搜索
1/16目录等级保护政策和相关标准应用部分..............1网络安全测评部分............................3主机安全部分................................5应用测评部分................................8数据库......................................9工具测试...................................14等级保护政策和相关标准应用部分《中华人民共和国计算机信息系统安全保护条例》国务院令147号计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定《国家信息化领导小组关于加强信息安全保障工作的意见》中发办[2003]27号要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系什么是等级保护工作信息安全等级保护工作是一项由信息系统主管部门、运营单位、使用单位、安全产品提供方、安全服务提供方、检测评估机构、信息安全监督管理部门等多方参与,涉及技术与管理两个领域的复杂系统工程等级保护制度的地位和作用是国家信息安全保障工作的基本制度、基本国策是促进信息化、维护国家信息安全的根本保障是开展信息安全工作的基本方法,有效抓手2/16等级保护的主要目的明确重点、突出重点、保护重点优化信息安全资源的配置明确信息安全责任拖动信息安全产业发展公安机关组织开展等级保护工作的依据1.《警察法》规定:警察履行“监督管理计算机信息系统的安全保护工作”的职责2.国务院令147号“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”3.2008年国务院三定方案,公安部新增职能:“监督、检查、指导信息安全等级保护工作”机构公安部网络安全保卫局各省网络警察总队地市网络警察支队区县网络警察大队部分职责制定信息安全政策打击网络违法犯罪互联网安全管理重要信息系统安全监督网络与信息安全信息通报国家信息安全职能部门职责分工公安机关牵头部门,监督、检查、指导信息安全等级保护工作国家保密部门负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护国家密码管理部门:负责等级保护工作中有关密码工作的监督、检查、指导工业和信息化部门:负责等级保护工作中部门间的协调定级备案建设整改测评监督检查《关于信息安全等级保护工作的实施意见》公通字[2004]66号《计算机信息系统安全保护等级划分准则》GB17859-1999简称《划分准则》《信息安全等级保护管理办法》公通字[2007]43号简称《管理办法》《信息系统安全等级保护实施指南》简称《实施指南》《信息系统安全保护等级定级指南》GB/T22240-2008简称《定级指南》3/16《信息系统安全等级保护基本要求》GB/T22239-2008简称《基本要求》《信息系统安全等级保护测评要求》简称《测评要求》《信息系统安全等级保护测评过程指南》简称《测评过程指南》测评主要参照标准信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南等级保护工作中用到的主要标准基础17859实施指南定级环节定级指南整改建设环节基本要求等级测评环节测评要求测评过程指南定级方法PPT61确定定级对象确定业务信息安全受到破坏时所侵害的客体综合评定业务信息系统安全被破坏对客体的侵害程度得到业务信息安全等级确定系统服务安全受到破坏时所侵害的客体综合评定系统服务安全被破坏对客体的侵害程度得到系统服务安全等级网络安全测评部分7个控制点33个要求项4/16结构安全访问控制入侵防范边界完整性检查恶意代码防范设备防护安全审计检查范围理解标准:理解标准中涉及网络部分的每项基本要求明确目的:检查的最终目的是判断该信息系统的网络安全综合防护能力注意事项结构安全7点重要a应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要b应保证网络各个部分的带宽满足业务高峰期需要c应在业务终端与业务服务器之间进行路由控制建立安全的访问路径d应绘制与当前运行情况相符的网络拓扑结构图e应根据各个部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各个子网、网段分配地址段f应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段g应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机访问控制a应在网络边界部署访问控制设备,启用访问控制功能b应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级c应对进出网络的信息内容进行过滤,实现对应用层HTTP80、FTP2021、TELNET23、SMTP25、POP3110等协议命令集的控制(协议需要记忆)d应在会话处于非活跃一定时间或会话结束后终止网络连接e应限制网络最大流量数及网络连接数f重要网段应采取技术手段防止地址欺骗g应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户h应限制具有拨号访问权限的用户数量安全审计4项5/16a应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录b审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息c应能够根据记录进行分析,并生成审计报表d应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等测评步骤1、网络全局性测评结构安全边界完整性检查入侵防范恶意代码防范2、网络设备、安全设备测评访问控制安全审计网络设备防护备份与恢复a应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放b应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地c应采用冗余技术设计网络拓扑结构、避免关键节点存在单点故障d应提供主要网络设备、通信线路和数据处理系统的硬件冗余、保证系统的高可用性3、测评结果汇总整理对全局性检查结果和各单项检查结果进行汇总核对检查结果,记录内容真实有效,勿有遗漏主机安全部分主机安全测评1.