|
主機是信息系統(tǒng)處理流程的起點和終點,是信息產(chǎn)生���、存儲和處理的載體���,是應用服務程序的運行中心和數(shù)據(jù)處理中心。當前��,針對主機的攻擊事件層出不窮����,攻擊手段多種多樣。從緩沖區(qū)溢出攻擊��、口令破解到惡意代碼攻擊�����;從用戶身份偽造��、非法提升權(quán)限到重要數(shù)據(jù)完整性破壞;從外部攻擊到內(nèi)部破壞���;主機成為當前安全攻防過程中的關(guān)鍵環(huán)節(jié)。
主機安全旨在保證主機在數(shù)據(jù)存儲和處理的保密性�、完整性、可用性�,它是保證信息系統(tǒng)安全的基礎(chǔ),直接影響信息系統(tǒng)的整體安全��。主機安全通常由操作系統(tǒng)�����、數(shù)據(jù)庫管理系統(tǒng)等自身安全配置�����、相關(guān)安全軟件及設備等來實現(xiàn)����。主機安全測評則主要依據(jù)相關(guān)安全要求通過訪談、現(xiàn)場檢查�、測試等方式對主機進行安全符合性評估,它是保障主機安全的重要方式之一�。
一�����、主機安全測評方法
(一)主機安全測評依據(jù)
主機安全測評的主要依據(jù)是各類國家標準��,主要包括以下3個方面��。
(1)《GB 17859?1999計算機信息系統(tǒng)安全等級保護劃分準則》:是我國信息安全測評的基礎(chǔ)類標準之一��,描述了計算機信息系統(tǒng)安全保護技術(shù)能力等級的劃分�。
(2)《GB/T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》等同采用國際標準ISO/IEC 15408:2005(簡稱CC)��,是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)標準�。
(3)《GB/T 22239?2008信息安全 技術(shù)信息系統(tǒng)安全等級保護基本要求》(簡稱《基本要求》)和《GB/T 28448?2012信息安全 技術(shù)信息系統(tǒng)安全等級保護測評要求》(以下簡稱《測評要求》)是國家信息安全等級保護管理制度中針對信息系統(tǒng)安全開展等級測評工作的重要依據(jù)。
(二)主機安全測評對象及內(nèi)容
《基本要求》針對信息系統(tǒng)的不同安全等級對主機安全提出不同的基本要求��?!稖y評要求》闡述了《基本要求》中各要求項的具體測評方法、步驟和判斷依據(jù)等��,用來評定各級信息系統(tǒng)的安全保護措施是否符合《基本要求》�。依據(jù)《測評要求》,測評過程需要針對主機操作系統(tǒng)���、虛擬化軟件�、數(shù)據(jù)庫管理系統(tǒng)等測評對象,從身份鑒別�����、安全標記����、訪問控制等方面分別進行測評��,主要框架如下圖所示�����。
主機安全測評框架
從測評對象角度來看���,主機安全測評應覆蓋主機上可能存在的主要系統(tǒng)軟件�����,如操作系統(tǒng)�、數(shù)據(jù)庫管理系統(tǒng)��、虛擬化軟件等。
(1)操作系統(tǒng)直接與硬件設備打交道���,處于軟件系統(tǒng)的底層�����,是基礎(chǔ)的軟件系統(tǒng)�����。操作系統(tǒng)的安全性起著至關(guān)重要的基礎(chǔ)作用�����,缺少操作系統(tǒng)的基礎(chǔ)安全特性�����,主機的安全性就無從可談�。
(2)數(shù)據(jù)庫系統(tǒng)是信息系統(tǒng)中用于存儲和管理數(shù)據(jù)的軟件系統(tǒng)�,信息系統(tǒng)中的信息加工與處理通常都圍繞數(shù)據(jù)庫系統(tǒng)這個中心進行。數(shù)據(jù)庫的安全程度直接影響著數(shù)據(jù)乃至整個信息系統(tǒng)安全保護措施的有效性�����。
(3)虛擬化軟件是近年來隨著云計算技術(shù)發(fā)展而應用越來越廣泛的基礎(chǔ)性主機軟件,其安全性直接影響到基于云計算信息系統(tǒng)的總體安全性����,但在當前的主機安全測評中往往被忽略。
從測評內(nèi)容角度來看�����,主機安全測評主要包括以下9個方面�����。
(1)身份鑒別:從身份鑒別方式��、口令復雜度���、鑒別信息傳輸機密性、登錄失敗處理措施等方面對主機安全性進行測評���。
(2)安全標記:對主體和客體的敏感標記設置情況進行測評��。
(3)訪問控制:從訪問控制主客體���、訪問控制策略、訪問控制粒度等方面對主機安全性進行測評。
(4)可信路徑:對系統(tǒng)與用戶之間信息傳輸路徑的安全性進行測評�����。
(5)安全審計:從審計的策略��、范圍�����、內(nèi)容��、記錄���、進程保護�����、日志保護等方面對主機安全性進行測評�。
(6)剩余信息保護:主要對鑒別信息����、系統(tǒng)文件、目錄和數(shù)據(jù)庫記錄等客體存儲空間的剩余信息保護情況進行測評�。
(7)入侵防范:主要對主機的入侵防范措施�����、系統(tǒng)補丁更新等情況進行測評��。
(8)惡意代碼防范:主要對主機的惡意代碼防護措施進行測評���。
(9)資源控制:主要對系統(tǒng)資源監(jiān)控情況進行測評。
下表給出了《基本要求》中針對上述9個方面需要開展測評的項目數(shù)量�����。
主機安全控制點及其要求項數(shù)量
(三)主機安全測評方式
主機安全測評主要包括訪談���、現(xiàn)場檢查和測試3種方式。
(1)訪談是指測評人員通過引導信息系統(tǒng)相關(guān)人員進行有目的的(有針對性的)交流以幫助測評人員理解����、澄清或取得證據(jù)的過程。主機安全訪談主要由測評人員與被測評主機的系統(tǒng)管理員�����、安全管理員���、安全審計員��、主機使用人員等針對主機測評所要求的訪談內(nèi)容進行詢問和調(diào)查�,并根據(jù)訪談收集的信息進行主機安全性的分析判斷。
(2)檢查是指測評人員通過測評對象(如制度文檔���、各類設備���、安全配置)進行觀察、查驗��、分析以幫助測評人員理解�����、澄清或取得證據(jù)的過程����。主機安全現(xiàn)場檢查主要是基于訪談調(diào)研情況,依據(jù)主機安全現(xiàn)場檢查表單和作業(yè)指導書�����,對信息系統(tǒng)中的主機安全狀況進行實地核查�����。其中,主要包括2個方面:一是對所提供的主機安全相關(guān)技術(shù)文檔資料進行檢查分析�;二是針對主機安全配置要求,登錄各個相關(guān)主機����,運用主機操作指令和工具進行安全現(xiàn)狀數(shù)據(jù)的提取和分析。對于大型業(yè)務系統(tǒng)而言�,由于主機數(shù)量繁多,實際執(zhí)行時由于時間和人力投入有限���,可采用抽查的方式進行現(xiàn)場檢查�����。
(3)測試是指測評人員使用預定的方法/工具使測評對象(各類設備或安全配置)產(chǎn)生特定的結(jié)果�����,以將運行結(jié)果與預期的結(jié)果進行比對的過程。主機安全測試主要包括主機漏洞掃描���、主機安全基線檢測和主機滲透測試等3種方式�����。主機漏洞掃描主要針對被測評的主機實現(xiàn)操作系統(tǒng)脆弱性掃描���,重要文件�、目錄脆弱性掃描�,瀏覽器脆弱性掃描,Web服務脆弱性掃描����,其他通用服務脆弱性掃描,用戶�����、組�、注冊表脆弱性掃描,文件共享脆弱性掃描��,數(shù)據(jù)庫脆弱性掃描等安全測試工作���;主機安全基線檢測主要對被測評的主機進行安全配置檢查���,檢查主機操作系統(tǒng)�、數(shù)據(jù)庫����、虛擬化軟件等是否符合用戶的安全基線要求;主機滲透測試完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)��,對被測評的主機做深入的安全探測���,以發(fā)現(xiàn)主機所存在的安全問題����。
在上述測評方式的基礎(chǔ)上�����,應開展綜合的結(jié)果分析���,即將訪談結(jié)果�、現(xiàn)場檢查結(jié)果與測試結(jié)果進行匯總�,對獲得的各類信息進行綜合分析,通過各類測評結(jié)果之間的相互印證�,判斷結(jié)果的正確性�,避免由于人為疏漏以及測試工具自身缺陷導致的測評結(jié)果錯誤�。
(四)主機安全測評工具
開展主機安全測評的工具主要有以下類型���。
(1)主機自身提供的檢測工具:包括系統(tǒng)命令���、系統(tǒng)自帶工具等,如ping��、netstat�����、route�、ps等命令,Windows操作系統(tǒng)的管理���、任務管理器等工具���。這一類檢測工具能夠協(xié)助測評人員對系統(tǒng)配置、系統(tǒng)狀態(tài)���、系統(tǒng)性能����、系統(tǒng)用戶行為等信息進行有效收集。
