等保考试初级知识.pdf

该【等保考试初级知识 】是由【小屁孩】上传分享，文档一共【33】页，该文档可以免费在线阅读，需要了解更多关于【等保考试初级知识 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..等级保护(初级技术)安全测试学****笔记第一章:网络安全测评:标准概述:测评过程中重点依据:《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》来进行。基本要求中网络安全的控制点与要求项各级分布为:级别控制点要求项第一级39第二级618第三级733第四级732等级保护基本要求三级网络安全方面涵盖哪些内容?共包含7个控制点33个要求项,涉及到网络安全中的结构安全、安全审计、边界完整性检查、入侵防范、恶意代码防范、访问控制、设备防护等方面。检查范围:理解标准、明确目的、分阶段进行、确定检查范围,细化检查项、注意事项:1、考虑设备的重要程度可以采用抽取的方式。2、不能出现遗漏、避免出现脆弱点。3、最终需要在测评方案中与用户明确检查范围-网络设备,安全设备列表。检查内容以等级保护基本要求三级为例,安全基本要求7个控制点33个要求项进行检查:1、结构安全2、访问控制3、安全审计4、边界完整性检查5、入侵防范6、恶意代码防范7、网络设备防护条款理解:(一)结构安全:是网络安全测评检查的重点,网络结构是否合理直接管理到信息系统的整体安全。1、应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。条款理解:为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余空间。2、应保证网络各个部分的带宽满足业务高峰期需要。对网络各个部分进行分配带宽,从而保证在业务高峰期业务服务的连续性。3、应在业务终端与业务服务器之间进行路由控制建立安全的访问路径:静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够自动地建立自己的路由表。路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议。如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。:..4、应绘制与当前运行情况相符的网络结构图:为了便于网络管理,应绘制与当前运行情况相符的网络拓扑结构图,当网络拓扑结构发生改变时,应及时更新5、应根据各个部门的工作职能,重要性和所设计信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网,网段分配地址段:根据实际情况和区域安全防护要求,应在要求的网络设备上进行VLAN划分或子网划分不同VLAN内的报分再传输时是相互隔离的,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备设备实现6、应避免将重要网段部署在网络边界处且直接连接到外部信息系统,重要网段与其他网段之间可采取可靠的技术隔离手段:为了保证信息系统的安全,应避免将重要的网段部署在网络边界处且连接外部信息系统,防止来自外部信息系统的攻击在重要的网段和其它网段之间配置安全侧略进行访问控制7、应按照对业务服务的重要次序来指定带块分配优先级别,保证在网络发生拥堵的时候优先保护重要主机:为了保证重要业务的连续性,应按照业务服务的重要次序来指定带宽分配优先级别,从而保证在网络发生拥堵的时候优先保护重要主机(二)访问控制:访问控制是网络测评检查中的核心部分,涉及到大部分网络设备,安全设备。8、应在网络边界处部署访问控制设备,启用访问控制功能:在网络边界部署访问控制设备防御来自其它网络的攻击,保护内部网络的安全9、应能根据会话状态信息为数据流提供明确的允许、拒绝访问的能力控制粒度为端口级:在网络边界部署访问控制设备对进出网络的流量进行过滤,保护内部网络的安全配置的访问控制列表应有明确的源/目的地址,源/目的协议及服务等10、应对进出网络的信息内容进行过滤,实线对应用层HTTP、FTP、、SMTP、POP3等协议命令级的控制:对于一些常用的应用层协议,能够在访问控制设备上实现应用层协议命令的控制和内容检查,从而增强访问控制粒度11、应在会话处于非活跃一定时间或会话结束后终止网络连接:当恶意用户进行网络攻击时,有时会建立大量的会话连接,建立会话后长时间保持保持状态连接从而占用大量的网络资源,最终将网络资源耗尽应在会话终止或长时间无响应的情况下终止网络连接,释放被占用的网络资源,保证业务可以被正常访问12、应限制网络最大流量数及网络连接数:可根据IP地址,端口,协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务:..13、重要网段应采取技术手段