《信息安全等级测评师培训教程(初级)》学习笔记
第一章网络安全测评
1.1 网络全局
1.1.1 结构安全
a)应保证主要网络设备的业务处理能力有冗余空间,满足业务高峰期需要
b)应保证网络各个部分的带宽满足业务高峰期需要;
c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d)应绘制与当前运行情况相符的网络拓扑结构图;
e)应根据各部分的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网和网段,并按照方便管理和控制的原则为各子网、网段分配地址段
f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段
g)应按照对业务服务的重要次序来制定带宽分配优先级别,保证在网络发生拥堵时优先保护重要主机。
1.1.2 边界完整性检查
a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定位,并对其进行有效阻断;
技术手段:网络接入控制,关闭网络设备未使用的端口、IP/MAC地址绑定等
管理措施:进入机房全程陪同、红外视频监控等
b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定位,并对其进行有效阻断;
1.1.3 入侵防范
a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
1.1.4 恶意代码防范
a)应在网络边界处对恶意代码进行检测和清除;
b)应维护恶意代码库的升级和检测系统的更新
1.2 路由器
1.2.1 访问控制
a)应在网络边界处部署访问控制设备,启用访问控制功能;
能够起访问控制功能的设备有:网闸、防火墙、路由器和三层路由交换机等
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP, FTP, TELNET, SMTP, POP3等协议命令级的控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
路由器可根据IP地址、端口、协议来限制应用数据流的最大流量;
根据IP地址来限制网络连接数
路由器的带宽策略一般采用分层的带宽管理机制,管理员可以通过设置细粒度的带宽策略,对数据报文做带宽限制和优先级别设定,还可以通过源地址、目的地址、用户和协议4个方面来限制带宽
f)重要网段应采取技术手段防止地址欺骗
地址欺骗中的地址可以使MAC地址,也可以使IP地址。目前发生比较多的是ARP地址欺骗,ARP地址欺骗是MAC地址欺骗的一种。ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
ARP欺骗分为2种,一种是对网络设备ARP表的欺骗,另一种是对内网PC的网关欺骗。解决方法:1在网络设备中把所有PC的IP-MAC输入到一个静态表中,这叫IP-MAC绑定;
2.在内网所有PC上设置网关的静态ARP信息,这叫PC IP-MAC绑定。
一般要求2个工作都要做,称为IP-MAC双向绑定
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
h)应限制具有拨号访问权限的用户数量
1.2.2 安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
1.2.3 网络设备防护
a)应对登陆网络设备的用户进行身份鉴别;
——用户登录路由器的方式包括:
&1 利用控制台端口(Console)通过串口进行本地连接登录;
&2 利用辅助端口(AUX)通过MODEM进行远程拨号连接登录
&3 利用虚拟终端(VTY)通过TCP/IP网络进行远程登录
——无论哪一种登录方式,都需要对用户身份进行鉴别,口令是路由器用来防止非授权访问的常用手段,是路由器安全的一部分。
——需要加强对路由器口令的管理,包括口令的设置和存储,最好的口令存储方式是保存在TACACS+或RADIUS认证服务器上。
检查方法:
1)在特权模式下输入命令show running-config会输出该路由器相关配置信息
2)检查配置信息中是否存在类似如下的配置信息
Line vty 0 4 (虚拟终端)
Login
Password xxxxx
Line aux 0 (辅助端口)
Login
Password xxxxxx
Line con 0 (控制台端口)
Login
Password xxxxx
3)为特权用户设置口令时,应当使用enable secret命令
该命令用于设定具有管理员权限的口令,enable secret命令采用的是MD5算法,这种算法比enable password加密算法强,不容易被破解。
4)如果设备启用了AAA认证,则查看配置信息应当存在类似如下配置信息
aaa new-model
tacacs-server host 192.168.1.1 single-connecting
tacacs-server key shared1
aaa new-model
radius-server host 192.168.1.1
radius-server key shared1
line vty 0 4
aaa authorization login
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别;
双因子鉴别还需要访问者拥有鉴别特征:采用令牌、智能卡、数字证书和生物信息等
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
不应当使用明文传送的Telnet、http服务,应当采用SSH、HTTPS等加密协议等方式来进行交互式管理
h)应实现设备特权用户的权限分离;
1.3 交换机
1.3.1 访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、、SMTP、POP3等协议命令级的控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数
交换机可根据IP地址、端口、协议来限制应用数据流的最大流量;
根据IP地址来限制网络连接数
