信息安全等级测评师考试重点梳理(二）

访问控制（S3）（操作系统测评、数据库系统测评）

a)   应启用访问控制功能，依据安全策略控制用户对资源的访问；

b)   应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；（2）

c)   应实现操作系统和数据库系统特权用户的权限分离；（3）

d)   应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；

e)   应及时删除多余的、过期的帐户，避免共享帐户的存在。

f)   应对重要信息资源设置敏感标记；（4）

g)   应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；

注释：

1 ） 访问控制是安全防范和保护的主要策略，它不仅仅用于网络层面，同样也适用于主机层面。它的主

     要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的

     访问，来保护系统资源。在操作系统中的每一个文件和目录都包含有访问权限，这些访问权限决定

     了谁能访问和如何访问这些文件和目录。对于linux中的一些重要文件，应检查linux系统主要的权

    限设置情况，对于配置文件权限值不能大于644，对于可执行文件不能大于755.

    以root身份登录进入linux，使用命令：ls -l文件名，查看重要文件和目录权限设置是否合理，如：

    #ls -l/etc/passwd #744

   查看共享情况，在命令行模式下输入net share查看注册表：

  HKEY-LOCAL-MACHINESYSTEMCurrentControlSetControllsarestrictanonymous值是否为0（0

   表示共享）

2 ）根据管理用户的角色对权限做出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块

   进行一些授权管理，并且系统的授权安全管理工作要做到细致，今授予管理用户所需的最小权限，避

   免出现权限的漏洞，使一些高级用户拥有过大的权限。

3 ）操作系统特权用户可以拥有以下权限：安装和配置系统的硬件和软件、建立和管理用户账户、升级

    软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。

   数据库系统特权用户对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库

   系统的可用性、完整性安全性。

   将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些

     认为的误操作，做到职责分明。

4 ）敏感标记：是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也肯能

   是字母，他表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资

   源设置敏感标记，决定主体以何种权限为客体进行操作，实现强制访问控制。

数据库

   Sql中查看是否存在多余过期的账户：select from syslogins

   oracle中查看是否存在多余过期的账户：selectusername，account-status from dba-users

   查看是否安装oraclelabel security模块：select username from dba-users

   查看是否创建策略：select policy_name，status from DBA-SA-POLICIES

   查看是否创建级别：select * from dba-sa-levels orderby lever-num

   查看标签创建情况：select *from dba-sa-label

   查看策略与模式、表的对应关系：select *from dba-sa-tabel-policies；判断是否针对重要信息资

   源设置敏感标签。

                                             

安全审计（G3）（操作系统测评、数据库系统测评）

a)   审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；（1）

b)   审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；（2）

c)   审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

d)   应能够根据记录数据进行分析，并生成审计报表；

e)   应保护审计进程，避免受到未预期的中断；（4）

f)   应保护审计记录，避免受到未预期的删除、修改或覆盖等。（5）

注释：

1）以root身份登录进入Linux，查看服务进程：系统日志服务#service syslog status

   #service audit status或 #service-status-all|grep auditd

2 ）在linux中/etc/audit/audit.conf文件制定如何写入审查记录以及在那里写入、日志超出可用磁盘

    空间后如何处理等内容。/etc/audit/filesets.conf和/etc/audit/filters.conf指定内核用来判定

    系统调用是否要审查的规则。

3 ）在linux操作系统中，使用aucat和augrep工具查看审计日志：

    #aucat|tail-100  #查看最近的100条审计记录；

    #augrep -e TEXT -U AUTH-success  #查看所有成功PAM授权。

  4 )在Linux中，Auditd是审计守护进程，syslogd是日志守护进程，保护好审计进程当事件发生时，能

     及时记录事件发生的详细内容。

  5 ）非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的

     方法就是去看系统记录和安全审计文件。

数据库

Oracle 查看是否开启审计功能：selectvalue from v$paramater where name='audit-trail'或

                             Show parmeteraudit-trail

查看是否对所有sys用户的操作进行了记录：show parameter audit-sys-operation

查看是否对 sel，upd，del ins操作进行了审计：selectsel，upd，del ins from dba-obj-audit-opts

查看审计是否设置成功：select* from dba-stmt-audit-opts

查看权限审计选项：select* from dba-priv-audit-opts

 

剩余信息保护（S3）（操作系统测评）

a)   应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；

b)   应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

 

入侵防范（G3）（操作系统测评）

a)   应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；

b)   应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；

c)   操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。（涉及的两个方面系统服务和监听端口，补丁升级，对多余的系统服务可以禁用或卸载）

注释：

  1 ）入侵威胁分为：外部渗透、内部渗透和不法行为。

      入侵行为分为：物理入侵、系统入侵和远程入侵。

      造成入侵威胁的入侵行为主要是系统入侵和远程入侵两种。

      系统入侵指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。（如果系统没有及时更新最

      近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理权限）

      远程入侵指入侵者通过网络渗透到一个系统中，这种情况下，入侵者通常不具备任何特殊权限，他

      们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。

  2 ）查看入侵的重要线索的命令：#more/var/log/secure|greprefused

      查看是否启用了主机防火墙、RCP SYN保护机制等设置的命令：

      find/-name<daemon name>-print   检查是否安装了一下主机入侵检测软件。

  3 ) 监听端口的命令： netstat -an

      确认系统目前正在运行的服务：#service-status-all|grep running

      查看补丁安装情况的命令：#rpm-qa|grep patch

 

