信息安全等级测评师考试重点梳理(一)

  • A+
所属分类:安全闲碎

第一章 网络安全测评

网络全局

1.1结构安全(G3)

a)   应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;

b)   应保证网络各个部分的带宽满足业务高峰期需要;

c)   应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;(静态动态路由、动态路由协议认证功能。)ospf开放最短路径优先)

d)   应绘制与当前运行情况相符的网络拓扑结构图;

e)   应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(VLAN划分)

f)   应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;(在网络边界处部署:防火墙、网闸、或边界网络设备配置并启用acl)

g)   应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。(检查防火墙是否存在策略带宽配置)

注释:

    1)静态路由是指由网络管理员手工配置的路由信息,当网络的拓扑结构或链路的状态发生变化

 时,网络管理员需要手工修改路由表中相关的静态路由信息。

    2)动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时的进行调

      整。动态路由机制的运作依赖路由的两个基本功能:对路由表的维护和路由器之间适时的路由信

      息交换。路由器之间的信息交换是基于路由协议实现的,如ospf路由协议是一种典型的链路状态

      路由协议,它通过路由器之间通告网络接口的状态,来建立链路状态数据库,生成最短路径树,

      每个ospf路由器使用这写最短路径构造路由表。如果使用动态路由协议应配置使用路由协议认证

      功能,保证网络路由安全。

   3)vlan是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。

     不同vlan内的报文在传输时是相互隔离的。如果不同vlan要进行通信,则需要通过路由器或三层交

     换机等三层设备实现。          思科                   华为

   4)是否存在路由协议认证:showrunning-config     displaycurrent-configuration

        查看vlan划分情况:show vlan        display  vlan all

 

1.2边界完整性检查(S3)

a)    应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;技术手段:网络接入控制、关闭网络未使用的端口、ip/mac地址绑定;管理措施:进入机房全程陪同、红外视频监控)

b)  应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。(方法:非法外联监控功能、非法外联软件

 

 

1.3入侵防范(G3)

a)  应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;(入侵防范的技术:入侵检测系统IDS,包含入侵防范模块的多功能安全网关UTM

b)  当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。(报警方式:短信、邮件、声光报警等

注释:

   1入侵检测的分类:主动入侵检测、被动入侵检测。

     主动入侵检测:在攻击的同时检测到。它会查找已知的攻击模式或命令,并阻止这些命令的执行。

     被动入侵检测:攻击之后的检测。只有通过检查日志文件,攻击才得以根据日志信息进行复查和再现。

  2多功能安全网关的功能:防火墙、虚拟防火墙、入侵检测和防御、防病毒、防垃圾邮件、p2p流量控

     制、URL过滤等功能。

 

1.4恶意代码防范(G3)

a)  应在网络边界处对恶意代码进行检测和清除。(防恶意代码产品:防病毒网关、包含防病毒模块的多功能安全网关、网络版防病毒系统等

b)  应维护恶意代码库的升级和检测系统的更新。(更新方式:自动远程更新、手动远程更新、手动本地更新等

 

访问控制(G3)(路由器、交换机、防火墙、入侵检测系统/防御系统)

a)  应在网络边界部署访问控制设备,启用访问控制功能;(访问控制设备:网闸、防火墙、路由器、三层路由交换机等

b)  应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;(路由器通过配置合理的访问控制列表ACL

c)  应对进出网络的信息内容进行过滤,实现对应用层HTTPFTPTELNETSMTPPOP3等协议命令级的控制;(一般实现方式:防火墙

d)  应在会话处于非活跃一定时间或会话结束后终止网络连接;(5一般在防火墙上实现

e)  应限制网络最大流量数及网络连接数;(2一般在防火墙上实现

f)  重要网段应采取技术手段防止地址欺骗;(3

g)  应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;(4

h)  应限制具有拨号访问权限的用户数量。(路由或相关设备应提供限制具有拨号访问权限的用户数量的相关功能

  注释:

