信息安全等级测评师培训教程学习笔记.docx
《信息安全等级测评师培训教程学习笔记.docx》由会员分享,可在线阅读,更多相关《信息安全等级测评师培训教程学习笔记.docx(51页珍藏版)》请在冰点文库上搜索。
信息安全等级测评师培训教程学习笔记
第一章网络安全测评
1.1网络全局
1.1.1结构安全
a)应保证主要网络设备的业务处理能力有冗余空间,满足业务高峰期需要
b)应保证网络各个部分的带宽满足业务高峰期需要;
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d)应绘制与当前运行情况相符的网络拓扑结构图;
e)应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网和网段,并按照方便管理和控制的原则为各子网、网段分配地址段
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段
g)应按照对业务服务的重要次序来制定带宽分配优先级别,保证在网络发生拥堵时优先保护重要主机。
1.1.2边界完整性检查
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定位,并对其进行有效阻断;
技术手段:
网络接入控制,关闭网络设备未使用的端口、IP/MAC地址绑定等
管理措施:
进入机房全程陪同、红外视频监控等
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定位,并对其进行有效阻断;
1.1.3入侵防范
a)应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
1.1.4恶意代码防范
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新
1.2路由器
1.2.1访问控制
a)应在网络边界处部署访问控制设备,启用访问控制功能;
能够起访问控制功能的设备有:
网闸、防火墙、路由器和三层路由交换机等
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP,FTP,TELNET,SMTP,POP3等协议命令级的控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
路由器可根据IP地址、端口、协议来限制应用数据流的最大流量;
根据IP地址来限制网络连接数
路由器的带宽策略一般采用分层的带宽管理机制,管理员可以通过设置细粒度的带宽策略,对数据报文做带宽限制和优先级别设定,还可以通过源地址、目的地址、用户和协议4个方面来限制带宽
f)重要网段应采取技术手段防止地址欺骗
地址欺骗中的地址可以使MAC地址,也可以使IP地址。
目前发生比较多的是ARP地址欺骗,ARP地址欺骗是MAC地址欺骗的一种。
ARP(AddressResolutionProtocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
ARP欺骗分为2种,一种是对网络设备ARP表的欺骗,另一种是对内网PC的网关欺骗。
解决方法:
1在网络设备中把所有PC的IP-MAC输入到一个静态表中,这叫IP-MAC绑定;
2.在内网所有PC上设置网关的静态ARP信息,这叫PCIP-MAC绑定。
一般要求2个工作都要做,称为IP-MAC双向绑定
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
h)应限制具有拨号访问权限的用户数量
1.2.2安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
1.2.3网络设备防护
a)应对登陆网络设备的用户进行身份鉴别;
——用户登录路由器的方式包括:
&1利用控制台端口(Console)通过串口进行本地连接登录;
&2利用辅助端口(AUX)通过MODEM进行远程拨号连接登录
&3利用虚拟终端(VTY)通过TCP/IP网络进行远程登录
——无论哪一种登录方式,都需要对用户身份进行鉴别,口令是路由器用来防止非授权访问的常用手段,是路由器安全的一部分。
——需要加强对路由器口令的管理,包括口令的设置和存储,最好的口令存储方式是保存在TACACS+或RADIUS认证服务器上。
检查方法:
1)在特权模式下输入命令showrunning-config会输出该路由器相关配置信息
2)检查配置信息中是否存在类似如下的配置信息
Linevty04(虚拟终端)
Login
Passwordxxxxx
Lineaux0(辅助端口)
Login
Passwordxxxxxx
Linecon0(控制台端口)
Login
Passwordxxxxx
3)为特权用户设置口令时,应当使用enablesecret命令
该命令用于设定具有管理员权限的口令,enablesecret命令采用的是MD5算法,这种算法比enablepassword加密算法强,不容易被破解。
4)如果设备启用了AAA认证,则查看配置信息应当存在类似如下配置信息
aaanew-model
tacacs-serverhost192.168.1.1single-connecting
tacacs-serverkeyshared1
aaanew-model
radius-serverhost192.168.1.1
radius-serverkeyshared1
linevty04
aaaauthorizationlogin
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别;
双因子鉴别还需要访问者拥有鉴别特征:
采用令牌、智能卡、数字证书和生物信息等
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
不应当使用明文传送的Telnet、http服务,应当采用SSH、HTTPS等加密协议等方式来进行交互式管理
h)应实现设备特权用户的权限分离;
1.3交换机
1.3.1访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数
交换机可根据IP地址、端口、协议来限制应用数据流的最大流量;
根据IP地址来限制网络连接数
交换机的带宽策略一般采用分层的带宽管理机制,管理员可以通过设置细粒度的带宽策略,对数据报文做带宽限制和优先级别设定,还可以通过源地址、目的地址、用户和协议4个方面来限制带宽
f)重要网段应采取技术手段防止地址欺骗
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
1.3.2安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:
时间的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表
d)应对审计记录进行保护,避免受到未预期的删除、修改或者覆盖等
1.3.3网络设备保护
a)应对登陆网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登陆地址进行限制
c)网络设备用户的标识须唯一
d)主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进行身份鉴别;
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
h)应实现设备特权用户的权限分离
1.3.3网络设备防护
a)应对登录网络设备的用户进行身份鉴别
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别
e)身边鉴别信息应该具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
f)应具有登录失败处理的功能,可采取结束会话,限制非法登录次数和当网络登录连接超时自动退出的措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
h)应实现设备特权用户的权限分离
1.4防火墙
1.4.1访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
防火墙的安全策略的配置应当根据信息系统的应用进行配置,只允许授权的IP地址、协议、端口通过,对于没有明确允许通过的数据流默认应当是被禁止的。
同时可以通过配置NAT、静态地址映射、IP地址绑定等措施隐藏内部网络信息,以最大限度地保证被保护网络的安全
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP,FTP,Telnet,SMTP,POP3等协议命令级的控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
f)重要网段应采取技术手段防止地址欺骗
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
h)应限制具有拨号访问权限的用户数量
1.4.2安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息;
c)应能根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
1.4.3网络设备防护
a)应对登录网络设备的用户进行身份鉴别
b)应对网络设备的管理员登录地址进行限制;
需要对远程管理防火墙的登录地址进行限制,可以是某一特定的IP地址,也可以来自某一子网、地址范围或地址组
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
h)应实现设备特权用户的权限分离
1.5入侵检测/防御系统
1.5.1访问控制
a)应在网络边界部署控制设备,启用访问控制;
此处的访问控制主要指入侵防御系统具有的访问控制功能,入侵检测系统IDS不具有此功能
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、Telnet,SMTP、POP3等协议命令级的控制;
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数
f)重要网段应采取技术手段防止地址欺骗
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h)应限制具有拨号访问权限的用户数量
1.5.2安全审计
a)应对网络系统中的网络设备进行运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
1.5.3网络设备防护
a)应对登录网络设备的用户进行身份鉴别
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进行身份鉴别
e)身边鉴别信息应具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施
h)应实现设备特权用户的权限分离
第2章主机安全测评
2.1操作系统测评
2.1.1身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别
b)操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
WindowsOS中查看“本地安全策略—账户策略—密码策略”中的相关项目:
1、设置密码历史要求(此设置可确保用户无法复用密码):
24
2、设置密码最长使用期限:
70天
3、设置密码最短使用期限:
2天
4、设置最短密码长度:
8个字符
5、设置密码复杂性要求:
启用
6、启用密码可逆加密:
不启用
LinuxOS:
PASS_MAX_DAYS90
PASS_MIN_DAYS0
PASS_MIN_LEN8
PASS_WARN_AGE7登录密码过期提前7天提示修改
FAIL_DELAY10登录错误时等待时间10秒
FAILLOG_ENABYES登录错误记录到日志
FAILLOG_SU_ENABYES当限定超级用户管理日志时使用
FAILLOG_SG_ENABYES当限定超级用户组管理日志时使用
MD5_CRYPT_ENABYES当使用md5为密码的加密方法时使用
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性
f)应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别
2.1.2访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
访问控制是安全防范和保护的主要策略,它不仅应用与网络层面,同样也适用于主机层面,它的主要任务是保证系统资源不被非法适用和访问,适用访问控制的目的在于通过限制用户对特定资源的访问来保护系统资源。
主要涉及2个方面的内容:
文件系统和默认共享
文件权限:
在windows系统中,重要目录不能对“everyone”账户开放,在权限控制方面,尤其要注意文件权限更改后对于应用系统的影响;
在Linux系统中,应坚持Linux系统主要目录的权限设置情况,对于配置文件权限制不能大于644,对于可执行文件不能大于755。
以root身份登录Linux,使用”Ls-l文件名”查看重要文件和目录权限设置是否合理
默认共享:
WindowsOS的默认共享功能的设计初衷是为了方便网管通过网络对计算机进行远程管理而设的,它的存在依赖于系统服务的“server”。
为保证系统安全性,通常我们可以将其关闭。
LinuxOS通常不存在默认共享
1)在命令模式下输入netshare,查看共享
2)查看注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值是否为“0”(0表示共享开启)
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分离;
d)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
e)应及时删除多余的、过期的账户,避免共享账户的存在
f)应对重要信息资源设置敏感标记;
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作
2.1.3安全审计
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d)应能够根据记录数据进行分析,并生成审计报表;
e)应保护审计进程,避免受到未预期的中断;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等;
2.1.4剩余信息保护
a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;
2.1.5入侵防范
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP,攻击的类型、目的、时间,并在发生严重入侵事件时提供报警;
b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新
2.1.6恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库
c)应支持防恶意代码的统一管理
2.1.7资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据安全策略设置登录终端的操作超时锁定;
c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
d)应限制单个用户对系统资源的最大或最小使用限度;
e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警
2.2数据库系统测评
2.2.1身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
f)应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别
2.2.2访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分离;
d)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
e)应及时删除多余的、过期的账户,避免共享账户的存在;
f)应对重要信息资源设置敏感标记;
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
2.2.3安全审计
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
d)应能根据记录数据进行分析,并生成审计报表;
e)应保护审计进程,避免受到未预期的中断;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等;
2.2.4资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据安全策略设置登录终端的操作超时锁定;
c)应限制单个用户对系统资源的最大或最小使用限度
第3章应用安全测评
3.1身份鉴别
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)应对同一用户采用2种或者2种以上组合的鉴别技术实现用户身份鉴别;
c)应提供用户身份标识唯一和鉴别信息复杂度检测功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查,以及登录失败处理功能,并根据安全策略配置相关参数;
3.2访问控制
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
c)应有授权主体配置访问控制策略,并严格限制默认账户的访问权限;
d)应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
e)应具有对重要信息资源设置敏感标记的功能;
f)应根据安全策略严格控制用户对有敏感标记重要信息资源的操作;
3.3安全审计
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能
3.4剩余信息保护
a)应保证用户鉴别信息所在的存储空间呗释放或再分配给其他用户前被完全清除,无论这些信息是存放在硬盘上还是在内存中;
b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间呗释放或重新分配给其他用户前得到完全清除;
3.5通信完整性
a)应采用密码技术保证通信过程中的数据的完整性;
3.6通信保密性
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
b)应对通信过程中的整个报文或会话过程进行加密;
3.7抗抵赖
a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能;
3.8软件容错
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复;
3.9资源控制
a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方面能够自动结束会话;
b)应能够对系统的最大并发会话连接数进行限制;
c)应能够对单个账户的多重并发会话进行限制;
d)应能够对一个时间段内可能的并发会话连接数进行限制;
e)应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额;
f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源;
第4章数据安全测评
4.1数据完整性
a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
b)应能够检测到系统管理数据、鉴别信息和重
升级会员 