(2)端口掃描工具:用來檢測主機開放了哪些對外端口以及端口對應的服務�����,一般端口掃描器還具有主機狀態(tài)掃描功能�����。典型的端口掃描工具包括Nmap����、Super Scan等?���?梢源媸褂孟到y(tǒng)自帶的命令對系統(tǒng)開放端口/服務的檢查,也可以檢查經(jīng)過安全設備或軟件保護后的主機對外端口�����。端口掃描類型主要是TCP端口掃描����,為躲避安全設備對掃描工具的攔截和監(jiān)控��,掃描工具開發(fā)者還設計了秘密掃描���、慢速掃描��、亂序掃描等端口掃描技術(shù)�����。
(3)漏洞掃描工具:通過端口掃描得知目標主機開啟的端口以及對應的服務后�,利用漏洞掃描工具進行進一步的探測,包括主機系統(tǒng)的版本號�、系統(tǒng)信息、系統(tǒng)文件�����、應用配置信息等���,將這些信息與漏洞掃描工具提供的漏洞庫進行匹配�,查看是否有滿足匹配條件的漏洞存在����。常見的漏洞掃描工具均包含了端口掃描工具,同時也包含了大量已有主機漏洞的檢查策略。
(4)滲透測試工具:提供用于針對主機開展?jié)B透性測試工作的工具包�����,包括字典攻擊�����、暴力破解�����、緩沖區(qū)溢出�、腳本注入、拒絕服務�����、木馬植入等攻擊工具�����,通過模擬黑客的攻擊手法�,以入侵者的思維與技術(shù),模擬可能被利用的漏洞途徑��,發(fā)現(xiàn)隱藏的安全隱患,驗證主機漏洞是否真實存在���。
(5)主機安全配置核查工具:對系統(tǒng)各類安全策略的配置情況進行自動檢查��,包括日志策略��、審計策略、用戶身份鑒別策略��、訪問控制策略��、數(shù)據(jù)備份策略����、應用服務開啟配置等,使用工具代替人工記錄各類系統(tǒng)檢查命令的執(zhí)行結(jié)果��,并對結(jié)果進行自動分析�,如安全配置核查系統(tǒng)(BVS)。
二�����、主機安全測評的實施
按照操作系統(tǒng)��、數(shù)據(jù)庫管理系統(tǒng)和虛擬化軟件這三類重點的主機測評對象分類,詳細介紹針對主機安全的身份鑒別��、安全標記�����、訪問控制�����、可信路徑��、安全審計��、剩余信息保護���、入侵防范����、惡意代碼防范���、資源控制等方面的測評過程�。
主機安全測評需要綜合采用訪談�、檢查和測試的測評方式���。其中,訪談通常是首先開展的工作�。應在測評方與被測評方充分溝通的基礎(chǔ)上,確定訪談的計劃安排�����,包括訪談部門�����、訪談對象�����、訪談時間及訪談配合人員等��。在主機安全訪談過程中�����,測評方應確保所訪談的信息能滿足主機安全測評的信息采集要求����,如果有信息遺漏的情況,可以安排進行補充訪談���,確保能獲取到所需要的信息�����。測評方應填寫資料接收單��,并做好資料的安全保管�����。主機安全訪談中的主機情況調(diào)查至少應包括主機的名稱����、品牌�����、型號�、物理位置、IP地址���、系統(tǒng)版本/補丁�、承載的業(yè)務應用、重要程度���、管理員等信息��,并根據(jù)具體的主機安全測評項進行擴充���。
(一)Windows服務器操作系統(tǒng)的測評實施
此處以Windows 2008 Server為例,說明如何實施主機安全測評����。其他版本的Windows服務器操作系統(tǒng)與其類似。
在針對操作系統(tǒng)訪談結(jié)果的基礎(chǔ)上��,應采用現(xiàn)場檢查和測試相結(jié)合的方式進行測評����。由于等級保護三級信息系統(tǒng)的重要性和廣泛代表性�����,這里以等級保護三級信息系統(tǒng)中的主機為例��,對操作系統(tǒng)的測評實施進行描述��。其他等級系統(tǒng)中的主機可根據(jù)對應級別的基本要求,參照此內(nèi)容進行調(diào)整���,以滿足自身的安全測評需求�。
1��、身份鑒別機制測評
(1)檢查系統(tǒng)是否對登錄用戶進行了身份標識和鑒別�。可在命令提示符中輸入“net user”或運行“l(fā)usrmgr.msc”檢查用戶標識符列表�,檢查系統(tǒng)是否提供了身份標識。通過模擬登錄的方式�,檢查登錄過程中系統(tǒng)賬號是否進行登錄驗證。
(2)檢查系統(tǒng)口令是否有復雜度和定期更換的要求��?���?稍凇氨镜亟M策略編輯器”中依次打開“計算機配置”→“Windows設置”→“安全設置”→“賬戶策略”→“密碼策略”,查看被測主機操作系統(tǒng)的密碼復雜性要求���、密碼長度最小值和密碼最長使用期限等設置情況�����。
(3)檢查系統(tǒng)是否啟用了登錄失敗處理功能���??蛇M入“本地組策略編輯器”��,依次打開“計算機配置”→“Windows設置”→“安全設置”→“賬戶策略”→“賬戶鎖定策略”����,查看被測主機操作系統(tǒng)的賬戶鎖定閾值和賬戶鎖定時間。
(4)檢查遠程管理是否具備防竊聽措施���。對于采用了遠程管理的操作系統(tǒng)����,可打開“控制面板”���,依次進入“管理工具”→“遠程桌面服務”→“遠程桌面會話主機配置”→“RDP-TCP屬性”→“常規(guī)”�,查看“安全層”是否選擇了SSL��。
(5)檢查用戶名是否具有唯一性�,是否存在過期或多余的用戶名�����。可進入DOS命令提示符����,輸入“l(fā)usrmgr.msc”并按“回車”,單擊“用戶”�,查看其中的用戶名是否具有唯一性,并查看是否存在過期或多余的用戶名�����。
(6)檢查是否采用了2種或以上組合的鑒別技術(shù)對管理用戶進行身份鑒別����。以遠程方式登錄主要服務器操作系統(tǒng),查看身份鑒別是否采用2個或以上身份鑒別技術(shù)的組合來進行身份鑒別����。通過本地控制臺管理主機設備操作系統(tǒng),查看是否采用2種或以上身份鑒別技術(shù)�����。結(jié)合訪談和文檔查閱的結(jié)果進行綜合判定�。
(7)測試用戶口令是否易被破解����。使用fgdump工具提取服務器的SAM文件���,使用John the Ripper(Windows版)嘗試破解登錄口令��,嘗試用破解出的口令登錄服務器��。
(8)測試系統(tǒng)是否存在認證方式可被繞過的漏洞���。使用nc監(jiān)聽端口,利用ms06040rpc.exe漏洞溢出工具對目標主機進行溢出攻擊����,查看nc界面確認溢出是否成功獲得操作系統(tǒng)的控制權(quán)限。
2�、訪問控制機制測評
(1)檢查是否啟用了訪問控制功能。訪談系統(tǒng)管理員����,了解操作系統(tǒng)是否配置了操作系統(tǒng)的安全策略;進入“控制面板”→“管理工具”→“服務”�,查看“遠程桌面服務”是否關(guān)閉;檢查Administrators組中的用戶�����,查看是否有普通用戶�、應用賬戶等非管理員賬戶屬于管理員組;檢查重要文件夾的用戶訪問權(quán)限�,查看系統(tǒng)是否對重要文件的訪問權(quán)限進行了限制,特別是users組和Administrator組對重要是否對重要文件的訪問權(quán)限進行了限制�,特別是users組和Administrator組對重要文件夾訪問權(quán)限的區(qū)別(訪問權(quán)限分為完全控制、修改�、讀取和運行、讀取���、寫入等)���;使用DOS命令行模式下的“net share”,檢查是否存在默認共享文件�,包括所有的邏輯盤(C$,D$�,E$…)、系統(tǒng)目錄Windows(admin$)以及命名管道資源(IPC$)���;使用注冊表編輯器���,依次打開“HKEY_LOCAL_MACHINE”→“SYSTEM”→“Current Control Set”→“Control”→“Lsa”�,查看“restrictanonymous”的值是否為1���,以檢查共享是否開啟����。
(2)檢查是否為不同的用戶指派不同的權(quán)限���,并實現(xiàn)管理用戶的權(quán)限分離和最小權(quán)限原則���。進入“控制面板”→“管理工具”→“本地安全策略”→“安全設置”→“本地策略”→“用戶權(quán)限分配”,查看“安全設置”一欄中是否設置了不同的用戶���。
(3)檢查是否嚴格限制了默認賬戶的訪問權(quán)限���,重命名系統(tǒng)默認賬戶并修改默認口令。進入“控制面板”→“管理工具”→“計算機管理”→“系統(tǒng)工具”→“本地用戶和組”→“用戶”�����,右擊“Guest”選擇“屬性”��,檢查操作系統(tǒng)中匿名/默認用戶的訪問權(quán)限是否已被禁用或者嚴格限制��;進入“控制面板”→“管理工具”→“計算機管理”→“系統(tǒng)工具”→“本地用戶和組”→“用戶”,檢查默認用戶名Administrator是否重命名�����。
(4)檢查是否對重要信息資源設置了敏感標記及標記方法���。主要通過訪談和文檔查閱的方式。
