《信息安全等级测评师培训教程(初级)》学习笔记.doc

信息安全等级测评师培训教程（初级）目录信息安全等级测评师培训教程（初级）2第1章 网络安全测评31.1 网络全局31.2 路由器41.3 交换机71.4 防火墙81.5 入侵检测/防御系统9第2章 主机安全测评102.1 操作系统测评102.2 数据库系统测评16第3章 应用安全测评173.1 身份鉴别173.2 访问控制173.3 安全审计173.4 剩余信息保护173.5 通信完整性183.6 通信保密性183.7 抗抵赖183.8 软件容错183.9 资源控制18第4章 数据安全测评194.1 数据完整性194.2 数据保密性194.3 备份和恢复19第五章 物理安全195.1 物理位置的选择（G3）195.2物理访问控制（G3）195.3 防盗窃和防破坏（G3）205.4 防雷击（G3）205.5 防火（G3）205.6防水和防潮（G3）205.7防静电（G3）215.8 温湿度控制（G3）21第六章 安全管理测评226.1安全管理制度226.2安全管理机构236.3人员安全管理246.4系统建设管理266.5系统运维管理29第7章 工具测试33附录A 信息安全技术35A.1 标识与鉴别35A.2 访问控制36A.3 密码技术38A.4 安全审计和监控39A.5 恶意代码防范41A.6 备份与恢复41A.7 Web安全防护42A.8 终端安全43附录B 网络攻击技术44B.1 网络攻击概述44B.2 网络攻击过程45PS48Ps1子网掩码48计算方式49表示方法52地址判断53运算示例53信息安全等级测评师培训教程（初级）本书主要以三级系统S3A3G3测评为例标记说明：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）后面的数字3是说S、A、G三类的要符合等保的三级要求，比如S3就是要达到S类的3级标准其中G是通用要求，G的级别为S、A中最高的数字级别通过不同的组合，得到系统的最终等级。安全保护等级信息系统定级结果的组合级S1A1G1级S1A2G2，S2A2G2，S2A1G2级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5第1章 网络安全测评1.1 网络全局1.1.1 结构安全（G3）a）应保证主要网络设备的业务处理能力有冗余空间，满足业务高峰期需要b）应保证网络各个部分的带宽满足业务高峰期需要；c）应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；d）应绘制与当前运行情况相符的网络拓扑结构图；e）应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网和网段，并按照方便管理和控制的原则为各子网、网段分配地址段f）应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段（在网络边界处部署：防火墙、网闸、或边界网络设备配置并启用acl）g）应按照对业务服务的重要次序来制定带宽分配优先级别，保证在网络发生拥堵时优先保护重要主机。（检查防火墙是否存在策略带宽配置）注释： 1）静态路由是指由网络管理员手工配置的路由信息，当网络的拓扑结构或链路的状态发 生变化 时，网络管理员需要手工修改路由表中相关的静态路由信息。 2）动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时的进行调 整。动态路由机制的运作依赖路由的两个基本功能：对路由表的维护和路由器之间适时的路由信 息交换。路由器之间的信息交换是基于路由协议实现的，如ospf路由协议是一种典型的链路状态 路由协议，它通过路由器之间通告网络接口的状态，来建立链路状态数据库，生成最短路径树， 每个OSPF路由器使用这些最短路径构造路由表。如果使用动态路由协议应配置使用路由协议认证 功能，保证网络路由安全。 3）vlan是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。 不同vlan内的报文在传输时是相互隔离的。如果不同vlan要进行通信，则需要通过路由器或三层交 换机等三层设备实现。 思科 华为 4）是否存在路由协议认证：show running-config display current-configuration 查看vlan划分情况： show vlan display vlan all1.1.2 边界完整性检查（S3）a）应能够对非授权设备私自联到内部网络的行为进行检查，准确定位，并对其进行有效阻断；技术手段：网络接入控制，关闭网络设备未使用的端口、IP/MAC地址绑定等管理措施：进入机房全程陪同、红外视频监控等b）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定位，并对其进行有效阻断；（方法：非法外联监控功能、非法外联软件）1.1.3 入侵防范（G3）a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；（入侵防范的技术：入侵检测系统IDS，包含入侵防范模块的多功能安全网关UTM）b）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警（报警方式：短信、邮件、声光报警等）.注释： 1）入侵检测的分类：主动入侵检测、被动入侵检测。 主动入侵检测：在攻击的同时检测到。它会查找已知的攻击模式或命令，并阻止这些命令的执行。 被动入侵检测：攻击之后的检测。只有通过检查日志文件，攻击才得以根据日志信息进行复查和再现。 2）多功能安全网关的功能：防火墙、虚拟防火墙、入侵检测和防御、防病毒、防垃圾邮件、p2p流量控 制、URL过滤等功能。1.1.4 恶意代码防范（G3）a）应在网络边界处对恶意代码进行检测和清除；（防恶意代码产品：防病毒网关、包含防病毒模块的多功能安全网关、网络版防病毒系统等）b）应维护恶意代码库的升级和检测系统的更新（更新方式：自动远程更新、手动远程更新、手动本地更新等）1.2 路由器1.2.1 访问控制（G3）a）应在网络边界处部署访问控制设备，启用访问控制功能；能够起访问控制功能的设备有：网闸、防火墙、路由器和三层路由交换机等b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；（路由器通过配置合理的访问控制列表ACL）c）应对进出网络的信息内容进行过滤，实现对应用层HTTP, FTP, TELNET, SMTP, POP3等协议命令级的控制（一般实现方式：防火墙）d）应在会话处于非活跃一定时间或会话结束后终止网络连接；当恶意用户进行网络攻击时，有时会发起大量会话连接，建立会话后长时间保持状态连接，从而占用大量网络资源，最终将网络资源耗尽的情况。