防止地址欺骗:地址欺骗在网络安全中是比较重要的一个问题,这里的地址可以是MAC地址也可以是IP地址,在关键设备上采用IP/MAC地址绑定的方式防止地址欺骗14、应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户:对于远程拨号用户,应在相关设备上提供用户认证功能通过配置用户,用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控制资源15、应限制具有拨号访问权限的用户数量:应限制通过远程拨号方式或通过其他方式接入系统内部的用户数量(三)安全审计:安全审计要对相关时间进行日志记录,还要求对形成的记录能够分析,形成报表。16、应对网络系统中的网络设备运行状态,网络流量,用户行为等进行日志记录:为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录,需要启用系统日志功能,系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器17、审计记录应包括:事件的日期和时间,用户,事件类型,事件是否成功及其他与审计相关的信息:日志审计需要记录时间、类型、用户、时间、事件是否成功等相关信息18、应能够根据记录数据进行分析,并生成审计报表:为了便于管理员能够及时准确地了解设备运行状况和发现网络入侵行为,需要对审计记录数据进行分析和生成报表19、应对审计记录进行保护,避免受到未预期的删除,修改和或覆盖等:审计记录能够帮助管理人员及时发现运行状况和网络攻击行为,因此需要对审计记录实施技术上和管理上得保护,防止为授权修改、删除和破坏(四)边界完整性检查:边界完整性检查主要检查全网中对网络的连接状态进行监控,发现非法接入,非法外联时能够准确定位并及时报警和阻断。20、应能够对非授权设备私自联入内部网络的行为进行检查,准确定出位置,并对其进行有效阻断:可以采用技术手段和管理措施对“非法接入”行为进行检查,技术手段包括网络接入控制,IP/MAC地址绑定21、应能够对内部网络用户私自联到外部网络的行为进行检查、准确定出位置、并对其进行有效阻断:可以采用技术手段和管理措施对“非法外联”行为进行检查。技术手段可以采取部署桌面管理系统或其他技术实施控制:..(五)入侵防范:对入侵时间不仅能够检测,并能发出警报,对于近亲防御系统要求定期更新特征库,发现入侵后能够警报并阻断:22、应在网络边界处监视以下攻击行为:端口扫描,强力攻击,木马***攻击,拒绝服务攻击,缓冲区溢出,IP碎片攻击和网络蠕虫攻击等:要维护系统安全,必须在网络边界处对常见的网络攻击行为进行监视,以便及时发现攻击行为23、当检测到攻击行为时,记录攻击源IP,攻击类型,攻击目的,攻击时间,在发生严重入侵事件时提供报警:当检测到攻击行为时,应对攻击信息进行日志记录,在发生严重入侵事件时应能通过短信、邮件等向有关人员报警(六)恶意代码防护:恶意代码防范是综合性的多层次的,在网络边界处需要对恶意代码进行防范。24、应在网络边界处对恶意代码进行检测和清除:计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要,在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法25、应维护恶意代码的升级和检测系统的更新:、恶意代码具有特征变化快,特征变化多的特点,因此对于恶意代码检测重要的特征库更新,以及监测系统自身的更新都非常重要(七)网络设备防护:网络设备的防护主要是对用户登录前后的行为进行控制,对网络设备的权限进行管理。26、应对登录网络设备的用户进行身份鉴别:对于网络设备,可以采用CON、AUX、VTY等方式登录对于安全设备,可以采用WEB、GUI、命令行等方式登录27、应对网络设备的管理员登录地址进行限制:为了保证安全,需要对访问网络设备的登录地址进行限制,避免未授权的访问28、网络设备用户的标识应唯一:不允许在网络设备上配置用户名相同的用户,要防止公用一个账户,实行分账户管理,每名管理员设置一个单独的账户,避免出现问题后不能及时进行检查29、主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别:采用双因子鉴别是防止身份欺骗的有效方法,双因子鉴别不仅要求访问者知道一些鉴别信息,还需要访问者拥有鉴别特征,例如采用令牌、智能卡等30、身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换:为避免身份身份鉴别信息被冒用,可以通过采用令牌、认证服务器等措施,加强身份鉴别信息的保护,如果仅仅基于口令的身份鉴别,应当保证口令复杂度和定期更改的要求31、应具有登录失败处理功能,可采取结束会话,限制非法登录次数和当网络登录连接:..超时自动退出等措施:应对登录失败进行处理,避免系统遭受恶意的攻击32、当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听:对网络设备进行管理时,应采用SSH、HTTPS等加密协议,防止鉴别信息被窃听33、应实现设备特权用户的权限分离:应根据实际需要为用户分配其完成任务的最小权限现场测评网络安全的步骤:1、网络全局性测评2、网络设备,安全设备测评3、测评结果汇总整理(一)网络全局性测评1、结构安全2、边界完整性检查3、入侵防范4、恶意代码防范(二)网络设备,安全设备测评1、访问控制2、安全审计3、网络设备防护4、备份与恢复条款理解:1、应提供本地数据备份与恢复功能、完全数据备份至少每天一次、备份介质场外存放:、应制定完备的设备配置数据备份与恢复策略,定期对设备策略进行备份,并且备份介质要场外存放应能对路由器配置进行维护,可以方便地进行诸如查看保存配置和运行配置,上传和下载系统配置文件(即一次性导入和导出系统所有配置)等维护操作,还可以恢复出厂默认配置,以方便用户重新配置设备2、应提供异地数据备份功能、利用通信网络将关键数据定时批量传送至备用场地:此处提出的数据是指路由策略配置文件,可以通过采用数据同步方式,将路由器的策略文件备份到异地的服务器上3、应采用冗余技术设计网络拓扑结构、避免关键节点存在单点故障:为了避免网络设备或线路出现故障时引起数据通信中断,应为关键设备提供双机热备功能,以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性4、应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性:为了避免网络设备或线路出现故障时引起数据通信中断,应为关键设备提供双机热备功能,以确保在通信线路或设备故障时提供备用方案,有效增强网络的可靠性5、测评结果汇总整理:..对全局性检查结果和各单项检查结果进行汇总核对检查结果,记录内容真实有效,勿有遗漏第二章:主机安全测评:Windows十大安全隐患Web服务器和服务工作站服务Windows远程访问服务微软SQL服务器Windows认证Web浏览器文件共享LSASSExposures电子邮件客户端即时信息Unix十大安全隐患BIND域名系统Web服务器认证版本控制系统电子邮件传输服务简单网络管理协议开放安全连接通讯层企业服务NIS/NFS配置不当数据库内核主机的相关知识点:1、主机按照其规模或系统功能来区分,可分为巨型,大型,中型,小型,微型计算机和单片机。2、主机安全是由操作系统自身的安全配置,相关安全软件以及第三方安全设备等来实现,主机测评则是依据基本要求对主机安全进行符合性检查。3、目前运行在主机上的主流的操作系统有windows,linux,sunsolaris,ibmaix,hp-ux等等。测评对象主机上各种类型的操作系统操作系统级别Linux/wareC2级MSWinNT/2000C2级SalorisC2级DOS/Win9xD级基本要求中主机各级别的控制点和要求项对比:..不同级别系统控制点的差异层面一级二级三级四级主机安全4679不同级别系统要求项的差异层面一级二级三级四级主机安全6193236熟悉操作系统自带的管理工具WindowsComputermanagementMicrosoftmanagementconsole(mmc)RegistryeditorCommandpromptLinux常用命令:cat、more、ls等具备查看功能的命令检查流程:1、现场测评准备2、现场测评和记录结果3、结果确认和资料归还测评准备工作:1、信息收集:服务器设备名称,型号,所属网络区域,操作系统版本,IP地址,安全应用软件名称,主要业务应有,涉及数据,是否热备,重要程度,责任部门……2、测评指导书准备:根据信息收集的内容,结合主机所属等级,编写测评指导书。注意:测评方法,步骤一定要明确,清晰。现场测评内容与方法:(一)身份鉴别(二)访问控制(三)安全审计(四)剩余信息保护(五)入侵防御(六)恶意代码防范(七)系统资源控制(八)备份与恢复(一)身份鉴别:1、应对登录操作系统和数据库系统的用户进行身份标识和鉴别。用户的身份标识和鉴别,就是用户向系统以一种安全的方式提交自己身份证实,然后由系统确认用户的身份是否属实的过程2、操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。要求系统应具有一定的密码策略,如设置密码历史记录、设置密码最长使用期限、设置密码:..最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密3、应启用登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出等措施。要求系统应具有一定的登录控制功能,可以通过适当的配置“账户锁定策略”来对用户的登录进行限制,如账户锁定阀值,账户锁定时间等4、当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。为方便管理员进行管理操作,从多服务器采用了网络登录的方式进行远程管理操作,例如登录,Windows使用远程终端服务,基本要求规定了这些传输的数据需要进行加密处理过,目的是为了保障账户与口令的安全5、为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性。对于操作系统来说,用户管理是操作系统应具备的基本功能,用户管理由创建用户和组以及定义它们的属性构成,用户的一个主要属性是如何对他们进行认证,用户是系统的主要代理,其属性控制他们的访问权,环境,如何对他们进行认证以及如何、何时、在哪里可以访问他们的账户,因此,用户标识的唯一性至关重要,如果系统允许用户名相同,而UID不同,其唯一性标识为UID,如果系统允许UID相同,而用户名不同,其唯一性标识为用户名小结:在三级系统中,身份鉴别公有6个检查项,分别是身份的标识、密码口令的复杂度设置、登录失败的处理、远程管理的传输模式、用户名的唯一性以及身份组合鉴别技术(二)访问控制:6、应启用访问控制功能,依据安全策略控制用户对资源的访问。访问控制是安全防范和保护的主要策略,它不仅应用于网络层面,同样也适用于主机层面,它的主要任务是保证系统资源不被非法使用和访问,使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源,对于本项而言,主要涉及到两个方面的内容,分别是:文件权限和默认共享7、应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。根据管理用户的角色对权限做出标准细致的划分,有利于各岗位细致协调的工作,同时对授权模块进行一些授权管理,并且系统的授权安全管理工作要做到细致,仅授予管理用户所需的最小权限,避免出现权限漏洞是一些高级用户拥有过大的权限8、应实现操作系统和数据库特权用户的权限分离。操作系统特权用户可能拥有以下一些权限:安装和配置系统的硬件和软件、建立和管理用户账户、升级软件、备份和恢复等业务,从而保证操作系统的可用性、完整性和安全性,数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理,从而保证数据库系统的可用性、完整性和安全性。将操作系统和数据库系统特权用户的权限分离,能够避免一些特权用户拥有过大的权限以及减少一些认为的误操作,做到了职责明确9、应严格限制默认账户的访问权限,重命名系统默认账户,并修改这些账户的默认口令。:..对于系统默认的用户名,由于它们的某些权限与实际系统的要求可能存在差异,从而造成安全隐患,因此这些默认用户名应禁用,对于匿名用户的访问原则上是禁止的,查看服务器操作系统,确认匿名/默认用户的访问权限已被禁用或者严格限制。依据服务器操作系统访问控制的安全策略,以为授权用户身份/角色测试访问客体,是否不允许进行访问10、应及时删除多余的,过期的账户,避免共享账户的存在。对于系统默认的用户名,由于他们的某些权限与实际系统的要求可能存在差异,从而造成安全隐患,因此这些默认用户名应禁用。对于匿名用户的访问,原则上是禁止的,查看服务器操作系统,确认匿名/默认用户的访问权限已被禁止或严格限制。依据服务器操作系统、访问控制的安全策略,以未授权用户身份/角色测试访问客体,是否不允许进行访问11、应对重新信息资源设置敏感标记。12、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。敏感标记是强制访问控制的依据,主客体都有,它存在的形式无所谓,可能是整形的数字,也可能是字母,总之它表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的,通过对重要信息资源设置敏感标记,决定主体以何种权限对客体进行操作,实现强制访问控制。小结:在三级系统中,访问控制公有7个检查项,分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离,默认用户的访问权限,账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制(三)安全审计:13、安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。安全审计定义是保障计算机系统本地安全和网络安全的重要技术,通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此覆盖范围必须要到每个操作系统用户和数据库用户14、审计内容应包括重要用户行为,系统资源的一场使用和重要系统命令的使用等系统内重要的安全相关事件。有效合理的配置安全审计内容,能够及时准确的了解和判断安全事件的内容和性质,并且可以极大的节省系统资源15、审计记录包括事件的日期,时间,类型,主体标识,客体标识和结果等。审计记录是指跟踪指定数据库的使用状态产生的信息,它应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。通过记录中得详细信息,能够帮助管理员或其他相关检查人员准确的分析和定位事件16、应保护审计进程,避免受到未预期的中断。保护好审计进程,当避免当时间发生时,能够及时记录时间发生的详细内容:..17、应保护审计记录,避免受到未预期的删除,修改或覆盖等。非法用户进入系统后的第一件事情就是去清理系统日志和审计日志,而发现入侵的最简单最直接的方法就是去看系统记录和安全审计文件,因此,必须对审计记录进行安全保护,避免受到未预期的删除、修改或覆盖等。小结:在三级系统中,安全审计共有6个检查项,分别是审计范围、审计的事件、审计记录格式、审计报表得生成、审计进程保护和审计记录的保护(四)剩余信息保护:18、应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。剩余信息保护是指操作系统用户的鉴别信息存储空间,被释放或再分配给其他用户前是否得到完全清楚19、应确保系统的文件,目录和数据库记录等资源所在的储存空间,被释放或重新分配给其他用户前得到完全清除。由于主存于辅存价格和性能的差异,现代操作系统普遍采用辅存作为缓存,对于缓存使用的安全问题也尤其重要小结在三级系统中,剩余信息保护共有2个检查项,分别是鉴别信息清空、文件记录等得清空(五)入侵防范:20、应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP,攻击的类型,攻击的目的,攻击的时间,并在发生严重入侵事件时提供报警。要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件21、应能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。对系统重要文件备份或者对整个系统进行全备,有利于当系统遭受到破坏后能够得到及时恢复22、操作系统遵循最小安装的原则,仅安装需要的组建和应用程序,并通过设置更新服务器等方式保持系统补丁及时得到更新。对于本项而言,主要涉及到两个方面的内容,分别是:系统服务、补丁升级。遵循最小安装原则,仅开启需要的服务,安装需要的组件和程序,可以极大地降低系统遭受攻击的可能性。:..及时更新系统补丁,可以避免遭受由系统漏洞带来的风险小结:在三级系统中,入侵防范公有3个检查项,分别是入侵行为的记录和报警、重要文件的完整性保护、最小安装原则(六)恶意代码防范:23、应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。无论是Windows主机还是Linux主机,都面临着木马,蠕虫等病毒软件的破坏。因此一般的主机为防范病毒均会安装防病毒软件,如NortonAnti-Virus、金山毒霸等,并且通常也能及时更新病毒库24、主机防恶意代码产品应具有与网络防恶意代码产品不通的恶意代码库。基于网络和基于主机的防病毒软件在系统上应构成立体的防护结构,属于深层防御的一部分。因此基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同25、应支持恶意代码方法的统一管理。一个机构的病毒管理应满足木桶原理,只有当所有主机都及时更新了病毒库才能够做到防止病毒的入侵。因此应有同意的病毒管理策略,例如统一更新,定时查杀等小结:在三级系统中,恶意代码防范共有3个检查项,分别是安装防恶意代码软件,主机的防恶意代码库和网络防恶意代码库的差别,防恶意代码软件统一管理(七)系统资源控制:26、应通过设置终端接入方式,网络地址范围等条件限制终端登录。系统资源概念是指CPU、存储空间、传输带快等软硬件资源,通过设定终端接入方式、网络地址范围等条件限制终端登录,可以极大的节省系统资源,保证了系统的可用性,同时也提高了系统的安全性,对于Windows系统自身来说,可以通过主机防火墙或TCP/IP筛选来实现以上功能27、根据安全策略设置登录终端的操作超时锁定。如果系统管理员在离开系统之前忘记注销管理员账户,那么可能存在被恶意用户利用或被其他非授权用户误用的可能性,从而对系统带来不可控制的安全隐患28、应对重要服务器进行监视,包括监视服务器的CPU,硬盘,内存,网络等资源的使用情况。对主机的监控出了做到人工监控外,另一个主要方面是自动监控,目前自动监控的主要方法:..是设定资源报警阀值,以便在资源使用超过规定数值时发出报警29、限制单个用户对紫铜资源的最大或最小使用限度。一个服务器上可能有多用户,如果不对每个用户进行限制则很容易导致DDOS攻击,最终使系统资源耗尽,因此应限制单个用户的系统资源使用限度30、应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。