网络安全测评主机安全测评.doc

网络安全测评信息安全等级测评师培训-公安部信息安全等级保护评估中心-于东升内容目录1.前言2.检查范围3.检查内容4.现场测评步骤标准概述2007年43号文信息安全等级保护管理办法按照以下相关标准开展等级保护工作：计算机信息系统安全保护等级划分准则 （GB17859-1999）信息系统安全等级保护定级指南（GB/T22240-2008）信息系统安全等级保护基本要求（GB/T22239-2008）信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护实施指南（报批稿）测评过程中重点依据信息系统安全等级保护基本要求、信息系统安全等级保护测评要求来进行。基本要求中网络安全的控制点与要求项各级分布：级别控制点要求项第一级39第二级618第三级73第四级732等级保护基本要求三级网络安全方面涵盖哪些内容？共包含7个控制点33个要求项，涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。检查范围理解标准：理解标准中涉及网络部分的每项基本要求。明确目的：检查的最终目的是判断该信息系统的网络安全综合防护能力，如抗攻击能力、防病毒能力等等，不是单一的设备检查。分阶段进行：共划分为4个阶段，测评准备、方案编制、现场测评、分析及报告编制。确定检查范围，细化检查项：l 通过前期调研获取被测系统的网络结构拓扑、外连线路、网络设备、安全设备等信息。l 根据调研结果，进行初步分析判断。l 明确边界设备、核心设备及其他重要设备，确定检查范围。注意事项：l 考虑设备的重要程度可以采用抽取的方式。l 不能出现遗漏，避免出现脆弱点。l 最终需要在测评方案中与用户明确检查范围网络设备、安全设备列表。检查内容以等级保护基本要求三级为例，按照基本要求7个控制点33个要求项进行检查。一、结构安全（7项）二、访问控制（8项）三、安全审计（4项）四、边界完整性检查（2项）五、入侵防范（2项）六、恶意代码防范（2项）七、网络设备防护（8项）检查内容分别介绍一、结构安全（项）结构安全：是网络安全测评检查的重点，网络结构是否合理直接关系到信息系统的整体安全。条款解读a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；条款理解：为了保证信息系统的高可用性，主要网络设备的业务处理能力应具备冗余空间。检查方法：l 访谈网络管理员，询问主要网络设备的性能及业务高峰流量。l 访谈网络管理员，询问采用何种手段对网络设备进行监控。b)应保证网络各个部分的带宽满足业务高峰期需要；条款理解：对网络各个部分进行分配带宽，从而保证在业务高峰期业务服务的连续性。检查方法：l 询问当前网络各部分的带宽是否满足业务高峰需要。l 如果无法满足业务高峰期需要，则需进行带宽分配。检查主要网络设备是否进行带宽分配。c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；条款理解：l 静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。l 路由器之间的路由信息交换是基于路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。l 如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。检查方法：检查边界设备和主要网络设备，查看是否进行了路由控制建立安全的访问路径。以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项：ip route 192.168.1.0 255.255.255.0 192.168.1.193 （静态）router ospf 100（动态）ip ospf message-digest-key 1 md5 7 XXXXXX（认证码）d)应绘制与当前运行情况相符的网络拓扑结构图；条款理解：为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时，应及时更新。检查方法：检查网络拓扑图，查看其与当前运行情况是否一致。e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；条款理解：l 根据实际情况和区域安全防护要求，应在主要网络设备上进行VLAN划分或子网划分。l 不同VLAN内的报文在传输时是相互隔离的。如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备实现。检查方法：访谈网络管理员，是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN或子网。以CISCO IOS为例，输入命令：show vlan检查配置文件中应当存在类似如下配置项：vlan 2 name infoint e0/2vlan-membership static 2f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；条款理解：l 为了保证信息系统的安全，应避免将重要网段部署在网络边界处且直接连接外部信息系统，防止来自外部信息系统的攻击。l 在重要网段和其它网段之间配置安全策略进行访问控制。检查方法：检查网络拓扑结构，查看是否将重要网段部署在网络边界处，重要网段和其它网段之间是否配置安全策略进行访问控制。g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。