第四章 主机安全测评.ppt

第4章 主机安全测评技术 * 本章要点 从“计算”到“计算安全” 信息安全与信息系统安全 信息安全：回答的是what 信息系统安全：回答的是how 主机安全：是信息系统安全的分支 主机安全：是信息系统安全的“最后一道防线” 穿越时空的畅想 防御体系 主机安全测评的要点 身份鉴别---进大门 低级：口令和密码 高级：数字证书、指纹识别、虹膜识别…… 2. 自主访问控制---进一些重要部门 用户按照自己的意愿对主机的参数做适当修改以决定哪些用户可以访问他的文件。 3. 强制访问控制 用户与文件都有一个事先设置的、非经授权不能修改的安全属性。 4. 安全审计--“做了跑不掉” 包括对主机系统安全日志的保护，对用户行为的记录，以及对主机资源的异常记录等方面。 5.剩余信息保护 主机存储敏感信息的空间被释放给其他用户的时候，原来存储在主机里的重要信息要保证及时清理掉。 6.入侵防范--正在干的要及时发现 包括对入侵行为的记录（攻击的目的地、攻击的时间、攻击者的IP、重要程序是否被破坏以及破坏后是否及时恢复）。 7. 恶意代码防范 主要检查主机是否配备相关的防恶意代码的机制，包括杀毒软件等。 恶意代码：病毒，木马，间谍软件等。 8. 资源控制 用户不能无限制的使用主机资源，也要防止外面的用户非法掠夺这台主机的资源。 主机安全测评的实施 测评对象：“天网”的G2G政府内部办公网络“青天”子系统。 属于巴山市政府的内部办公业务，服务对象时政府各部门的公务员，处理的政府公文很多带有敏感性。 定级为3级。 主机身份鉴别访谈 第3级安全测评要求主机身份鉴别访谈共3项： 应访谈系统管理员，询问操作系统的身份标识与鉴别机制采取何种措施实现。 应访谈数据库管理员，询问数据库的身份标识与鉴别机制采取何种措施实现。 应访谈主要操作系统和数据库管理员是否采用了远程管理，如采用了远程管理，查看采用何种措施防止鉴别信息在网络传输过程中被窃听。 P79 问卷调查 主机安全审计访谈 第3级安全测评要求主机安全审计访谈只有1项： 应访谈安全审计员，询问主机系统是否设置安全审计；询问主机系统对事件进行审计的选择要求和策略是什么？对审计日志的处理方式有哪些？ P79 问卷调查 主机剩余信息保护访谈 第3级安全测评要求主机剩余信息保护访谈共2项： 应访谈系统管理员，询问操作系统用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全清除；系统内的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户前是否得到完全清除。 应访谈数据库管理员，询问数据库管理员用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全清除；数据库记录第3级安全测评要求等资源所在的存储空间，被释放或重新分配给其他用户前是否得到完全清除。 P79 问卷调查 主机入侵防范访谈 第3级安全测评要求主机入侵防范访谈共2项： 应访谈系统管理员，询问是否采取主机入侵防范措施，主机入侵防范内容是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行为检测和完整性检测等方面的内容。 应访谈系统管理员，询问入侵防范产品的厂家、版本和安装部署情况；询问是否按要求（如定期或实时）进行产品升级。 P79 问卷调查 主机恶意代码防范访谈 第3级安全测评要求主机恶意代码防范访谈只有1项： 应访谈系统安全管理员，询问主机系统是否采取恶意代码实时监测与查杀措施，恶意代码实时监测与查杀措施的部署情况如何，是否按要求进行产品升级。 P79 问卷调查 注意 国家标准关于第3级主机安全访谈规定，没有对“自主访问控制”、“强制访问控制”和“资源控制”的访谈要求（第4级以上才会出现）。 访谈 现场检查：对访谈内容进行核实 包括：一是对各个主机所对应的相关文档资料进行检查；二是对各型主机上运用各种操作指令进行现场检查。 抽样检查 主机安全现场检查 1、主机身份鉴别现场检查 第3级安全测评要求主机的身份鉴别现场检查共5项： （1）检查服务器操作系统和数据库管理系统身份鉴别功能是否具有《操作系统安全技术要求》（GB/T 20272-2006）和《数据库管理系统安全技术要求》（GB/T 20273-2006）第二级以上或TCSEC C2级以上的测试报告。 文档检查，检查项目建设的招/投标文件来验证是否达到要求。 （2）检查主要服务器操作系统和数据库系统账户列表，查看管理员用户名分配是否唯一。 检查目标：检查操作系统管理员账户是否唯一 检查对象：“青天”子系统Web服务器 检查步骤： 开始-运行 cmd 命令：net localgroup administrators