1 )路由器上配置合理的访问列表为数据流提供明确的允许/拒绝访问的能力,对进出网络的流量进行

   过滤。流入流量过滤:用于过滤掉一些源IP不是公网IP的数据包,同时也用于限制外部对内部网

   络服务的访问。流出流量过滤:用于防止由单位内部机器发出的伪造源ip的攻击数据流。

   查看acl的命令:  show ip  access-list          display acl  config  all

   2 限制网络的最大流量的方法:路由器、交换机可根据ip地址、端口、协议来限制应用数据流的最

      大流量,还可以根据ip地址来限制网络连接数,从而保证业务带宽不被占用,业务系统可以对外正

      常提供服务。路由器的带宽策略一般采用分层的带宽管理机制,管理员可以通过设置细粒度的带宽

     策略,对数据报文做带宽限制和优先级别设定,还可以通过源地址、目的地址、用户和协议四个方面

     来限制带宽。

show  running-config               display  acl config  al2

 3 )地址欺骗可以是mac地址,也可以是ip地址。目前发生比较多的是arp地址欺骗,arp地址欺骗是

     mac地址欺骗的一种。Arp地址解析协议是一种位于TCP/IP协议栈中的低层协议,负责将某个IP

     址解析成对应的MAC地址。

     ARP的分类1截获网关数据。它通知网络设备一系列错误的MAC地址,并按照一定的频率不断进

     行,使真实的地址信息无法通过更新保存在网络设备中,结果网络设备的所有数据只能发给错误的

     MAC地址,造成正常pc无法收到信息。

     2伪造网关。建立假网关,让被他欺骗的pc向假网关发送数据,而不是通过正常的途径上网。一般

     来说,arp欺骗攻击的后果很严重,大多数情况下会造成大面积掉线。

解决方法:1在网络设备中把所有pcip-mac输入一个静态表中,这叫ip-mac绑定2在内网所有

pc上设置网管的静态arp信息,这叫pc ip-mac绑定

Show  ip arp             display  arp

4) 通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源

show  crypto isakmp policyshow crypto ipsec transform-setshow  ip  access-list  Display ipsec

5) 当恶意用户进行网络攻击时,有时会发起大量会话连接,建立会话后长时间保持状态连接,从而占用

大量网络资源,最终将网络资源耗尽的情况。因此应在会话终止或长时间无响应的情况下终止网络连

接,释放被占用网络资源,保证业务可以被正常访问。一般在防火墙上实现。

 

安全审计(G3(路由器、交换机、防火墙、入侵检测系统/防御系统)

a)  应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

b)  审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

c)  应能够根据记录数据进行分析,并生成审计报表;

d)   应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。

注释:

 查看日志记录情况: showlogging      displaycurrent-configuration

 

网络设备防护(G3)(路由器、交换机、防火墙、入侵检测系统/防御系统)

a)  应对登录网络设备的用户进行身份鉴别;(1

b)  应对网络设备的管理员登录地址进行限制;(2

c)  网络设备用户的标识应唯一;

d)  主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;(采用方法:双因子鉴别

e)  身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;(使用口令的组成、长度和更改周期。对储存在配置文件中的所有口令和类似数据进行加密,可以避免通过读取配置文件而获取明文口令

f)  应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;(可以利用命令配置VTY的超时,避免一个空闲的任务一直占用VTY,从而避免恶意攻击或远端系统的意外崩溃导致的资源独占。

g)  当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;(不应当使用明文传送的telnethttp服务,而应当采用sshhttps等加密协议等方式进行交互式管理

h)  应实现设备特权用户的权限分离。(应根据实际需要为用户分配完成其任务的最小权限

注释:

用户登录路由器、交换机的方式:

    1利用控制台端口(console)通过串口进行本地连接登录;

    2利用辅助端口(AUX)通过MODEM进行远程拨号链接登录;

