信息安全等级测评培训教程初级重点.docx
- 文档编号:14095075
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:29
- 大小:123.05KB
信息安全等级测评培训教程初级重点.docx
《信息安全等级测评培训教程初级重点.docx》由会员分享,可在线阅读,更多相关《信息安全等级测评培训教程初级重点.docx(29页珍藏版)》请在冰点文库上搜索。
信息安全等级测评培训教程初级重点
1、第1章网络安全测评
静态路由是指由网络管理员手工配置的路由信息,当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工修改路由表中相关的静态路由信息。
动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。
动态路由机制的运作依赖路由器的两个基本功能:
对路由表的维护和路由器之间适时的路由信息交换。
路由器之间的路由信息交换是基于路由协议实现的,如OSPF(开放式最短路径优先)路由协议是一种典型的链路状态的路由协议,它通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。
VLAN是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。
网络边界处设备是否存在带宽配置
如果在网络边界处部署防火墙,检查防火墙是否存在策略带宽配置。
如果网络边界处未部署防火墙,检查边界网络设备是否存在相关配置信息。
可以采用技术手段和管理措施对非授权设备私自联到内部网络的行为进行检查、定位和阻断。
技术手段包括网络接入控制、关闭网络设备未使用的端口、IP/MAC地址绑定等。
管理措施包括进入机房全程陪同、红外视频监控等。
非法外联行为绕过了边界安全设备的统一管理,打破了网络边界的统一控制管理,使得内网面临的安全风险增大。
可以依靠内网安全管理系统的非法外联监控功能或者非法外联软件实现,通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
监视网络入侵和安全事件既包括被动任务也包括主动任务。
很多网络入侵都是在发生攻击之后,通过检查日志文件才检测到的。
这种攻击之后的检测通常称为被动入侵检测。
只有通过检查日志文件,攻击才得以根据日志信息进行复查和再现。
入侵尝试可以在攻击发生的同时检测到。
这种方法称为主动入侵检测,它会查找已知的攻击模式或命令,并阻止这些命令的执行。
完整的网络入侵防范应首先实现对事件的特征分析功能,以发现潜在的攻击行为。
应能发现目前主流的各种攻击行为,如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
目前对入侵防范的技术实现主要是通过在网络边界部署包含入侵防范功能的安全设备,如入侵检测系统(IDS)、包含入侵防范模块的多功能安全网关(UTM)等。
当检测到攻击行为时,检查该设备是否能够对攻击源IP、攻击类型、攻击目的和攻击时间等信息进行日志记录。
通过这些日志记录,可以对攻击行为进行审计分析和追踪溯源。
当发生严重入侵事件时,应能够及时向有关人员报警,报警方式包括短信、邮件、声光报警等。
恶意代码是指怀有恶意目的的可执行程序。
目前恶意代码主要都是通过网页、邮件等网络载体进行传播。
因此部署集中管理的防恶意代码产品进行恶意代码防范是最为直接和高效的办法
防恶意代码产品目前主要包括防病毒网关、包含防病毒模块的多功能安全网关和网络版防病毒系统等产品。
其至少应具备的功能包括:
对恶意代码的分析检查能力,对恶意代码的清除或阻断能力,以及发现恶意代码后记录日志和审计,并包含对恶意代码特征库的升级和检测系统的更新能力。
防恶意代码产品应具备通过多种方式实现恶意代码特征库和检测系统更新的能。
如自动远程更新、手动远程更新和手动本地更新等方式。
在网络边界处部署访问控制设备,保护内部系统的安全。
能够起访问控制功能的设备包括网闸、防火墙、路由器和三层路由交换机等。
此处的访问控制主要指的是路由器具有访问控制功能,可以防御来自其他网络的攻击。
一般来说,在网络边界路由器上配置访问控制列表对进出网络的流量进行过滤。
流入流量过滤用于过滤掉一些源IP不是公网IP的数据包,同时也用于限制外部对内部网络服务的访问。
流出流量过滤用于防止由单位内部机器发出的伪造源IP的攻击数据流。
网络设备中默认开启了一些服务,有些服务在实际使用中是不需要的,而这些服务本身却可能存在一些安全隐患,因此,需要主动关闭这些服务。
当恶意用户进行网络攻击时,有时会发起大量会话连接,建立会话后长时间保持状态连接从而占用大量网络资源和系统资源,最终出现将网络资源和系统资源耗尽的情况。
因此应在会话终止或长时间无响应的情况下终止网络连接,释放被占用网络资源和系统资源,保证业务可以被正常访问。
