS-MAX-DAYS 90 #

23、登录密码有效期90天 PASS-MIN-DAYS 0 #登录密码最短修改时间，设置为0，则禁用此功能。防止非法用户短期修改多次。 PASS-MIN-LEN 8 #登录密码最小长度8位 PASS-WARN-AGE 7 #登录密码过期提前7天提示修改 FAIL-DELAY 10 #登录错误时等待时间10秒 FAILLOG-ENAB yes #登录错误记录到日志 SYSLOG-SU-ENAB yes #当限定超级用户管理日志时使用 SYSLOG-SG-ENAB yes #当限定超级用户组管理日志时使用 MD5-CRYPT-ENAB yes #当使用MD5的加密方法时使用 3 )windows操作系统

24、具备了登录失败处理功能，可以通过适当的配置“账户锁定策略”来对用户的的登录进行限制，如账户锁定阙值、账户锁定时间、复位账户锁定计数器等。当登录失败次数超过管理员指定值时可以禁用该账户。账户锁定阙值：确定用户账户被锁定的登录尝试失败的次数，在管理员重置锁定账户或账户锁定时期满之前，无法使用该锁定账户，次数可介于0-999之间，如果将值置为0，则永远不会锁定账户。账户锁定时间：确定锁定账户在自动解锁前，保持锁定的分钟数，可用范围0-99,999.如果将锁定时设置为0，账户将被一直锁定，指导管理员明确对它的锁定。如果定义了账户锁定阙值，则账户锁定时间必须大于等于重置时间。复位账

25、户锁定计数器：确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。只有在指定了帐户锁定阈值时，此策略设置才有意义。 4 ）linux系统具有调用PAM的应用程序可以用来认证用户、登录服务、屏保等功能，其中的一个重要的文件/etc/pam.d/system-auth，它是pam-stack.so模块的标准控制文件，在这个文件中可以通过配置参数，设置登录失败断开连接的次数等。要获得最大程度的安全性，建议在3-5次登录尝试失败后锁定账户，且不要在30分钟

26、内重新启用该账户，并将锁定时间设置为“永久锁定（直到管理员解开锁定）” 在linux操作系统中，以root身份登录进入linux的命令： #cat/etc/pam.d/system-auth 查看是否存在“account required/lib/security/pam-tally.so deny=5 no-magic-root reset ” 5 )在linux操作系统中：以root身份登录linux。首先查看是否安装SSH的相应的包：#rpm -aq|grep ssh 或查看是否安装SSH的相应包：# service -status-all | grep sshd 如果已经安装则查看

27、相关的端口是否打开：# netstat -an|grep sshd 22 若未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理： # service -status-all | grep running查看是否存在Telnet服务。数据库系统 Sql 查看是否存在空口令用户：select * from syslogins where password is null Oracle查看是否启用口令复杂度函数 select limit from dba-profiles where profile=“DEFAULT” and resource-name=PASSWORD-

28、VERIFY-FUNTION 登录失败尝试次数的限制 select limit from dba-profiles where profile=“DEFAULT” and resource-name=“FAILED-LOGIN-ATTEMPTS“(值为unlimited表示没有限制) 口令锁定时间的设置语句 select limit from dba-profiles where profile=“DEFAULT” and resource-name=“PASSWORD-LOCK-TIME“(值为unlimited表示没有限制) 访问控制（S3）（操作系统测评、数据库系统测评） a) 应启用访

29、问控制功能，依据安全策略控制用户对资源的访问； b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；（2） c) 应实现操作系统和数据库系统特权用户的权限分离；（3） d) 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； e) 应及时删除多余的、过期的帐户，避免共享帐户的存在。 f) 应对重要信息资源设置敏感标记；（4） g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；注释： 1 ）访问控制是安全防范和保护的主要策略，它不仅仅用于网络层面，同样也适用于主机层面。它的主要任务是保证系统资源不被非法使用和访

30、问，使用访问控制的目的在于通过限制用户对特定资源的访问，来保护系统资源。在操作系统中的每一个文件和目录都包含有访问权限，这些访问权限决定了谁能访问和如何访问这些文件和目录。对于linux中的一些重要文件，应检查linux系统主要的权限设置情况，对于配置文件权限值不能大于644，对于可执行文件不能大于755. 以root身份登录进入linux，使用命令：ls -l文件名，查看重要文件和目录权限设置是否合理，如： #ls -l/etc/passwd #744 查看共享情况，在命令行模式下输入net share查看注册表： HKEY-LOCAL-MACHINESYSTEMCurrentCont

31、rolSetControllsarestrictanony mous值是否为0（0 表示共享） 2 ）根据管理用户的角色对权限做出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块进行一些授权管理，并且系统的授权安全管理工作要做到细致，今授予管理用户所需的最小权限，避免出现权限的漏洞，使一些高级用户拥有过大的权限。 3 ）操作系统特权用户可以拥有以下权限：安装和配置系统的硬件和软件、建立和管理用户账户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。数据库系统特权用户对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性

32、安全性。将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些认为的误操作，做到职责分明。 4 ）敏感标记：是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也肯能是字母，他表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限为客体进行操作，实现强制访问控制。数据库 Sql中查看是否存在多余过期的账户：select from syslogins oracle中查看是否存在多余过期的账户：select username，account-status from dba-

33、users 查看是否安装oracle label security模块：select username from dba-users 查看是否创建策略：select policy_name，status from DBA-SA-POLICIES 查看是否创建级别：select * from dba-sa-levels order by lever-num 查看标签创建情况：select * from dba-sa-label 查看策略与模式、表的对应关系：select * from dba-sa-tabel-policies；判断是否针对重要信息资源设置敏感标签。安全审计（G3）（操作系统

34、测评、数据库系统测评） a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；（1） b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；（2） c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应能够根据记录数据进行分析，并生成审计报表； e) 应保护审计进程，避免受到未预期的中断；（4） f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。（5）注释： 1）以root身份登录进入Linux，查看服务进程：系统日志服务#service syslog status #service a

35、udit status或 #service -status-all|grep auditd 2 ）在linux中/etc/audit/audit.conf文件制定如何写入审查记录以及在那里写入、日志超出可用磁盘空间后如何处理等内容。/etc/audit/filesets.conf和/etc/audit/filters.conf指定内核用来判定系统调用是否要审查的规则。 3 ）在linux操作系统中，使用aucat和augrep工具查看审计日志： #aucat|tail-100 #查看最近的100条审计记录； #augrep -e TEXT -U AUTH-success #查看所有成功PA

36、M授权。 4 )在Linux中，Auditd是审计守护进程，syslogd是日志守护进程，保护好审计进程当事件发生时，能及时记录事件发生的详细内容。 5 ）非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的方法就是去看系统记录和安全审计文件。数据库 Oracle 查看是否开启审计功能：select value from v$paramater where name=audit-trail或 Show parmeter audit-trail 查看是否对所有sys用户的操作进行了记录：show parameter audit-sys-operation

37、查看是否对 sel，upd，del ins操作进行了审计：select sel，upd，del ins from dba-obj-audit-opts 查看审计是否设置成功：select * from dba-stmt-audit-opts 查看权限审计选项：select * from dba-priv-audit-opts 剩余信息保护（S3）（操作系统测评） a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他

38、用户前得到完全清除。入侵防范（G3）（操作系统测评） a) 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警； b) 应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施； c) 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。（涉及的两个方面系统服务和监听端口，补丁升级，对多余的系统服务可以禁用或卸载）注释： 1 ）入侵威胁分为：外部渗透、内部渗透和不法行为。入侵行为分为：物理入侵、系统入侵和远程入侵。造成入侵威胁

39、的入侵行为主要是系统入侵和远程入侵两种。系统入侵指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。（如果系统没有及时更新最近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理权限）远程入侵指入侵者通过网络渗透到一个系统中，这种情况下，入侵者通常不具备任何特殊权限，他们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。 2 ）查看入侵的重要线索的命令：#more/var/log/secure|grep refused 查看是否启用了主机防火墙、RCP SYN保护机制等设置的命令： find/-name-print 检查是否安装了一下主机入侵检测软

40、件。 3 ) 监听端口的命令： netstat -an 确认系统目前正在运行的服务：#service -status-all|grep running 查看补丁安装情况的命令：#rpm-qa|grep patch 恶意代码防范（G3）（操作系统测评） a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库； c) 应支持防恶意代码的统一管理。（统一更新，定时查杀）资源控制（A3）（操作系统测评、数据库系统测评 a、b、d） a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录；（1） b) 应根据安全