      MODEM(调制解调器)实现数字信号和模拟信号之间的转换。

    3利用虚拟终端(VTY)通过TCP/IP网络进行远程Telnet登录等。

   无论那种登录方式,都需要对用户身份进行鉴别,口令是路由器用来防止非授权访问的常用手段,是路

   由器本身安全的一部分。因此需要加强对路由器口令的管理,包括口令的设置、储存,最好的口令存储

   方法是保存在TACACS+RADIUS认证服务器上。管理员应当依据需要为路由器相应的端口加上身份

   鉴别最基本的安全控制。

   路由器、交换机的口令安全包括两类:设置登录口令和设置使能口令(特权密码)。当为特权用户设置

   口令时,应当使用 enable secret命令,该命令用于设定具有管理员权限的口令,enable secret命令采用

    的是MD5算法,这种算法比enable password加密算法强,不容易被破解。

 show running-config     display current-configuration

2 )为了保证网络管理员对路由器安全访问的同时,避免其他人的未授权访问,最好的方法是采用带外管

理,使用专用的管理终端和通讯路径,将管理数据流和其他数据流分开,能够有效地增加安全性。

 利用ip access-class限制访问VTY(虚拟终端)的IP地址范围。同时由于VTY的数目有一定的限制,当

   所有的vty用完,就不能再建立远程的网络连接了,通过限制登录地址,限制能够防止DOS攻击(拒绝服

务攻击)。

3 )双因子鉴别不仅需要访问者知道一些信息,还需要访问者拥有鉴别特征,如:令牌、智能卡、数字证

   书和生物信息等。


第二章  主机安全测评

 

身份鉴别(S3)(操作系统测评、数据库系统测评)

a)   应对登录操作系统和数据库系统的用户进行身份标识和鉴别;(1)

b)   操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;(2)

c)   应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

d)   当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;

e)   应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。

f)   应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

注释:

1 )身份标识和鉴别就是用户向系统以一种安全的方式提交自己的身份证实,然后由系统确认用户的身

    份是否属实的过程。linux用户的口令经过加密处理后存放于/etc/passwd文档中。现在的linux系统

    中口令不再直接保存在passwd文件中,通常将passwd文件中的口令字段使用一个“x”来代替,将

    /etc/shadow作为真正的口令文件,用于保存包括个人口令在内的数据。淡然,shadow文件时不能

    被普通用户读取的,只有超级用户才有权读取。  在root权限下,使用命令more、cat、vi查看

    /etc/passwd 和 /etc/shadow文件中各用户名的状态。以root 身份登录进入linux。

    #cat/etc/passwd        #cat/etc/shadow          

2 )控制和监视密码是不可缺少的。在windows中,如设置密码历史记录、设置密码最常使用期限、设置

    密码最短使用期限、设置最短密码长度,设置密码复杂性要求。  

    Linux中的 /etc/login.defs是登录程序的配置文件,在这里我们可以配置最大过期天数,密码的

    最大长度约束等内容。由于该文件对root用户无效,如果 /etc/shadow文件里有相同的选项,则以

    /etc/shadow里的设置为准,也就是说 /etc/shadow的配置优先级别高于 /etc/login.defs

    以root身份登录进入linux。

    #more/etc/login.defs

    PASS-MAX-DAYS 90  #登录密码有效期90天

    PASS-MIN-DAYS 0  #登录密码最短修改时间,设置为0,则禁用此功能。防止非法用户短期修改多次。 

    PASS-MIN-LEN 8    #登录密码最小长度8位

    PASS-WARN-AGE 7   #登录密码过期提前7天提示修改

    FAIL-DELAY 10     #登录错误时等待时间10秒

    FAILLOG-ENAB yes   #登录错误记录到日志

    SYSLOG-SU-ENAB yes    #当限定超级用户管理日志时使用

    SYSLOG-SG-ENAB yes    #当限定超级用户组管理日志时使用

    MD5-CRYPT-ENAB  yes   #当使用MD5的加密方法时使用

  