因此应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源，保证业务可以被正常访问。一般在防火墙上实现。e）应限制网络最大流量数及网络连接数；（一般在防火墙上实现）路由器可根据IP地址、端口、协议来限制应用数据流的最大流量；根据IP地址来限制网络连接数，从而保证业务带宽不被占用，业务系统可以对外正常提供服务。路由器的带宽策略一般采用分层的带宽管理机制，管理员可以通过设置细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议4个方面来限制带宽show running-config display acl config al2f）重要网段应采取技术手段防止地址欺骗地址欺骗中的地址可以使MAC地址，也可以使IP地址。目前发生比较多的是ARP地址欺骗，ARP地址欺骗是MAC地址欺骗的一种。ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。ARP欺骗分为2种，一种是对网络设备ARP表的欺骗，另一种是对内网PC的网关欺骗。解决方法：1在网络设备中把所有PC的IP-MAC输入到一个静态表中，这叫IP-MAC绑定；2.在内网所有PC上设置网关的静态ARP信息，这叫PC IP-MAC绑定。一般要求2个工作都要做，称为IP-MAC双向绑定思科Show ip arp 华为display arpg）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户通过配置用户、用户组，并结合访问控制规则可以实现对认证成功的用户允许访问受控资源show crypto isakmp policy；show crypto ipsec transform-set；show ip access-list。 Display ipsech）应限制具有拨号访问权限的用户数量show running-config display dialer1.2.2 安全审计（G3）a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b）审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应能够根据记录数据进行分析，并生成审计报表；d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；注释： 查看日志记录情况： show logging display current-configuration1.2.3 网络设备防护a）应对登陆网络设备的用户进行身份鉴别；用户登录路由器的方式包括：&1 利用控制台端口（Console）通过串口进行本地连接登录；&2 利用辅助端口（AUX）通过MODEM进行远程拨号连接登录&3 利用虚拟终端（VTY）通过TCP/IP网络进行远程登录无论哪一种登录方式，都需要对用户身份进行鉴别，口令是路由器用来防止非授权访问的常用手段，是路由器安全的一部分。需要加强对路由器口令的管理，包括口令的设置和存储，最好的口令存储方式是保存在TACACS+或RADIUS认证服务器上。检查方法：思科1） 在特权模式下输入命令show running-config会输出该路由器相关配置信息2） 检查配置信息中是否存在类似如下的配置信息Line vty 0 4 （虚拟终端）Login Password xxxxxLine aux 0 （辅助端口）LoginPassword xxxxxxLine con 0 （控制台端口）LoginPassword xxxxx3） 为特权用户设置口令时，应当使用enable secret命令该命令用于设定具有管理员权限的口令，enable secret命令采用的是MD5算法，这种算法比enable password加密算法强，不容易被破解。4） 如果设备启用了AAA认证，则查看配置信息应当存在类似如下配置信息aaa new-modeltacacs-server host 192.168.1.1 single-connectingtacacs-server key shared1aaa new-modelradius-server host 192.168.1.1radius-server key shared1line vty 0 4aaa authorization login华为display current-configurationb）应对网络设备的管理员登录地址进行限制； 为了保证网络管理员对路由器安全访问的同时，避免其他人的未授权访问，最好的方法是采用带外管理，使用专用的管理终端和通讯路径，将管理数据流和其他数据流分开，能够有效地增加安全性。 利用ip access-class限制访问VTY（虚拟终端）的IP地址范围。同时由于VTY的数目有一定的限制，当 所有的vty用完，就不能再建立远程的网络连接了，通过限制登录地址，限制能够防止DOS攻击（拒绝服务攻击）。c）网络设备用户的标识应唯一；d）主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别；双因子鉴别还需要访问者拥有鉴别特征：采用令牌、智能卡、数字证书和生物信息等e）身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（使用口令的组成、长度和更改周期。对储存在配置文件中的所有口令和类似数据进行加密，可以避免通过读取配置文件而获取明文口令）f）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；（可以利用命令配置VTY的超时，避免一个空闲的任务一直占用VTY，从而避免恶意攻击或远端系统的意外崩溃导致的资源独占。）