等保三级主机安全测评说课.ppt

主机安全测评 湖南金字塔信息科技有限公司 2015.10.12 主讲人：刘杨杨 主机安全简介 主机安全主要包括两个部分：操作系统测评、数据库测评 操作系统测评主要涉及7个方面的内容：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制 数据库测评主要涉及4个方面的内容：身份鉴别、访问控制、安全审计、资源控制 身份鉴别 a.应对登录操作系统和数据库系统的用户进行身份标识和鉴别 描述：只有经过授权的合法用户才能访问操作系统。所谓的用户身份标识和鉴别，就是用户系统以一种安全的方式提交自己的身份证实，然后由系统确认用户身份是否属实。 检查方法：1.询问系统管理员，是否为系统用户设置密码 2.自己登录操作系统，验证是否设置密码 b.操作系统和数据库系统管理用户身份鉴别信息具有不被冒用特点， 口令应有复杂度要求定期更换 描述：猜测密码是系统常遇的攻击方法之一，故控制和监视密码策略是不可缺少的。设置密码的密码历史记录、密码最长与最短使用期限、最短密码长度、密码复杂性要求。 检查方法：Windows操作系统：本地安全策略-帐户策略-密码策略 Linux操作系统：以root身份登录Linux 查看文件内容#more /etc/login.defs c.启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 描述：非法用户能够通过反复的输入密码，达到猜测用户密码的目的。当用户多次输入错误密码后，系统应在一段时间内禁止用户登录 检查方法：Windows系统：本地安全策略-帐户策略-账户锁定策略 Linux操作系统：以root身份登录Linux 查看文件内容#cat /etc/pam.d/system-auth d.对服务器进行远程管理时，应采取措施，防止鉴别信息在网络传输过程中被窃听 描述：为方便管理员管理操作，允许进行远程管理操作。Linux可以使用telnet，Windows使用远程终端服务。但传输数据需要加密处理，保账用户安全。 Windows远程终端服务端口3389，微软在2003 SP1中针对终端服务提供了SSL加密功能。Linux提供远程访问与管理的接口，可使用telnet、SSH远程登录。数据传输中，telnet是明文传输，SSH其传输数据是加密处理过的。 检查方法：Windows操作系统是否2003 SP1或其后版本 查看“终端服务配置连接”是否启用了SSL Linux系统是否开启远程登录，采用的是telnet，还是SSH e.应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 描述：用户管理是操作系统具备的基本功能。用户管理由创建用户和组以及定义它们的属性构成。用户的属性控制它们的访问权、环境、认证的方式，以及何时、何地可以访问。 Windows创建一个新用户时，系统会自动为新用户分配一个全球唯一且不会重复出现的SID（安全标识符）。Windows用户标识是SID，不是用户名。Linux系统中，内核以纯粹的整数，以及UID，作为区分用户的“身份号”，因此UID 检查方法：Windows中SID具有唯一性，故只需检查系统用户是否有 重复。计算机管理-本地用户和组中的用户是否有重复 以root身份进入Linux系统，#cat /etc/passwd,其中UID为0的用户必须只有一个 f.应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别 描述：对于三级以上的操作系统应使用两种或两种以上的组合鉴别技术实现用户身份鉴别，如帐号+密码+key的组合使用等 检查方法：访谈系统管理员，询问系统是否进行加固，除口令以为有无其它身份鉴别方式。 访问控制 a.应启用访问控制功能，依据安全策略控制用户对资源的访问 描述：主要保证系统资源不被非法使用与访问，使用访问控制的目的在于通过限制用户对特定资源的访问。在操作系统中的每一个文件或目录都包含有访问权限，访问权限决定谁能访问和如何访问这些文件和目录。主要涉及两个方面的内容：文件权限和默认共享 在Wi