(5)檢查是否依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作����。主要通過訪談和文檔查閱的方式,檢查是否對敏感標記進行策略設置����,是否對敏感標記進行分類,是否對敏感標記設定了訪問權(quán)限����。
(6)檢查是否存在不必要的服務??墒褂枚丝趻呙韫ぞ邔Σ僮飨到y(tǒng)進行掃描或使用telnet等命令來探測主機是否開放了不必要的服務,如Web����、FTP等�����。
(7)檢查所有進出操作系統(tǒng)的網(wǎng)絡訪問是否得到了有效控制��?����?墒褂谩癷pconfig”命令查看網(wǎng)卡配置�����,使用“route print”命令查看路由配置����,以判斷操作系統(tǒng)在網(wǎng)絡中的訪問路徑��。
3����、安全審計機制測評
(1)檢查是否啟用了安全審計功能以及審計覆蓋范圍。在 DOS 命令提示符下輸入secpol.msc��,依次進入“安全設置”→“本地策略”→“審核策略”,查看審核策略的安全設置是否設置為“成功�����,失敗”��,以覆蓋各類重要安全事件�。
(2)檢查審計日志配置是否符合安全要求。依次進入“控制面板”→“管理工具”→“服務器管理器”→“診斷”→“事件查看器”→“Windows日志”�����,右擊“安全”選擇“屬性”����,查看審計日志的存儲路徑��、日志最大大小����、日志覆蓋策略等信息。
(3)檢查事件記錄的內(nèi)容����,判斷審計內(nèi)容是否包括事件的日期、時間��、類型、主客體標識�����、結(jié)果等信息��。依次進入“控制面板”→“管理工具”→“服務器管理器”→“診斷”→“事件查看器”���,查看事件記錄的具體內(nèi)容�����。
(4)檢查是否為授權(quán)用戶提供了瀏覽和分析審計記錄的功能��,是否可以根據(jù)需要自動生成不同格式的審計報表�����。通過訪談��、文檔查閱�,結(jié)合Windows系統(tǒng)服務器管理器中的事件查看器���,判斷系統(tǒng)是否具備上述功能�,或提供了相應的審計工具。
(5)檢查是否對審計進程進行了保護�����,避免受到未預期的中斷��。通過訪談和文檔查閱���,檢查主要服務器操作系統(tǒng)����、重要終端操作系統(tǒng)是否可通過非審計員的其他賬戶試圖中斷審計進程�,判斷檢查審計進程是否受到保護以及是否有相應的審計保護工具�����。
(6)檢查是否對審計記錄進行了保護�,避免受到未預期的刪除、修改或覆蓋����。通過訪談和文檔查閱,檢查是否有對審計記錄的存儲、備份和保護的措施�����,檢查是否有日志服務器�。以普通賬號登錄操作系統(tǒng),執(zhí)行刪除系統(tǒng)審計記錄的操作�,查看系統(tǒng)是否顯示日志無法刪除,表明審計記錄受到保護��。
4���、剩余信息保護機制測評
(1)檢查系統(tǒng)用戶鑒別信息所在的存儲空間(包括硬盤和內(nèi)存)���,被釋放或再分配給其他用戶前是否得到了完全清除。打開“本地安全策略”→“安全設置”→“本地策略”→“安全選項”���,查看“不顯示最后的用戶名”是否已啟用����,結(jié)合針對系統(tǒng)管理員的訪談結(jié)果進行判斷��。
(2)檢查系統(tǒng)內(nèi)的文件�、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間����,被釋放或重新分配給其他用戶前是否得到了完全清除�。通過訪談和文檔查閱,檢查主要操作系統(tǒng)維護操作手冊中是否明確文件��、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前的處理方法和過程�;打開“本地安全策略”→“安全設置”→“本地策略”→“安全選項”,查看“關(guān)機清除虛擬內(nèi)存頁面文件”是否已啟用���;打開“本地安全策略”→“安全設置”→“賬戶策略”→“密碼策略”��,查看“用可還原的加密來存儲密碼”選項是否已啟用���。
5、入侵防范機制測評
(1)檢查系統(tǒng)是否能夠檢測到嚴重的入侵行為�����,是否能夠記錄入侵的源 IP��、攻擊類型��、攻擊目標�����、攻擊時間���,并在發(fā)生嚴重入侵事件時提供報警����。具體包括系統(tǒng)是否采取了入侵防范措施��,是否安裝了主機入侵檢測軟件或第三方入侵檢測系統(tǒng)�����,是否有入侵檢測記錄�����,系統(tǒng)管理員是否經(jīng)常查看日志����。
(2)檢查系統(tǒng)是否能夠?qū)χ匾绦虻耐暾赃M行檢測,并在檢測到完整性受到破壞后具有恢復的措施��。通過訪談和文檔查閱的方式���,檢查系統(tǒng)是否提供對重要程序的完整性進行檢測��,是否使用了文件完整性檢查工具對重要文件的完整性進行檢查����,是否對重要的配置文件進行了備份。
(3)檢查操作系統(tǒng)是否遵循了最小安裝原則��。進入“控制面板”→“所有控制面板項”→“管理工具”→“服務”��,檢查系統(tǒng)已安裝的服務���,結(jié)合訪談和文檔查閱的方式�����,判斷系統(tǒng)是否僅安裝了必要的組件和應用程序����,是否啟動了不必要的服務�,如 Alerter、Remote Registry Service���、Messenger等�。
(4)檢查系統(tǒng)是否設置了升級服務器保證及時更新補丁��。進入“控制面板”→“卸載程序”→“查看已安裝的更新”�����,查看所安裝的補丁名稱���、安裝時間等信息���,判斷操作系統(tǒng)補丁是否及時安裝,結(jié)合訪談和文檔查閱方式��,檢查是否設置了專門的升級服務器��,實現(xiàn)對操作系統(tǒng)補丁的升級�����,如WSUS服務器�����。
(5)檢查是否開啟了不必要的端口����。在命令提示符下輸入“netstat -an”查看本機各端口的網(wǎng)絡連接情況����,查看是否存在處于“LISTENING”狀態(tài)的端口����,關(guān)閉其中不必要的服務。
(6)測試系統(tǒng)是否能及時檢測到攻擊行為����。使用掃描工具對目標主機進行掃描攻擊,查看入侵防范系統(tǒng)是否及時報警并記錄攻擊信息�。
6、惡意代碼防范機制測評
(1)檢查是否安裝防惡意代碼軟件��,并及時更新軟件版本和惡意代碼庫����。查看任務欄和隱藏的圖標,查看防病毒軟件是否處于開啟狀態(tài)�����,結(jié)合訪談和文檔查閱方式,判斷系統(tǒng)是否采取惡意代碼實時檢測與查殺措施����,并檢查病毒庫的更新方法��。
(2)檢查主機防惡意代碼產(chǎn)品是否具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫�。通過訪談和文檔查閱方式,檢查兩者惡意代碼庫的區(qū)別�����。
(3)檢查是否支持防惡意代碼的統(tǒng)一管理�����。通過訪談和文檔查閱方式�,檢查防惡意代碼產(chǎn)品是否具有統(tǒng)一的管理平臺,是否采用了統(tǒng)一的病毒更新策略和病毒查殺策略���。
7�、資源控制機制測評
(1)檢查是否通過設定終端接入方式����、網(wǎng)絡地址范圍等條件限制終端登錄。打開“控制面板”→“查看網(wǎng)絡狀態(tài)和任務”→“本地連接”→“屬性”→“Internet協(xié)議版本4”并單擊“屬性”→“高級”→“選項”→“TCP/IP篩選”查看是否對端口進行了限制;打開“開始”→“管理工具”→“本地安全策略”→“IP安全策略”����,查看是否使用了IP安全策略來實現(xiàn)對遠程訪問的地址限制;打開“開始”→“管理工具”→“高級安全Windows防火墻”�,查看防火墻策略配置,判斷內(nèi)置防火墻是否能夠?qū)Τ稣?����、入站通信進行雙向過濾�;結(jié)合訪談和文檔查閱,判斷系統(tǒng)是否設定了終端接入方式�、網(wǎng)絡地址范圍等條件限制終端登錄,是否有硬件防火墻限制終端接入�����、網(wǎng)絡地址范圍等�����。
(2)檢查是否根據(jù)安全策略設置了登錄終端的操作超時鎖定�����。進入“控制面板”→“顯示”→“更改屏幕保護程序”,查看“在恢復時顯示登錄屏幕”是否已勾選以及等待時間的設置情況��,判斷系統(tǒng)是否設置了屏幕鎖定���;在DOS命令行模式下輸入“gpedit.msc”打開“組策略”���,進入“計算機配置”→“管理模板”→“Windows 組件”→“遠程桌面服務”→“遠程桌面會話主機”→“會話時間限制”���,查看是否設置了達到時間限制時終止會話���;同時按下“Ctrl+Alt+Delete”鍵,打開“Windows任務管理器”→“性能”→“資源監(jiān)視器”�,查看系統(tǒng)是否資源進行了監(jiān)視,包括主機的CPU�、硬盤、內(nèi)存���、網(wǎng)絡等資源的使用情況����;結(jié)合訪談和文檔查閱���,檢查系統(tǒng)管理員是否經(jīng)常查看“系統(tǒng)資源監(jiān)控器”���,是否有相關(guān)工具實現(xiàn)登錄終端的操作超時鎖定要求���。
