项符合情况,在判定时需结合业务和数据流程进行分析,不能从单点结果进行判断。
综合分析:在单项判定后,需要结合其他层面的测评结果进行综合分析,从整体上分析其他层面的安全措施能否弥补应用层面的安全弱点,如并发连接数的限制,在应用系统上很难实现,往往在应用平台(如IIS等)上进行配置。
结果整理和分析
1 安全控制间 如果代码安全没有做好,很可能会使应用系统的访问控制被绕过、被旁路 2 层面间 对于通过网络访问控制、隔离等措施限定在特定区域(物理和网络)范围内才能访问的应用程序,可以适当降低身份鉴别安全控制的要求【网络安全与应用安全】。 对只能通过特定主机才能访问的应用程序,可以通过主机系统的身份鉴别等增强其身份鉴别功能【主机安全与应用安全】
3 区域间 主要考虑不同区域间存在的安全功能增强、补充和消弱等关系。 4 系统结构 主要考虑信息系统整体结构的安全性和整体安全防范的合理性
第四章:数据库安全测评:
背景介绍:
(一) 地位和作用:
1、 数据库中存放的数据(包括业务和管理数据),它是企业信息资产的核心,如果数据被破坏、篡改或非授权获取将给企业带来严重的损失,是指会给国家安全带来威胁。 2、 数据库安全是整个安全链条上的一个重要环节,如果数据库安全出现问题可能会损害整个链的牢固性,给我们整个系统的安全带来严重的损失。 (二) 主要类型:
Oracle,BD2,SQL Server,MYSQL,Sybase。 常见威胁:
1、 非授权访问:
身份验证是组织入侵者的第一道防线,如果口令太弱就可能被攻击者暴力破解,攻击者也可通过其他手段获取密码(如开发者将密码明文存放在.NET配置文件中,攻击者就可能通过它获取密码),并为数据库打上最新补丁。 2、 特权提升:
当用户具有某个可信账户的特权时,就可能发生特权提升攻击(甚至威胁主机系统的安全)。始终以最小特权的账户运行,并仅分配最小权限,并为数据库打上最新补丁。 3、 SQL注入:
利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,在数据库端可通过以下方式来组织SQL注入攻击;使用存储过程和参数化的命令,避免动态SQL,并限制所有用户的权限。 4、 其他:
针对SQL server数据库还存在很多的威胁,如针对漏洞进行攻击,绕过访问控制进行非授权访问等。
指标选取:
在《基本要求》中的位置:
数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。
内容目录:
(一) 身份鉴别 (二) 访问控制 (三) 安全审计 (四) 资源控制 (五) 备份和恢复
(一) 身份鉴别:
1、 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
为防止操作系统用户对SQL Server数据库进行非授权管理(系统管理员和数据库管理员分离),应选择“SQL Server和Windows”方式,并且用户每次登陆数据库时都必须输入密码(必须保证登陆用户为强密码)
2、 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
应采取技术或管理手段,保证SQL Server数据库的口令不易被冒用,如口令足够长,口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令定期更新等。
3、 应启用登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出等措施。
为防止暴力破解数据库用户的口令,应保证数据库具有登陆失败处理功能(设置非法登陆次数的限制值,对超过限制值的登陆终止其鉴别会话或临时封闭账号)
4、 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
为防止鉴别信息在网络传输过程中被窃听,SQL Server数据库可采用包括SSL在内的方式对数据进行加密传输。
5、 应对操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性。
SQL Server数据库系统中不能创建相同用户名的用户,但应防止不同用户使用相同的用户名登录数据库系统
6、 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
为保证数据库的安全,系统应采取除口令外的其他鉴别技术(如生物识别技术、数字证书等)对用户身份进行鉴别,两次重复输入口令不属于两种组合鉴别技术。 (二) 访问控制:
7、 应启用访问控制功能,依据安全策略控制用户对资源的访问。
应依据安全策略限定每个角色的权限,并且为每个用户分配一个或多个角色
8、 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
应依据安全策略限定管理用户的权限,仅授予管理用户说需要的最小权限,如对业务数据库进行管理的用户不能进行系统操作等。
9、 应实现操作系统和数据库特权用户的权限分离。
在数据库中,尽量将系统管理、审计管理和业务数据库的管理的用户权限进行分离 10、 应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令。
在数据库中,尽量重命名默认账户,如果无法重命名,则应加强这些账户的口令。 11、 应及时删除多余的,过期的账户,避免共享账户的存在。
应删除数据库中多余的、过期的账户,如测试账号等。 12、 应对重要信息资源设置敏感标记。 =
在数据库中能对重要信息资源设置敏感标记(如非密、秘密、机密、绝密等),为实现强制访问控制(在自主访问控制中,资源的所有者指定用户对资源的访问权,而超级用户实际可以不受访问权的限制)提供基础。 13、 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
应依据安全策略控制用户对重要信息资源的操作
(三) 安全审计: 14、 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
应检查数据库系统,查看是否开启审计功能,并且审计范围是否覆盖到每个用户 15、 审计内容应包括重要用户行为,系统资源的一场使用和重要系统命令的使用等系统内不要的安全相关事件。
检查数据库系统,查看审计策略是否覆盖系统内重要的安全相关事件,例如,用户登录系统、自主访问控制的所有操作记录、重要用户行为(如增加/删除用户,删除库表)等。 16、 审计记录应包括事件的日期,时间,类型,主体标识,客体标识和结果等。
审计记录信息中应包括日期、时间、事件类型、主体标识(如用户名等)、客体标识(如数据库表、字段或记录等)和事件操作结果等内容
17、 应能够根据数据进行分析,并生成审计报表。
数据库应提供根据各种条件记录数据进行查询分析的功能,是系统管理员能及时的了解当前数据库的安全状况;同时,数据库系统应提供生成审计报表得功能,方便系统管理员对数据库安全状况的上报。 18、 应保护审计进程,避免受到未预期的中断。
因提供严格的权限管理,防止未授权关闭审计功能 19、 应保护审计记录,避免受到未预期的删除,修改或覆盖等。
应提供严格的权限管理,防止未预期的删除、修改或覆盖审计记录或审计文件
(四) 资源控制: 20、 应通过设定终端接入方式,网络地址范围等条件限制终端登录。
在数据库上应能设定接入方式、网络地址范围等调试限制终端登录,防止非授权访问数据库资源 21、 应根据安全策略设置登录终端的操作超时锁定。
当连接超时时,数据库系统自动断开连接 22、 应限制单个用户对系统资源的最大或最小使用限度。
应限制单个用户对系统资源的最大或最小使用限度,防止类似拒绝服务之类的攻击
(五) 备份与恢复: 23、 应提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。
数据库系统至少达到以下的备份要求:1)提供本地实时备份的功能,当数据发生错误时,能及时恢复数据;2)每天至少进行一次全备份,并将备份介质存放在场外。 24、 应提供异地备份功能,利用通信网络将关键数据定时批量传送至备用场地。
应提供灾备中心,对重要的数据提供异地数据级备份,保证当本地系统发生灾难性后果不可恢复时,利用异地保存的数据对系统数据能进行恢复
第五章:工具测评方法:
工具测试流程:
(一) 收集目标系统信息。 (二) 规划工具测试接入点。
(三) 制定《工具测试作业指导书》 (四) 现场测试。
(五) 测试结果整理分析。 (一) 收集目标系统信息: 包括方案中选定的;
1、 网络设备(互联IP地址,端口使用情况)
2、 安全设备(工作状态:透明,路由模式等;IP地址等) 3、 主机各设备的类型(操作系统类型,主要应用,IP地址等)
4、 目标系统网络拓扑结果等相关信息(各区域网络地址端划分情况等) (二) 规划工具测试接入点:
1、 接入点的规划,随着网络结构,访问控制,主机位置等等情况的不同而不同,没有固定的模式可循,但是,根据测试经验,也能总结出一些基本的,共性的原则; 1.1、 由低级别系统向高级别系统探测;
1.2、 同一系统同等重要程度功能区域之间要相互探测; 1.3、 由较低重要程度区域向较高重要程度区域探测; 1.4、 由外联接口向系统内部探测;
1.5、 跨网络隔离设备(包括网络设备和安全设备)要分段探测; 2、 子系统:
在一个目标系统中,可能存在不同的子系统,这子系统,有可能有二级子系统,同时也有三级子系统,对于不同级别的子系统,我们要用标准中的不同的要求来进行检测。 3、 功能区域: 在一个被测系统中,可能存在不同的功能区域,比如1类业务前置区域,2类业务前置区域,核心服务器区域等等。这些功能区域,根据业务,数据的重要程度,网络结构的综合分析,可以分成重要程度不同的功能区域。 4、 外联接口;
被测系统与INTERNET,三方业务单位等外联网络连接链路上的网络边界接口。 工具测试注意事项:
1、 工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备,主机,安全设备等是否都在正常运行,测试时间段是否为可测试时间段等等。
2、 接入系统的设备,工具的IP地址等配置要经过被测系统相关人员确认。 3、 对于测试过程可能造成的对目标系统的网络流量及主机性能等等方面的影响(例如口令探测可能会造成帐号锁定等情况),要事先告知被测系统相关人员。
4、 对于测试过程中的关键步骤,重要证据,要及时利用抓图等取证工具取证。
5、 对于测试过程中出现的异常情况(服务器出现故障,网络中断等等)要及时记录。 6、 测试结束后,需要被测方人员确认被测系统状态正常并签字后离场。
网络全局 一、 网络测评
检查边界设备和主要网络设备的配置信息,查看是否进行了路由控制建立安全的访问路径 Cisco