   3 )windows操作系统具备了登录失败处理功能,可以通过适当的配置“账户锁定策略”来对用户的的登

     录进行限制,如账户锁定阙值、账户锁定时间、复位账户锁定计数器等。当登录失败次数超过管理员

     指定值时可以禁用该账户。

     账户锁定阙值:确定用户账户被锁定的登录尝试失败的次数,在管理员重置锁定账户或账户锁定时期

     满之前,无法使用该锁定账户,次数可介于0-999之间,如果将值置为0,则永远不会锁定账户。

     账户锁定时间:确定锁定账户在自动解锁前,保持锁定的分钟数,可用范围0-99,999.如果将锁定时

     设置为0,账户将被一直锁定,指导管理员明确对它的锁定。如果定义了账户锁定阙值,则账户锁定

     时间必须大于等于重置时间。

     复位账户锁定计数器:确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试

     之前需要的时间。可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值,此重置时间必须小于

     或等于帐户锁定时间。只有在指定了帐户锁定阈值时,此策略设置才有意义。

 4 )linux系统具有调用PAM的应用程序可以用来认证用户、登录服务、屏保等功能,其中的一个重要的文

件/etc/pam.d/system-auth,它是pam-stack.so模块的标准控制文件,在这个文件中可以通过配置参

数,设置登录失败断开连接的次数等。要获得最大程度的安全性,建议在3-5次登录尝试失败后锁定账

户,且不要在30分钟内重新启用该账户,并将锁定时间设置为“永久锁定(直到管理员解开锁定)”

在linux操作系统中,以root身份登录进入linux的命令: #cat/etc/pam.d/system-auth     查看是

否存在“account required/lib/security/pam-tally.so deny=5no-magic-root reset  ”  

5 )在linux操作系统中:以root身份登录linux。

   首先查看是否安装SSH的相应的包:#rpm -aq|grep ssh 

   或查看是否安装SSH的相应包:# service -status-all | grep sshd

   如果已经安装则查看相关的端口是否打开:# netstat-an|grep sshd  22

   若未使用SSH方式进行远程管理,则查看是否使用了Telnet方式进行远程管理:

   # service -status-all | grep   running查看是否存在Telnet服务。  

数据库系统  

Sql 查看是否存在空口令用户:select *from   syslogins where password  is null          

Oracle查看是否启用口令复杂度函数 select limitfrom  dba-profiles  where profile=“DEFAULT” and resource-name=‘PASSWORD-VERIFY-FUNTION’

登录失败尝试次数的限制 select limit from  dba-profiles where  profile=“DEFAULT” and resource-name="FAILED-LOGIN-ATTEMPTS"(值为unlimited表示没有限制)

 口令锁定时间的设置语句 select limitfrom  dba-profiles  where profile=“DEFAULT” andresource-name="PASSWORD-LOCK-TIME"(值为unlimited表示没有限制)


访问控制(S3)(操作系统测评、数据库系统测评)

a)   应启用访问控制功能,依据安全策略控制用户对资源的访问;

b)   应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;(2)

c)   应实现操作系统和数据库系统特权用户的权限分离;(3)

d)   应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

e)   应及时删除多余的、过期的帐户,避免共享帐户的存在。

f)   应对重要信息资源设置敏感标记;(4)

g)   应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;

注释:

1 ) 访问控制是安全防范和保护的主要策略,它不仅仅用于网络层面,同样也适用于主机层面。它的

     要任务是保证系统资源不被非法使用和访问,使用访问控制的目的在于通过限制用户对特定资源的

     访问,来保护系统资源。在操作系统中的每一个文件和目录都包含有访问权限,这些访问权限决定

     了谁能访问和如何访问这些文件和目录。对于linux中的一些重要文件,应检查linux系统主要的权

    限设置情况,对于配置文件权限值不能大于644,对于可执行文件不能大于755.