g）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；不应当使用明文传送的Telnet、http服务，应当采用SSH、HTTPS等加密协议等方式来进行交互式管理h）应实现设备特权用户的权限分离；（应根据实际需要为用户分配完成其任务的最小权限）1.3 交换机1.3.1 访问控制a）应在网络边界部署访问控制设备，启用访问控制功能；b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制d）应在会话处于非活跃一定时间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数交换机可根据IP地址、端口、协议来限制应用数据流的最大流量；根据IP地址来限制网络连接数交换机的带宽策略一般采用分层的带宽管理机制，管理员可以通过设置细粒度的带宽策略，对数据报文做带宽限制和优先级别设定，还可以通过源地址、目的地址、用户和协议4个方面来限制带宽f）重要网段应采取技术手段防止地址欺骗g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。1.3.2 安全审计a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b）审计记录应包括：时间的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c）应能够根据记录数据进行分析，并生成审计报表d）应对审计记录进行保护，避免受到未预期的删除、修改或者覆盖等1.3.3 网络设备防护a）应对登录网络设备的用户进行身份鉴别b）应对网络设备的管理员登录地址进行限制；c）网络设备用户的标识应唯一；d）主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别e）身边鉴别信息应该具有不易被冒用的特点，口令应有复杂程度要求并定期更换；f）应具有登录失败处理的功能，可采取结束会话，限制非法登录次数和当网络登录连接超时自动退出的措施；g）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听h）应实现设备特权用户的权限分离1.4 防火墙1.4.1 访问控制a）应在网络边界部署访问控制设备，启用访问控制功能；b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；防火墙的安全策略的配置应当根据信息系统的应用进行配置，只允许授权的IP地址、协议、端口通过，对于没有明确允许通过的数据流默认应当是被禁止的。同时可以通过配置NAT、静态地址映射、IP地址绑定等措施隐藏内部网络信息，以最大限度地保证被保护网络的安全c）应对进出网络的信息内容进行过滤，实现对应用层HTTP, FTP, Telnet, SMTP，POP3等协议命令级的控制d）应在会话处于非活跃一定时间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数；f）重要网段应采取技术手段防止地址欺骗g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户h）应限制具有拨号访问权限的用户数量1.4.2 安全审计a）应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b）审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息；c）应能根据记录数据进行分析，并生成审计报表；d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；1.4.3 网络设备防护a）应对登录网络设备的用户进行身份鉴别b）应对网络设备的管理员登录地址进行限制；需要对远程管理防火墙的登录地址进行限制，可以是某一特定的IP地址，也可以来自某一子网、地址范围或地址组c）网络设备用户的标识应唯一；d）主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别e）身份鉴别信息应具有不易被冒用的特点，口令应有复杂程度要求并定期更换；f）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；g）当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听h）应实现设备特权用户的权限分离1.5 入侵检测/防御系统1.5.1 访问控制a）应在网络边界部署控制设备，启用访问控制；此处的访问控制主要指入侵防御系统具有的访问控制功能，入侵检测系统IDS不具有此功能b）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级c）应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、Telnet，SMTP、POP3等协议命令级的控制；d）应在会话处于非活跃一定时间或会话结束后终止网络连接；e）应限制网络最大流量数及网络连接数f）重要网段应采取技术手段防止地址欺骗g）应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；h）应限制具有拨号访问权限的用户数量1.5.2 安全审计a）应对网络系统中的网络设备进行运行状况、网络流量、用户行为等进行日志记录；b）审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息；c）应能够根据记录数据进行分析，并生成审计报表；d）应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；1.5.3 网络设备防护a）应对登录网络设备的用户进行身份鉴别b）应对网络设备的管理员登录地址进行限制；c）网络设备用户的标识应唯一；d）主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进行身份鉴别e）身边鉴别信息应具有不易被冒用的特点，口令应有复杂程度要求并定期更换；f）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施h）应实现设备特权用户的权限分离第2章 主机安全测评2.1 操作系统测评2.1.1 身份鉴别a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别身份标识和鉴别就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的身份是否属实的过程。linux用户的口令经过加密处理后存放于/etc/passwd文档中。现在的linux系统中口令不再直接保存在passwd文件中，通常将passwd文件中的口令字段使用一个“x”来代替，将/etc/shadow作为真正的口令文件，用于保存包括个人口令在内的数据。淡然，shadow文件时不能被普通用户读取的，只有超级用户才有权读取。 