恶意代码防范（G3）（操作系统测评）

a)   应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；

b)   主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；

c)   应支持防恶意代码的统一管理。（统一更新，定时查杀）

 

资源控制（A3）（操作系统测评、数据库系统测评a、b、d）

a)   应通过设定终端接入方式、网络地址范围等条件限制终端登录；（1）

b)   应根据安全策略设置登录终端的操作超时锁定；（2）

c)   应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；

d)   应限制单个用户对系统资源的最大或最小使用限度；

e)   应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。（3）

注释：

 1 ）系统资源是指CPU、存储空间、传输带宽等软硬件资源。

     应通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大地节省系统资源，保证了

     系统的可用性，同时也提高了系统的安全性。

    Windows系统可以通过主机防火墙或TCP/IP筛选来实现以上功能，在linux系统中存在

    /etc/hosts.allow和/etc/hosts.deny两个文件，它们是tcpd服务器的配置文件，tcpd服务器可以控

    制外部IP对本机服务的访问。其中/etc/hosts.allow控制可以访问本机的IP,/etc/hosts.deny控制

    禁止访问本机的IP，如果两个文件的配置有冲突，以/etc/hosts.deny为准。

2 ）若是通过远程终端进行连接windows服务器系统，可以通过设置超时连接来限制终端操作超时；

    若是本地登录，则通过开启带有密码功能屏幕保护。

3 ）如磁盘空间不足、CPU利用率过高、硬件发生故障等，通过报警机制，将问题现象发送给相关负责人，

   及时定位引起问题的原因和对异常情况进行处理，从而避免故障的发生或将影响减小到最低。

数据库

Sql查看是否设置了超时时间:在查询分析器中执行命令sp-configure'remote login timeout(s)'

  Oracle查看空闲超时设置：select limit from  dba-profiles where  profile=“DEFAULT” and 

  resource-name="IDLE-TIME"(值为unlimited表示没有限制)

  确定用户使用的profile，针对指定用户的profile，查看其限制（以defaut为例）：

  select username，profile from dba-users

  查看是否对每个用户所允许的并行会话数进行了限制：selectlimit from  dba-profiles  where

  profile=“DEFAULT”and  resource-name="SESSION-PER-USERS"(值为unlimited表示没有限制)

  查看是否对一个会话可以使用的CPU时间进行了限制：selectlimit from  dba-profiles  where 

  profile=“DEFAULT”and  resource-name="CPU-PER-SESSION"(值为unlimited表示没有限制)

 查看是否对允许空闲会话的时间进行了限制：selectlimit from  dba-profiles  where profile=“DEFAULT”and  resource-name="IDLE-TIME"(值为unlimited表示没有限制)

第三章  应用安全

3.1 身份鉴别（S3）

a)   应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

b)   应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；

c)   应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；

d)   应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

e)   应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

 

3.2 访问控制（S3）

a)   应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；

b)   访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；

c)   应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；

d)   应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

e)   应具有对重要信息资源设置敏感标记的功能；

f)   应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；

 

3.3 安全审计（G3）

a)   应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；

b)   应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；(1)

c)   审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；

d)   应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

注释：

1 )应用系统应对审计进程或功能进行保护，如果处理审计的事务是一个单独的进程，那么应用系统对审

  计进程进行保护，不允许非授权用户对进程进行中断；如果审计是一个独立的功能，则应用系统应防

 止非授权用户关闭审计功能。应用系统应对审计记录进行保护，防止非授权删除、修改或覆盖审计记录。

 

3.4 剩余信息保护（S3）

a)   应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；

b)   应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。

注释：

1 ）有的应用系统将用户的鉴别信息放在内存中进行处理，处理完成后没有及时将其清除，这样其他的

    用户通过一些非正常手段就有可能获取该用户的鉴别信息。

2 ）有的应用系统在使用过程中可能会产生一些临时文件，这些临时文件中可能会记录一些敏感信息，

  当将这些资源分配给其他用户是我，其他用户就可能获取到这些敏感信息。

 

3.5 通信完整性（S3）

应采用密码技术保证通信过程中数据的完整性。

注释：

为了防止数据在传输时被修改或破坏，应用系统必须确保通信过程中的数据完整性，通信双方利用密码算法，来保证数据的完整性。

 

3.6 通信保密性（S3）

a)   在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；

b)   应对通信过程中的整个报文或会话过程进行加密。

 

3.7 抗抵赖（G3）

a)   应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；

b)   应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

 

3.8 软件容错（A3）

a)   应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；

b)   应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

 

3.9资源控制（A3）

a)   当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；

b)   应能够对系统的最大并发会话连接数进行限制；

c)   应能够对单个帐户的多重并发会话进行限制；

d)   应能够对一个时间段内可能的并发会话连接数进行限制；

e)   应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；

f)   应能够对系统服务水平降低到预先规定的最小值进行检测和报警；

g)   应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

本文始发于微信公众号（飓风网络安全）：信息安全等级测评师考试重点梳理(二）