安全等级保护技术培训教材_主机部分_v2.1概要

《安全等级保护技术培训教材_主机部分_v2.1概要》由会员分享，可在线阅读，更多相关《安全等级保护技术培训教材_主机部分_v2.1概要（107页珍藏版）》请在金锄头文库上搜索。

1、,信息安全培训,主机系统安全测评,1,目录,1. 前言,2. 测评准备工作,3. 现场测评内容与方法 4. 总结,2,前言,3,前言 主机的相关知识点, ,主机按照其规模或系统功能来区分，可分为巨型、大型、中型、 小型、微型计算机和单片机 主机安全是由操作系统自身安全配置、相关安全软件以及第三方 安全设备等来实现，主机测评则是依据基本要求对主机安全进行 符合性检查。 目前运行在主机上的主流的操纵系统有Windows、Linux、Sun Solaris 、IBM AIX、HP-UX等等,4,前言, 测评对象是主机上各种类型的操作系统。,5,前言, 基本要求中主机各级别的控制点和要求项对比,不同级

2、别系统控制点的差异,不同级别系统要求项的差异,6,前言, 熟悉操作系统自带的管理工具, Windows,Computer management,Microsoft management console (mmc) Registry editor,Command prompt , Linux,常用命令：cat、more、ls等具备查看功能的命令,7,前言, MMC,MMC是用来创建、保,存、打开管理工具的 控制台，在其中可以 通过添加各种管理工 具插件来实现对软硬 件和系统的管理，,8,前言, MMC,mmc本身不提供 管理功能，而是 通过各个管理单 元（snap-in） 来完成的。,9,前言

3、检查流程,现场测评准 备,现场测评和 结果记录,结果确认和 资料归还,10,内容目录,1. 前言,2. 测评准备工作,3. 现场测评内容与方法 4. 总结,11,测评准备工作, 信息收集, 服务器设备名称、型号、所属网络区域、操作系统 版本、IP地址、安装应用软件名称、主要业务应用 、涉及数据、是否热备、重要程度、责任部门,12,测评准备工作, 测评指导书准备,根据信息收集的内容，结合主机所属等级，编,写测评指导书。,注意：测评方法、步骤一定明确、清晰。,13,目录,1. 前言,2. 测评准备工作,3. 现场测评内容与方法 4. 总结,14,现场测评内容与方法,身份鉴别 访问控制 安全审计,剩

4、余信息保护,入侵防范,恶意代码防范 系统资源控制,备份与恢复,15,现场测评内容与方法身份鉴别,a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 条款理解,用户的身份标识和鉴别，就是用户向系统以一种安全的方式提 交自己的身份证实，然后由系统确认用户的身份是否属实的过 程。,16,现场测评内容与方法身份鉴别,SAM,Winlogon 明文口令,客户端请求登录,被散列 服务器发出8字节质询 8字节质询,发送应答,用口令对质 询进行散列,通过比较决定是否允许登录,17,用口令对质询进 行散列并比较,现场测评内容与方法身份鉴别,a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

5、检查方法, Window：,访谈系统管理员系统用户是否已设置密码，并查看登陆过,程中系统账户是否使用了密码进行验证登陆。 Linux：,采用查看方式，在root权限下，使用命令more、cat或vi 查看/etc/passwd和/etc/shadow文件中各用户名状态 。,18,现场测评内容与方法身份鉴别,#cat /etc/passwd,root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin,daemon: :2:2:daemon:/sbin:/sbin/nologin ,#cat /etc/shadow,root:$

6、1$crpkUkzg$hLl/dYWm1wY4J6FqSG2jS0:14296:0:99999:7: bin:$1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0 daemon:*:14296:0:99999:7: .,19,现场测评内容与方法身份鉴别,b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的,特点，口令应有复杂度要求并定期更换。, 条款理解,要求系统应具有一定的密码策略，如设置密码历史记录、设置 密码最长使用期限、设置密码最短使用期限、设置最短密码长 度、设置密码复杂性要求、启用密码可逆加密。,20,现场测评内容

7、与方法身份鉴别,b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的,特点，口令应有复杂度要求并定期更换。, 检查方法, Windows:,本地安全策略-帐户策略-密码策略中的相关项目, Linux:,采用查看方式，在root权限下，使用命令more、cat或vi 查看/etc/login.defs文件中相关配置参数,21,现场测评内容与方法身份鉴别,22,现场测评内容与方法身份鉴别,#more /etc/login.defs,PASS_MAX_DAYS 90 #登录密码有效期90天,PASS_MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次 PASS_M

8、IN_LEN 8 #登录密码最小长度8位,PASS_WARN_AGE 7 #登录密码过期提前7天提示修改 FAIL_DELAY 10 #登录错误时等待时间10秒 FAILLOG_ENAB yes #登录错误记录到日志,SYSLOG_SU_ENAB yes #当限定超级用户管理日志时使用 SYSLOG_SG_ENAB yes #当限定超级用户组管理日志时使用 MD5_CRYPT_ENAB yes #当使用md5为密码的加密方法时使用,23,现场测评内容与方法身份鉴别,c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次,数和自动退出等措施。, 条款理解,要求系统应具有一定的登录控制功能。