路由器可根据IP地址、端口、协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务。
路由器的带宽策略一般采用分层的带宽管理机制,管理员可以通过设置细粒度的带宽策略,对数据报文做带宽限制和优先级别设定,还可以通过源地址、目的地址、用户和协议四个方面来限制带宽。
地址欺骗在网络安全中比较重要的一个问题,这里的地址可以是MAC地址,也可以是IP地址。
目前发生比较多的是ARP地址欺骗,ARP地址欺骗是MAC地址欺骗的一种。
ARP(AddressResolutionProtocol,地址解析协议)是一个位于TCP/P协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为两种,一种是对网络设备ARP表的欺骗,另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是截获网关数据。
它通知网络设备一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在网络设备中,结果网络设备的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的途径上网。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
解决方法为:
一、在网络设备中把所有PC的IP-MAC输入到一个静态表中,这叫IP-MAC绑定;二、在内网所有PC上设置网关的静态ARP信息,这叫PCIP-MAC绑定。
一般要求两个工作都要做,称为IP-MAC双向绑定。
对通过远程采用VPN拨号技术或通过其他方式连入单位内网的用户,路由器或相关设备应提供用户认证功能,通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。
为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能。
系统日志中的每个信息都被分配了一个严重级别(0~7),并伴随些指示性问题或事件的描述信息。
日志记录器(Logger)是日志处理的核心组件。
log4j具有5种正常级别(Level)。
:
1、DEBUGLevel指出细粒度信息事件对调试应用程序是非常有帮助的。
2、INFOlevel表明消息在粗粒度级别上突出强调应用程序的运行过程。
3、WARNlevel表明会出现潜在错误的情形。
4、ERRORlevel指出虽然发生错误事件,但仍然不影响系统的继续运行。
5、FATALlevel指出每个严重的错误事件将会导致应用程序的退出。
还有两个可用的特别的日志记录级别:
1、ALLLevel是最低等级的,用于打开所有日志记录。
2、OFFLevel是最高等级的,用于关闭所有日志记录。
对于思科和华为路由器来说,可以对系统错误、网络和接口的变化、登录失败、ACL匹配等进行审计,审计内容包括了时间、类型、用户等相关信息。
因此对于思科和华为路由器来说,只要审计功能启用就能符合该项要求。
一般来说用户登录路由器方式包括:
利用控制台端口(Console)通过串口进行本地连接登录。
利用辅助端口(AUX)通过MODEM进行远程拨号连接登录或者利用虚拟终端(VTY)通过TCP/IP网络进行远程Telnet登录等。
无论是哪一种登录方式,都需要对用户身份进行鉴别,口令是路由器用来防止非授权访间的常用手段,是路由器本身安全的一部分。
因此需要加强对路由器口令的管理,包括口令的设置和存储,最好的口令存储方法是保存在TACACS+或RADIUS认证服务器上。
管理员应当依据需要为路由器相应的端口加上身份鉴别最基本的安全控制。
TACACS终端访问控制器访问控制系统
RADIUS远程访问拨号用户服务
路由器的口令安全包括两类:
设置登录口令和设置使能口令(特权密码),测评应通过查看设备的当前运行配置文件对相关设置依次进行检查。
为了保证管理员对路由器安全访问的同时,避免其他人的未授权访问,最好的办法是采用带外管理,使用专用的管理终端和通信路径,将管理数据流与其他业务数据流分开,能够有效地增加安全性。
为了保证网络设备自身安全,需要对通过VTY(虚拟终端)访问网络设备的登录地址进行限制,避免未授权的访问,可以利用ipaccess-class限制访问VTY的IP地址范围。
同时由于VTY的数目有一定的限制,当所有的VTY用完,就不能再建立远程的网络连接了,通过限制登录地址限制能够防止Dos(拒绝服务攻击)。
路由器不允许配置用户名相同的用户,同时要防止多人共用一个账户,实行分账户管理,每名管理员设置一个单独的账户,避免出现问题后不能及时进行追踪溯源。
为避免身份鉴别信息被冒用,可以通过采用令牌、认证服务器等措施,加强身份鉴别信息的保护。
如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求。
