等保考试初级知识

等级保护（初级技术）安全测试学习笔记

第一章：网络安全测评：

标准概述：

测评过程中重点依据：

《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。 1、基本要求中网络安全的控制点与要求项各级分布为： 级别 控制点 要求项 第一级 3 9 第二级 6 18 第三级 7 33 第四级 7 32

2等级保护基本要求三级网络安全方面涵盖哪些内容 ？

共包含7个控制点33个要求项，涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。 检查范围：

理解标准、明确目的、分阶段进行、确定检查范围，细化检查项、 注意事项：

1、 考虑设备的重要程度可以采用抽取的方式。 2、 不能出现遗漏、避免出现脆弱点。

3、 最终需要在测评方案中与用户明确检查范围-网络设备，安全设备列表。

检查内容以等级保护基本要求三级为例，安全基本要求7个控制点33个要求项进行检查： 1、 结构安全 2、 访问控制 3、 安全审计

4、 边界完整性检查 5、 入侵防范 6、 恶意代码防范 7、 网络设备防护 条款理解：

（一） 结构安全：是网络安全测评检查的重点，网络结构是否合理直接关系到信息系统的整体安全。

1、 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。 条款理解：

为了保证信息系统的高可用性，主要网络设备的业务处理能力应具备冗余空间。 2、 应保证网络各个部分的带宽满足业务高峰期需要。

对网络各个部分进行分配带宽，从而保证在业务高峰期业务服务的连续性。 3、 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径： 静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。

路由器之间的路由信息交换是基于路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。

如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。 4、 应绘制与当前运行情况相符的网络结构图： 为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新

5、 应根据各个部门的工作职能，重要性和所设计信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网，网段分配地址段：

根据实际情况和区域安全防护要求，应在要求的网络设备上进行VLAN划分或子网划分 不同VLAN内的报分再传输时是相互隔离的，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备实现

6、 应避免将重要网段部署在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间可采取可靠的技术隔离手段： 为了保证信息系统的安全，应避免将重要的网段部署在网络边界处且连接外部信息系统，防止来自外部信息系统的攻击

在重要的网段和其它网段之间配置安全策略进行访问控制

7、 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机：

为了保证重要业务的连续性，应按照业务服务的重要次序来指定带宽分配优先级别，从而保证在网络发生拥堵的时候优先保护重要主机

（二） 访问控制：访问控制是网络测评检查中的核心部分，涉及到大部分网络设备，安全设备。

8、 应在网络边界处部署访问控制设备，启用访问控制功能：

在网络边界部署访问控制设备防御来自其它网络的攻击，保护内部网络的安全

9、 应能根据会话状态信息为数据流提供明确的允许、拒绝访问的能力控制粒度为端口级： 在网络边界部署访问控制设备对进出网络的流量进行过滤，保护内部网络的安全 配置的访问控制列表应有明确的源/目的地址，源/目的协议及服务等 10、 应对进出网络的信息内容进行过滤，实线对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制：

对于一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令的控制和内容检查，从而增强访问控制粒度 11、 应在会话处于非活跃一定时间或会话结束后终止网络连接： 当恶意用户进行网络攻击时，有时会建立大量的会话连接，建立会话后长时间保持保持状态连接从而占用大量的网络资源，最终将网络资源耗尽 应在会话终止或长时间无响应的情况下终止网络连接，释放被占用的网络资源，保证业务可以被正常访问 12、 应限制网络最大流量数及网络连接数：

可根据IP地址，端口，协议来限制应用数据流的最大流量，还可以根据IP地址来限制网络

连接数，从而保证业务带宽不被占用，业务系统可以对外正常提供业务 13、 重要网段应采取技术手段防止地址欺骗：

地址欺骗在网络安全中是比较重要的一个问题，这里的地址可以是MAC地址也可以是IP地址，在关键设备上采用IP/MAC地址绑定的方式防止地址欺骗 14、 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户：

对于远程拨号用户，应在相关设备上提供用户认证功能 通过配置用户，用户组，并结合访问控制规则可以实现对认证成功的用户允许访问受控制资源 15、 应限制具有拨号访问权限的用户数量：

应限制通过远程拨号方式或通过其他方式接入系统内部的用户数量

（三） 安全审计：安全审计要对相关时间进行日志记录，还要求对形成的记录能够分析，形成报表。 16、 应对网络系统中的网络设备运行状态，网络流量，用户行为等进行日志记录： 为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录，需要启用系统日志功能，系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器 17、 审计记录应包括：事件的日期和时间，用户，事件类型，事件是否成功及其他与审计相关的信息：

日志审计需要记录时间、类型、用户、时间、事件是否成功等相关信息 18、 应能够根据记录数据进行分析，并生成审计报表：

为了便于管理员能够及时准确地了解设备运行状况和发现网络入侵行为，需要对审计记录数据进行分析和生成报表 19、 应对审计记录进行保护，避免受到未预期的删除，修改和或覆盖等： 审计记录能够帮助管理人员及时发现运行状况和网络攻击行为，因此需要对审计记录实施技术上和管理上得保护，防止为授权修改、删除和破坏

（四） 边界完整性检查：边界完整性检查主要检查全网中对网络的连接状态进行监控，发现非法接入，非法外联时能够准确定位并及时报警和阻断。 20、 应能够对非授权设备私自联入内部网络的行为进行检查，准确定出位置，并对其进行有效阻断：

可以采用技术手段和管理措施对“非法接入”行为进行检查，技术手段包括网络接入控制，IP/MAC地址绑定 21、 应能够对内部网络用户私自联到外部网络的行为进行检查、准确定出位置、并对其进行有效阻断：

可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管理系统或其他技术实施控制

（五） 入侵防范：对入侵时间不仅能够检测，并能发出警报，对于近亲防御系统要求定期更新特征库，发现入侵后能够警报并阻断： 22、 应在网络边界处监视以下攻击行为：端口扫描，强力攻击，木马后门攻击，拒绝服务攻击，缓冲区溢出，IP碎片攻击和网络蠕虫攻击等： 要维护系统安全，必须在网络边界处对常见的网络攻击行为进行监视，以便及时发现攻击行为 23、 当检测到攻击行为时，记录攻击源IP，攻击类型，攻击目的，攻击时间，在发生严重入侵事件时提供报警：

当检测到攻击行为时，应对攻击信息进行日志记录，在发生严重入侵事件时应能通过短信、邮件等向有关人员报警

（六） 恶意代码防护：恶意代码防范是综合性的多层次的，在网络边界处需要对恶意代码进行防范。 24、 应在网络边界处对恶意代码进行检测和清除： 计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要，在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法 25、 应维护恶意代码的升级和检测系统的更新：、

