信息安全等级评测师课堂笔记

信息安全等级测评师（初级）1|Page111.网络安全测评1.1网络全局1.1.1结构安全1.应该保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；//硬件要达标,也就是硬件的性能不能局限于刚好够用的地步2.应该保证网络的各个部分的带宽满足业务高峰期需要；//带宽要达标3.应在业务终端与服务器之间进行路由控制，简历安全的访问路径；//传输过程中的信息要加密，节点和节点之间要进行认证，例如OSPF的认证：检测方法：Ciscoshowru&displaycu4.绘制与当前运行状况相符合的网络拓扑结构图；5.根据各个部门工作智能，重要性和所涉及信息的重要程度等一些因素，划分不同的子网或者网段，并按照方便管理和控制的原则为各子网，网段分配地址段；//划分VLAN最合适,检测方法：CiscoshowvlanHuaweidisplayvlanall6.避免将重要的网段不是在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间采取可靠的技术手段隔离；//重要网段与其他网段之间采用访问控制策略，安全区域边界处要采用防火墙，网闸等设备7.按照对业务的重要次序来指定带宽的分配优先级别，保证在网络发生拥堵时优先保护重要主机；//有防火墙是否存在策略带宽配置，边界网络设备是否存在相关策略配置（仅仅在边界进行检查？）1.1.2边界完整性检查1．能够应对非授权的设备私自连接到内部网络的行为进行检查，能够做到准确定位，并能够对其进行有效阻断；//防止外部未经授权的设备进来2．应该能够对内部网络用户私自连接到外部网络的行为进行检查，能够做到准确定位，并对其进行有效的阻断；//防止内部设备绕过安全设备出去1.1.3入侵防范1.应该在网络边界处监视以下行为的攻击：端口扫描，强力攻击，木马后门攻击，拒绝服务攻击，缓冲区溢出攻击，IP碎片攻击和网络蠕虫攻击//边界网关处是否部署了相应的设备，部署的设备是否能够完成上述功能2.当检测到攻击行为时，能够记录攻击源IP，攻击类型，攻击目的，攻击时间，在发生严重入侵事件时应该提供报警；//边界网关处事都部署了包含入侵防范功能的设备，如果部署了，是否能够完成上述功能1.1.4恶意代码防范信息安全等级测评师（初级）2|Page111.应该在网络边界处对恶意代码进行检查和清除；//网络中应该有防恶意代码的产品，可以是防病毒网关，可以是包含防病毒模块的多功能安全网关，也可以是网络版的防病毒系统产品2.维护恶意代码库的升级和检测系统升级；//应该能够更新自己的代码库文件1.2路由器1.2.1访问控制1．应在网络边界部署访问控制设备，启用访问控制功能；//路由器本身就具有访问控制功能，看看是否开启了，如果在网络边界处单独布置了其他访问控制的产品，那就更好了2．应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级；//要求ACL为扩展的ACL，检测：showipaccess-list&displayaclconfigall依据安全策略，下列的服务建议关闭：序号服务名称描述关闭方式1CDPCisco设备间特有的2层协议NocdprunNocdpenable2TCPUDPsmallservice标准TCPUDP的网络服务：回应，生成字符等Noservicetcp-small-serviceNoserviceucp-small-service3FingerUNIX用户查找服务，允许用户远程列表NoipfingerNoservicefinger4BOOTP允许其他服务器从这个路由器引导Noipbootpserver5IpsouerroutingIP特性允许数据包指定他们自己的路由Noipsource-route6ARP-Proxy启用它容易引起路由表混乱Noipproxy-arp7IPdirected数据包能为广播识别目的的VLANNoipdirectedbroadcast信息安全等级测评师（初级）3|Page11broadcast8WINS和DNS路由器能实行DNS解析Noipdomain-lookup3．应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制；//网络中如果部署了防火墙，这个一般要在防火墙上实现4．应该在会话处于非活跃一段时间后自动终止连接；//防止无用的连接占用较多的资源，也就是会话超时自动退出5．应该限制网络最大流量数及网络连接数；//根据IP地址，端口，协议来限制应用数据流的最大带宽，从而保证业务带宽不被占用，如果网络中有防火墙，一般要在防火墙上面实现6．重要网络应该采取技术手段防止地址欺骗；//ARP欺骗，解决方法：把网络中的所有设备都输入到一个静态表中，这叫IP-MAC绑定;或者在内网的所有PC上设置网关的静态ARP信息，这叫PCIP-MAC绑定，一般这两个都做，叫做IP-MAC的双向绑定7．应该按照用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；//限制用户对一些敏感受控资源的访问，验证：showcryptoisakmppolicy|showcryptoipsectransform-set|showipaccess-list8．应该限制具有拨号访问权限的用户数量；//对通过远程采用拨号方式或通过其他方式连入单位内网的用户，路由器等相关设备应提供限制具有拨号访问权限的用户数量的相关功能，验证：showrun&disdialer1.2.2安全审计1.应对网络系统中的网络设备运行状况，网络流量，用户行为等进行日志记录；//默认情况下，路由器的这个服务处于启动状态，验证：showlogging&discu2.审计记录应该包括：事件的日期和时间，用户，事件类型，事件是否成功等相关信息；//思科华为路由器开启日志功能就可以实现信息安全等级测评师（初级）4|Page113.应能够根据记录数据进行分析，并生成审计报表；//使用什么手段实现了审计记录数据的分析和报表生成4.