条款理解：为了保证重要业务服务的连续性，应按照对业务服务的重要次序来指定带宽分配优先级别，从而保证在网络发生拥堵的时候优先保护重要主机。检查方法：访谈网络管理员，依据实际应用系统状况，是否进行了带宽优先级分配。以CISCO IOS为例，检查配置文件中是否存在类似如下配置项：policy-map barclass voicepriority percent 10class databandwidth percent 30class videobandwidth percent 20二、访问控制 （8项） 访问控制是网络测评检查中的核心部分，涉及到大部分网络设备、安全设备。 a)应在网络边界部署访问控制设备，启用访问控制功能；条款理解：在网络边界部署访问控制设备,防御来自其他网络的攻击，保护内部网络的安全。检查方法：检查网络拓扑结构，查看是否在网络边界处部署了访问控制设备，是否启用了访问控制功能。b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；条款理解：l 在网络边界部署访问控制设备,对进出网络的流量进行过滤，保护内部网络的安全。l 配置的访问控制列表应有明确的源/目的地址、源/目的、协议及服务等。检查方法：以CISCO IOS为例，输入命令：show ip access-list检查配置文件中应当存在类似如下配置项：ip access-list extended 111deny ip x.x.x.0 0.0.0.255 any log interface eth 0/0ip access-group 111 in以防火墙检查为例，应有明确的访问控制策略，如下图所示：策略说明允许INTERNET服务器访问前置专用服务器策略设置源地址目的地址端口协议策略211.138.236.123172.16.2.118080TCP允许211.138.235.66172.16.2.118970、8971TCP允许c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；条款理解：对于一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令级的控制和内容检查，从而增强访问控制粒度。检查方法：l 该测评项一般在防火墙、入侵防御系统上检查。l 首先查看防火墙、入侵防御系统是否具有该功能，然后登录设备查看是否启用了相应的功能。以联想网域防火墙为例，如下图所示：d)应在会话处于非活跃一定时间或会话结束后终止网络连接；条款理解：l 当恶意用户进行网络攻击时，有时会发起大量会话连接，建立会话后长时间保持状态连接从而占用大量网络资源，最终将网络资源耗尽的情况。l 应在会话终止或长时间无响应的情况下终止网络连接，释放被占用网络资源，保证业务可以被正常访问。检查方法：l 该测评项一般在防火墙上检查。l 登录防火墙，查看是否设置了会话连接超时，设置的超时时间是多少，判断是否合理。以天融信防火墙为例，如下图所示：e)应限制网络最大流量数及网络连接数；条款理解：可根据IP地址、端口、协议来限制应用数据流的最大流量，还可以根据IP地址来限制网络连接数，从而保证业务带宽不被占用，业务系统可以对外正常提供业务。检查方法：l 该测评项一般在防火墙上检查。访谈系统管理员，依据实际网络状况是否需要限制网络最大流量数及网络连接数。l 登录设备查看是否设置了最大流量数和连接数，并做好记录。以天融信防火墙为例，如下图所示：f)重要网段应采取技术手段防止地址欺骗；条款理解：地址欺骗在网络安全中比较重要的一个问题,这里的地址,可以是MAC地址,也可以是IP地址。在关键设备上，采用IP/MAC地址绑定方式防止地址欺骗。检查方法：以CISCO IOS为例，输入show ip arp检查配置文件中应当存在类似如下配置项：arp 10.10.10.1 0000.e268.9980 arpa以联想网域防火墙为例，如下图所示：g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；条款理解：l 对于远程拨号用户，应在相关设备上提供用户认证功能。l 通过配置用户、用户组，并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。检查方法：登录相关设备查看是否对拨号用户进行身份认证，是否配置访问控制规则对认证成功的用户允许访问受控资源。h)应限制具有拨号访问权限的用户数量。条款理解：应限制通过远程采用拨号方式或通过其他方式连入系统内部的用户数量。检查方法：询问系统管理员，是否有远程拨号用户，采用什么方式接入系统部，采用何种方式进行身份认证，具体用户数量有多少。三、安全审计（4项）安全审计要对相关事件进行日志记录，还要求对形成的记录能够分析、形成报表。a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；条款理解：为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录，需要启用系统日志功能。系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器。检查方法：检查测评对象，查看是否启用了日志记录，日志记录是本地保存，还是转发到日志服务器。记录日志服务器的地址。以联想网域防火墙为例，如下图所示：b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；条款理解：日志审计内容需要记录时间、类型、用户、事件类型、事件是否成功等相关信息。