安全等级保护技术培训教材_主机部分.ppt

现场测评内容与方法——系统资源控制 b) 根据安全策略设置登录终端的操作超时锁定。 ? 检查方法 ? Windows 1、查看登录终端是否开启了带密码的屏幕保护功能。 2、打开“组策略”，在“计算机配置”、“管理模板”、 “Windows 组件”、“终端服务”、“会话”中，查看在“空 闲会话限制”中，是否配置了空闲的会话（没有客户端活动的会 话）继续留在服务器上的最长时间。 ? Linux 查看/etc/profile中的TIMEOUT环境变量 97 现场测评内容与方法——系统资源控制 c）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内 存、网络等资源的使用情况。 ? 条款理解 对主机的监控除了做到人工监控外，另一个主要方面是自动监 控。目前自动监控的主要方法是设定资源报警阈值，以便在资 源使用超过规定数值时发出报警。 ? 检查方法 1、询问系统管理员是否经常查看主机资源利用情况 2、询问是否有第三方工具实现上述要求 98 现场测评内容与方法——系统资源控制 d) 限制单个用户对系统资源的最大或最小使用限度。 ? 条款理解 一个服务器上可能有很多用户，如果不对每个用户进行限制则 很容易导致DOS攻击等，最终使系统资源耗尽。因此应限制单 个用户的系统资源使用限度。 ? 检查方法 ? 访谈管理员针对系统资源控制的管理措施如： ? Windows可以了解用户磁盘配额的设置 ? Linux可以查看/etc/security/limits.conf相关参数 99 现场测评内容与方法——系统资源控制 查看/etc/security/limits.conf中参数nproc可以设置最大进程数。类似如 下配置： * soft core 0 * hard rss 5000 （所有用户：内存5M） @student hard nproc 20 （student：进程20） @faculty soft nproc 20 #more /etc/security/limits.conf，是否设置了用户进程优先级，priority 参数。 #more /etc/security/limits.conf查看类似如下设置： @student - maxlogins 1 100 现场测评内容与方法——系统资源控制 e）应能够对系统的服务水平降低到预先规定的最小值进行检测和 报警。 ? 条款理解 当系统的服务水平降低到预先规定的最小值时，如磁盘空间不 足，CPU利用率过高，硬件发生故障等等，通过报警机制，将 问题现象发送给相关负责人，及时定位引起问题的原因和对异 常情况进行处理，从而避免故障的发生或将影响减少到最低。 ? 检查方法 1、询问管理员日常如何监控系统服务水平。 2、若有第三方监控程序，询问并查看它是否有相关功能。 101 现场测评内容与方法——系统资源控制 ? 小结 ? 在三级系统中，系统资源控制共有5个检查项， 分别是接入控制、超时锁定、主机资源监控、单 个资源利用、系统服务水平监控和报警机制。 102 现场测评内容与方法 身份鉴别 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 系统资源控制 备份与恢复 103 现场测评内容与方法——备份与恢复 d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余， 保证系统的高可用性。 ? 条款理解 对于可用性要求较高的信息系统来说，仅仅进行数据备份是远 远不够的，还必须进行系统备份。系统备份策略包括本地和远 程两种方式。其中，本地备份主要使用容错技术和冗余配置来 应对硬件故障；远程备份主要用于应对灾难事件，有热站和冷 站两种选择。 104 现场测评内容与方法——备份与恢复 d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余， 保证系统的高可用性。 ? 检查方法 访谈是否有备份机制，查看备份功能的实现方式可以，参考以 下备份方式： 1、本地备份、本地保存的冷备份 2、本地备份、异地保存的冷备份 3、本地热备份站点备份 4、异地活动互援备份 105 现场测评内容与方法——备份与恢复 ? 小结 ? 在三级系统中，备份与恢复共有1个检查项，是 硬件冗余。 106 目录 1. 前言 2. 测评准备工作 3. 现场测评内容与方法 4. 总结 107 总结 谢 谢！ 108 现场测评内容与方法——安全审计 f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 ? 条款理解 非法用户进入系统后的第一件事情就是去清理系统日志和审计 日志，而发现入侵的最简单最直接的方法就是去看系统纪录和 安全审计文件。因此，必须对审计记录进行安全保护，避免受 到未预期的删除、修改或覆盖等。 64 现场测评