(3)檢查是否限制單個用戶對系統(tǒng)資源的最大或最小使用限度。通過訪談和文檔查閱�,檢查是否通過安全策略設置了單個用戶對系統(tǒng)資源的最大或最小使用限度;打開“計算機”���,右擊要為其啟用磁盤配額的磁盤分區(qū)�����,“屬性”→“配額”→“配額項”�,查看系統(tǒng)是否設置了用戶對磁盤的使用配額�。
(4)檢查是否使用了第三方軟件來監(jiān)控操作系統(tǒng)資源使用情況,并能夠在操作系統(tǒng)資源使用異常時提供報警�。
(二)Windows終端操作系統(tǒng)的測評實施
Windows終端與Windows服務器的測評內(nèi)容相類似,但由于終端不直接對外提供網(wǎng)絡服務�����,因此面臨的安全威脅也相對較少���。此處�,以Windows 7為例,說明如何實施針對Windows終端操作系統(tǒng)的安全測評�����。其他版本的Windows操作系統(tǒng)與其類似����。
1、身份鑒別機制測評
(1)通過“開始”→“控制面板”→“管理工具”→“本地安全策略”→“賬戶策略”→“密碼策略”檢查密碼策略配置情況���,包括密碼符合復雜性要求、密碼長度要求����、密碼使用期限、密碼加密存儲等�����。
(2)通過“開始”→“控制面板”→“管理工具”→“本地安全策略”→“賬戶策略”→“賬戶鎖定策略”檢查賬戶鎖定策略配置情況�,包括賬戶鎖定時間、賬戶鎖定閾值����、賬戶重置時間等�。
(3)檢查是否重命名Administrator賬戶和禁用Guest賬戶��。通過“開始”→“控制面板”→“管理工具”→“計算機管理”→“本地用戶和組”→“用戶”進行查看�����。
2���、訪問控制機制測評
(1)檢查是否存在多余賬戶���,賬戶權(quán)限分配是否合理。查看操作系統(tǒng)中存在哪些可登錄賬戶����,詢問各賬戶用途,判斷是否存在多余賬戶����。選擇各在用賬戶,右擊查看賬戶屬性����,看賬戶隸屬于哪些組���,根據(jù)賬戶用途判斷所賦予權(quán)限是否合理。
(2)對重要系統(tǒng)文件和數(shù)據(jù)文件權(quán)限的查看���、默認共享配置的查看����、“用戶權(quán)限分配”和“安全選項”的查看��、網(wǎng)卡和路由配置查看等方法與Windows服務器操作系統(tǒng)相同���,在測評過程中需要逐一關(guān)注�。
3����、安全審計機制測評
(1)檢查操作系統(tǒng)審計策略配置情況�����。通過“開始”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“審核策略”�����,查看操作系統(tǒng)審計策略配置是否齊全,具體內(nèi)容與Windows服務器相同��。
(2)檢查系統(tǒng)審計日志����。通過“開始”→“控制面板”→“管理工具”→“計算機管理”→“事件查看器”→“Windows 日志”,查看安全管理員是否定期對各類日志進行查看和分析�����;日志可追溯的時間范圍是否達到安全策略要求��,通過定期備份日志等方式防止日志可追溯時間不足和未預期刪除日志等事件發(fā)生�,具體內(nèi)容與Windows服務器相同。
4���、資源控制機制測評
檢查系統(tǒng)是否設置了需輸入密碼的屏幕保護程序��。通過在桌面空白處右擊�,選擇“個性化”→“屏幕保護程序”�����,查看是否勾選了“在恢復時顯示登錄屏幕”及設定的等待時間�����。
(三)Linux操作系統(tǒng)的測評實施
此處以Cent OS、Redhat Linux和中標麒麟等典型的Linux操作系統(tǒng)為例��,說明如何實施主機安全測評�����。其他版本的Linux操作系統(tǒng)與其類似�����。
此處仍然依據(jù)等級保護三級信息系統(tǒng)的主機安全要求��,其他等級系統(tǒng)中的主機可根據(jù)對應級別的基本要求���,參照此內(nèi)容進行調(diào)整�,以滿足自身的安全測評需求���。
1、身份鑒別機制測評
(1)檢查是否存在空口令的賬戶�。使用“cat”命令打開“ /etc/shadow”文件,查看各個可登錄用戶的口令字段是否為空��,謹防賬戶設置空密碼。
(2)檢查是否設置了口令長度和有效期要求�����。訪談系統(tǒng)管理員�,詢問是否對操作系統(tǒng)用戶登錄的口令設置一定的復雜度,口令應包含大小寫字母�����、數(shù)字和特殊字符��,長度8位以上�;使用“cat”命令查看“/etc/login.defs”文件,檢查PASS_MIN_LEN變量的設置情況����,確認口令最小長度是否符合安全要求;檢查“l(fā)ogin.defs”文件中 PASS_MAX_DAYS 變量和PASS_MIN_DAYS變量的設置情況�,確認是否符合口令有效期要求。
(3)檢查是否設置登錄超時注銷功能�。使用“cat”命令查看“/etc/profile”文件(cat/etc/profile |grep TMOUT),檢查是否對TMOUT變量進行設置����,如果命令的輸出結(jié)果為空���,表明系統(tǒng)沒有設置登錄超時注銷功能。
(4)檢查是否設置登錄失敗鎖定策略��。使用“cat”命令查看“/etc/pam.d/system-auth”文件�,檢查是否設置了“auth required”,并配置了deny和unlock_time參數(shù)�,用于防止非法訪問者對賬戶信息進行暴力破解嘗試。
(5)檢查是否有其他用戶擁有root權(quán)限����。使用“cat”命令查看“/etc/passwd”文件,命令格式如下圖所示�����。從下圖可以看出執(zhí)行結(jié)果只有root用戶�����,表明只有root用戶具有root權(quán)限����,符合安全要求。
檢查具有root權(quán)限的用戶情況
(6)檢查系統(tǒng)是否提供了不安全的登錄方式�����,例如telnet�����,rlogin等�。這些登錄方式在傳輸用戶名和口令時未進行加密,用戶鑒別信息有可能被惡意人員截獲����,可使用“service--status-all|grep running”命令查看在運行的服務中有無telnet和rlogin服務。
2���、訪問控制機制測評
(1)檢查是否運行了不必要的系統(tǒng)服務��。使用“chkconfig”命令輸出系統(tǒng)所有服務��,篩選出處于開啟狀態(tài)的服務�����,查看是否存在不必要的系統(tǒng)服務如bluetooth����、cups、isdn等����。
(2)檢查是否使用了ssh代替telnet進行遠程管理。使用“ps”命令輸出所有進程的運行狀態(tài)��,篩選出sshd進程的信息����,查看sshd進程是否分配了PID,以確認sshd服務進程正在運行�。
(3)檢查是否存在所有用戶都可寫的目錄,命令格式如下圖所示����。從下圖中可以看出存在所有系統(tǒng)用戶都可寫的目錄。
檢查是否存在所有用戶都可寫的目錄
(4)檢查匿名/默認用戶的訪問權(quán)限是否已被禁用或者嚴格限制�����。Linux操作系統(tǒng)中存在很多默認賬戶�����,如bin、daemon���、adm、lp����、mail、ftp等�����,這些賬戶默認是不能直接登錄系統(tǒng)的�,可使用“cat”命令查看“/etc/passwd”文件,查看每個匿名/默認用戶的最后一個字段值是否設置為/sbin/nologin����,或使用cat命令查看“/etc/shadow”文件,查看默認賬戶的密碼字段是否為*����、!��!或�����!。
(5)檢查是否合理設置了重要文件的讀寫權(quán)限��??墒褂谩發(fā)s-l”命令查看重要系統(tǒng)文件的訪問權(quán)限,包括/etc目錄下的shadow����、passwd、profile�、hosts.deny、hosts.allow����、syslog.conf、services等��,/etc/ssh/目錄下的sshd_config����,/etc/audit目錄下的auditd.conf、audit.rules���,/var/log目錄下的各日志文件等���。
(6)檢查是否禁止root賬戶遠程登錄��。由于默認root賬戶具有所有權(quán)限�,一旦被惡意攻擊者掌握��,后果將不堪設想�����,因此建議禁止root賬戶直接遠程登錄�����,通過設置專用登錄賬戶�����,然后使用“su root”命令切換至root賬戶的方法進行遠程管理��。該設置位于“/etc/ssh/ssd_config”文件中�,檢查文件中Permit Root Login參數(shù)是否設置為“no”�,并將注釋符“#”去除。
3���、安全審計機制測評
(1)檢查系統(tǒng)是否運行了審計相關(guān)的服務進程syslogd和auditd��。使用“service”命令查看系統(tǒng)中正在運行的服務�,查看syslogd和auditd是否分配了PID,并確認2個進程正在運行中�����。