检查方法：登录测评对象或日志服务器，查看日志记录是否包含了事件的日期和时间、用户、事件类型、事件是否成功等信息。c)应能够根据记录数据进行分析，并生成审计报表；条款理解：为了便于管理员对能够及时准确地了解网络设备运行状况和发现网络入侵行为，需要对审计记录数据进行分析和生成报表。检查方法：访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。条款理解：审计记录能够帮助管理人员及时发现系统运行状况和网络攻击行为，因此需要对审计记录实施技术上和管理上的保护，防止未授权修改、删除和破坏。检查方法：访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。如可以设置专门的日志服务器来接收路由器等网络设备发送出的报警信息。以联想网域防火墙为例，如下图所示：四、边界完整性检查（2项）边界完整性检查主要检查在全网中对网络的连接状态进行监控，发现非法接入、非法外联时能够准确定位并能及时报警和阻断。a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；条款理解：可以采用技术手段和管理措施对“非法接入”行为进行检查。技术手段包括网络接入控制、IP/MAC地址绑定。检查方法：访谈网络管理员，询问采用何种技术手段或管理措施对“非法接入”进行检查，对于技术手段，在网络管理员配合下验证其有效性。以联想网域防火墙为例，如下图所示：以联想网域防火墙为例，如下图所示：b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。条款理解：可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管理系统或其他技术措施控制。检查方法：访问网络管理员，询问采用了何种技术手段或管理措施对“非法外联”行为进行检查，对于技术手段，在网络管理员配合下验证其有效性。以联想网域防火墙为例，如下图所示：五、入侵防范（2项）对入侵事件不仅能够检测，并能发出报警，对于入侵防御系统要求定期更新特征库，发现入侵后能够报警并阻断。条款解读a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；条款理解：要维护系统安全，必须在网络边界处对常见的网络攻击行为进行监视，以便及时发现攻击行为。检查方法：检查网络拓扑结构，查看在网络边界处是否部署了包含入侵防范功能的设备。登录相应设备，查看是否启用了检测功能。以联想网域防火墙为例，如下图所示：b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。条款理解：当检测到攻击行为时，应对攻击信息进行日志记录。在发生严重入侵事件时应能通过短信、邮件等向有关人员报警。检查方法：查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应设备，则检查设备的日志记录是否完备，是否提供了报警功能。六、恶意代码防范（2项）恶意代码防范是综合性的多层次的，在网络边界处需要对恶意代码进行防范。a)应在网络边界处对恶意代码进行检测和清除；条款理解：计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要。在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法。检查方法：检查网络拓扑结构，查看在网络边界处是否部署了防恶意代码产品。如果部署了相关产品，则查看是否启用了恶意代码检测及阻断功能，并查看日志记录中是否有相关阻断信息。以联想网域防火墙为例，如下图所示：b)应维护恶意代码库的升级和检测系统的更新。条款理解：恶意代码具有特征变化快，特征变化快的特点。因此对于恶意代码检测重要的特征库更新，以及监测系统自身的更新，都非常重要。检查方法：访谈网络管理员，询问是否对防恶意代码产品的特征库进行升级及具体是升级方式。登录相应的防恶意代码产品，查看其特征库、系统软件升级情况，查看当前是否为最新版本。七、网络设备防护（8项）网络设备的防护主要是对用户登录前后的行为进行控制，对网络设备的权限进行管理。条款解读：a)应对登录网络设备的用户进行身份鉴别；条款理解：l 对于网络设备，可以采用CON、AUX、VTY等方式登录。l 对于安全设备，可以采用WEB、GUI、命令行等方式登录。检查方法：检查测评对象采用何种方式进行登录，是否对登录用户的身份进行鉴别，是否修改了默认的用户名及密码。以CISCO IOS为例，检查配置文件中应当存在类似如下配置项：line vty 0 4loginpassword xxxxxxxline aux 0loginpassword xxxxxxxline con 0loginpassword xxxxxxxb)应对网络设备的管理员登录地址进行限制；条款理解：为了保证安全，需要对访问网络设备的登录地址进行限制，避免未授权的访问。检查方法：以CISCO IOS为例，输入命令：show running-configaccess-list 3 permit x.x.x.x logaccess-list 3 deny anyline vty 0 4access-class 3 in以联想网域防火墙为例，如下图所示：c)网络设备用户的标识应唯一；条款理解：不允许在网络设备上配置用户名相同的用户，要防止多人共用一个帐户，实行分帐户管理，每名管理员设置一个单独的帐户，避免出现问题后不能及时进行追查。检查方法：登录网络设备，查看设置的用户是否有相同用户名。询问网络管理员，是否为每个管理员设置了单独的账户。