对存储在配置文件中的所有口令和类似数据进行加密,可以避免通过读取配置文件而获取明文口令。
当对网络设备进行远程管理时,为避免鉴别信息在传输过程中被窃取,不应当使用明文传送的Telnet,http服务,而应当采用SSH.HTTPS等加密协议等方式进行交互式管理。
默认条件下思科路由器和华为路由器都有默认的权限级别,应根据实际需要为用户分配完成其任务的最小权限。
查看相关配置可以确认通过某个级别的口令登录的用户只允许使用某些命令。
防火墙作为访问控制设备部署在网络边界,应针对内网与外网之间以及内网的不同网段之间做访问控制。
访问控制规则描述了防火墙允许或禁止匹配访问控制规则的报文通过。
防火墙接收到报文后,将顺序匹配访问规则表中所设定规则。
一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域默认属性的检查。
如果不存在可匹配的访问策略,防火墙将根据目的接口所在区域的默认属性(允许访问或禁止访问),处理该报文。
防火墙作为提供网络访问控制的主要设备,应当通过配置合理的安全策略,保护内部网络的安全,防火墙的安全策略的配置应当根据信息系统的应用进行配置,只允许授权的IP地址、协议、端口通过,对于没有明确允许通过的数据流默认应当是被禁止的。
同时可以通过配置NAT(网络地址转换)、静态地址映射、IP地址绑定等措施隐藏内部网络信息,以最大限度地保证被保护网络的安全。
21ftp文件传输协议(FTP)端口;有时被文件服务协议(FSP)使用
22ssh安全Shell(SSH)服务
23telnetTelnet服务
25smtp简单邮件传输协议(SMTP)
37time时间协议
42nameserver互联网名称服务
69tftp小文件传输协议(TFTP)
80http用于万维网(WWW)服务的超文本传输协议(HTTP)
109pop2邮局协议版本2
110pop3邮局协议版本3
113auth验证和身份识别协议
115sftp安全文件传输协议(SFTP)服务
123ntp网络时间协议(NTP)
143imap互联网消息存取协议(IMAP)
161snmp简单网络管理协议(SNMP)
209qmtp快速邮件传输协议(QMTP
443https安全超文本传输协议(HTTP)
514不必登录的远程shell(rshell)和远程复制(rcp)
3389WTS远程终端(远程桌面)windows2000server或以上版本可以安装。
右侧显示带宽管理界面,检查是否配置了针对物理接口、聚合端口、GRE虚接口、IPSec虚接口或SV虚接口的带宽策略。
GRE通用路由封装协议
IPSec网际协议安全(AH鉴别首部,ESP封装安全有效载荷)
QoS服务质量
2、第2章主机安全测评
所谓用户身份标识和鉴别就是用户向系统以一种安全的方式提交自己的身份证实,然后由系统确认用户的身份是否属实的过程。
换句话说,“用户鉴别”是系统的门户,每个用户进入到系统中都必须经过鉴别这一道关。
Linux在root权限下,使用命令more,cat或vi查看/etc/passwd和etc/shadow文件中各用户名状态,
mkdir创建目录,rmdir删除目录,unlink删除文件,chmod改权限,chown改所属组,grep摄取,find查找文件,rm删除,mv剪切重命名,cp复制,ls查看,cd进去目录。
#cat/etc/passwd
root:
x:
0:
0:
root:
/root:
/bin/bash
第一字段:
用户名。
第二字段:
口令;在例子中我们看到的是一个x,其实密码已被映射到/etc/shadow文件中。
第三字段:
UID用户ID,这里UID为0的用户必须只有一个root。
第四字段:
GID组ID。
第五字段:
用户名全称,这是可选的,可以不设置。
第六字段:
用户的"home"目录所在位置。
第七字段:
用户所用SHELL的类型。
若密码栏为x则表示有密码,若留空则表示为空密码。
#cat/etc/shadow
root:
$1$crpkUkzq$hLl/dYWmlWY4J6FaSG2js0:
14296:
0:
99999:
7:
:
:
第一字段:
用户名,在/etc/shadow中,用户名和/etc/passwd是相同的,这样就把passwd和shadow中用的用户记录联系在一起;这个字段是非空的。
第二字段:
密码(已被加密),如果是有些用户在这段x,表示这个用户不能登录到系统;这个字段是非空的。
第三字段:
上次修改口令的时间;这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔(天数),可以通过passwd来修改用户的密码,然后查看/etc/shadow中此字段的变化。
第四字段:
两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;也就是说用户必须经过多少天才能修改其口令;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS中有定义。
第五字段:
两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS中定义。
第六字段:
提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时从/etc/login.defs文件定义中获取,在PASS_WARN_AGE中定义。
第七字段:
在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会完全禁用此用户。
第八字段:
用户过期日期:
此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,账户永久可用。
第九字段:
保留字段,目前为空,以备将来Linux发展之用。
密码栏为空则表示为空密码。
控制和监视密码策略
在Windows操作系统中查看:
密码必须符合复杂性要求
密码长度最小值
密码最长使用期限
密码最短使用期限
强制密码历史
用可还原的加密来储存密码
在Linux操作系统中查看:
more/etc/login.Defs
PASS_MAX_DAYS90登录密码有效期90天
PASS_MIN_DAYS0登录密码最短修改时间,增加可以防止非法用户短期更改多次
PASS_MIN_LEN8登录密码最小长度8位
PASS_WARN_AGE7登录密码过期提前7天提示修改
FAIL_DELAY10登录错误时等待时间10秒
FAILLOG_ENAByes登录错误记录到日志
SYSLOG_SU_ENAByes当限定超级用户管理日志时使用
SYSLOG_SG_ENAByes当限定超级用户组管理日志时使用
MD5_CRYPT_ENAByes当使用ma5为密码的加密方法时使用
Linux中/etc/login.Defs是登录程序的配置文件,在这里我们可配置密码的最大过期天数,密码的最大长度,如果/etc/shadow文件里有相同的选项,则以/etc/shadow为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。
密码复杂性策略强制要求至少使用以下四个字符集中的三个:
(1)大写字母;
(2)小写字母;(3)数字;(4)非字母数字字符。
账户锁定策略:
在Windows操作系统中查看
账号锁定阈值
账号锁定时间
复位账号锁定计数器
在Linux操作系统中查看:
记录/etc/pam.d/system-auth文件中是否存在"accountrequired/lib/security/pam_tally.sodeny=5no_magic_rootreset".
Linux系统具有调用PAM的应用程序可以用来认证用户、登录服务、屏保等功能,其中一个重要的文件便是/etc/pam.d/system-auth,它是pam_stack.so模块的标准控制文件,在这个文件中可以通过配置参数,设置登录失败断开连接的次数等。
PAM(嵌入式模块)是一套应用程序编程接口,提供一连串验证机制。
Linux-PAM四种模块类型:
认证管理auth,账号管理account,会话管理session,密码管理password。
微软在WindowsServer2003SPI中针对终端服务提供了SSL.(安全套接层)加密功能:
它可以基于SSL(TLS1.0)来实现以下两个功能:
对RDP.(远程桌面协议)客户端提供终端服务器的服务器身份验证、加密和RDP客户端的通信。
对于操作系统来说,用户管理是操作系统应具备的基本功能。
用户管理由创建用户和组以及定义它们的属性构成。
用户的属性控制他们的访问权、环境、如何对他们进行认证,以及如何、何时、在哪里可以访问他们的账户。
因此,用户标识的唯一性至关重要。
如果系统允许用户名相同,而UID不同,其唯一性标识为UID,如果系统允许UID相同,而用户名不同,其唯一性标识则为用户名。
在Windows系统中,当创建一个新用户的时候,系统会自动为新用户分配一个全球唯一旦不会重复出现的SID,所以Windows系统的用户标识应为这个SID而不是用户名。
在Linux系统中,内核以纯粹的整数,及用户标示符或UID,作为区分不同用户的“身份号”,因此UID可以作为用户的唯一标识。
访问控制是安全防范和保护的主要策略,它不仅应用于网络层面,同样也适用于主机层面,它的主要任务是保证系统资源不被非法使用和访问,使用访问控制的目的在于通过限制用户对特定资源的访问来保护系统资源。
在操作系统中的每一个文件或目录都包含有访问权限,这些访问权限决定了谁能访问和如何访问这些文件和目录。
对于操作系统中一些重要的文件,则需要严格控制其访问权限,从而加强系统的安全性。
主机安全的访问控制主要涉及两个方面的内容:
文件权限和默认共享。
.