恶意代码具有特征变化快，特征变化多的特点，因此对于恶意代码检测重要的特征库更新，以及监测系统自身的更新都非常重要

（七） 网络设备防护：网络设备的防护主要是对用户登录前后的行为进行控制，对网络设备的权限进行管理。 26、 应对登录网络设备的用户进行身份鉴别：

对于网络设备，可以采用CON、AUX、VTY等方式登录 对于安全设备，可以采用WEB、GUI、命令行等方式登录 27、 应对网络设备的管理员登录地址进行限制：

为了保证安全，需要对访问网络设备的登录地址进行限制，避免未授权的访问 28、 网络设备用户的标识应唯一：

不允许在网络设备上配置用户名相同的用户，要防止公用一个账户，实行分账户管理，每名管理员设置一个单独的账户，避免出现问题后不能及时进行检查 29、 主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别： 采用双因子鉴别是防止身份欺骗的有效方法，双因子鉴别不仅要求访问者知道一些鉴别信息，还需要访问者拥有鉴别特征，例如采用令牌、智能卡等 30、 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换：

为避免身份身份鉴别信息被冒用，可以通过采用令牌、认证服务器等措施，加强身份鉴别信息的保护，如果仅仅基于口令的身份鉴别，应当保证口令复杂度和定期更改的要求

31、 应具有登录失败处理功能，可采取结束会话，限制非法登录次数和当网络登录连接超时自动退出等措施：

应对登录失败进行处理，避免系统遭受恶意的攻击 32、 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听：

对网络设备进行管理时，应采用SSH、HTTPS等加密协议，防止鉴别信息被窃听 33、 应实现设备特权用户的权限分离：

应根据实际需要为用户分配其完成任务的最小权限

现场测评网络安全的步骤： 1、 网络全局性测评

2、 网络设备，安全设备测评 3、 测评结果汇总整理 （一） 网络全局性测评 1、 结构安全

2、 边界完整性检查 3、 入侵防范 4、 恶意代码防范

（二） 网络设备，安全设备测评 1、 访问控制 2、 安全审计 3、 网络设备防护 4、 备份与恢复 条款理解：

1、 应提供本地数据备份与恢复功能、完全数据备份至少每天一次、备份介质场外存放：、 应制定完备的设备配置数据备份与恢复策略，定期对设备策略进行备份，并且备份介质要场外存放

应能对路由器配置进行维护，可以方便地进行诸如查看保存配置和运行配置，上传和下载系统配置文件（即一次性导入和导出系统所有配置）等维护操作，还可以恢复出厂默认配置，以方便用户重新配置设备

2、 应提供异地数据备份功能、利用通信网络将关键数据定时批量传送至备用场地： 此处提出的数据是指路由策略配置文件，可以通过采用数据同步方式，将路由器的策略文件备份到异地的服务器上

3、 应采用冗余技术设计网络拓扑结构、避免关键节点存在单点故障：

为了避免网络设备或线路出现故障时引起数据通信中断，应为关键设备提供双机热备功能，以确保在通信线路或设备故障时提供备用方案，有效增强网络的可靠性

4、 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性： 为了避免网络设备或线路出现故障时引起数据通信中断，应为关键设备提供双机热备功能，以确保在通信线路或设备故障时提供备用方案，有效增强网络的可靠性

5、 测评结果汇总整理

对全局性检查结果和各单项检查结果进行汇总 核对检查结果，记录内容真实有效，勿有遗漏

第二章：主机安全测评：

Windows十大安全隐患 Web服务器和服务 工作站服务

Windows远程访问服务 微软SQL服务器 Windows认证 Web浏览器 文件共享

LSASS Exposures 电子邮件客户端 即时信息

Unix十大安全隐患 BIND域名系统 Web服务器 认证

版本控制系统 电子邮件传输服务 简单网络管理协议 开放安全连接通讯层

企业服务NIS/NFS配置不当 数据库 内核

主机的相关知识点：

1、 主机按照其规模或系统功能来区分，可分为巨型，大型，中型，小型，微型计算机和单片机。

2、 主机安全是由操作系统自身的安全配置，相关安全软件以及第三方安全设备等来实现，主机测评则是依据基本要求对主机安全进行符合性检查。

3、 目前运行在主机上的主流的操作系统有windows，linux，sun solaris，ibm aix，hp-ux等等。

测评对象主机上各种类型的操作系统 操作系统 级别 Linux/Unix/Netware C2级 MS Win NT/2000 C2级 Saloris C2级 DOS/Win9x D级

基本要求中主机各级别的控制点和要求项对比

不同级别系统控制点的差异

层面 一级 二级 三级 四级 主机安全 4 6 7 9

不同级别系统要求项的差异

层面 一级 二级 三级 四级 主机安全 6 19 32 36

熟悉操作系统自带的管理工具 Windows

Computer management

Microsoft management console（mmc） Registry editor Command prompt Linux

常用命令：cat、more、ls等具备查看功能的命令 检查流程：

1、 现场测评准备

2、 现场测评和记录结果 3、 结果确认和资料归还 测评准备工作： 1、 信息收集：

服务器设备名称，型号，所属网络区域，操作系统版本，IP地址，安全应用软件名称，主要业务应有，涉及数据，是否热备，重要程度，责任部门?? 2、 测评指导书准备：

根据信息收集的内容，结合主机所属等级，编写测评指导书。 注意：测评方法，步骤一定要明确，清晰。 现场测评内容与方法： （一） 身份鉴别 （二） 访问控制 （三） 安全审计 （四） 剩余信息保护 （五） 入侵防御 （六） 恶意代码防范 （七） 系统资源控制 （八） 备份与恢复 （一） 身份鉴别：

1、 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 用户的身份标识和鉴别，就是用户向系统以一种安全的方式提交自己身份证实，然后由系统确认用户的身份是否属实的过程

2、 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要

求并定期更换。

要求系统应具有一定的密码策略，如设置密码历史记录、设置密码最长使用期限、设置密码最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密

3、 应启用登录失败处理功能，可采取结束会话，限制非法登录次数和自动退出等措施。 要求系统应具有一定的登录控制功能，可以通过适当的配置“账户锁定策略”来对用户的登录进行限制，如账户锁定阀值，账户锁定时间等

4、 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 为方便管理员进行管理操作，从多服务器采用了网络登录的方式进行远程管理操作，例如Linux可以使用telnet登录，Windows使用远程终端服务，基本要求规定了这些传输的数据需要进行加密处理过，目的是为了保障账户与口令的安全