d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；条款理解：采用双因子鉴别是防止身份欺骗的有效方法，双因子鉴别不仅要求访问者知道一些鉴别信息，还需要访问者拥有鉴别特征，例如采用令牌、智能卡等。检查方法：访谈网络设备管理员，询问采用了何种鉴别技术实现了双因子鉴别，并在管理员的配合下验证双因子鉴别的有效性。以联想网域防火墙为例，如下图所示：e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；条款理解：为避免身份鉴别信息被冒用，可以通过采用令牌、认证服务器等措施，加强身份鉴别信息的保护。如果仅仅基于口令的身份鉴别，应当保证口令复杂度和定期更改的要求。检查方法：询问网络管理员对身份鉴别所采取的具体措施，使用口令的组成、长度和更改周期等。以联想网域防火墙为例，如下图所示：f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；条款理解：应对登录失败进行处理，避免系统遭受恶意的攻击。检查方法：以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项：line vty 0 4exec-timeout 5 0以联想网域防火墙为例，如下图所示：g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；条款理解：对网络设备进行管理时，应采用SSH、HTTPS等加密协议，防止鉴别信息被窃听。检查方法：以CISCO IOS为例，输入命令：show running-config检查配置文件中应当存在类似如下配置项：line vty 0 4transport input sshh)应实现设备特权用户的权限分离。条款理解：应根据实际需要为用户分配完成其任务的最小权限。检查方法：登录设备，查看有多少管理员账户，每个管理员账户是否仅分配完成其任务的最小权限。一般应该有三类账户：普通账户，审计账户、配置更改账户。以联想网域防火墙为例，如下图所示：现场网络测评步骤：1、网络全局性测评2、网络设备、安全设备测评3、测评结果汇总整理现场测评步骤1、网络全局性测评l 结构安全l 边界完整性检查l 入侵防范l 恶意代码防范l 现场测评步骤2、网络设备、安全设备测评l 访问控制l 安全审计l 网络设备防护l 备份与恢复l 现场测评步骤a)应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；条款理解：l 应制定完备的设备配置数据备份与恢复策略，定期对设备策略进行备份，并且备份介质要场外存放。l 应能对路由器配置进行维护，可以方便地进行诸如查看保存配置和运行配置、上传和下载系统配置文件（即一次性导入和导出系统所有配置）等维护操作，还可以恢复出厂默认配置，以方便用户重新配置设备。检查方法：现场访谈并查看用户采用何种方式对设备配置文件进行备份及具体的备份策略。输入命令：show running-config如果采用FTP服务器保存配置文件，则检查配置文件中应当存在类似如下配置项：ip ftp username login_ nameip ftp password login_passwordb)应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；条款理解：此处提出的数据是指路由器策略配置文件，可以通过采用数据同步方式，将路由器的策略文件备份到异地的服务器上。检查方法：现场访谈并查看用户是否采用了异地同步服务器等方式，进行异地数据备份。c)应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；条款理解：为了避免网络设备或线路出现故障时引起数据通信中断，应为关键设备提供双机热备功能，以确保在通信线路或设备故障时提供备用方案，有效增强网络的可靠性。检查方法：查看是否采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障。d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。条款理解：为了避免网络设备或线路出现故障时引起数据通信中断，应为关键设备提供双机热备功能，以确保在通信线路或设备故障时提供备用方案，有效增强网络的可靠性。检查方法：查看是否采用冗余技术设计,具体采用的备份设备、备份线路、备份方式等。现场测评步骤3、测评结果汇总整理l 对全局性检查结果和各单项检查结果进行汇总。l 核对检查结果，记录内容真实有效，勿有遗漏。主机系统安全测评-尹湘培信息安全等级测评师培训-公安部信息安全等级保护评估中心目录1.前言2.测评准备工作3.现场测评内容与方法4.总结前言主机的相关知识点l 主机按照其规模或系统功能来区分，可分为巨型、大型、中型、小型、微型计算机和单片机l 主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现，主机测评则是依据基本要求对主机安全进行符合性检查。l 目前运行在主机上的主流的操纵系统有Windows、Linux、Sun Solaris 、IBM AIX、HP-UX等等测评对象是主机上各种类型的操作系统。