当系统的服务水平降低到预先规定的最小值时,如磁盘空间不足、CPU利用率过高、硬件发生故障等,通过报警机制,将问题现象发送给相关负责人,及时定位引起问题的原因和对异常情况进行处理,从而避免故障的发生或将影响减到到最低小结:在三级系统中,系统资源控制共有5个检查项,分别是接入控制,超时锁定,主机资源监控,单个资源利用,系统服务水平监控和报警机制(八)备份与恢复:31、应提供主要网络设备,通信线路和数据处理系统的硬件冗余,保证系统的高可用性。对于可用性要求较高的信息系统来说,仅仅进行数据备份是远远不够的,还必须进行系统备份。系统备份策略包括本地和远程两种方式,其中,本地备份主要使用容错技术和冗余配置来应对硬件故障;远程备份主要用于应对灾难事件,有热站和冷站两种选择小结:在三级系统中,备份与恢复公有1个检查项,是否硬件冗余第三章:应用安全测评:应用安全的形势:1、如今,越来越多的企业用户已将核心业务系统转移到网络上,WEB浏览器成为业务系统的窗口,应用系统面临更多的安全威胁;并且由于各种原因使得其存在较多的安全漏洞。在此背景下,如果保障企业的应用安全,尤其是WEB应用安全成为新形势下信息安全保障的关键所在。2、针对应用系统的攻击手段越来越多:1、常见的攻击手段。如口令破解,信息窃听,绕过访问控制,***攻击等。2、针对WEB应用的攻击,如跨站脚本攻击,SQL注入,缓冲区溢出,拒绝服务攻击等。应用测评的特点:(一)测评范围较广1、和数据库,操作系统等成熟产品不同,应用系统现场测评除检查安全配置外,还需验证其安全是否正确。:..(二)测评中不确定因素较多,测评较为困难1、需根据业务和数据流程确定测评重点和范围。2、应用系统安全漏洞发现困难,很难清楚代码级的安全隐患。(三)测评结果分析较为困难1、应用系统与平台软件,如WEB平台,操作系统,数据库系统,网络等都存在关联关系。应用测评的方法:(一)通过访谈,了解安全措施的实施情况:1、和其他成熟产品不通,应用系统只有在充分了解其部署情况和业务流程后,才明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁,有针对性的进行测评。(二)通过检查,查看是否进行了正确的配置:1、有的安全功能(如口令长度限制,错误登录尝试次数等)需要在应用系统上进行配置,则查看其是否进行了正确的配置,与安全策略是否一致。2、无需进行配置的,则应查看其部署情况是否与访谈一致。(三)如果条件允许,需进行测试:1、可通过测试验证安全功能是否正确,配置是否生效。2、代码级的安全漏洞在现场查验比较困难,则可进行***和渗透测评,如果条件允许,则可进行代码白盒测试。主要测评内容:(一)身份鉴别:1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别;2、应对同一用户采用两种或两种以上组合的鉴别技术实现用户神别鉴别;3、应提供用户标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别星系不易被冒用。4、应提供登录失败处理功能,可采取结束会话,限制非法登录次数和自动退出等措施;5、应启用身份鉴别,用户身份标识唯一性检查,用户身份鉴别信息复杂度以及登录失败处理功能,并根据安全策略配置相关参数。三级或三级以上系统要求必须提供两种(两次口令鉴别不属于两种鉴别技术)或两种以上组合的鉴别技术进行身份鉴别,在身份鉴别强度上有了更大的提高(二)访问控制:6、应提供访问控制功能,依据安全策略控制用户对文件,数据库表等客体的访问;7、访问控制的覆盖范围应包括与资源访问相关的主体,客体及它们之间的操作;8、应由授权主体配置访问控制策略,并严格限制默认账户的访问权限;9、应授予不同账户为完成各自承担任务所属的最小权限,并在它们之间形成相互制约的关系。10、应具有对重要信息资源设置敏感标记的功能。11、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(如三权分离、管理、审计和操作权限),并利用敏感标记控制用户对重要信息资源的操作。(三)安全审计:12、应提供覆盖到每个用户的安全审计功能,对应系统重要安全事件进行审计;:..13、应保证无法单独中断审计进行,无法删除,修改或覆盖审计记录;14、审计记录的内容至少应包括事件的日期,时间,发起者信息,类型,描述和结果等;15、应提供对审计记录数据进行统计,查询,分析及生成审计报表的功能。三级系统强调对每个用户的重要操作进行审计,重要操作一般包括登录/退出、改变访问控制策略、增加/删除用户、改变用户权限和增加/删除/查询数据等(四)剩余信息保护:16、应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放