在root权限下，使用命令more、cat、vi查看/etc/passwd 和 /etc/shadow文件中各用户名的状态。以root 身份登录进入linux。 #cat/etc/passwd #cat/etc/shadowb）操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；Windows OS中查看“本地安全策略账户策略密码策略”中的相关项目：1、 设置密码历史要求（此设置可确保用户无法复用密码）：242、 设置密码最长使用期限：70天3、 设置密码最短使用期限：2天4、 设置最短密码长度：8个字符5、 设置密码复杂性要求：启用6、 启用密码可逆加密：不启用Linux OS：PASS_MAX_DAYS 90PASS_MIN_DAYS 0PASS_MIN_LEN 8PASS_WARN_AGE 7 登录密码过期提前7天提示修改FAIL_DELAY 10 登录错误时等待时间10秒FAILLOG_ENAB YES 登录错误记录到日志FAILLOG_SU_ENAB YES 当限定超级用户管理日志时使用FAILLOG_SG_ENAB YES 当限定超级用户组管理日志时使用MD5_CRYPT_ENAB YES 当使用md5为密码的加密方法时使用c）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 linux系统具有调用PAM的应用程序可以用来认证用户、登录服务、屏保等功能，其中的一个重要的文件/etc/pam.d/system-auth，它是pam-stack.so模块的标准控制文件，在这个文件中可以通过配置参数，设置登录失败断开连接的次数等。要获得最大程度的安全性，建议在3-5次登录尝试失败后锁定账户，且不要在30分钟内重新启用该账户，并将锁定时间设置为“永久锁定（直到管理员解开锁定）” 在linux操作系统中，以root身份登录进入linux的命令： #cat/etc/pam.d/system-auth 查看是否存在“account required/lib/security/pam-tally.so deny=5 no-magic-root reset ” d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 在linux操作系统中：以root身份登录linux。 首先查看是否安装SSH的相应的包：#rpm -aq|grep ssh 或查看是否安装SSH的相应包：# service -status-all | grep sshd 如果已经安装则查看相关的端口是否打开：# netstat -an|grep sshd 22 若未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理： # service -status-all | grep running查看是否存在Telnet服务。e）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性f）应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别数据库系统 Sql 查看是否存在空口令用户：select * from syslogins where password is null Oracle查看是否启用口令复杂度函数 select limit from dba-profiles where profile=“DEFAULT” and resource-name=PASSWORD-VERIFY-FUNTION登录失败尝试次数的限制 select limit from dba-profiles where profile=“DEFAULT” and resource-name=FAILED-LOGIN-ATTEMPTS(值为unlimited表示没有限制) 口令锁定时间的设置语句 select limit from dba-profiles where profile=“DEFAULT” and resource-name=PASSWORD-LOCK-TIME(值为unlimited表示没有限制)2.1.2 访问控制a）应启用访问控制功能，依据安全策略控制用户对资源的访问；访问控制是安全防范和保护的主要策略，它不仅应用与网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法适用和访问，适用访问控制的目的在于通过限制用户对特定资源的访问来保护系统资源。主要涉及2个方面的内容：文件系统和默认共享文件权限：在windows系统中，重要目录不能对“everyone”账户开放，在权限控制方面，尤其要注意文件权限更改后对于应用系统的影响；在Linux系统中，应坚持Linux系统主要目录的权限设置情况，对于配置文件权限制不能大于644，对于可执行文件不能大于755。以root身份登录Linux，使用”Ls-l 文件名”查看重要文件和目录权限设置是否合理默认共享：Windows OS的默认共享功能的设计初衷是为了方便网管通过网络对计算机进行远程管理而设的，它的存在依赖于系统服务的“server”。为保证系统安全性，通常我们可以将其关闭。Linux OS通常不存在默认共享1） 在命令模式下输入net share ，查看共享2） 查看注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous值是否为“0”（0表示共享开启）b）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c）应实现操作系统和数据库系统特权用户的权限分离；d）应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令e）应及时删除多余的、过期的账户，避免共享账户的存在f）应对重要信息资源设置敏感标记；g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作 注释：1 ） 访问控制是安全防范和保护的主要策略，它不仅仅用于网络层面，同样也适用于主机层面。它的主 要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的 访问，来保护系统资源。在操作系统中的每一个文件和目录都包含有访问权限，这些访问权限决定 了谁能访问和如何访问这些文件和目录。对于linux中的一些重要文件，应检查linux系统主要的权 限设置情况，对于配置文件权限值不能大于644，对于可执行文件不能大于755. 以root身份登录进入linux，使用命令：ls -l文件名，查看重要文件和目录权限设置是否合理，如： #ls -l/etc/passwd #744 查看共享情况，在命令行模式下输入net share查看注册表： HKEY-LOCAL-MACHINESYSTEMCurrentControlSetControllsarestrictanony mous值是否为0（0 表示共享）2 ）根据管理用户的角色对权限做出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块 进行一些授权管理，并且系统的授权安全管理工作要做到细致，今授予管理用户所需的最小权限，避 免出现权限的漏洞，使一些高级用户拥有过大的权限。3 ）操作系统特权用户可以拥有以下权限：安装和配置系统的硬件和软件、建立和管理用户账户、升级 软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。 数据库系统特权用户对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库 系统的可用性、完整性安全性。 将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些 认为的误操作，做到职责分明。4 ）敏感标记：是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也肯能 是字母，他表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资 源设置敏感标记，决定主体以何种权限为客体进行操作，实现强制访问控制。数据库 Sql中查看是否存在多余过期的账户：select from syslogins oracle中查看是否存在多余过期的账户：select username，account-status from dba-users 查看是否安装oracle label security模块：select username from dba-users 查看是否创建策略：select policy_name，status from DBA-SA-POLICIES 查看是否创建级别：select * from dba-sa-levels order by lever-num 查看标签创建情况：select * from dba-sa-label 查看策略与模式、表的对应关系：select * from dba-sa-tabel-policies；判断是否针对重要信息资 源设置敏感标签。2.1.3 安全审计a）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；以root身份登录进入Linux，查看服务进程：系统日志服务#service syslog status #service audit status或 #service -status-all|grep auditdb）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c）审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；d）应能够根据记录数据进行分析，并生成审计报表；e）应保护审计进程，避免受到未预期的中断；f）应保护审计记录，避免受到未预期的删除、修改或覆盖等；注释：1） 以root身份登录进入Linux，查看服务进程：系统日志服务#service syslog status #service audit status或 #service -status-all|grep auditd2 ）在linux中/etc/audit/audit.conf文件制定如何写入审查记录以及在那里写入、日志超出可用磁盘 空间后如何处理等内容。/etc/audit/filesets.conf和/etc/audit/filters.conf指定内核用来判定 系统调用是否要审查的规则。3 ）在linux操作系统中，使用aucat和augrep工具查看审计日志： #aucat|tail-100 #查看最近的100条审计记录； #augrep -e TEXT -U AUTH-success #查看所有成功PAM授权。 4 )在Linux中，Auditd是审计守护进程，syslogd是日志守护进程，保护好审计进程当事件发生时，能 及时记录事件发生的详细内容。 5 ）非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的 方法就是去看系统记录和安全审计文件。数据库Oracle 查看是否开启审计功能：select value from v$paramater where name=audit-trail或 Show parmeter audit-trail查看是否对所有sys用户的操作进行了记录：show parameter audit-sys-operation查看是否对 sel，upd，del ins操作进行了审计：select sel，upd，del ins from dba-obj-audit-opts查看审计是否设置成功：select * from dba-stmt-audit-opts查看权限审计选项：select * from dba-priv-audit-opts2.1.4 剩余信息保护a）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中b）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除；2.1.5 入侵防范a）应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP，攻击的类型、目的、时间，并在发生严重入侵事件时提供报警；b）应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；c）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新注释： 1 ）入侵威胁分为：外部渗透、内部渗透和不法行为。 入侵行为分为：物理入侵、系统入侵和远程入侵。 造成入侵威胁的入侵行为主要是系统入侵和远程入侵两种。 系统入侵指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。