(2)檢查審計策略是否合理設置���。審計策略配置情況需要查看配置文件�����,其中����,“syslog”日志配置位于“/etc/rsyslog.conf”文件中��,audit審計策略配置位于“etc/audit/audit.rules”文件中��。
(3)檢查是否設置了日志文件的訪問權(quán)限����。使用“l(fā)s-l”命令顯示“/var/log/syslog”文件的詳細信息�����,查看是否只有管理賬戶root對syslog日志文件有讀寫權(quán)�����,其他賬戶對該文件沒有任何權(quán)限����;可使用系統(tǒng)中其他用戶身份嘗試讀取syslog日志文件�,查看是否被禁止訪問�。
(4)檢查系統(tǒng)日志的存放位置。日志文件默認存放在/var/log目錄下���,使用ls命令查看該目錄下的所有日志文件����。
(5)檢查審計子系統(tǒng)是否正常工作���。在系統(tǒng)上以某個用戶試圖產(chǎn)生一些重要的安全相關(guān)事件(如鑒別失敗等)��,檢查安全審計的覆蓋情況和記錄情況與要求是否一致��。
(6)檢查審計記錄的保護措施是否有效��。在系統(tǒng)上以某個系統(tǒng)用戶試圖刪除�、修改或覆蓋審計記錄,檢查安全審計的保護情況與要求是否一致���。
4�、剩余信息保護機制測評
(1)檢查用戶目錄下的登錄歷史文件是否有異常操作記錄���。查看“.bash_history”文件�,檢查該文件中是否存在“sudo su root”這樣的命令��,如果有�,則表明普通用戶使用“su”命令進行過用戶身份切換。
(2)檢查錯誤的提示信息是否會泄露系統(tǒng)信息����。使用錯誤的口令嘗試登錄系統(tǒng),查看系統(tǒng)給出的錯誤提示信息中是否包含了賬戶或系統(tǒng)的敏感信息從而導致信息泄露���。
5�、入侵防范機制測評
(1)檢查所安裝的系統(tǒng)組件和應用程序是否必須,多余服務是否已禁用�。使用“chkconfig”指令顯示系統(tǒng)的各種服務,并終止不必要的服務�,如chargen-dgram、chargen-stream�、cvs、daytime-dgram���、daytime-stream等��。
(2)檢查系統(tǒng)補丁是否及時更新����。使用“rpm-aq”命令查看系統(tǒng)中所有已安裝的軟件包���,檢查是否存在未及時更新的部分。
6���、惡意代碼防范機制測評
針對Linux操作系統(tǒng)的惡意代碼防范機制����,測評內(nèi)容與Windows服務器操作系統(tǒng)的內(nèi)容相同�。
7、資源控制機制測評
(1)檢查是否限制了服務器的訪問地址。使用“cat”命令查看操作系統(tǒng)的相關(guān)配置文件����,包括/etc/hosts.allow和/etc/hosts.deny,查看是否有允許訪問或禁止訪問的主機地址����。
(2)檢查系統(tǒng)的防火墻配置策略是否合理。防火墻安全配置中可以根據(jù)協(xié)議��、端口和 IP地址等進行訪問限制���,并可以對ICMP協(xié)議包進行過濾��,可使用“iptables -L”命令查看Linux系統(tǒng)內(nèi)置的iptables防火墻的策略配置情況����。
(3)檢查是否對CPU���、內(nèi)存���、硬盤等資源的訪問進行了合理限制。使用“ulimit -a”指令顯示當前對各種資源的使用限制信息���。在測試中也可以檢查是否部署了專用的資源監(jiān)控軟件�,以實時監(jiān)控主機資源使用情況,查看監(jiān)控軟件管理控制臺是否能夠?qū)χ鳈C的CPU�、硬盤、內(nèi)存���、網(wǎng)絡等使用情況進行實時顯示�,能否設置各類資源使用情況的報警閾值�����,在主機資源使用異常時進行報警����。
(4)檢查是否設置了超時鎖定機制。使用“cat”命令查看“/etc/profile”文件中是否對TMOUT變量進行了設置��,確認超時鎖定的時間是否合理�����。
(四)Mac OS X系統(tǒng)的測評實施
1�、身份鑒別機制測評
(1)檢查是否設置了登錄密碼��。打開“系統(tǒng)偏好設置”,選擇“個人”→“安全性與隱私”����,查看是否勾選了“已經(jīng)給此用戶設定登錄密碼”以及“停用自動登錄”選項。
(2)檢測密碼強度�。在Mac OS X操作系統(tǒng)中,不強制為賬戶設置復雜密碼��,但可以通過檢測得知所設密碼的安全程度���。在“系統(tǒng)偏好設置”→“系統(tǒng)”→“用戶與群組”中為賬戶更改密碼時����,單擊新密碼右側(cè)的鑰匙圖標(即密碼助理)���,檢查當前所設密碼的安全程度及建議���。
(3)檢查是否設置了屏幕鎖定。打開“應用程序”→“實用工具”→“鑰匙串訪問”�,點擊選擇菜單中的“偏好設置”→“通用”,查看是否勾選“在菜單欄中顯示狀態(tài)”選項����,此時在桌面邊欄中即可出現(xiàn)小鎖圖標�,單擊小鎖圖標�����,選擇“鎖定屏幕”即可實現(xiàn)鎖屏����。
(4)檢查是否設置了屏幕保護后的使用限制。打開“系統(tǒng)偏好設置”���,選擇“個人”→“安全性與隱私”��,查看是否勾選了“進入睡眠或開始屏幕保護程序后要求輸入密碼”��,并確認所設置的啟動時間是否合適���。
(5)檢查是否禁用root賬戶。默認情況下����,Mac OS X操作系統(tǒng)的超級賬戶——root處于禁用狀態(tài),若無必要不建議將其啟用����。
2、訪問控制機制測評
(1)檢查系統(tǒng)中是否存在無用的賬戶��,是否存在多人共用賬戶的情況�����。選擇“系統(tǒng)偏好設置”→“系統(tǒng)”→“用戶與群組”���,查看系統(tǒng)中已設置的賬戶���。Mac OS X操作系統(tǒng)中除擁有超級管理權(quán)的賬戶root外,其他賬戶類型分為“管理員”�����、“普通”�����、“僅限共享”�、“客人用戶”等。其中�����,“管理員”賬戶可以創(chuàng)建、刪除和修改賬戶���、安裝軟件����、更改系統(tǒng)設置��,以及更改其他用戶的設置���。測評過程中����,需要關(guān)注可用賬戶的類型���,并詢問管理員每個賬戶的用途��,從而判斷賬戶授權(quán)情況是否合理���,應僅授予每個用戶工作所需最小權(quán)限,以免越權(quán)訪問��。
(2)檢查是否使用了File Vault加密個人文件夾中的文件。File Vault為個人文件夾創(chuàng)建獨立的宗卷并采用128位密鑰的算法(AES-128)加密其內(nèi)容�。因此,當終端上保存有敏感信息時���,應考慮開啟File Vault。選擇“系統(tǒng)偏好設置”→“個人”→“安全性與隱私”→“File Vault”��,查看相關(guān)的配置情況�����。
(3)檢查是否開啟了系統(tǒng)自帶的防火墻功能���,防止來自互聯(lián)網(wǎng)或其他網(wǎng)絡的不必要的訪問��,實現(xiàn)僅允許外部連接終端中指定的應用程序和服務�����。防火墻的設置位置:“系統(tǒng)偏好設置”→“個人”→“安全性與隱私”→“防火墻”��。
(4)檢查系統(tǒng)開啟的共享�����。Mac OS X操作系統(tǒng)的共享設置位于:“系統(tǒng)偏好設置”→“Internet與無線”→“共享”中��,包含“文件共享”“打印機共享”“遠程登錄”“遠程管理”等����。測評過程中需要查看被測終端開啟了哪類共享,詢問開啟用途�,避免開啟不必要共享給系統(tǒng)帶來的風險。
3��、安全審計機制測評
檢查系統(tǒng)記錄的日志類型和日志文件內(nèi)容�。Mac OS X操作系統(tǒng)默認能夠記錄“電源管理日志”“診斷信息”“打印機訪問日志”“應用程序防火墻日志”“文件系統(tǒng)修復日志”“內(nèi)核日志”“系統(tǒng)事件日志”等。通過“應用程序”→“實用工具”→“控制臺”可查看日志內(nèi)容�。測評時應詢問管理員對日志的查看和分析情況。
(五)iOS系統(tǒng)的測評實施
1�����、身份鑒別機制測評
(1)檢查密碼設置情況����。單擊“工具”→“設置”→“密碼”,進入“密碼鎖定”界面�,單擊“打開密碼”,進入“設置密碼”界面���,設置4位數(shù)字密碼�。在測評時需要查看在“密碼鎖定”界面中是否關(guān)閉“簡單密碼”,設置由數(shù)字和字母組成的密碼��;在“密碼鎖定”界面中單擊“更改密碼”可修改密碼��,在測評時查看修改密碼前是否需輸入舊密碼�����,且修改后的密碼不能與舊密碼一致��。
(2)檢查是否設置自動鎖定����。單擊“工具”→“設置”→“通用”→“自動鎖定”����,進入“自動鎖定”界面,查看是否設置操作空閑等待時間�����。超過該設置時間�,當前會話中斷,要求用戶重新輸入密碼方可進入系統(tǒng)管理界面。