文件权限
在Windows系统中,重要目录不能对"everyone"账户开放,因为这样会带来很大的安全问题,在权限控制方面,尤其要注意当文件权限更改后对于应用系统的影响。
对于Linux中一些重要的文件,应检查Linux系统主要目录的权限设置情况,对于配置文件权限值不能大于644,对于可执行文件不能大于755。
使用ls-l查看权限,"etc/passwd文件权限为666".
默认共享
Windows操作系统的默认共享功能的设计初衷是为了方便网管通过网络对计算机进行远程管理而设的,它的存在依赖于系统服务"Server"。
为保证系统安全性,通常我们可以将其关闭.Linux操作系统通常不存在默认共享。
在命令行模式下输入netshare,查看共享
查看注册表:
HKEYLOCALMACHINESYSTEMCurrentControlSetControlL.salrestrictanonymous值是否为"0"(0表示共享开启)。
根据管理用户的角色对权限作出标准细致的划分,有利于各岗位细致协调的工作。
同时对授权模块进行一些授权管理,并且系统的授权安全管理工作要做到细致,仅授予管理用户所需的最小权限,避免出现权限的漏洞使一些高级用户拥有过大的权限。
以Windows操作系统为例:
查看用户分组情况,查看权利指派。
记录系统主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色,记录权限分配情况。
操作系统特权用户可能拥有以下一些权限:
安装和配置系统的硬件和软件、建立和管理用户账户、升级软件、备份和恢复等业务,从而保证操作系统的可用性、完整性和安全性。
数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理,从而保证数据库系统的可用性、完整性和安全性。
将操作系统和数据库系统特权用户的权限分离,能够避免一些特权用户拥有过大的权限以及减少一些人为的误操作,做到职责明确。
检查是否存在多个管理员共用一个账户的情况。
分两个层次:
首先自然人与其管理员账户要做到一一对应,不存在多人共用一个账户的情况。
其次,每个管理员账户应只负责管理某一方面内容,不能同时管理操作系统和数据库。
默认账户检查
在Windows操作系统中:
查看默认账户是否重命名。
询问是否已修改账户默认口令。
查看是否已经禁用guest账户。
在Linux操作系统中;#cat/etc/shadow
root:
$1$crpkUkzq$hLl/dYWmlWY4J6FaSG2js0:
14296:
0:
99999:
7:
:
:
在用户名前没有“#”号,表明其未被禁用;有“#”号的表明该用户已被禁用。
敏感标记是强制访问控制的依据,主客体都有,它存在的形式无所谓,可能是整形的数字,也可能是字母,它表示主客体的安全级别。
敏感标记是由强认证的安全管理员进行设置的,通过对重要信息资源设置敏感标记,决定主体以何种权限对客体进行操作,实现强制访问控制。
安全审计通过关注系统和网络日志文件、目录和文件中不期望的改变、程序执行中的不期望行为、物理形式的入侵信息等,用以检查和防止虚假数据和欺骗行为,是保障计算机系统本地安全和网络安全的重要技术,对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息,所以审计覆盖范围必须要覆盖到每个操作系统用户和数据库用户。
RedhatEnterpriseLinux3update2以后都开始使用LASU(LinuxAuditSubsystem)(审计子系统)来进行审计。
日志系统可以记录系统的各种信息,如:
安全、调试、运行信息。
审计子系统专用来记录安全信息,用于对系统安全事件的追溯。
如果审计子系统没有运行,Linux内核就将安全审计信息传递给日志系统。
在Linux中/etc/audit/audit.conf文件指定如何写入审查记录以及在哪里写入、日志超出可用磁盘空间后如何处理等内容。
/etc/audit/filesets.conf和/et
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 测评 培训 教程 初级 重点