5、 为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。 对于操作系统来说，用户管理是操作系统应具备的基本功能，用户管理由创建用户和组以及定义它们的属性构成，用户的一个主要属性是如何对他们进行认证，用户是系统的主要代理，其属性控制他们的访问权，环境，如何对他们进行认证以及如何、何时、在哪里可以访问他们的账户，因此，用户标识的唯一性至关重要，如果系统允许用户名相同，而UID不同，其唯一性标识为UID，如果系统允许UID相同，而用户名不同，其唯一性标识为用户名

小结：

在三级系统中，身份鉴别公有6个检查项，分别是身份的标识、密码口令的复杂度设置、登录失败的处理、远程管理的传输模式、用户名的唯一性以及身份组合鉴别技术

（二） 访问控制：

6、 应启用访问控制功能，依据安全策略控制用户对资源的访问。

访问控制是安全防范和保护的主要策略，它不仅应用于网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源，对于本项而言，主要涉及到两个方面的内容, 分别是：文件权限和默认共享

7、 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。

根据管理用户的角色对权限做出标准细致的划分，有利于各岗位细致协调的工作，同时对授权模块进行一些授权管理，并且系统的授权安全管理工作要做到细致，仅授予管理用户所需的最小权限，避免出现权限漏洞是一些高级用户拥有过大的权限

8、 应实现操作系统和数据库特权用户的权限分离。 操作系统特权用户可能拥有以下一些权限：安装和配置系统的硬件和软件、建立和管理用户账户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性，数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些认为的误操作，做到了职责明确

9、 应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令。

对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用，对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略，以为授权用户身份/角色测试访问客体，是否不允许进行访问 10、 应及时删除多余的，过期的账户，避免共享账户的存在。 对于系统默认的用户名，由于他们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。对于匿名用户的访问，原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁止或严格限制。依据服务器操作系统、访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问 11、 应对重新信息资源设置敏感标记。 12、 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

敏感标记是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。

小结：

在三级系统中，访问控制公有7个检查项，分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离，默认用户的访问权限，账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制

（三） 安全审计： 13、 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。 安全审计定义是保障计算机系统本地安全和网络安全的重要技术，通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此覆盖范围必须要到每个操作系统用户和数据库用户 14、 审计内容应包括重要用户行为，系统资源的一场使用和重要系统命令的使用等系统内重要的安全相关事件。

有效合理的配置安全审计内容，能够及时准确的了解和判断安全事件的内容和性质，并且可以极大的节省系统资源 15、 审计记录包括事件的日期，时间，类型，主体标识，客体标识和结果等。 审计记录是指跟踪指定数据库的使用状态产生的信息，它应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。通过记录中得详细信息，能够帮助管理员或其他相关检查人员准确的分析和定位事件

16、 应保护审计进程，避免受到未预期的中断。

保护好审计进程，当避免当时间发生时，能够及时记录时间发生的详细内容 17、 应保护审计记录，避免受到未预期的删除，修改或覆盖等。 非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的方法就是去看系统记录和安全审计文件，因此，必须对审计记录进行安全保护，避免受到未预期的删除、修改或覆盖等。

小结：

在三级系统中，安全审计共有6个检查项，分别是审计范围、审计的事件、审计记录格式、审计报表得生成、审计进程保护和审计记录的保护

（四） 剩余信息保护： 18、 应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

剩余信息保护是指操作系统用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全清楚 19、 应确保系统的文件，目录和数据库记录等资源所在的储存空间，被释放或重新分配给其他用户前得到完全清除。

由于主存于辅存价格和性能的差异，现代操作系统普遍采用辅存作为缓存，对于缓存使用的安全问题也尤其重要 小结

在三级系统中，剩余信息保护共有2个检查项，分别是鉴别信息清空、文件记录等得清空

（五） 入侵防范： 20、 应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP，攻击的类型，攻击的目的，攻击的时间，并在发生严重入侵事件时提供报警。

要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件 21、 应能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

对系统重要文件备份或者对整个系统进行全备，有利于当系统遭受到破坏后能够得到及时恢复 22、 操作系统遵循最小安装的原则，仅安装需要的组建和应用程序，并通过设置更新服务器等方式保持系统补丁及时得到更新。

对于本项而言，主要涉及到两个方面的内容，分别是：系统服务、补丁升级。遵循最小安装原则，仅开启需要的服务，安装需要的组件和程序，可以极大地降低系统遭受攻击的可能性。及时更新系统补丁，可以避免遭受由系统漏洞带来的风险

小结：

在三级系统中，入侵防范公有3个检查项，分别是入侵行为的记录和报警、重要文件的完整性保护、最小安装原则

（六） 恶意代码防范： 23、 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

无论是Windows主机还是Linux主机，都面临着木马，蠕虫等病毒软件的破坏。因此一般的主机为防范病毒均会安装防病毒软件，如 Norton Anti-Virus 、金山毒霸等，并且通常也能及时更新病毒库 24、 主机防恶意代码产品应具有与网络防恶意代码产品不通的恶意代码库。

基于网络和基于主机的防病毒软件在系统上应构成立体的防护结构，属于深层防御的一部分。因此基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同 25、 应支持恶意代码方法的统一管理。

一个机构的病毒管理应满足木桶原理，只有当所有主机都及时更新了病毒库才能够做到防止病毒的入侵。因此应有同意的病毒管理策略，例如统一更新，定时查杀等 小结：

在三级系统中，恶意代码防范共有3个检查项，分别是安装防恶意代码软件，主机的防恶意代码库和网络防恶意代码库的差别，防恶意代码软件统一管理

（七） 系统资源控制： 26、 应通过设置终端接入方式，网络地址范围等条件限制终端登录。

系统资源概念是指CPU、存储空间、传输带快等软硬件资源，通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大的节省系统资源，保证了系统的可用性，同时也提高了系统的安全性，对于Windows系统自身来说，可以通过主机防火墙或TCP/IP筛选来实现以上功能 27、 根据安全策略设置登录终端的操作超时锁定。

如果系统管理员在离开系统之前忘记注销管理员账户，那么可能存在被恶意用户利用或被其他非授权用户误用的可能性，从而对系统带来不可控制的安全隐患 28、 应对重要服务器进行监视，包括监视服务器的CPU，硬盘，内存，网络等资源的使用情况。

对主机的监控出了做到人工监控外，另一个主要方面是自动监控，目前自动监控的主要方法是设定资源报警阀值，以便在资源使用超过规定数值时发出报警 29、 限制单个用户对紫铜资源的最大或最小使用限度。