(3)檢查是否啟用登錄失敗處理�。在“密碼鎖定”界面中查看是否開啟“抹掉數(shù)據(jù)”選項,在連續(xù)10次輸入錯誤密碼后�����,將抹掉此系統(tǒng)中所有數(shù)據(jù)��,且所有設置都會被還原����。
2、訪問控制機制測評
(1)檢查系統(tǒng)對應用程序的安裝��、使用����、刪除等操作的權(quán)限設置。單擊“設置”→“通用”→“訪問限制”����,進入“訪問限制”界面,查看是否啟用“訪問限制”功能�����,進入“設置密碼”界面,輸入訪問限制的密碼后�,可選擇允許或拒絕某些程序、內(nèi)容��、參數(shù)配置行為等��。在“訪問限制”界面中點擊“停用訪問限制”��,進入“關(guān)閉密碼”界面�,輸入訪問限制的密碼,可停用訪問限制功能�。
(2)檢查隱私保護功能是否啟用。隱私保護功能用于控制哪些應用程序可以訪問定位服務��、通信錄、日歷、提醒事項和照片等�。單擊“設置”→“隱私”→“定位服務”,進入“定位服務”界面�����,可設置阻止某些或所有應用程序和服務來使用“定位服務”����;單擊“設置”→“隱私”�����,進入“隱私”界面�,可以設置阻止應用程序和功能對通信錄�、日歷、提醒事項�����、照片��、藍牙共享等信息的訪問�。在系統(tǒng)測評過程中應檢查系統(tǒng)是否根據(jù)業(yè)務情況設置了訪問控制策略,僅授予各應用程序和功能所需的最小訪問權(quán)限�。
3、惡意代碼防范機制測評
由于iOS平臺對應用軟件的嚴格審核機制����,目前,針對iOS系統(tǒng)的惡意軟件數(shù)量較少�,但是隨著iOS智能移動終端的流行,應關(guān)注iOS系統(tǒng)上的惡意代碼防范技術(shù)的發(fā)展���。WireLurker是歷史上第一個能在未越獄iOS設備上安裝第三方軟件的惡意軟件��。Wire Lurkerer能夠收集各種用戶信息���,包括聯(lián)絡人和iMessages�,并且能向黑客發(fā)送升級請求�。在系統(tǒng)測評過程中可檢查iOS系統(tǒng)是否安裝并啟用了防惡意代碼軟件。
(六)Android系統(tǒng)的測評實施
1�����、身份鑒別機制測評
Android系統(tǒng)可設置為需成功解鎖設備后方可登錄系統(tǒng)����,也可以通過啟動屏幕鎖定功能來鎖定設備,單擊“設定”→“鎖定屏幕”→“屏幕鎖定”�,系統(tǒng)測評過程中,查看“選擇屏幕鎖”界面中是否設置了通過面部解鎖����、密碼����、PIN碼、圖案等方式解鎖設備��。Android系統(tǒng)也可使用SIM或USIM卡提供的PIN碼來鎖定設備,單擊“設定”→“安全”→“設置SIM卡鎖”→“鎖定SIM卡”�����,輸入PIN碼并選擇確定��。如果啟動SIM或USIM卡鎖����,必須在每次開機或進入需要PIN碼的應用程序時輸入PIN碼。測評中還應檢查登錄過程中是否需要解鎖設備進行登錄驗證�����。
2����、訪問控制機制測評
Android系統(tǒng)可設置密碼以加密保存在設備上的數(shù)據(jù),每次開機時必須輸入密碼解密數(shù)據(jù)��。單擊“設定”→“安全”��,在安全界面中單擊“加密設備”�,可對設備數(shù)據(jù)進行加密。測評中應訪談管理員系統(tǒng)是否有加密設備數(shù)據(jù)的需求���,如需要��,則檢查系統(tǒng)是否設置了上述加密設備選項����。
3、惡意代碼防范機制測評
Android 系統(tǒng)由于其開放性���,存在軟件安全方面的問題����,用戶很難辨別下載的軟件是否為惡意的病毒程序����,一旦用戶手機不小心安裝了惡意程序,就會面臨著個人隱私被泄露�����、手機系統(tǒng)遭破環(huán)等風險�,Android 系統(tǒng)可安裝防病毒軟件查殺已知的病毒。測評中應檢查系統(tǒng)是否安裝了相應的防病毒軟件�����。
(七)Oracle系統(tǒng)的測評實施
數(shù)據(jù)庫管理系統(tǒng)的安全保護策略實現(xiàn)了對數(shù)據(jù)庫管理系統(tǒng)本身和數(shù)據(jù)庫中數(shù)據(jù)的有效保護����。安全測評中對數(shù)據(jù)庫管理系統(tǒng)的現(xiàn)場檢查主要集中在身份鑒別、訪問控制����、安全審計、入侵防范和備份恢復等方面��。
1����、身份鑒別機制測評
Oracle系統(tǒng)在身份管理方面可能存在的問題主要包括部分用戶權(quán)限過大、不用用戶數(shù)據(jù)信息保密性差�、存在默認賬戶和口令等。針對Oracle系統(tǒng)身份鑒別機制的測評工作主要有以下方面���。
(1)通過訪談����,詢問是否設置有專門的安全管理員和數(shù)據(jù)庫管理員����。
(2)通過與管理員的訪談����,詢問是否為應用程序設置單獨的數(shù)據(jù)庫賬戶�,詢問數(shù)據(jù)庫的身份標識與鑒別機制采取何種措施實現(xiàn),目前系統(tǒng)提供了哪些身份鑒別措施和鑒別失敗處理措施�����。
(3)檢查是否存在空口令用戶���。使用SQL語句執(zhí)行查詢命令����,結(jié)果如下圖所示�����,可以看出有3個用戶的口令為空��,存在安全隱患��。
檢查是否存在空口令用戶
(4)檢查數(shù)據(jù)庫系統(tǒng)口令策略的配置情況���。進入$ORACLE_HOME/RDBMS/ADMIN目錄下查看“utlpwdmg”文件���,確認口令最長使用期限、嘗試口令次數(shù)限制等參數(shù)設置是否合理�����。
(5)檢查具有管理權(quán)限的用戶名單和擁有DBA角色的用戶����,確認這些用戶是否符合系統(tǒng)安全策略。
(6)查看public角色的權(quán)限���。創(chuàng)建test用戶����,然后賦予該用戶public角色權(quán)限���,然后登錄test并查看test用戶的所有權(quán)限��,確認是否符合系統(tǒng)安全策略�����。
(7)檢查數(shù)據(jù)庫中是否存在無用的����、測試的、廢棄的��、多余的賬戶�����。
2�、訪問控制機制測評
Oracle系統(tǒng)使用監(jiān)聽器保證客戶終端和服務器端的連接,監(jiān)聽器是Oracle基于服務器端的一種網(wǎng)絡服務���,主要監(jiān)聽客戶端向服務器端提出的連接請求���。Oracle監(jiān)聽器存在安全問題,如果不設置一定的安全措施�,遠程訪問用戶將可能關(guān)閉監(jiān)聽器。許多Oracle系統(tǒng)都存在監(jiān)聽器安全配置問題��,尤其是一些監(jiān)聽器根本沒有設置口令��。另外����,Oracle系統(tǒng)中一些網(wǎng)絡參數(shù)的調(diào)整將影響網(wǎng)絡層的性能�����。網(wǎng)絡參數(shù)調(diào)整涉及的文件包括如sqlnet.ora中的automatic_ipc參數(shù)�����、protocol.ora文件中的tcp.nodelay參數(shù)等。針對Oracle訪問控制機制的測評工作主要有如下4個方面����。
(1)檢查是否對外屏蔽了數(shù)據(jù)庫監(jiān)聽端口。通過在DOS命令下輸入“netstat -an”查看哪些端口處于開啟狀態(tài)��,檢查Oracle的默認端口1521是否處于“LISTENING”狀態(tài)���,是��,則表明服務器主機沒有對外屏蔽Oracle的監(jiān)聽端口�����。
(2)檢查是否為遠程客戶端登錄進行角色分配��。在 SQL Plus 中執(zhí)行 show parameter remote_os_roles���,如果顯示VALUE值為“FALSE”�����,表明沒有為遠程客戶端登錄進行角色分配�����。
(3)檢查是否對遠程連接訪問進行了認證及加密���。查看“sqlnet.ora”文件,以確認是否進行了遠程連接的認證及加密設置���。
(4)檢查是否存在監(jiān)聽器的安全問題��。嘗試使用空口令或弱口令連接監(jiān)聽器�����,驗證系統(tǒng)是否存在上述問題�。
3�����、安全審計機制測評
Oracle的審計功能為數(shù)據(jù)庫管理員提供了記錄和監(jiān)視數(shù)據(jù)活動的功能,一般用于對重要的數(shù)據(jù)庫活動進行監(jiān)視����,收集特定的對數(shù)據(jù)庫進行操作的信息。針對Oracle安全審計機制的測評工作主要有以下4個方面����。
(1)訪談數(shù)據(jù)庫管理員,詢問數(shù)據(jù)庫審計數(shù)據(jù)的備份策略及采取的相關(guān)安全措施�����。
(2)檢查審計功能是否開啟�。指令執(zhí)行結(jié)果示意如下圖所示����。從下圖中可以看出“audit_trail”的值為“DB”,表明審計功能已經(jīng)開啟��,如為“TRUE”同樣代表審計功能已經(jīng)開啟����。審計文件存放在D:APPLSADMINORCLADUMP文件夾下�����。