    以root身份登录进入linux,使用命令:ls -l文件名,查看重要文件和目录权限设置是否合理,如:

    #ls -l/etc/passwd #744

   查看共享情况,在命令行模式下输入net share查看注册表:

  HKEY-LOCAL-MACHINESYSTEMCurrentControlSetControllsarestrictanonymous值是否为0(0

   表示共享)

2 )根据管理用户的角色对权限做出标准细致的划分,有利于各岗位细致协调的工作。同时对授权模块

   进行一些授权管理,并且系统的授权安全管理工作要做到细致,今授予管理用户所需的最小权限,避

   免出现权限的漏洞,使一些高级用户拥有过大的权限。

3 )操作系统特权用户可以拥有以下权限:安装和配置系统的硬件和软件、建立和管理用户账户、升级

    软件、备份和恢复等业务,从而保证操作系统的可用性、完整性和安全性。

   数据库系统特权用户对数据库的安装、配置、升级和迁移以及数据库用户的管理,从而保证数据库

   系统的可用性、完整性安全性。

   将操作系统和数据库系统特权用户的权限分离,能够避免一些特权用户拥有过大的权限以及减少一些

     认为的误操作,做到职责分明。

4 )敏感标记:是强制访问控制的依据,主客体都有,它存在的形式无所谓,可能是整形的数字,也肯能

   是字母,他表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的,通过对重要信息资

   源设置敏感标记,决定主体以何种权限为客体进行操作,实现强制访问控制。

数据库

   Sql中查看是否存在多余过期的账户:select from syslogins

   oracle中查看是否存在多余过期的账户:selectusername,account-status from dba-users

   查看是否安装oraclelabel security模块:select username from dba-users

   查看是否创建策略:select policy_name,status from DBA-SA-POLICIES

   查看是否创建级别:select * from dba-sa-levels orderby lever-num

   查看标签创建情况:select *from dba-sa-label

   查看策略与模式、表的对应关系:select *from dba-sa-tabel-policies;判断是否针对重要信息资

   源设置敏感标签。

                             

安全审计(G3)(操作系统测评、数据库系统测评)

a)   审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;(1)

b)   审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;(2)

c)   审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

d)   应能够根据记录数据进行分析,并生成审计报表;

e)   应保护审计进程,避免受到未预期的中断;(4)

f)   应保护审计记录,避免受到未预期的删除、修改或覆盖等。(5)

注释:

1)以root身份登录进入Linux,查看服务进程:系统日志服务#service syslog status

   #service audit status或 #service-status-all|grep auditd

2 )在linux中/etc/audit/audit.conf文件制定如何写入审查记录以及在那里写入、日志超出可用磁盘

    空间后如何处理等内容。/etc/audit/filesets.conf和/etc/audit/filters.conf指定内核用来判定

    系统调用是否要审查的规则。

3 )在linux操作系统中,使用aucat和augrep工具查看审计日志:

    #aucat|tail-100  #查看最近的100条审计记录;

    #augrep -e TEXT -U AUTH-success  #查看所有成功PAM授权。

  4 )在Linux中,Auditd是审计守护进程,syslogd是日志守护进程,保护好审计进程当事件发生时,能

     及时记录事件发生的详细内容。

  5 )非法用户进入系统后的第一件事情就是去清理系统日志和审计日志,而发现入侵的最简单最直接的

     方法就是去看系统记录和安全审计文件。

数据库

Oracle 查看是否开启审计功能:selectvalue from v$paramater where name='audit-trail'或

                             Show parmeteraudit-trail

查看是否对所有sys用户的操作进行了记录:show parameter audit-sys-operation

查看是否对 sel,upd,del ins操作进行了审计:selectsel,upd,del ins from dba-obj-audit-opts

查看审计是否设置成功:select* from dba-stmt-audit-opts

查看权限审计选项:select* from dba-priv-audit-opts

 

剩余信息保护(S3)(操作系统测评)

a)   应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;

b)   应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。

 

入侵防范(G3)(操作系统测评)

a)   应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;

b)   应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

c)   操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。(涉及的两个方面系统服务和监听端口,补丁升级,对多余的系统服务可以禁用或卸载