一个服务器上可能有多用户，如果不对每个用户进行限制则很容易导致DDOS攻击，最终使系统资源耗尽，因此应限制单个用户的系统资源使用限度 30、 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

当系统的服务水平降低到预先规定的最小值时，如磁盘空间不足、CPU利用率过高、硬件发生故障等，通过报警机制，将问题现象发送给相关负责人，及时定位引起问题的原因和对异常情况进行处理，从而避免故障的发生或将影响减到到最低

小结：

在三级系统中，系统资源控制共有5个检查项，分别是接入控制，超时锁定，主机资源监控，单个资源利用，系统服务水平监控和报警机制

（八） 备份与恢复： 31、 应提供主要网络设备，通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

对于可用性要求较高的信息系统来说，仅仅进行数据备份是远远不够的，还必须进行系统备份。系统备份策略包括本地和远程两种方式，其中，本地备份主要使用容错技术和冗余配置来应对硬件故障；远程备份主要用于应对灾难事件，有热站和冷站两种选择

小结：

在三级系统中，备份与恢复公有1个检查项，是否硬件冗余

第三章：应用安全测评：

应用安全的形势：

1、 如今，越来越多的企业用户已将核心业务系统转移到网络上，WEB浏览器成为业务系统的窗口，应用系统面临更多的安全威胁；并且由于各种原因使得其存在较多的安全漏洞。在此背景下，如果保障企业的应用安全，尤其是WEB应用安全成为新形势下信息安全保障的关键所在。

2、 针对应用系统的攻击手段越来越多：

1、 常见的攻击手段。如口令破解，信息窃听，绕过访问控制，后门攻击等。

2、 针对WEB应用的攻击，如跨站脚本攻击，SQL注入，缓冲区溢出，拒绝服务攻击等。 应用测评的特点：

（一） 测评范围较广

1、 和数据库，操作系统等成熟产品不同，应用系统现场测评除检查安全配置外，还需验证其安全是否正确。

（二） 测评中不确定因素较多，测评较为困难 1、 需根据业务和数据流程确定测评重点和范围。

2、 应用系统安全漏洞发现困难，很难清楚代码级的安全隐患。 （三） 测评结果分析较为困难

1、 应用系统与平台软件，如WEB平台，操作系统，数据库系统，网络等都存在关联关系。 应用测评的方法：

（一） 通过访谈，了解安全措施的实施情况： 1、 和其他成熟产品不通，应用系统只有在充分了解其部署情况和业务流程后，才明确测评的范围和对象，分析其系统的脆弱性和面临的主要安全威胁，有针对性的进行测评。 （二） 通过检查，查看是否进行了正确的配置：

1、 有的安全功能（如口令长度限制，错误登录尝试次数等）需要在应用系统上进行配置，则查看其是否进行了正确的配置，与安全策略是否一致。 2、 无需进行配置的，则应查看其部署情况是否与访谈一致。 （三） 如果条件允许，需进行测试：

1、 可通过测试验证安全功能是否正确，配置是否生效。 2、 代码级的安全漏洞在现场查验比较困难，则可进行漏洞扫描和渗透测评，如果条件允许，则可进行代码白盒测试。 主要测评内容： （一） 身份鉴别：

1、 应提供专用的登录控制模块对登录用户进行身份标识和鉴别;

2、 应对同一用户采用两种或两种以上组合的鉴别技术实现用户神别鉴别； 3、 应提供用户标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别星系不易被冒用。

4、 应提供登录失败处理功能，可采取结束会话，限制非法登录次数和自动退出等措施； 5、 应启用身份鉴别，用户身份标识唯一性检查，用户身份鉴别信息复杂度以及登录失败处理功能，并根据安全策略配置相关参数。

三级或三级以上系统要求必须提供两种（两次口令鉴别不属于两种鉴别技术）或两种以上组合的鉴别技术进行身份鉴别，在身份鉴别强度上有了更大的提高

（二） 访问控制：

6、 应提供访问控制功能，依据安全策略控制用户对文件，数据库表等客体的访问； 7、 访问控制的覆盖范围应包括与资源访问相关的主体，客体及它们之间的操作； 8、 应由授权主体配置访问控制策略，并严格限制默认账户的访问权限； 9、 应授予不同账户为完成各自承担任务所属的最小权限，并在它们之间形成相互制约的关系。 10、 应具有对重要信息资源设置敏感标记的功能。 11、 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

三级系统要求访问控制的粒度达到文件、数据库表级，权限之间具有制约关系（如三权分离、管理、审计和操作权限），并利用敏感标记控制用户对重要信息资源的操作。

（三） 安全审计： 12、 应提供覆盖到每个用户的安全审计功能，对应系统重要安全事件进行审计； 13、 应保证无法单独中断审计进行，无法删除，修改或覆盖审计记录； 14、 审计记录的内容至少应包括事件的日期，时间，发起者信息，类型，描述和结果等； 15、 应提供对审计记录数据进行统计，查询，分析及生成审计报表的功能。

三级系统强调对每个用户的重要操作进行审计，重要操作一般包括登录/退出、改变访问控制策略、增加/删除用户、改变用户权限和增加/删除/查询数据等

（四） 剩余信息保护： 16、 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； 17、 应保证系统内的文件，目录和数据库记录等资源所在的存放空间被释放或重新分配给其他用户前得到完全清除。

该项要求是为了防止某个用户非授权获取其他用户的鉴别信息、文件、目录和数据库记录等资源。应用系统加强内存和其他资源管理

（五） 通信完整性： 18、 应采用密码技术保证通信过程中数据的完整性。

该项要求强调采取密码技术来保证通信过程中的数据完整性，普通加密技术无法保证密件在传输过程中不被替换，还需要利用HASH函数（如MD5，SHA和MAC）用于完整性校验，但不能利用CRC生成的校验码来进行完整性校验

（六） 通信保密性： 19、 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； 20、 应对通信过程中的整个报文或会话进行加密。

该项要求强调整个报文或会话过程进行加密，同时，如果在加密隧道建立之前需要传递密码等信息，则应采取密码技术来保证这些信息的安全

（七） 抗抵赖： 21、 应具有在请求的情况下为数据原发者或接受者提供数据原发证据的功能。 22、 应具有在请求的情况下为数据原发着或接收者提供接收证据的功能。

该项要求强调应用系统提供抗抵赖措施（如数字签名）从而保证发送和接收方都是真实存在的用户、

（八） 软件容错： 23、 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求； 24、 应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢

复。

为了防止SQL注入等攻击，软件应对用户输入的数据的长度和格式等进行限制

（九） 资源控制： 25、 当应用系统的通信双方中的一方在一段时间内未做任务响应，另一方应能够自动结束会话。 26、 应能够对系统的最大并发会话连接数进行限制; 27、 应能够对单个用户的多重并发会话进行限制； 28、 应能够对一个访问账户或一个请求进行占用的资源分配最大限额和最小限额； 29、 应能够对系统服务水平降低到预先规定的最小值进行检测和报警； 30、 应提供服务优先级设定功能，并在安装后根据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源。

资源控制是为了帮正大多数用户能够正常的使用资源，防止服务中断，应用系统应采取限制对大并发连接数，请求账户的最大资源限制等措施

（十） 数据完整性： 31、 应能偶检测到系统管理数据，鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。 32、 应能够检测到系统管理数据，鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

该项要求强调不仅要保证管理数据、鉴别信息和重要业务数据传输数据的完整性，而且要保证存储过程中完整性并且在检测到完整性受到破坏时采取恢复措施

（十一）数据保密性： 33、 应采用加密或其他有效措施实现系统管理数据，鉴别信息和重要业务数据传输保密性。 34、 应采用加密或其他保护措施实现系统管理数据，鉴别信息和重要业务数据存储保密性。

该项要求强调不仅要保证管理数据、鉴别信息和重要业务数据传输数据的保密性，而且要保证存储过程中的保密性并且在检测到完整性受到破坏时采取恢复措施

（十二）备份和恢复： 35、 应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放; 36、 应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地。

该项要求对备份策略进行了明确的要求，即“完全数据备份至少每天一次，备份介质场外存放”，并且强调应提供异地数据备份功能

这部分主要检查文件型数据的备份和恢复方式 结果整理和分析：

结果整理： 通过对测评结果的整理，并与预期结果进行比较，初步判定各个应用系统的单

项符合情况，在判定时需结合业务和数据流程进行分析，不能从单点结果进行判断。

综合分析：在单项判定后，需要结合其他层面的测评结果进行综合分析，从整体上分析其他层面的安全措施能否弥补应用层面的安全弱点，如并发连接数的限制，在应用系统上很难实现，往往在应用平台（如IIS等）上进行配置。

结果整理和分析

1 安全控制间 如果代码安全没有做好，很可能会使应用系统的访问控制被绕过、被旁路 2 层面间 对于通过网络访问控制、隔离等措施限定在特定区域（物理和网络）范围内才能访问的应用程序，可以适当降低身份鉴别安全控制的要求【网络安全与应用安全】。 对只能通过特定主机才能访问的应用程序，可以通过主机系统的身份鉴别等增强其身份鉴别功能【主机安全与应用安全】

3 区域间 主要考虑不同区域间存在的安全功能增强、补充和消弱等关系。 4 系统结构 主要考虑信息系统整体结构的安全性和整体安全防范的合理性

第四章：数据库安全测评：

背景介绍：

（一） 地位和作用：

1、 数据库中存放的数据（包括业务和管理数据），它是企业信息资产的核心，如果数据被破坏、篡改或非授权获取将给企业带来严重的损失，是指会给国家安全带来威胁。 2、 数据库安全是整个安全链条上的一个重要环节，如果数据库安全出现问题可能会损害整个链的牢固性，给我们整个系统的安全带来严重的损失。 （二） 主要类型：

Oracle,BD2,SQL Server,MYSQL,Sybase。 常见威胁：

1、 非授权访问：

身份验证是组织入侵者的第一道防线，如果口令太弱就可能被攻击者暴力破解，攻击者也可通过其他手段获取密码（如开发者将密码明文存放在.NET配置文件中，攻击者就可能通过它获取密码），并为数据库打上最新补丁。 2、 特权提升：

当用户具有某个可信账户的特权时，就可能发生特权提升攻击（甚至威胁主机系统的安全）。始终以最小特权的账户运行，并仅分配最小权限，并为数据库打上最新补丁。 3、 SQL注入：

利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，在数据库端可通过以下方式来组织SQL注入攻击；使用存储过程和参数化的命令，避免动态SQL，并限制所有用户的权限。 4、 其他：

针对SQL server数据库还存在很多的威胁，如针对漏洞进行攻击，绕过访问控制进行非授权访问等。

指标选取：

在《基本要求》中的位置：

数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。

内容目录:

（一） 身份鉴别 （二） 访问控制 （三） 安全审计 （四） 资源控制 （五） 备份和恢复

（一） 身份鉴别：

1、 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

为防止操作系统用户对SQL Server数据库进行非授权管理（系统管理员和数据库管理员分离），应选择“SQL Server和Windows”方式，并且用户每次登陆数据库时都必须输入密码（必须保证登陆用户为强密码）

2、 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

应采取技术或管理手段，保证SQL Server数据库的口令不易被冒用，如口令足够长，口令复杂（如规定字符应混有大、小写字母、数字和特殊字符），口令定期更新等。

3、 应启用登录失败处理功能，可采取结束会话，限制非法登录次数和自动退出等措施。

为防止暴力破解数据库用户的口令，应保证数据库具有登陆失败处理功能（设置非法登陆次数的限制值，对超过限制值的登陆终止其鉴别会话或临时封闭账号）

4、 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

为防止鉴别信息在网络传输过程中被窃听，SQL Server数据库可采用包括SSL在内的方式对数据进行加密传输。

5、 应对操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。

SQL Server数据库系统中不能创建相同用户名的用户，但应防止不同用户使用相同的用户名登录数据库系统

6、 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

为保证数据库的安全，系统应采取除口令外的其他鉴别技术（如生物识别技术、数字证书等）对用户身份进行鉴别，两次重复输入口令不属于两种组合鉴别技术。 （二） 访问控制：

7、 应启用访问控制功能，依据安全策略控制用户对资源的访问。

应依据安全策略限定每个角色的权限，并且为每个用户分配一个或多个角色

8、 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。

应依据安全策略限定管理用户的权限，仅授予管理用户说需要的最小权限，如对业务数据库进行管理的用户不能进行系统操作等。

9、 应实现操作系统和数据库特权用户的权限分离。

在数据库中，尽量将系统管理、审计管理和业务数据库的管理的用户权限进行分离 10、 应严格限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令。

在数据库中，尽量重命名默认账户，如果无法重命名，则应加强这些账户的口令。 11、 应及时删除多余的，过期的账户，避免共享账户的存在。

应删除数据库中多余的、过期的账户，如测试账号等。 12、 应对重要信息资源设置敏感标记。 =

在数据库中能对重要信息资源设置敏感标记（如非密、秘密、机密、绝密等），为实现强制访问控制（在自主访问控制中，资源的所有者指定用户对资源的访问权，而超级用户实际可以不受访问权的限制）提供基础。 13、 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