檢查審計功能是否開啟
(3)檢查安全審計的覆蓋范圍�,包括是否對所有用戶登錄數(shù)據(jù)庫的行為都進行了審計��,哪些用戶或角色擁有審計表的操作權(quán)限���,是否對相關(guān)安全屬性值的更改及撤銷操作進行了審計�。
(4)驗證安全審計機制的效果���。使用不同的用戶登錄數(shù)據(jù)庫系統(tǒng)并進行不同的操作�,查看審計記錄是否滿足要求��。
4�、入侵防范機制測評
Oracle數(shù)據(jù)庫入侵防范方面的測評主要集中在檢查數(shù)據(jù)庫版本、安裝配置情況等方面����,其中,部分內(nèi)容涉及對數(shù)據(jù)庫系統(tǒng)資源的限制和數(shù)據(jù)庫字典的保護�,都是為了實現(xiàn)有效防范入侵,因此將其統(tǒng)一歸為入侵防范機制�����。具體的測評工作有以下7個方面。
(1)訪談數(shù)據(jù)庫管理員��,詢問數(shù)據(jù)庫系統(tǒng)補丁安裝或版本升級情況����。
(2)檢查數(shù)據(jù)庫管理系統(tǒng)的版本。SQL語句執(zhí)行結(jié)果示意如下圖所示��,可以看出當前Oracle為11.2.0.1.0 企業(yè)版��。
檢查系統(tǒng)版本
(3)檢查是否安裝了最新的數(shù)據(jù)庫補丁�����。執(zhí)行“opatch”命令���,查詢當前OPatch版本,與Oracle網(wǎng)站公布的最新OPatch版本進行對比���。
(4)檢查程序文件存放路徑的訪問權(quán)限�,確認僅Oracle用戶對程序文件擁有所有權(quán)限����。
(5)檢查Oracle安裝路徑�,確認沒有安裝在系統(tǒng)分區(qū)上�����。
(6)檢查數(shù)據(jù)庫數(shù)據(jù)文件的存放路徑及訪問路徑�����,確認都存放在 ORADATAORCL目錄下����,并且僅Oracle用戶對數(shù)據(jù)文件有讀寫權(quán)限。
(7)其他入侵防范機制的檢查���,包括:檢查是否開啟了對系統(tǒng)資源的限制���,是否為歸檔模式,是否對數(shù)據(jù)庫字典進行保護��。
5����、備份恢復機制測評
相比操作系統(tǒng)和虛擬化軟件等系統(tǒng)軟件���,數(shù)據(jù)庫管理系統(tǒng)對于備份恢復機制的要求更為嚴格。針對Oracle數(shù)據(jù)庫系統(tǒng)應至少提供一份本地完全數(shù)據(jù)備份���,備份介質(zhì)要場外存放��,對重要的數(shù)據(jù)更應該能提供異地數(shù)據(jù)備份功能����,并利用通信網(wǎng)絡技術(shù)將關(guān)鍵數(shù)據(jù)定時批量的傳輸?shù)絺溆脠龅?��。針對備份恢復機制的測評工作主要有以下4個方面��。
(1)訪談數(shù)據(jù)庫管理員�,詢問現(xiàn)有的備份/恢復策略�����、備份方法�、備份情況和應急方案��。
(2)訪談數(shù)據(jù)庫管理員,詢問數(shù)據(jù)庫當前的容災能力情況���,如是否具有UPS電源�����、雙機熱備�����、集群機制��、均衡負載等�。
(3)檢查備份數(shù)據(jù)的安全性是否能得到保證����。如是否為本地備份、本地保存的冷/熱備份�,還是本地熱站備份或異地活動互援備份方式。
(4)檢查數(shù)據(jù)庫服務器的物理安全情況�,備份機也應該具有同樣的物理安全措施。
(八)SQL Server系統(tǒng)的測評實施
1��、身份鑒別機制測評
針對SQL Server數(shù)據(jù)庫管理系統(tǒng)的身份鑒別機制�����,安全測評工作主要有以下6個方面。
(1)通過訪談��,詢問是否設置有專門的安全管理員和數(shù)據(jù)庫管理員���。
(2)通過與管理員的訪談���,詢問是否為應用程序設置了單獨的賬戶。
(3)通過與管理員的訪談�,詢問是否在安裝SQL Server數(shù)據(jù)庫時為sa設置了復雜口令。
(4)訪談數(shù)據(jù)庫管理員����,詢問數(shù)據(jù)庫的身份標識與鑒別機制采取何種措施實現(xiàn),目前���,系統(tǒng)提供了哪些身份鑒別措施和鑒別失敗處理措施�。
(5)檢查是否存在禁用的guest賬號�。
(6)檢查用戶口令設置情況,如下圖所示�,確認是否存在空口令的用戶。
檢查用戶口令設置情況
2�����、訪問控制機制測評
SQL Server數(shù)據(jù)庫在訪問控制方面的測評內(nèi)容主要涉及數(shù)據(jù)庫終端非授權(quán)訪問����、不必要服務、默認端口等方面���。測評工作主要有以下5個方面�����。
(1)訪談管理員�,詢問終端訪問是否設置了超時鎖定功能���,如果超過時限則數(shù)據(jù)庫自動斷開連接�����,此項措施用于防止數(shù)據(jù)庫終端的非授權(quán)訪問���。
(2)檢查SQL郵件功能是否啟用。單擊“管理”→“SQL Server日志”→“數(shù)據(jù)庫郵件”���,查看“數(shù)據(jù)庫郵件配置向?qū)А笔欠駨棾觥笆欠褚獑⒂么斯δ堋睂υ捒颉?/span>
(3)檢查SQL Server使用的網(wǎng)絡協(xié)議��。單擊“開始”→“所有程序”→“Microsoft SQL Server 2012”→“配置工具”→“SQL Server 配置管理器”→“SQL Server 網(wǎng)絡配置”→“MSSQLSERVER的協(xié)議”�����,確認SQLServer使用的網(wǎng)絡協(xié)議為TCP/IP�。
(4)檢查是否啟用了強制協(xié)議加密。單擊“開始”→“所有程序”→“Microsoft SQL Server 2012”→“配置工具”→“SQL Server 配置管理器”→“SQL Server 網(wǎng)絡配置”→右擊“MSSQLSERVER的協(xié)議”選擇“屬性”�,查看“強行加密”后面的字段是否為“是”。
(5)測試強制協(xié)議加密是否生效�。通過使用網(wǎng)絡抓包工具進行數(shù)據(jù)分組分析,檢查口令或賬號等敏感信息是否存在明文傳輸情況�。
3、安全審計機制測評
SQL Server數(shù)據(jù)庫在安全審計方面的測評內(nèi)容主要涉及系統(tǒng)的審計級別設置�、日志記錄情況、日志目錄和日志文件的訪問權(quán)限設置等方面��。測評工作主要有以下2個方面�����。
(1)訪談管理員����,詢問數(shù)據(jù)庫審計數(shù)據(jù)的備份策略及采取的相關(guān)安全措施���。
(2)檢查登錄審核設置及審計級別。右擊“**-PC”�����,選擇“屬性”�����,單擊“安全性”��,從下圖中可以看出本數(shù)據(jù)庫僅對失敗的登錄做記錄�,“啟用C2審核跟蹤”選項已被勾選���,表明審計級別為二級�����。
檢查登錄審核設置及審計級別
(3)驗證安全審計機制的效果���。使用不同的用戶登錄數(shù)據(jù)庫系統(tǒng)并進行不同的操作,查看審計記錄是否滿足要求�����。
4、入侵防范機制測評
SQL Server數(shù)據(jù)庫在入侵防范方面的測評內(nèi)容主要涉及主機系統(tǒng)及補丁安裝情況����、數(shù)據(jù)庫版本、不必要的存儲過程等方面�,測評工作主要包括以下3個方面。
(1)訪談數(shù)據(jù)庫管理員��,詢問數(shù)據(jù)庫系統(tǒng)補丁安裝或版本升級情況��。
(2)檢查數(shù)據(jù)庫版本����,并與官方網(wǎng)站的最新版本進行對比。
(3)檢查是否存在不必要的存儲過程����。
5、備份恢復機制測評
針對SQL Server系統(tǒng)備份恢復機制的測評工作與Oracle系統(tǒng)類似�。
(九)虛擬化軟件的測評實施
針對虛擬化軟件的測評實施工作主要針對身份鑒別機制、訪問控制機制���、入侵防范機制�、資源控制機制4個方面。
1����、身份鑒別機制測評
虛擬化軟件的root用戶具有最大權(quán)限,虛擬化軟件直接控制虛擬機����,因此良好的身份鑒別機制對保證虛擬機的安全有很大的幫助��。虛擬化軟件身份鑒別機制的測評工作主要以下2個方面���。
(1)檢查用戶/組的權(quán)限配置��,檢查 root 及普通用戶權(quán)限是否采用最小授權(quán)原則��。登錄v Sphere�,單擊“權(quán)限”選項卡����,顯示所有用戶的名稱及權(quán)限,查看是否有多個管理員權(quán)限的用戶����,從而違背了最小授權(quán)原則�。
(2)檢查虛擬化軟件用戶賬戶身份鑒別信息�,包括用戶口令長度、復雜度��、更新周期等��。有效密碼應該包含盡可能多的字符種類的組合�。字符種類包括小寫字母、大寫字母����、數(shù)字和特殊字符?��?纱蜷_ESXi賬戶策略配置文件(默認保存路徑為/etc/pam.d/passwd)�,查看以下參數(shù)的設置情況����。
