搜索
第4章主机安全测评技术2020年1月21日星期二本章要点从“计算”到“计算安全”信息安全与信息系统安全•信息安全:回答的是what•信息系统安全:回答的是how•主机安全:是信息系统安全的分支•主机安全:是信息系统安全的“最后一道防线”穿越时空的畅想古代信息安全:阴符、阴书、江湖切口密语、密码现代信息安全:对称加密非对称加密信息隐藏……古代“主机”安全传令兵的口令传令兵的身体……现代主机安全身份鉴别、自主和强制访问控制安全审计、剩余信息保护区、入侵防范、恶意代码防范、资源控制……防御体系主机安全测评的要点1.身份鉴别---进大门低级:口令和密码高级:数字证书、指纹识别、虹膜识别……2.自主访问控制---进一些重要部门用户按照自己的意愿对主机的参数做适当修改以决定哪些用户可以访问他的文件。3.强制访问控制用户与文件都有一个事先设置的、非经授权不能修改的安全属性。4.安全审计--“做了跑不掉”包括对主机系统安全日志的保护,对用户行为的记录,以及对主机资源的异常记录等方面。5.剩余信息保护主机存储敏感信息的空间被释放给其他用户的时候,原来存储在主机里的重要信息要保证及时清理掉。6.入侵防范--正在干的要及时发现包括对入侵行为的记录(攻击的目的地、攻击的时间、攻击者的IP、重要程序是否被破坏以及破坏后是否及时恢复)。7.恶意代码防范主要检查主机是否配备相关的防恶意代码的机制,包括杀毒软件等。恶意代码:病毒,木马,间谍软件等。8.资源控制用户不能无限制的使用主机资源,也要防止外面的用户非法掠夺这台主机的资源。主机安全测评的实施•测评对象:“天网”的G2G政府内部办公网络“青天”子系统。•属于巴山市政府的内部办公业务,服务对象时政府各部门的公务员,处理的政府公文很多带有敏感性。•定级为3级。主机身份鉴别访谈•第3级安全测评要求主机身份鉴别访谈共3项:①应访谈系统管理员,询问操作系统的身份标识与鉴别机制采取何种措施实现。②应访谈数据库管理员,询问数据库的身份标识与鉴别机制采取何种措施实现。③应访谈主要操作系统和数据库管理员是否采用了远程管理,如采用了远程管理,查看采用何种措施防止鉴别信息在网络传输过程中被窃听。P79问卷调查主机安全审计访谈•第3级安全测评要求主机安全审计访谈只有1项:应访谈安全审计员,询问主机系统是否设置安全审计;询问主机系统对事件进行审计的选择要求和策略是什么?对审计日志的处理方式有哪些?P79问卷调查主机剩余信息保护访谈•第3级安全测评要求主机剩余信息保护访谈共2项:①应访谈系统管理员,询问操作系统用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清除;系统内的文件、目录等资源所在的存储空间,被释放或重新分配给其他用户前是否得到完全清除。②应访谈数据库管理员,询问数据库管理员用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清除;数据库记录第3级安全测评要求等资源所在的存储空间,被释放或重新分配给其他用户前是否得到完全清除。P79问卷调查主机入侵防范访谈•第3级安全测评要求主机入侵防范访谈共2项:①应访谈系统管理员,询问是否采取主机入侵防范措施,主机入侵防范内容是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行为检测和完整性检测等方面的内容。②应访谈系统管理员,询问入侵防范产品的厂家、版本和安装部署情况;询问是否按要求(如定期或实时)进行产品升级。P79问卷调查主机恶意代码防范访谈•第3级安全测评要求主机恶意代码防范访谈只有1项:•应访谈系统安全管理员,询问主机系统是否采取恶意代码实时监测与查杀措施,恶意代码实时监测与查杀措施的部署情况如何,是否按要求进行产品升级。•P79问卷调查注意•国家标准关于第3级主机安全访谈规定,没有对“自主访问控制”、“强制访问控制”和“资源控制”的访谈要求(第4级以上才会出现)。•访谈•现场检查:对访谈内容进行核实包括:一是对各个主机所对应的相关文档资料进行检查;二是对各型主机上运用各种操作指令进行现场检查。