操作系统级别Linux/Unix/NetwareC2级MS WinNT/2000C2级SalorisC2级DOS/Win9XD级基本要求中主机各级别的控制点和要求项对比不同级别系统控制点的差异层面一级二级三级四级主机安全4679不同级别系统要求项的差异层面一级二级三级四级主机安全6193236熟悉操作系统自带的管理工具WindowsComputer managementMicrosoft management console (mmc)Registry editorCommand promptLinux常用命令：cat、more、ls等具备查看功能的命令MMC：MMC是用来创建、保存、打开管理工具的控制台，在其中可以通过添加各种管理工具插件来实现对软硬件和系统的管理mmc本身不提供管理功能，而是通过各个管理单元（snap-in）来完成的。检查流程测评准备工作信息收集：服务器设备名称、型号、所属网络区域、操作系统版本、IP地址、安装应用软件名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门测评指导书准备：根据信息收集的内容，结合主机所属等级，编写测评指导书。测评指导书准备注意：测评方法、步骤一定明确、清晰。现场测评内容与方法：身份鉴别、访问控制、安全审计、剩余信息保护、恶意代码防范、系统资源控制、备份与恢复现场测评内容与方法身份鉴别a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。条款理解：用户的身份标识和鉴别，就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的身份是否属实的过程。 Winlogon检查方法：Window：访谈系统管理员系统用户是否已设置密码，并查看登陆过程中系统账户是否使用了密码进行验证登陆。Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户名状态。#cat /etc/passwdroot：x：0：0：root：/root：/bin/bashbin：x：1：1：bin：/bin：/sbin/nologindaemon： ：2：2：daemon：/sbin：/sbin/nologin#cat /etc/shadowroot：$1$crpkUkzg$hLl/dYWm1wY4J6FqSG2jS0：14296：0：99999：7：bin：$1$：11664：0：-1：-1：-1：-1：0 daemon：*：14296：0：99999：7：b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。条款理解：要求系统应具有一定的密码策略，如设置密码历史记录、设置密码最长使用期限、设置密码最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密。检查方法：Windows：本地安全策略->帐户策略->密码策略中的相关项目Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/login.defs文件中相关配置参数#more /etc/login.defsPASS_MAX_DAYS 90 #登录密码有效期90天PASS_MIN_DAYS 0 #登录密码最短修改时间，增加可以防止非法用户短期更改多次PASS_MIN_LEN 8 #登录密码最小长度8位PASS_WARN_AGE 7 #登录密码过期提前7天提示修改FAIL_DELAY 10 #登录错误时等待时间10秒FAILLOG_ENAB yes #登录错误记录到日志SYSLOG_SU_ENAB yes #当限定超级用户管理日志时使用SYSLOG_SG_ENAB yes #当限定超级用户组管理日志时使用MD5_CRYPT_ENAB yes #当使用md5为密码的加密方法时使用c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。条款理解：要求系统应具有一定的登录控制功能。可以通过适当的配置“帐户锁定策略”来对用户的登录进行限制。如帐户锁定阈值，帐户锁定时间等。检查方法：Windows：本地安全策略->帐户策略->帐户锁定策略中的相关项目Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/pam.d/system-auth文件中相关配置参数#cat /etc/pam.d/system-auth#%PAM-1.0#This file is auto-generated.# User changes will be destroyed the next time authconfig is run.authrequiredpam_env.soauthsufficient pam_unix.so nullok try_first_passauthrequisitepam_succeed_if.so uid >= 500 quietauthrequiredpam_deny.soaccount requiredpam_unix.soaccount sufficient pam_ succeed_ if.so uid < 500 quiet account required /lib/security/pam_tally.so deny=3 no magic_root reset d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 条款理解：为方便管理员进行管理操作，众多服务器采用了网络登录的方式进行远程管理操作，例如Linux可以使用telnet登陆，Windows使用远程终端服务。基本要求规定了这些传输的数据需要进行加密处理过，目的是为了保障帐户与口令的安全。