应对审计记录进行保护，避免受到未预期的删除，修改或者覆盖；//要备份日志记录，验证：showlogging&discu1.2.3网络设备保护1.应该对登录网络设备的用户进行身份鉴别；//身份鉴别，也就是要有密码，vty的密码，enable的密码con0的密码..,验证：showrun&discu2.应对网络设备的管理员登录地址进行限制；//利用ACL等对登录到该设备的人员范围进行控制，验证：showrun&discu3.网络设备用户的表示应该唯一；//本意是不能有多人公用一个帐号，这样方便出现问题的时候进行追溯,showrun&discu4.主要网络设备应对同一用户选择两种或者两种以上组合鉴别技术来进行身份鉴别；//感觉好像是多次的认证5.身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更换；//网络中或者是服务器上的密码存储应该采用密文存储：showrun&discu6.应该具有登录失败处理的能力，可采取结束会话，限制非法登录次数和当网络登录连接超时的时候自动退出等措施；//也就是超时自动退出，输入多少次错误的密码后自动冻结帐号一段时间：showrun&discu7.当网络设备进行远程管理时，应该采取必要措施防止鉴别信息在网络传输的过程中被窃听；//建议采用一些安全带的协议，ssh，https等8.应该实现设备特权用户的权限分离；1.3交换机1.3.1访问控制1.应在网络边界部署访问控制设备，启用访问控制功能；2.应能根据会话状态的信息为数据流提供明确的允许/拒绝访问的能力，控制力度为端口级；3.应对进出网络的信息内容进行过滤，实现对应用层HTTP，FTP，TELNET，SMTP，POP3等协议命令级的控制；4.应该在会话处于非活跃一段时间后自动终止连接；5.应该限制网络最大流量数及网络连接数；6.重要网络应该采取技术手段防止地址欺骗；信息安全等级测评师（初级）5|Page117.应该按照用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；8.应该限制具有拨号访问权限的用户数量；1.3.2安全审计1.应对网络系统中的网络设备运行状况，网络流量，用户行为等进行日志记录；2.审计记录应该包括：事件的日期和时间，用户，事件类型，事件是否成功等相关信息；3.应能够根据记录数据进行分析，并生成审计报表；4.应对审计记录进行保护，避免受到未预期的删除，修改或者覆盖；1.3.3网络设备的保护1.应该对登录网络设备的用户进行身份鉴别；2.应对网络设备的管理员登录地址进行限制；//利用ACL等对登录到该设备的人员范围进行控制；3.网络设备用户的表示应该唯一；//本意是不能有多人公用一个帐号，这样方便出现问题的时候进行追溯4.主要网络设备应对同一用户选择两种或者两种以上组合鉴别技术来进行身份鉴别；//感觉好像是多次的认证5.身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更换；6.应该具有登录失败处理的能力，可采取结束会话，限制非法登录次数和当网络登录连接超时的时候自动退出等措施；7.当网络设备进行远程管理时，应该采取必要措施防止鉴别信息在网络传输的过程中被窃听；//建议采用一些安全带的协议，ssh，https等8.应该实现设备特权用户的权限分离；1.4防火墙防火墙的要求完全和路由交换机完全一样。1.5IDSIDS的要求完全和路由交换机完全一样。2.主机安全测评2.1操作系统测评2.1.1身份鉴别信息安全等级测评师（初级）6|Page111.应对登录操作系统和数据库系统的用户进行身份表示和鉴别；//登录阶段要有密码保护机制，例如window的登录界面；linux用户密码的保存路径：/etc/shadow2.操作系统和数据库系统管理用户身份鉴别信息应该具有不易被冒用的特点，口令应该具有复杂度要求并且定期更换；//口令最好要定期更换，并且应该具有一定的复杂度，例如数字+大小写字母+符号之类的使用more/etc/login.defs查看linux下的文件内容及其各自含义PASS_MAX_DAYS90#登录密码有效期90天PASS_MIN_DAYS0#登录密码最短修改时间PASS_MIN_LEN8#登录密码的最小长度8位PASS_WARN_AGE7#登录密码过期提前7天提示修改FALL_DELAY10#登录错误时等待时间10秒FALLOG_ENAByes#登录错误记录到日志SYSLOG_SU_ENAByes#当限定超级用户管理日志时使用SYSLOG_SG_ENAByes#当限定超级用户组管理日志时使用MD5_CRYPT_ENAByes#当使用md5为密码的加密方法时使用3.启用登录失败处理功能，可采取结束会话，限制非法登录次数和自动退出等措施；//window下直接测试错误次数；linux下记录/etc/pam.d/system-auth文件中是否存在accountrequired/lib.security.pam_tally.sodeny=5no_magic_rootreset…4.当对服务器进行远程管理时，应该采取必要措施，防止信息在网络传输过程中被窃听；//linux下查看：1.首先查看是否安装ssh的相应包：rpm–aq|grepssh或者查看是否运行了该服务：service–status-all|grepsshd2.如果已经安装则看相应端口是否打开：netstat–an|grep223.若有SSH，则查看是否还有Telnet方式进行远程连接：serivce–status-all|greprunning5.应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性；//linux下cat/etc/passwd6.应采取两种或者两种以上的认证对管理员用户进行鉴别；2.1.2访问控制1.实现操作系统和数据库系统特权用户的权限分离；2.应该启用访问控制功能，依据安全策略控制用户对资源的访问；//Linux下使用ls信息安全等级测评师（