抽样检查•主机安全现场检查1、主机身份鉴别现场检查•第3级安全测评要求主机的身份鉴别现场检查共5项:(1)检查服务器操作系统和数据库管理系统身份鉴别功能是否具有《操作系统安全技术要求》(GB/T20272-2006)和《数据库管理系统安全技术要求》(GB/T20273-2006)第二级以上或TCSECC2级以上的测试报告。•文档检查,检查项目建设的招/投标文件来验证是否达到要求。•(2)检查主要服务器操作系统和数据库系统账户列表,查看管理员用户名分配是否唯一。•检查目标:检查操作系统管理员账户是否唯一•检查对象:“青天”子系统Web服务器•检查步骤:①开始-运行cmd②命令:netlocalgroupadministrators•检查结论:该web服务器(不)符合国家标准关于第3级主机身份鉴别的安全测评要求。•(3)检查主要服务器操作系统和主要数据库管理系统,查看是否提供了身份鉴别措施,其身份鉴别信息是否具有不易被冒用的特点。•检查:用户输入口令来检查,或让系统管理员提供口令设置文件和口令替换记录等资料来核对。第3级:口令长度至少要达到7个字符以上,并混杂有大小写字母、数字和特殊符号。•口令替换至少每月一次•(4)检查主要服务器操作系统和主要数据库管理系统,查看身份鉴别是否采用两个或两个以上身份鉴别技术的组合技术来进行身份鉴别。•比如:口令、生物识别、物理设备、动态口令。数字证书等二选一。•注意:要核对证书产品是否通过了国家权威机构的测评认证。•(5)检查主要服务器操作系统和主要数据库管理系统,查看是否配置了鉴别失败处理功能,并设置了非法登录次数的限制;查看是否设置网络连接登录超时并自动退出功能。检查目标:查看是否配置了鉴别失败处理功能,并设置了非法登录次数的限制;查看是否设置网络连接登录超时并自动退出功能。检查对象:”青天“子系统内网网站web服务器•检查步骤:①打开”管理工具“-本地安全设置-账户策略-账户锁定策略。②打开”管理工具“-本地安全设置-本地策略-安全选项检查结论:该web服务器(不)符合国家标准关于第3级主机身份鉴别检查的安全策略要求。2、主机自主访问控制现场检查•第3级安全测评要求主机的自主访问控制现场检查项共6项:•(1)检查服务器操作系统和数据库管理系统的自主访问控制功能是否具有《操作系统安全技术要求》(GB/T20272-2006)和《数据库管理系统安全技术要求》(GB/T20273-2006)第2级以上或TCSECC2级以上的测试报告。•(2)检查主要服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等可能被非授权访问者(人或程序)进行了限制。•检查目标:查看是否对重要文件的访问权限进行了限制;对系统不需要的服务是否进行了限制;是否对共享路径进行了限制•检查对象:”青天“子系统内网WEB服务器•检查步骤:①管理工具-计算机管理-共享文件夹-共享②管理工具-服务检查结论:该服务器未对共享资源进行控制,但禁用了不需要的服务,重要文件的访问权限进行了限制。不符合第3级要求。•(3)检查主要服务器操作系统和数据库管理系统的访问控制列表,查看授权的用户中是否存在过期的账号和无用的账号等;访问控制列表中的用户和权限,是否与安全策略相一致。检查目标:查看授权用户是否存在过期账号和无用账号检查对象:”青天“子系统内网网站web服务器•检查步骤:①管理工具-计算机管理-本地用户和组-用户②查看用户权限并与安全策略相对比•(4)检查主要数据库服务器的数据库管理人员与操作系统管理员是否由不同管理员担任。•(5)检查主要服务器操作系统和主要数据库管理系统,查看特权用户的权限是否进行分离;查看是否采用最小授权原则。•(6)查看主要服务器操作系统和主要数据库管理系统,查看匿名/默认用户的访问权限是否被禁用或者严格限制。•检查目标:查看匿名/默认用户的访问权限是否被禁用或者严格限制•检查对象:“青天”子系统内网网站web服务器•检查步骤:①管理工具-本地安全策略-安全选项②“让每个人权限应用与匿名用户”“限制匿名访问命名管道和共享”“允许匿名SID/名称转换”三项禁用检查结论:该服务器符合本条检查要求。