检查方法：Windows：确认操作系统版本、确认终端服务器使用了SSL加密、确认RDP客户端使用SSL加密Linux：在root权限下，使用命令more、cat或vi查看是否运行了sshd服务：service-status-all | grep sshd若未使用ssh方式进行远程管理，则查看是否使用了telnet方式进行远程管理：service -status-all | grep runninge)为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。条款理解：对于操作系统来说，用户管理是操作系统应具备的基本功能。用户管理由创建用户和组以及定义它们的属性构成。用户的一个主要属性是如何对他们进行认证。用户是系统的主要代理。其属性控制他们的访问权、环境、如何对他们进行认证以及如何、何时、在哪里可以访问他们的帐户。因此，用户标识的唯一性至关重要。如果系统允许用户名相同，而UID不同，其唯一性标识为UID，如果系统允许UID相同，而用户名不同，其唯一性标识为用户名。检查方法：Windows：“管理工具”->“计算机管理”->“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。Linux：采用查看方式，在root权限下，使用命令more、cat或vi查看/etc/passwd文件中用户名信息f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。条款理解：对于三级以上的操作系统应使用两种或两种以上组合的鉴别技术实现用户身份鉴别，如密码和令牌的组合使用等。检查方法：访谈系统管理员，询问系统除用户名口令外有无其他身份鉴别方法，如有没有令牌等。现场测评内容与方法-身份鉴别小结：在三级系统中，身份鉴别共有6个检查项，分别是身份的标识、密码口令的复杂度设置、登录失败的处理、远程管理的传输模式、用户名的唯一性以及身份组合鉴别技术。现场测评内容与方法访问控制a) 应启用访问控制功能，依据安全策略控制用户对资源的访问。条款理解：访问控制是安全防范和保护的主要策略，它不仅应用于网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源。对于本项而言，主要涉及到两个方面的内容，分别是：文件权限、默认共享检查方法：Windows：1、选择%systemdrive%windowssystem32config、等相应安全”，查看everyone组、权限设置；2、在命令行模式下输入net shar HKEY_LOCAL_MACHINEtrolLsarestrictanonymo检查方法：Linux：采用查看方式，在root权限下，使用命令ls -l查看/etc/passwd 、/etc/shadow、 /etc/rc3.d、/etc/profile 、/etc/inet.conf 、/etc/xinet.conf的权限说明：-rwx-：等于数字表示700。-rwxrr-：等于数字表示744。-rw-rw-r-x：等于数字表示665。 drwxxx：等于数字表示711。 drwx-：等于数字表示700。b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。 条款理解：根据管理用户的角色对权限作出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块进行一些授权管理，并且系统的授权安全管理工作要做到细致，仅授予管理用户所需的最小权限，避免出现权限的漏洞使一些高级用户拥有过大的权限。检查方法：记录系统是否有完整的安全策略、系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。b) 应实现操作系统和数据库系统特权用户的权限分离。条款理解：操作系统特权用户可能拥有以下一些权限：安装和配置系统的硬件和软件、建立和管理用户帐户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些人为的误操作，做到了职责明确。检查方法：结合系统管理员的组成情况，判定是否实现了该项要求d)应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令。条款理解：对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。检查方法：查看默认用户名是否重命名、查看guest等默认账户是否已禁用e）应及时删除多余的、过期的账户，避免共享账户的存在。条款理解：对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问。检查方法：查看是否存在多余的、过期的帐户，避免共享帐户f）应对重要信息资源设置敏感标记。g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。条款理解：敏感标记是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。检查方法：询问管理员是否对重要信息资源设置敏感标记询问或查看目前的敏感标记策略的相关设置，如：如何划分敏感标记分类，如何设定访问权限等现场测评内容与方法访问控制小结：在三级系统中，访问控制共有7个检查项，分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离、默认用户的访问权限、账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制。现场测评内容与方法安全审计a)安全审计应覆盖到服务器和重