1)retry=3:用戶有3次機會輸入合格的密碼。
2)N=8:包含一類字符的密碼的長度必須至少為8個字符�。
3)N1=8:包含兩類字符的密碼的長度必須至少為8個字符。
4)N2=8:密碼短語包含的每個單詞的長度必須至少為8個字符�。
5)N3=7:包含三類字符的密碼的長度必須至少為7個字符。
6)N4=6:包含全部四類字符的密碼的長度必須至少為6個字符。
2���、訪問控制機制測評
虛擬化軟件的訪問控制可以有效防止非法主體訪問受保護的資源��,或防止合法用戶對受保護的資源進行非授權(quán)的訪問���。測評工作主要有以下4個方面。
(1)檢查管理員用戶是否禁用SSH服務�,并禁用所有用戶的授權(quán)(SSH)密鑰。查看SSH配置文件(缺省路徑/etc/ssh/keys-root/authorized_keys)�,驗證其是否為空且未將任何SSH密鑰添加到該文件中。
(2)檢查是否設置Shell可用性超時及會話超時�。在v Sphere client中選擇目標主機�����,單擊“配置”選項卡��,在“軟件”下���,選擇“高級設置”�,在左面板中選擇“User Vars”�����,查看User Vars.ESXi Shell Time Out 字段值是否為“0”,如為“0”則表明未設置可用性超時�;查看User Vars.ESXi Shell Interactive Time Out字段值是否大于“0”,如為“0”則表明未設置會話超時�。
(3)檢查是否限制允許遠程控制臺連接的數(shù)量。在vsphere的Web client中右擊“虛擬機”��,單擊“編輯設置”��,選擇“虛擬機”選項�����,單擊“高級”→“編輯配置”���。檢查參數(shù)Remote Display.max Connections值是否為“1”����。如果大于1��,則表明允許多個遠程管理控制臺���。
(4)檢查部署的防火墻情況����。下圖所示為v Sphere Client與ESXi主機之間的防火墻部署情況。
檢查v Sphere Client與ESXi主機之間的防火墻部署
3����、入侵防范機制測評
針對虛擬化軟件入侵防范機制的測評工作主要有以下5個方面。
(1)檢查有無不必要或額外的功能�����。檢查是否連接無用的物理設備���,如CD/DVD 光驅(qū)����、軟驅(qū)或者USB適配器�;檢查是否關(guān)閉屏幕保護程序�,如果使用的是Linux,BSD或Solaris客戶機操作系統(tǒng)�����,則盡量不要運行桌面系統(tǒng)�;檢查是否禁用未使用的服務��,例如�,如果系統(tǒng)作為文件服務器運行��,則確保關(guān)閉所有Web服務����。
(2)檢查是否禁止遠程控制平臺的復制粘貼功能,防止將敏感數(shù)據(jù)拷貝到虛擬機中���。使用v Sphere Client登錄到v Center Server系統(tǒng)并選擇虛擬機�。在“摘要”選項卡中���,單擊“編輯”設置��。選擇“選項”→“高級”→“常規(guī)”�����,然后單擊“配置參數(shù)”����。檢查isolation.tools.copy.disable 和 isolation.tools.paste.disable 這 2 個參數(shù)的值是否為“TRUE”���。isolation.tools.copy.disable 值為“TRUE”表明禁止了遠程控制平臺的復制功能���, isolation.tools.paste.disable值為“TRUE”表明禁止了遠程控制平臺的粘貼功能����。
(3)檢查虛擬機操作系統(tǒng)安裝和配置類型是否匹配��、文件的操作權(quán)限是否恰當���。
(4)檢查是否禁用虛擬磁盤壓縮�����。在v Center或v Sphere Web Client中�,依次單擊虛擬機的“摘要”→“編輯設置”����,選擇“選項”→“高級”→“常規(guī)”,單擊“配置參數(shù)”�,檢查isolation.tools.disk Shrink.disable參數(shù)的值是否為“TRUE”��,值為“TRUE”表明禁止虛擬機通過VMware后門程序直接調(diào)用disk Shrink實現(xiàn)磁盤壓縮����。
(5)檢查是否禁用未公開的功能�����。VMware 虛擬機在v Sphere系統(tǒng)與托管虛擬化平臺上都能運行���。在 v Sphere系統(tǒng)上運行虛擬機時,無需啟用某些 VMX 參數(shù)�����。禁用這些參數(shù)可降低出現(xiàn)漏洞的可能性����。檢查虛擬機的“.vmx”文件,核查以下參數(shù)值是否為“TRUE”:
1)isolation.tools.unity.push.update.disable
2)isolation.tools.ghi.launchmenu.change
3)isolation.tools.mem Sched Fake Sample Stats.disable
4)isolation.tools.get Creds.disable
5)isolation.tools.ghi.autologon.disable
6)isolation.tools.hgfs Server Set.disable
4���、資源控制機制測評
針對虛擬化軟件入侵防范機制的測評工作主要有以下6個方面��。
(1)檢查虛擬機列表�,查看是否存在“退役”虛擬機���。
(2)檢查虛擬機列表�,查看是否存在非法虛擬機。
(3)檢查是否限制客戶機操作系統(tǒng)寫入主機內(nèi)存�����。如客戶機操作系統(tǒng)進程會通過 VMware Tools 向主機發(fā)送信息性消息�����。如果不限制主機存儲這些消息的數(shù)據(jù)量�����,則無限的數(shù)據(jù)流將為攻擊者提供發(fā)起拒絕服務(DoS)攻擊的機會�����。具體檢查內(nèi)容包括以下2個方面��。
1)檢查客戶機操作系統(tǒng)的可變內(nèi)存限制的設置�����。在v Center Server或v Sphere Web Client中選擇虛擬機���。在“摘要”選項卡中����,單擊“編輯設置”���,選擇“選項”→“高級”→“常規(guī)”��,單擊“配置參數(shù)”�����,查看參數(shù)tools.set Info.size Limit的值是否為“TRUE”���,如為“TRUE”則表明設置了可變內(nèi)存限制。
2)檢查是否阻止客戶機操作系統(tǒng)進程向主機發(fā)送配置消息��。檢查虛擬機的“.vxm”文件�����,檢查是否存在參數(shù)isolation.tools.setinfo.disable�,其值是否為“TRUE”。
(4)檢查是否啟用主機資源管理功能���,控制虛擬機消耗的服務器資源����。包括檢查是否共享或預留保證資源分配給關(guān)鍵的虛擬機、是否對虛擬機的資源消耗進行約束限制��。
(5)啟動虛擬機���,查看是否存在未預留足夠的CPU或內(nèi)存現(xiàn)象���。在 v Sphere Client 中,選擇主機�����,然后單擊配置選項卡→選擇“處理器”�����?���?梢圆榭从嘘P(guān)物理處理器數(shù)量和類型以及邏輯處理器數(shù)量的信息。在 v Sphere Client 中��,選擇主機,然后單擊配置選項卡→單擊“內(nèi)存”�,顯示有關(guān)主機內(nèi)存分配的信息。
(6)檢查是否啟用存儲I/O控制�。在 v Sphere Client 清單中選擇數(shù)據(jù)存儲→配置選項卡→屬性→在“存儲 I/O 控制”下,查看是否選中“已啟用”復選框���。
三、結(jié)語
本文介紹了主機安全測評的內(nèi)容�����、方法和實施過程����,重點參照等級保護三級信息系統(tǒng)的主機安全測評要求,針對主機操作系統(tǒng)(Windows服務器��、Windows終端�、Linux、Mac OS����、iOS、Android)�����、數(shù)據(jù)庫管理系統(tǒng)(Oracle、SQL Server)����、虛擬化軟件(VMware系列)等測評對象,采用含訪談��、現(xiàn)場檢查和測試等測評方法�,從身份鑒別、訪問控制�����、安全審計����、剩余信息保護、入侵防范�、惡意代碼防范、資源控制等方面介紹了主機安全測評的具體工作���。
由于篇幅所限����,只是涵蓋了主機安全測評中的主要測評對象及其測評內(nèi)容,實際測評中所面臨的操作系統(tǒng)����、數(shù)據(jù)庫和虛擬化軟件類型遠遠不止這些,具體的安全測評方法和手段還可以更加豐富�。因此,在實際應用中�,需要根據(jù)主機安全合規(guī)性要求對測評方法進行針對性的補充和完善,以滿足自身的主機安全測評需要�����。
|