9、可以通过适当的配置“ 帐户锁定策略”来对用户的登录进行限制。如帐户锁定阈值， 帐户锁定时间等。,24,现场测评内容与方法身份鉴别,c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次,数和自动退出等措施。, 检查方法, Windows:,本地安全策略-帐户策略-帐户锁定策略中的相关项目, Linux:,采用查看方式，在root权限下，使用命令more、cat或vi 查看/etc/pam.d/system-auth文件中相关配置参数,25,现场测评内容与方法身份鉴别,26,现场测评内容与方法身份鉴别 # cat /etc/pam.d/system-auth #%PAM-1.0 # Thi

10、s file is auto-generated. # User changes will be destroyed the next time authconfig is run.,auth auth auth auth account account,required sufficient requisite required required sufficient,pam_env.so pam_unix.so nullok try_first_pass pam_succeed_if.so uid = 500 quiet pam_deny.so pam_unix.so pam_succee

11、d_if.so uid 500 quiet, account required /lib/security/pam_tally.so deny=3 no magic_root reset 27,现场测评内容与方法身份鉴别,d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息,在网络传输过程中被窃听。, 条款理解,为方便管理员进行管理操作，众多服务器采用了网络登录的方 式进行远程管理操作，例如Linux可以使用telnet登陆， Windows使用远程终端服务。基本要求规定了这些传输的数 据需要进行加密处理过，目的是为了保障帐户与口令的安全。,28,现场测评内容与方法身份鉴别,d) 当对

12、服务器进行远程管理时，应采取必要措施，防止鉴别信息,在网络传输过程中被窃听。, 检查方法, Windows: 确认操作系统版本,确认终端服务器使用了SSL加密 确认RDP客户端使用SSL加密,29,现场测评内容与方法身份鉴别,d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息,在网络传输过程中被窃听。, 检查方法, Linux:,在root权限下，使用命令more、cat或vi,查看是否运行了sshd服务：service status-all | grep sshd 若未使用ssh方式进行远程管理，则查看是否使用了telnet方式进,行远程管理：service status-all

13、| grep running,30,现场测评内容与方法身份鉴别,e) 为操作系统和数据库的不同用户分配不同的用户名，确保用户,名具有唯一性。, 条款理解,对于操作系统来说，用户管理是操作系统应具备的基本功能。用户管理由创建 用户和组以及定义它们的属性构成。用户的一个主要属性是如何对他们进行认 证。用户是系统的主要代理。其属性控制他们的访问权、环境、如何对他们进 行认证以及如何、何时、在哪里可以访问他们的帐户。因此，用户标识的唯一 性至关重要。如果系统允许用户名相同，而UID不同，其唯一性标识为UID， 如果系统允许UID相同，而用户名不同，其唯一性标识为用户名。,31,现场测评内容与方法身份鉴

14、别,e) 为操作系统和数据库的不同用户分配不同的用户名，确保用户,名具有唯一性。, 检查方法, Windows:,“管理工具”-“计算机管理”-“本地用户和组”中的“用户”,，检查其中的用户名是否出现重复。, Linux:,采用查看方式，在root权限下，使用命令more、cat或vi 查看/etc/passwd文件中用户名信息,32,现场测评内容与方法身份鉴别,f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴,别。, 条款理解,对于三级以上的操作系统应使用两种或两种以上组合的鉴别技,术实现用户身份鉴别，如密码和令牌的组合使用等。, 检查方法,访谈系统管理员，询问系统除用户名口令外有

15、无其他身份鉴别,方法，如有没有令牌等。,33,现场测评内容与方法身份鉴别, 小结, 在三级系统中，身份鉴别共有6个检查项，分别 是身份的标识、密码口令的复杂度设置、登录失 败的处理、远程管理的传输模式、用户名的唯一 性以及身份组合鉴别技术。,34,现场测评内容与方法,身份鉴别 访问控制 安全审计,剩余信息保护,入侵防范,恶意代码防范 系统资源控制,备份与恢复,35,现场测评内容与方法访问控制 a) 应启用访问控制功能，依据安全策略控制用户对资源的访问。 条款理解 访问控制是安全防范和保护的主要策略，它不仅应用于网络层 面，同样也适用于主机层面，它的主要任务是保证系统资源不 被非法使用和访问，使

16、用访问控制的目的在于通过限制用户对 特定资源的访问保护系统资源。对于本项而言，主要涉及到两 个方面的内容，分别是：, ,文件权限 默认共享,36,现场测评内容与方法访问控制,a) 应启用访问控制功能，依据安全策略控制用户对资源的访问。 检查方法, Windows:,1、选择%systemdrive%windowssystem、%systemroot system32config、等相应的文件夹，右键选择“属性”“ 安全”，查看everyone组、users组和administrators组的权 限设置；,2、在命令行模式下输入net share，查看共享；并查看注册表： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetCon trolLsarest