3、主机的强制访问控制安全检查•第3级安全测评要求对主机的强制访问控制现场检查共3项,均是检查文档资料。•(1)检查服务器操作系统和数据库管理系统的强制访问控制功能是否具有《操作系统安全技术要求》(GB/T20272-2006)和《数据库管理系统安全技术要求》(GB/T20273-2006)第2级以上或TCSECC2级以上的测试报告。•(2)检查服务器操作系统文档,查看强制访问控制管理模型是否采用“向下读,向上写”模型,如果操作系统采用其他强制访问模型,则操作系统文档中是否有对这种模型的详细分析,并有权威机构对这种强制访问控制模型的合理性和完善性的检查证明。•(3)检查主要服务器操作系统和主要数据库管理系统文档,查看强制访问控制是否与用户身份鉴别、识别等安全功能密切配合,是否控制粒度达到主体为用户级、客体为文件和数据库表级。4、安全审计现场检查•第3级安全测评要求对主机的安全审计现场检查共5项,均可进行手动检查。•(1)检查主要服务器操作系统、主要终端操作系统和主要数据库管理系统,查看当前审计范围是否覆盖到每个用户。•检查目标:检查操作系统,查看当前审计范围是否覆盖到每个用户。•检查对象:“青天”子系统内部邮件服务器•检查步骤:①管理工具-计算机管理-系统工具-事件查看器-系统②管理工具-计算机管理-系统工具-事件查看器-安全性检查结论:该服务器满足主机对用户的安全审计要求•(2)检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统,查看审计策略是否覆盖到系统内重要的安全相关事件。•检查目标:查看操作系统,查看审计策略是否覆盖到系统内重要的安全相关事件。•检查对象:“青天”子系统内部邮件服务器•检查步骤:•管理工具-本地安全设置-本地策略-审核策略•检查结论:该服务器满足第3级安全测评主机对安全审计策略的要求。•(3)检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统,查看审计记录信息是否包括事件发生的日期和事件、触发事件的主体与客体、事件的类型、事件的成功或失败、身份鉴别事件中请求的来源和事件的结果等内容。•检查方式同(1)•(4)检查主要服务器和重要终端操作系统,查看是否授权用户浏览和分析审计数据提供专门的审计工具,并能根据需要生成审计报表。•(5)检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统,查看审计跟踪设置是否定义了审计跟踪极限的阈值,当储存空间被耗尽时,能否采取必要的保护措施。•检查目标:检查操作系统和数据库管理系统,查看审计跟踪设置是否定义了审计跟踪极限的阈值,当储存空间被耗尽时,能否采取必要的保护措施。•检查对象:青天”子系统内部邮件服务器•检查步骤:①管理工具-本地安全设置-本地策略-安全选项②管理工具-计算机管理-系统工具-事件查看器(右键)应用程序-属性检查结论:从测试过程可以看出,当存储空间耗尽不能记录安全审核时,系统会自动采取相应保护措施,但该项已经禁止,因此测试结果不符合安全审计的要求。对审计日志则设置了限制,并对超过限制采取了必要的保护措施,因此这项测试结果符合要求。5、剩余信息保护现场检查•第3级安全测评要求对主机的剩余信息保护现场检查共2项。•(1)检查服务器操作系统和数据库管理系统的神域嘻嘻保护功能是否具有《操作系统安全技术要求》(GB/T20272-2006)和《数据库管理系统安全技术要求》(GB/T20273-2006)第2级以上的测试报告。•(2)检查主要操作系统和主要数据库管理系统维护操作手册,查看是否明确用户的鉴别信息存储空间,被释放或再分配给其他用户前的处理方法和过程;文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前的处理方法和过程。6、主机的入侵防范现场检查•第3级安全测评要求对主机的入侵