注释:

  1 )入侵威胁分为:外部渗透、内部渗透和不法行为。

      入侵行为分为:物理入侵、系统入侵和远程入侵。

      造成入侵威胁的入侵行为主要是系统入侵和远程入侵两种。

      系统入侵指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。(如果系统没有及时更新最

      近的补丁程序,那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理权限)

      远程入侵指入侵者通过网络渗透到一个系统中,这种情况下,入侵者通常不具备任何特殊权限,他

      们要通过漏洞扫描或端口扫描等技术发现攻击目标,再利用相关技术执行破坏活动。

  2 )查看入侵的重要线索的命令:#more/var/log/secure|greprefused

      查看是否启用了主机防火墙、RCP SYN保护机制等设置的命令:

      find/-name<daemon name>-print   检查是否安装了一下主机入侵检测软件。

  3 ) 监听端口的命令: netstat -an

      确认系统目前正在运行的服务:#service-status-all|grep running

      查看补丁安装情况的命令:#rpm-qa|grep patch

 

恶意代码防范(G3)(操作系统测评)

a)   应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;

b)   主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

c)   应支持防恶意代码的统一管理。(统一更新,定时查杀

 

资源控制(A3)(操作系统测评、数据库系统测评a、b、d)

a)   应通过设定终端接入方式、网络地址范围等条件限制终端登录;(1)

b)   应根据安全策略设置登录终端的操作超时锁定;(2

c)   应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

d)   应限制单个用户对系统资源的最大或最小使用限度;

e)   应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。(3)

注释:

 1 )系统资源是指CPU、存储空间、传输带宽等软硬件资源。

     应通过设定终端接入方式、网络地址范围等条件限制终端登录,可以极大地节省系统资源,保证了

     系统的可用性,同时也提高了系统的安全性。

    Windows系统可以通过主机防火墙或TCP/IP筛选来实现以上功能,在linux系统中存在

    /etc/hosts.allow和/etc/hosts.deny两个文件,它们是tcpd服务器的配置文件,tcpd服务器可以控

    制外部IP对本机服务的访问。其中/etc/hosts.allow控制可以访问本机的IP,/etc/hosts.deny控制

    禁止访问本机的IP,如果两个文件的配置有冲突,以/etc/hosts.deny为准。

2 )若是通过远程终端进行连接windows服务器系统,可以通过设置超时连接来限制终端操作超时;

    若是本地登录,则通过开启带有密码功能屏幕保护。

3 )如磁盘空间不足、CPU利用率过高、硬件发生故障等,通过报警机制,将问题现象发送给相关负责人,

   及时定位引起问题的原因和对异常情况进行处理,从而避免故障的发生或将影响减小到最低。

数据库

Sql查看是否设置了超时时间:在查询分析器中执行命令sp-configure'remote login timeout(s)'

  Oracle查看空闲超时设置:select limit from  dba-profiles where  profile=“DEFAULT” and 

  resource-name="IDLE-TIME"(值为unlimited表示没有限制)

  确定用户使用的profile,针对指定用户的profile,查看其限制(以defaut为例):

  select username,profile from dba-users

  查看是否对每个用户所允许的并行会话数进行了限制:selectlimit from  dba-profiles  where

  profile=“DEFAULT”and  resource-name="SESSION-PER-USERS"(值为unlimited表示没有限制)

  查看是否对一个会话可以使用的CPU时间进行了限制:selectlimit from  dba-profiles  where 

  profile=“DEFAULT”and  resource-name="CPU-PER-SESSION"(值为unlimited表示没有限制)

 查看是否对允许空闲会话的时间进行了限制:selectlimit from  dba-profiles  where profile=“DEFAULT”and  resource-name="IDLE-TIME"(值为unlimited表示没有限制)



 

 

 

 

 

 

本文始发于微信公众号(飓风网络安全):信息安全等级测评师考试重点梳理(一)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: