5、 测评结果汇总整理
对全局性检查结果和各单项检查结果进行汇总 核对检查结果,记录内容真实有效,勿有遗漏
第二章:主机安全测评:
Windows十大安全隐患 Web服务器和服务 工作站服务
Windows远程访问服务 微软SQL服务器 Windows认证 Web浏览器 文件共享
LSASS Exposures 电子邮件客户端 即时信息
Unix十大安全隐患 BIND域名系统 Web服务器 认证
版本控制系统 电子邮件传输服务 简单网络管理协议 开放安全连接通讯层
企业服务NIS/NFS配置不当 数据库 内核
主机的相关知识点:
1、 主机按照其规模或系统功能来区分,可分为巨型,大型,中型,小型,微型计算机和单片机。
2、 主机安全是由操作系统自身的安全配置,相关安全软件以及第三方安全设备等来实现,主机测评则是依据基本要求对主机安全进行符合性检查。
3、 目前运行在主机上的主流的操作系统有windows,linux,sun solaris,ibm aix,hp-ux等等。
测评对象主机上各种类型的操作系统 操作系统 级别 Linux/Unix/Netware C2级 MS Win NT/2000 C2级 Saloris C2级 DOS/Win9x D级
基本要求中主机各级别的控制点和要求项对比
不同级别系统控制点的差异
层面 一级 二级 三级 四级 主机安全 4 6 7 9
不同级别系统要求项的差异
层面 一级 二级 三级 四级 主机安全 6 19 32 36
熟悉操作系统自带的管理工具 Windows
Computer management
Microsoft management console(mmc) Registry editor Command prompt Linux
常用命令:cat、more、ls等具备查看功能的命令 检查流程:
1、 现场测评准备
2、 现场测评和记录结果 3、 结果确认和资料归还 测评准备工作: 1、 信息收集:
服务器设备名称,型号,所属网络区域,操作系统版本,IP地址,安全应用软件名称,主要业务应有,涉及数据,是否热备,重要程度,责任部门?? 2、 测评指导书准备:
根据信息收集的内容,结合主机所属等级,编写测评指导书。 注意:测评方法,步骤一定要明确,清晰。 现场测评内容与方法: (一) 身份鉴别 (二) 访问控制 (三) 安全审计 (四) 剩余信息保护 (五) 入侵防御 (六) 恶意代码防范 (七) 系统资源控制 (八) 备份与恢复 (一) 身份鉴别:
1、 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 用户的身份标识和鉴别,就是用户向系统以一种安全的方式提交自己身份证实,然后由系统确认用户的身份是否属实的过程
2、 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要
求并定期更换。
要求系统应具有一定的密码策略,如设置密码历史记录、设置密码最长使用期限、设置密码最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密
3、 应启用登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出等措施。 要求系统应具有一定的登录控制功能,可以通过适当的配置“账户锁定策略”来对用户的登录进行限制,如账户锁定阀值,账户锁定时间等
4、 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。 为方便管理员进行管理操作,从多服务器采用了网络登录的方式进行远程管理操作,例如Linux可以使用telnet登录,Windows使用远程终端服务,基本要求规定了这些传输的数据需要进行加密处理过,目的是为了保障账户与口令的安全
5、 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性。 对于操作系统来说,用户管理是操作系统应具备的基本功能,用户管理由创建用户和组以及定义它们的属性构成,用户的一个主要属性是如何对他们进行认证,用户是系统的主要代理,其属性控制他们的访问权,环境,如何对他们进行认证以及如何、何时、在哪里可以访问他们的账户,因此,用户标识的唯一性至关重要,如果系统允许用户名相同,而UID不同,其唯一性标识为UID,如果系统允许UID相同,而用户名不同,其唯一性标识为用户名
小结:
在三级系统中,身份鉴别公有6个检查项,分别是身份的标识、密码口令的复杂度设置、登录失败的处理、远程管理的传输模式、用户名的唯一性以及身份组合鉴别技术
(二) 访问控制:
6、 应启用访问控制功能,依据安全策略控制用户对资源的访问。
访问控制是安全防范和保护的主要策略,它不仅应用于网络层面,同样也适用于主机层面,它的主要任务是保证系统资源不被非法使用和访问,使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源,对于本项而言,主要涉及到两个方面的内容, 分别是:文件权限和默认共享
7、 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
根据管理用户的角色对权限做出标准细致的划分,有利于各岗位细致协调的工作,同时对授权模块进行一些授权管理,并且系统的授权安全管理工作要做到细致,仅授予管理用户所需的最小权限,避免出现权限漏洞是一些高级用户拥有过大的权限
8、 应实现操作系统和数据库特权用户的权限分离。 操作系统特权用户可能拥有以下一些权限:安装和配置系统的硬件和软件、建立和管理用户账户、升级软件、备份和恢复等业务,从而保证操作系统的可用性、完整性和安全性,数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理,从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权限分离,能够避免一些特权用户拥有过大的权限以及减少一些认为的误操作,做到了职责明确
9、 应严格限制默认账户的访问权限,重命名系统默认账户,并修改这些账户的默认口令。
对于系统默认的用户名,由于它们的某些权限与实际系统的要求可能存在差异,从而造成安全隐患,因此这些默认用户名应禁用,对于匿名用户的访问原则上是禁止的,查看服务器操作系统,确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略,以为授权用户身份/角色测试访问客体,是否不允许进行访问 10、 应及时删除多余的,过期的账户,避免共享账户的存在。 对于系统默认的用户名,由于他们的某些权限与实际系统的要求可能存在差异,从而造成安全隐患,因此这些默认用户名应禁用。对于匿名用户的访问,原则上是禁止的,查看服务器操作系统,确认匿名/默认用户的访问权限已被禁止或严格限制。依据服务器操作系统、访问控制的安全策略,以未授权用户身份/角色测试访问客体,是否不允许进行访问 11、 应对重新信息资源设置敏感标记。 12、 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
敏感标记是强制访问控制的依据,主客体都有,它存在的形式无所谓,可能是整形的数字,也可能是字母,总之它表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的,通过对重要信息资源设置敏感标记,决定主体以何种权限对客体进行操作,实现强制访问控制。
小结:
在三级系统中,访问控制公有7个检查项,分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离,默认用户的访问权限,账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制
(三) 安全审计: 13、 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。 安全审计定义是保障计算机系统本地安全和网络安全的重要技术,通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此覆盖范围必须要到每个操作系统用户和数据库用户 14、 审计内容应包括重要用户行为,系统资源的一场使用和重要系统命令的使用等系统内重要的安全相关事件。
有效合理的配置安全审计内容,能够及时准确的了解和判断安全事件的内容和性质,并且可以极大的节省系统资源 15、 审计记录包括事件的日期,时间,类型,主体标识,客体标识和结果等。 审计记录是指跟踪指定数据库的使用状态产生的信息,它应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。通过记录中得详细信息,能够帮助管理员或其他相关检查人员准确的分析和定位事件
16、 应保护审计进程,避免受到未预期的中断。
保护好审计进程,当避免当时间发生时,能够及时记录时间发生的详细内容 17、 应保护审计记录,避免受到未预期的删除,修改或覆盖等。 非法用户进入系统后的第一件事情就是去清理系统日志和审计日志,而发现入侵的最简单最直接的方法就是去看系统记录和安全审计文件,因此,必须对审计记录进行安全保护,避免受到未预期的删除、修改或覆盖等。
小结:
在三级系统中,安全审计共有6个检查项,分别是审计范围、审计的事件、审计记录格式、审计报表得生成、审计进程保护和审计记录的保护
(四) 剩余信息保护: 18、 应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
剩余信息保护是指操作系统用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清楚 19、 应确保系统的文件,目录和数据库记录等资源所在的储存空间,被释放或重新分配给其他用户前得到完全清除。
由于主存于辅存价格和性能的差异,现代操作系统普遍采用辅存作为缓存,对于缓存使用的安全问题也尤其重要 小结
在三级系统中,剩余信息保护共有2个检查项,分别是鉴别信息清空、文件记录等得清空
(五) 入侵防范: 20、 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP,攻击的类型,攻击的目的,攻击的时间,并在发生严重入侵事件时提供报警。
要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件 21、 应能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
对系统重要文件备份或者对整个系统进行全备,有利于当系统遭受到破坏后能够得到及时恢复 22、 操作系统遵循最小安装的原则,仅安装需要的组建和应用程序,并通过设置更新服务器等方式保持系统补丁及时得到更新。