应依据安全策略控制用户对重要信息资源的操作

（三） 安全审计： 14、 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。

应检查数据库系统，查看是否开启审计功能，并且审计范围是否覆盖到每个用户 15、 审计内容应包括重要用户行为，系统资源的一场使用和重要系统命令的使用等系统内不要的安全相关事件。

检查数据库系统，查看审计策略是否覆盖系统内重要的安全相关事件，例如，用户登录系统、自主访问控制的所有操作记录、重要用户行为（如增加/删除用户，删除库表）等。 16、 审计记录应包括事件的日期，时间，类型，主体标识，客体标识和结果等。

审计记录信息中应包括日期、时间、事件类型、主体标识（如用户名等）、客体标识（如数据库表、字段或记录等）和事件操作结果等内容

17、 应能够根据数据进行分析，并生成审计报表。

数据库应提供根据各种条件记录数据进行查询分析的功能，是系统管理员能及时的了解当前数据库的安全状况；同时，数据库系统应提供生成审计报表得功能，方便系统管理员对数据库安全状况的上报。 18、 应保护审计进程，避免受到未预期的中断。

因提供严格的权限管理，防止未授权关闭审计功能 19、 应保护审计记录，避免受到未预期的删除，修改或覆盖等。

应提供严格的权限管理，防止未预期的删除、修改或覆盖审计记录或审计文件

（四） 资源控制： 20、 应通过设定终端接入方式，网络地址范围等条件限制终端登录。

在数据库上应能设定接入方式、网络地址范围等调试限制终端登录，防止非授权访问数据库资源 21、 应根据安全策略设置登录终端的操作超时锁定。

当连接超时时，数据库系统自动断开连接 22、 应限制单个用户对系统资源的最大或最小使用限度。

应限制单个用户对系统资源的最大或最小使用限度，防止类似拒绝服务之类的攻击

（五） 备份与恢复： 23、 应提供数据本地备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放。

数据库系统至少达到以下的备份要求：1）提供本地实时备份的功能，当数据发生错误时，能及时恢复数据；2）每天至少进行一次全备份，并将备份介质存放在场外。 24、 应提供异地备份功能，利用通信网络将关键数据定时批量传送至备用场地。

应提供灾备中心，对重要的数据提供异地数据级备份，保证当本地系统发生灾难性后果不可恢复时，利用异地保存的数据对系统数据能进行恢复

第五章：工具测评方法：

工具测试流程：

（一） 收集目标系统信息。 （二） 规划工具测试接入点。

（三） 制定《工具测试作业指导书》 （四） 现场测试。

（五） 测试结果整理分析。 (一) 收集目标系统信息： 包括方案中选定的；

1、 网络设备（互联IP地址，端口使用情况）

2、 安全设备（工作状态：透明，路由模式等；IP地址等） 3、 主机各设备的类型（操作系统类型，主要应用，IP地址等）

4、 目标系统网络拓扑结果等相关信息（各区域网络地址端划分情况等） (二) 规划工具测试接入点：

1、 接入点的规划，随着网络结构，访问控制，主机位置等等情况的不同而不同，没有固定的模式可循，但是，根据测试经验，也能总结出一些基本的，共性的原则； 1.1、 由低级别系统向高级别系统探测；

1.2、 同一系统同等重要程度功能区域之间要相互探测； 1.3、 由较低重要程度区域向较高重要程度区域探测； 1.4、 由外联接口向系统内部探测；

1.5、 跨网络隔离设备（包括网络设备和安全设备）要分段探测； 2、 子系统：

在一个目标系统中，可能存在不同的子系统，这子系统，有可能有二级子系统，同时也有三级子系统，对于不同级别的子系统，我们要用标准中的不同的要求来进行检测。 3、 功能区域： 在一个被测系统中，可能存在不同的功能区域，比如1类业务前置区域，2类业务前置区域，核心服务器区域等等。这些功能区域，根据业务，数据的重要程度，网络结构的综合分析，可以分成重要程度不同的功能区域。 4、 外联接口；

被测系统与INTERNET，三方业务单位等外联网络连接链路上的网络边界接口。 工具测试注意事项：

1、 工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备，主机，安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。

2、 接入系统的设备，工具的IP地址等配置要经过被测系统相关人员确认。 3、 对于测试过程可能造成的对目标系统的网络流量及主机性能等等方面的影响（例如口令探测可能会造成帐号锁定等情况），要事先告知被测系统相关人员。

4、 对于测试过程中的关键步骤，重要证据，要及时利用抓图等取证工具取证。

5、 对于测试过程中出现的异常情况（服务器出现故障，网络中断等等）要及时记录。 6、 测试结束后，需要被测方人员确认被测系统状态正常并签字后离场。

网络全局 一、 网络测评

检查边界设备和主要网络设备的配置信息，查看是否进行了路由控制建立安全的访问路径 Cisco

show running-config 结果

interface Serial0

ip address x.x.x.x 255.255.255.x

ip ospf message-digest-key 1 md5 xxxxxx(认证码) router ospf 10 router ospf 10

network x.x.x.x 0.0.255.255 area 0 network x.x.x.x 0.0.0.255 area 0 area 0 authentication message-digest H3C

display current-configuration 结果 ospf 100

import-route direct import-route static area 0.0.0.0

interface Vlan-interface 100 ospf authentication-mode md5

访谈网络管理员，是否依据部门的工作职能、重要性和应用系统的级别划分了不同的Vlan，并检查交换机的配置 show vlan

int e0/2

vlan-membership static 2 int e0/3

vlan-membership static 3 ip address 10.1.10.2 255.255.255.0

display vlan all

VLAN ID 100

Description:VLAN 0100 Name: VLAN 0100

路由器 二、 路由器

查看是否设置访问列表 show ip access-list

ip access-list extended 111

access-list 111 permit tcp host x.x.x.x any eq 443 access-list 111 deny any any

关闭思科路由器的一些默认网络服务

no cdp run no cdp enable Cisco设备间特有的2层协议 CDP（Cisco Discovery Protocol）

no service tcp-small-servers no service udp-small-server 标准TCP、UDP网络服务：回应、生成字符等 TCP、UDP Small service

no ip finger no service finger UNIX用户查找服务，允许用户远程列表 Finger no ip bootp server 服务允许其他的路由器从这个服务器引导 BOOTP

no ip source-route IP特性允许数据包指定他们自己的路由 IP Source Routing no ip proxy-arp 启用它容易引起路由表的胡乱 arp-proxy

no ip directed-broadcast 数据包能为广播识别目的VLAN IP Directed Broadcast no ip domain-lookup 路由器能实行DNS解析 WINS 和DNS

display acl config all

acl number 2000

rule deny icmp source any destionation any

应限制网络最大流量数及网络连接数 Show running-config

ip nat translation max-entries host 10.1.1.1 200 限制主机最大连接数为200

class-map match-all kkblue match access-group 1 policy-map blue class kkblue bandwidth 1000 queue-limit 30 class class-defaule

ip address x.x.x.x 255.255.255.x

service-policy output blue 限制主机带宽为1000kbps

display acl config all acl number 3000 rule 1 permit ip

interface Ethernet2/1/9 port access vlan 2109 traffic-shape 10000 256

traffic-limit inbound ip-group 3000 rule 1 system-index 28 tc-index 6 10000 1000000 1000000 10000 conform remark-policed-service exceed drop 限制某端口下得10000kbps访问