（如果系统没有及时更新最 近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理权限） 远程入侵指入侵者通过网络渗透到一个系统中，这种情况下，入侵者通常不具备任何特殊权限，他 们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。 2 ）查看入侵的重要线索的命令：#more/var/log/secure|grep refused 查看是否启用了主机防火墙、RCP SYN保护机制等设置的命令： find/-name-print 检查是否安装了一下主机入侵检测软件。 3 ) 监听端口的命令： netstat -an 确认系统目前正在运行的服务：#service -status-all|grep running 查看补丁安装情况的命令：#rpm-qa|grep patch2.1.6 恶意代码防范a）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；b）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库c）应支持防恶意代码的统一管理2.1.7 资源控制a）应通过设定终端接入方式、网络地址范围等条件限制终端登录；b）应根据安全策略设置登录终端的操作超时锁定；c）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；d）应限制单个用户对系统资源的最大或最小使用限度；e）应能够对系统的服务水平降低到预先规定的最小值进行检测和报警注释： 1 ）系统资源是指CPU、存储空间、传输带宽等软硬件资源。 应通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大地节省系统资源，保证了 系统的可用性，同时也提高了系统的安全性。 Windows系统可以通过主机防火墙或TCP/IP筛选来实现以上功能，在linux系统中存在 /etc/hosts.allow和/etc/hosts.deny两个文件，它们是tcpd服务器的配置文件，tcpd服务器可以控 制外部IP对本机服务的访问。其中/etc/hosts.allow控制可以访问本机的IP,/etc/hosts.deny控制 禁止访问本机的IP，如果两个文件的配置有冲突，以/etc/hosts.deny为准。2 ）若是通过远程终端进行连接windows服务器系统，可以通过设置超时连接来限制终端操作超时； 若是本地登录，则通过开启带有密码功能屏幕保护。3 ）如磁盘空间不足、CPU利用率过高、硬件发生故障等，通过报警机制，将问题现象发送给相关负责人， 及时定位引起问题的原因和对异常情况进行处理，从而避免故障的发生或将影响减小到最低。数据库Sql查看是否设置了超时时间:在查询分析器中执行命令sp-configure remote login timeout(s) Oracle查看空闲超时设置：select limit from dba-profiles where profile=“DEFAULT” and resource-name=IDLE-TIME(值为unlimited表示没有限制) 确定用户使用的profile，针对指定用户的profile，查看其限制（以defaut为例）： select username，profile from dba-users 查看是否对每个用户所允许的并行会话数进行了限制：select limit from dba-profiles where profile=“DEFAULT” and resource-name=SESSION-PER-USERS(值为unlimited表示没有限制) 查看是否对一个会话可以使用的CPU时间进行了限制：select limit from dba-profiles where profile=“DEFAULT” and resource-name=CPU-PER-SESSION(值为unlimited表示没有限制) 查看是否对允许空闲会话的时间进行了限制：select limit from dba-profiles where profile=“DEFAULT” and resource-name=IDLE-TIME(值为unlimited表示没有限制)2.2 数据库系统测评2.2.1 身份鉴别a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b）操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂程度要求并定期更换；c）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听e）应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；f）应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴2.2.2 访问控制a）应启用访问控制功能，依据安全策略控制用户对资源的访问；b）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c）应实现操作系统和数据库系统特权用户的权限分离；d）应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令；e）应及时删除多余的、过期的账户，避免共享账户的存在；f）应对重要信息资源设置敏感标记；g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；2.2.3 安全审计a）审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件c）审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等d）应能根据记录数据进行分析，并生成审计报表；e）应保护审计进程，避免受到未预期的中断；f）应保护审计记录，避免受到未预期的删除、修改或覆盖等；2.2.4 资源控制a）应通过设定终端接入方式、网络地址范围等条件限制终端登录；b）应根据安全策略设置登录终端的操作超时锁定；c）应限制单个用户对系统资源的最大或最小使用限度第3章 应用安全测评3.1 