41、策略设置登录终端的操作超时锁定；（2） c) 应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况； d) 应限制单个用户对系统资源的最大或最小使用限度； e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。（3）注释： 1 ）系统资源是指CPU、存储空间、传输带宽等软硬件资源。应通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大地节省系统资源，保证了系统的可用性，同时也提高了系统的安全性。 Windows系统可以通过主机防火墙或TCP/IP筛选来实现以上功能，在linux系统中存在 /etc/hosts.allow和/etc/ho

42、sts.deny两个文件，它们是tcpd服务器的配置文件，tcpd服务器可以控制外部IP对本机服务的访问。其中/etc/hosts.allow控制可以访问本机的IP,/etc/hosts.deny控制禁止访问本机的IP，如果两个文件的配置有冲突，以/etc/hosts.deny为准。 2 ）若是通过远程终端进行连接windows服务器系统，可以通过设置超时连接来限制终端操作超时；若是本地登录，则通过开启带有密码功能屏幕保护。 3 ）如磁盘空间不足、CPU利用率过高、硬件发生故障等，通过报警机制，将问题现象发送给相关负责人，及时定位引起问题的原因和对异常情况进行处理，从而避免故障的发生或

43、将影响减小到最低。数据库 Sql查看是否设置了超时时间:在查询分析器中执行命令sp-configure remote login timeout(s) Oracle查看空闲超时设置：select limit from dba-profiles where profile=“DEFAULT” and resource-name=“IDLE-TIME“(值为unlimited表示没有限制) 确定用户使用的profile，针对指定用户的profile，查看其限制（以defaut为例）： select username，profile from dba-users 查看是否对每个用户所允许的并行会话

44、数进行了限制：select limit from dba-profiles where profile=“DEFAULT” and resource-name=“SESSION-PER-USERS“(值为unlimited表示没有限制) 查看是否对一个会话可以使用的CPU时间进行了限制：select limit from dba-profiles where profile=“DEFAULT” and resource-name=“CPU-PER-SESSION“(值为unlimited表示没有限制) 查看是否对允许空闲会话的时间进行了限制：select limit from dba-prof

45、iles where profile=“DEFAULT” and resource-name=“IDLE-TIME“(值为unlimited表示没有限制) 第三章应用安全 3.1 身份鉴别（S3） a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； b) 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别； c) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用； d) 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； e) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复

46、杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。 3.2 访问控制（S3） a) 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； c) 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限； d) 应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 e) 应具有对重要信息资源设置敏感标记的功能； f) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作； 3.3 安全审计（G3） a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全

47、事件进行审计； b) 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；(1) c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。注释： 1 )应用系统应对审计进程或功能进行保护，如果处理审计的事务是一个单独的进程，那么应用系统对审计进程进行保护，不允许非授权用户对进程进行中断；如果审计是一个独立的功能，则应用系统应防止非授权用户关闭审计功能。应用系统应对审计记录进行保护，防止非授权删除、修改或覆盖审计记录。 3.4 剩余信息保护（S3） a) 应保证用户鉴别信息所在的存储空间被

48、释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； b) 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。注释： 1 ）有的应用系统将用户的鉴别信息放在内存中进行处理，处理完成后没有及时将其清除，这样其他的用户通过一些非正常手段就有可能获取该用户的鉴别信息。 2 ）有的应用系统在使用过程中可能会产生一些临时文件，这些临时文件中可能会记录一些敏感信息，当将这些资源分配给其他用户是我，其他用户就可能获取到这些敏感信息。 3.5 通信完整性（S3）应采用密码技术保证通信过程中数据的完整性。注释：为了防止数据

49、在传输时被修改或破坏，应用系统必须确保通信过程中的数据完整性，通信双方利用密码算法，来保证数据的完整性。 3.6 通信保密性（S3） a) 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； b) 应对通信过程中的整个报文或会话过程进行加密。 3.7 抗抵赖（G3） a) 应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能； b) 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 3.8 软件容错（A3） a) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求； b) 应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。 3.9 资源控制（A3） a) 当应用系统的

展开阅读全文