查看路由/交换是否有IP/MAC地址绑定 show ip arp

arp x.x.x.x 0000.xxxx.xxxx arpa

display arp

arp static x.x.x.x 0000-xxxx-xxxx

访问规则

show crypto isakmp policy

crypto isakmp polic 10 hash md5

authentication pre-share lifetime 3600

crypto isakmp key cisco address x.x.x.x 255.255.255.x

show crypto ipsec transform-set

crypto ipsec transform-set zhang ah-md5-hmac esp-des crypto map zhang 10 ipsec-isakmp set peer x.x.x.x

set transform-set zhang set pfs group1 match addres 100

show ip access-list

access-list 100 permit tcp host x.x.x.x host x.x.x.x

display ipsec

ike peer center

exchange-mode aggressive pre-shared-key abc id-type name

remote-name center remote-address x.x.x.x

ipsec policy branch1 10 isakmp security acl 3001 ike-perr center

proposal 1

acl number 3001

rule 0 permit ip sourec x.x.x.x 0.0.0.255 destination x.x.x.x 0.0.0.255

限制拨号访问数量

show running-config

encapsulation ppp

ppp authentication chap

dialer map ip x.x.x.x name router1 broadcat 7782001 ppp multilink

dialer idle-timeout 30 dialer load-threshold 128

display dialer

link-protocol ppp

ppp authentication-mode pap ip address x.x.x.x 255.255.255.x dialer enable-circular dialer-group 1

安全审计 查看网络设备的运行情况、网络流量、用户行为的进行日志记录 show logging logging on logging trap notifications logging x.x.x.x

snmp-server community pcitcro R0 snmp-server enable traps syslog ?. ?.

snmp-server host x.x.x.x cisco

display current-configuration

info-center enable

info-center loghost x.x.x.x facility local4 language Chinese info-center source default channel loghost log level information

snmp-agent

snmp-agent community read isPublic

snmp-agent target-host trap address x.x.x.x port 161 parameters securityname aaa snmp-agent trap enable standard authentication coldstart linkdown linkup warmstart snmp-agent trap enable system

检查审计记录是否保护 show logging

logging on

logging trap notifications logging x.x.x.x

display current-configuration

info-center enable

info-center loghost x.x.x.x facility local4 language Chinese

info-center soure default channel loghost log level informational

网络设备防护 查看网络设备的登录用户的身份鉴别 show running-config

line vty 0 4 login

password xxxxxxxx line aux 0 login

password xxxxxxxx line con 0 login

password xxxxxxxx

enable secret

enable secret 5 @#$FERfsadf3213!@#$A

如启用三a认证 aaa new-model

tacacs-server host x.x.x.x single-connecting tacacs-server key shared1

aaa new-model1

radius-server host x.x.x.x radius-server key shared1

line vty 0 4

aaa authorization login

display current-configuration

super password level 3 cipher JL!@#Ff2343FWF2@ local-user backbone service-type ssh level 3

acl number 2010

rule 1 permit source x.x.x.x 0 user-interface vty 0 4 acl 2010 inbound

authentication-mode scheme

检查登录地址限制 show running-config

access-list 3 permit x.x.x.x log access-list 3 deny any

line vty 0 4 access-list 3 in

display current-configuration

acl number 2010

rule 1 permit source x.x.x.x 0 user-interface vty 0 4 acl 2010 inbound

authentication-mode scheme

查看用户账号信息

show running-config

username admin privilege 10 password admin username user privilege 1 password user

display-configuration

super password level 3 cipher !@#sdfASD23424!# service type ssh

local-user mca password cipher #$SDF423FS$fs2! service type ssh

show running-config （鉴别信息口令应有复杂度要求） service password-encryption ?

line vty 0 4

password 7 xxxxxxxx ?

line aux 0

password 7 xxxxxxxxx ?

Line con 0

Password 7 xxxxxxxxx

display current-configuration

super password level 3 cipher %yiuy_)(77978giuHIU service type ssh

local-user mca password chipher (*&*987HK(*&UJjlkj serice type ssh

登录错误机制

show running-config line vty 0 4

exec-timeout 5 0 line aux 0

exec-timeout 5 0 line con 0

exec-timeout 5 0

display current-configuration user-interface con 0 idle-timeout 5 0

user-interface vty 0 4 user privilege level 4

set authentication password cipher *(&(hkj*(&(Uj\\ idle-timeout 5 0

应防止远程管理时鉴别信息被窃听

show running-config

line vty 4 0

transport input ssh

ip ssh authentication-retries 3 line aux 0

transport input ssh

ip ssh authentication-retries 3

display current-configuration

local-user huawei password cipher *(&(*j local-user huawei service-type ssh local-user huawei level 3 user-interface vty 0 4 authentication-mode aaa protocol inbound ssh

应有特权用户的权限分离（分配用户在完成业务内的最小权限）

show running-config

username root privilege 10 gooDpAssWord privilege exec level 10 ssh

privilege exec level 10 show log

display current-configuration

super password level 3 cipher (&*jlk*(&jlkjLJLK service type ssh

local-user mca password cipher (&(&(*&()jlkJjJLK service type ssh

主机安全

linux 下得密码文件及密码状态的文件 /etc/passwd 密码文件 /etc/shadow 密码状态

密码过期控制文件与/etc/shadow文件关联

/etc/login.defs （shadow读取该文件的PASS_MIN_DAYS最少多少天后可以修改密码，PASS_MAX_DAYS最多多少天后必须修改密码，PASS_WARN_AGE提前几天提示修改密码）