主机按照其规模或系统功能来区分,可分为巨型、大型、中型、小型、微型计算机和单片机2.主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现,主机测评则是依据基本要求对主机安全进行符合性检查3.目前运行在主机上流行的操作系统有windowslinuxsun_solarisibm_aixhp_ux测评准备工作很重要1.信息收集6/16服务器的设备名称、型号、所属网络区域、操作系统版本、IP、安装应用软件的名称、主要业务应用、涉及数据、是否热备、重要程度、责任部门信息收集的原则重要!~完整性原则重要性原则安全性原则共享性原则代表性原则2.测评指导书准备根据信息收集的内容、结合主机所属等级、编写测评指导书身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制备份与恢复身份鉴别6项a应对登录操作系统和数据库系统的用户进行身份标识和鉴别b操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令有复杂度要求并要求定期更换c应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施d当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听e为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性f应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别身份鉴别共有6个检查项1.身份的标识2.密码口令的复杂度设置3.登录失败的处理4.远程管理的传输模式5.用户名的唯一性6.身份组合鉴别技术什么是双因子鉴别重要!~个人所知道的信息个人所持有的物品个人的生理特征7/16个人的行为特征访问控制7个检查项1.对系统的访问控制功能2.管理用户的角色分配3.操作系统和数据库系统管理员的权限分离4.默认用户的访问权限5.账户的清理6.重要信息资源的敏感标记设置7.对有敏感标记信息资源的访问和控制安全审计6个检查项1.审计范围2.审计的事件3.审计记录格式4.审计报表得生成5.审计进程保护6.审计记录的保护剩余信息保护2项1.鉴别信息清空2.文件记录等的清空入侵防范3项1.入侵行为的记录和报警2.重要文件的完整性保护3.最小安装原则恶意代码防范1.安装防恶意代码软件2.主机的防恶意代码库和网络防恶意代码库的差别3.防恶意代码软件的统一管理除了安装防病毒软件还有什么能解决重要!~1安全补丁管理平台2防火墙3入侵检测系统4对系统和数据进行尝备份系统资源控制5项8/161.应通过设定终端接入方式、网络地址范围等条件限制终端登录。2.应根据安全策略设置登录终端的-超时锁定3.主机资源监控-应对重要服务器进行监视,包括监视服务器的CPU,硬盘,内存,网络等资源的使用情况4.单个资源利用-应限制单个用户对系统资源的最大或最小使用限度5.系统服务水平监控和报警机制-应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。声光电色备份与恢复1项硬件冗余超级用户的特权划分为一组!~应用测评部分开发商和用户对应用系统安全重视程度不够开发商安全意识普遍淡薄,开发中留有安全漏洞用户普遍对应用安全不重视,系统上线前不把关针对口令的攻击,如口令破解针对WEB的应用的攻击应用测评的特点安全功能和配置检查并重应用测评重不确定因素较多测评范围广,分析较为困难应用测评的方法通过检查查看是否进行了正确的配置如果条件允许,需进行测试双因子很重要!9/16应用测评里安全审计很重要抗抵赖通信完整性数据库身份鉴别数据库管理员是否采取措施保证远程管理数据加密传输双因子在数据库中部署比较困难访问控制ORACLE的检查方法Selectlimitfromdba_profileswhereprofile='DEFAULT'andresouce_name='PASSOWRD_VERIFY_FUNCTION'查看是否启用口令复杂函数。检查utlpwdmms.sql中--checkforthemininumlentghofthepassword部份中length(password)后的值SQL的检查方法Select*fromsysloginswherepasswordisnull查看是否存在空口令帐户数据审计ORACLE的检查方法Slectlimitformdba_profileswhereprofile='DEFAULT'andresource_name='FAILED_LOGIN_ATTEMPTS'查看值是否为unlimited如果值不为该值则说明设置了登录失败尝试次数的限制Slectlimitfromdba_profilewhereprofile='DEFAULT'andresource_name='PASSWORD_LOCK_TIME',查看其值是否为unlimited如果不为则说明设置了口令锁定时间。Selectusername,account_statusfromdba_users询问每个帐户的用途,查看是否存在多余的,过期的帐户Selectusernamefromdba_users检查是否安装ORACLELABLESECURITY模块查看是否创建策略:selectpolicy_name,statusfromDBA_SA_POLICIES查看是否创建级别:select*FROMdba_sa_livelsORDERBYlevel_num查看标签创建情况:select*fromdba_sa_labels查看策略与模式、表的对应关系:select*fromdba_sa_tables_policies判断是否针对重要信息资源设置敏感标签。查看用户的标签:select*fromdba_sa_user_labelsSQL的检查方法Select*fromdba_sa_user_labels安全审计SQL