身份鉴别a）应提供专用的登录控制模块对登录用户进行身份标识和鉴别；b）应对同一用户采用2种或者2种以上组合的鉴别技术实现用户身份鉴别；c）应提供用户身份标识唯一和鉴别信息复杂度检测功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；d）应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；e）应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查，以及登录失败处理功能，并根据安全策略配置相关参数；3.2 访问控制a）应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；b）访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；c）应有授权主体配置访问控制策略，并严格限制默认账户的访问权限；d）应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；e）应具有对重要信息资源设置敏感标记的功能；f）应根据安全策略严格控制用户对有敏感标记重要信息资源的操作；3.3 安全审计a）应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；b）应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；c）审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；d）应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能注释：1 )应用系统应对审计进程或功能进行保护，如果处理审计的事务是一个单独的进程，那么应用系统对审 计进程进行保护，不允许非授权用户对进程进行中断；如果审计是一个独立的功能，则应用系统应防 止非授权用户关闭审计功能。应用系统应对审计记录进行保护，防止非授权删除、修改或覆盖审计记录。3.4 剩余信息保护a）应保证用户鉴别信息所在的存储空间呗释放或再分配给其他用户前被完全清除，无论这些信息是存放在硬盘上还是在内存中；b）应保证系统内的文件、目录和数据库记录等资源所在的存储空间呗释放或重新分配给其他用户前得到完全清除；注释：1 ）有的应用系统将用户的鉴别信息放在内存中进行处理，处理完成后没有及时将其清除，这样其他的 用户通过一些非正常手段就有可能获取该用户的鉴别信息。2 ）有的应用系统在使用过程中可能会产生一些临时文件，这些临时文件中可能会记录一些敏感信息， 当将这些资源分配给其他用户是我，其他用户就可能获取到这些敏感信息。3.5 通信完整性a）应采用密码技术保证通信过程中的数据的完整性；注释：为了防止数据在传输时被修改或破坏，应用系统必须确保通信过程中的数据完整性，通信双方利用密码算法，来保证数据的完整性。3.6 通信保密性a）在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；b）应对通信过程中的整个报文或会话过程进行加密；3.7 抗抵赖a）应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；b）应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能；3.8 软件容错a）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；b）应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复；3.9 资源控制a）当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方面能够自动结束会话；b）应能够对系统的最大并发会话连接数进行限制；c）应能够对单个账户的多重并发会话进行限制；d）应能够对一个时间段内可能的并发会话连接数进行限制；e）应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额；f）应能够对系统服务水平降低到预先规定的最小值进行检测和报警；g）应提供服务优先级设定功能，并在安装后根据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源；第4章 数据安全测评4.1 数据完整性a） 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；b）应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；4.2 数据保密性a）应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；b）应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性；4.3 备份和恢复a）应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；b）应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；c）应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；d）应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性注释： 1 ）对数据进行备份，是防止数据遭到破坏后无法使用的最好方法。通过对数据采取不同的备份方式和 形式等，保证系统重要数据在发生破坏后能够被恢复。 2 ）对于配置文件、应用程序这类数据一般变化较小，一般是在其发生变化时才进行备份。而业务数据 由于其具有重要程度高、变化快等特点，它是备份的主题（如每天、每小时等）批量传送至备用场地。第五章 物理安全5.1 物理位置的选择（G3）a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；b) 机房和办公场地应避免在建筑物的顶层或地下室，以及用水设备的下层或隔壁。5.2物理访问控制（G3）a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员；b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；c) 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。注释： 采取门禁、专人值守、专人陪同、审批登记、区域隔离等必要的措施，对机房的出入及人员进入机房 后的活动进行管理和控制5.3