密码复杂性要求 Linux

密码控制在/etc/login.defs

PASS_MAX_DAYS 90 登录密码有效期90天

PASS_MIN_DAYS 0 最少可以更改密天数 PASS_MIN_LEN 8 最小密码长度8位

PASS_WARN_AGE 7 密码过期提前7天提示 FAIL_DELAY 10 登录错误等待10秒 FAILLOG-ENAB yes 登录错误记录日志

SYSLOG_SU_ENAG yes 当限定超级用户管理日志时使用 SYSLOG_SG_ENAB yes 当限定超级用户组管理日志时使用 MD5_CRYPT_ENAB yes 当密码使用MD5校验时使用

/etc/pam.d/system-auth 该文件中设置登录失败断开连接次数掉用pam_stack.so模块

其中account required /lib/security/pam_tally.so deny=5 no_magic_root reset应为5次限制

查看linux是否安装ssh响应的安装包 rpm –aq|grep ssh 服务

service –status –all|grep sshd 查看端口是否打开 netstat –an|grep 22

查看是否开启Telnet服务

Service –status –all | grep running

安全审计 查看日志服务

service syslog status service audit status 或

Service –status =all | grep running

查看审计进程 Ps –ef|grep auditd

/etc/audit/audit.conf指定如何写入审计记录以及在哪里写入，日志超出磁盘空间后如何处理。/etc/audit/filesets.conf和/etc/audit/filers.conf指定内核用来判定系统调用是否要审查的规则

grep “@priv-ops” /etc/audit/filter.conf grep “mount-ops” /etc/audit/filter.conf grep “system” /etc/audit/filter.conf

grep “file” /etc/audit/filter.conf

grep”open” /etc/audit/filter.conf

grep “execute” /etc/audit/filter.conf

审计记录查看

aucat 和 augrep查看

aucat | tail -100 查看最近的100条记录、

augrep –e TEXT –U AUTH_success 查看所有成功PAM授权

Linux中auditd是审计守护进程 syslogd是日志守护进程

查看入侵检的重要线索（如试图登录Telnet 、FTP等） more /var/log/secure | grep refused

find / -name -print查看是否安装主机入侵检测软件 Dragon Squire by Enterasys Networks ITA by Symantec

Hostsentry by Psionic Software Logcheck by Psionic Software RealSecure agent by ISS

查看是否关闭危险网络服务如：echo,shell,login,finger,r命令等

关闭非必须的网络服务如：talk,ntalk,pop-2,Sendmail,Imapd,Pop3d等 rpm –qa | grep patch查看补丁情况

tcpd服务器是可以控制外部IP对本级服务的访问 其中/etc/hosts.allow控制可以访问本机的IP /etc/hosts.deny控制禁止访问的IP

如两个文件地址有冲突以/ect/hosts.deny为准

在/etc/profile中设置TIMEOUT环境变量，使bash shell在一定时间内没有操作的情况下自动注销。

在/etc/security/limits.conf中 参数nproc可以设置对大进程数如 * soft core 0

* hard rss 5000 (所用用户:内存5M) @student hard nproc 20(student:进程20) @faculty soft nproc 20

数据库安全 身份鉴别查看ORACLE数据库是否可以用默认用户登录及是否有空口令或默认用户口令

默认口令sys/change_on_install;system/manager;

常用口令oracle:oracle/admin/ora92;sys:oracle/admin;system:oracle/admin 查看口令强度 SQL server

在master 执行select * forme syslogins where password is null查看是否有空口令

Oracle

select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’PASSWORD_VERIFY_FUNCTION’ 查看是否启用口令复杂函数

检查utlpwdmms.sql中”—Check for the minimum length of the password”部分中的”length(password)<”后的值

启用登录失败处理

select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’FAILED_LOGIN_ATTEMPTS’ 查看是否为unlimited，为unlimited则说明进行了登录失败尝试次数的限制

select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’PASSWORD_LOCK_TIME’ 查看是否为unlimited，为unlimited则说明设定了口令锁定时间

远程管理控制

Oracle

查看initSID.ora中REMOTE_OS_AUTHENT的值，是否允许管理员远程管理

查看listener.ora 中 “LISTENER”-“DESCRIPTION”-“ADDRESS_LIST”-“ADDRESS”-“PROTOCOL”的值，是否包括了TCPS在内的加密协议

身份鉴别

查看配置文件 sqlnet.ora查看SQLNET.AUTHENTICATION_SERVICE的值是否与管理回答一致

访问控制

安全策略控制用户访问 SQL server

用SQL Server Enterprise Manager查看管理员是否为每个用户分配了角色

处理多余、过期账户 SQL server

查询分析器 select name from syslogins 查看是否存在过期及多余账户

Oracle

在sqlplus中 select username,account_status from dba_users 查看返回结果是否存在scott,outln,ordsys等范例账号

敏感标记

Oracle

检查是否安装Oracle Lable Security模块 select username from dba_users 查看是否创建策略SELECT policy_name,status from DBA_SA_POLICIES 查看是否创建级别 SELECT * FROM dba_sa_levels ORDER BY level_num 查看标签创建情况 select * from dba_sa_labels

查看策略与模式、表的对应关系 select * from dba_sa_tables_policies

安全审计 审计覆盖 Oracle

Select value from v$parameter where name=’audit_trail’ 查看是否开启审计功能 审计操作内容

Oracle

show parmeter audit_trail查看是否开启审计功能

show parameter audit_sys-operations 查看是否对所有sys用户的操作进行了记录

select sel,upd,del,ins from dba_obj_audit_opts查看是否对sel,upd,del,ins操作进行了审计 select * from dba_stmt_audit_ops 查看审计是否设置成功 select *from dba_priv_audit_opts 查看权限审计选项

避免审计为预期中断 Oracle

alter system set audit_trail=none查看是否关闭审计功能

资源控制 Oracle

查看sqlnet.ora是否配置了如下参数 tcp.validnode_checking tcp.invited_nodes

终端登录超时锁定

SQL server

查询分析器 sp_configure ‘remote login timeout(s)’ 查看是否设置了超时

Oracle

查看空闲超时设置 select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’IDLE_TIME’

限制资源使用量大小

Oracle

select username,profile from dab_users确定用户使用的profile针对指定用户的profile查看其限制（以default为例）

select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’SESSIONS_PER_USER’ 查看是否对每个用户所允许的并行会话数进行了限制

select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’CPU_PER_SESSION’查看是否对一个会话可以使用CPU时间进行了限制

select limit from dba_profiles where profile=’DEFAULT’ and resource_name=’IDLE_TIME’查看是否允许空闲会话的时间进行了限制

本文来源：https://www.bwwdw.com/article/y1wr.html