交换机的带宽策略一般采用分层的带宽管理机制,管理员可以通过设置细粒度的带宽策略,对数据报文做带宽限制和优先级别设定,还可以通过源地址、目的地址、用户和协议4个方面来限制带宽
f)重要网段应采取技术手段防止地址欺骗
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
1.3.2 安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:时间的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表
d)应对审计记录进行保护,避免受到未预期的删除、修改或者覆盖等
1.3.3 网络设备保护
a)应对登陆网络设备的用户进行身份鉴别;
b)应对网络设备的管理员登陆地址进行限制
c)网络设备用户的标识须唯一
d)主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进行身份鉴别;e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听h)应实现设备特权用户的权限分离
1.3.3 网络设备防护
a)应对登录网络设备的用户进行身份鉴别
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别
e)身边鉴别信息应该具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
f)应具有登录失败处理的功能,可采取结束会话,限制非法登录次数和当网络登录连接超时自动退出的措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听h)应实现设备特权用户的权限分离
1.4 防火墙
1.4.1 访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口
级;
防火墙的安全策略的配置应当根据信息系统的应用进行配置,只允许授权的IP地址、协议、端口通过,对于没有明确允许通过的数据流默认应当是被禁止的。同时可以通过配置NAT、静态地址映射、IP地址绑定等措施隐藏内部网络信息,以最大限度地保证被保护网络的安全
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP, FTP, Telnet, SMTP,POP3等协议命令级的控制
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数;
f)重要网段应采取技术手段防止地址欺骗
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
h)应限制具有拨号访问权限的用户数量
1.4.2 安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息;
c)应能根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
1.4.3 网络设备防护
a)应对登录网络设备的用户进行身份鉴别
b)应对网络设备的管理员登录地址进行限制;
需要对远程管理防火墙的登录地址进行限制,可以是某一特定的IP地址,也可以来自某一子网、地址范围或地址组
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或2种以上组合的鉴别技术来进行身份鉴别
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听h)应实现设备特权用户的权限分离
1.5 入侵检测/防御系统
1.5.1 访问控制
a)应在网络边界部署控制设备,启用访问控制;
此处的访问控制主要指入侵防御系统具有的访问控制功能,入侵检测系统IDS不具有此功能
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、,SMTP、POP3等协议命令级的控制;
d)应在会话处于非活跃一定时间或会话结束后终止网络连接;
e)应限制网络最大流量数及网络连接数
f)重要网段应采取技术手段防止地址欺骗
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
h)应限制具有拨号访问权限的用户数量
1.5.2 安全审计
a)应对网络系统中的网络设备进行运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
1.5.3 网络设备防护
a)应对登录网络设备的用户进行身份鉴别
b)应对网络设备的管理员登录地址进行限制;
c)网络设备用户的标识应唯一;
d)主要网络设备应对同一用户选择2种或者2种以上组合的鉴别技术来进行身份鉴别
e)身边鉴别信息应具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施
h)应实现设备特权用户的权限分离
第2章主机安全测评
2.1 操作系统测评
2.1.1 身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别
b)操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
Windows OS中查看“本地安全策略—账户策略—密码策略”中的相关项目:
1、设置密码历史要求(此设置可确保用户无法复用密码):24
2、设置密码最长使用期限:70天
3、设置密码最短使用期限:2天
4、设置最短密码长度:8个字符
5、设置密码复杂性要求:启用
6、启用密码可逆加密:不启用
Linux OS:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 7 登录密码过期提前7天提示修改
FAIL_DELAY 10 登录错误时等待时间10秒
FAILLOG_ENAB YES 登录错误记录到日志
FAILLOG_SU_ENAB YES 当限定超级用户管理日志时使用
FAILLOG_SG_ENAB YES 当限定超级用户组管理日志时使用
MD5_CRYPT_ENAB YES 当使用md5为密码的加密方法时使用
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性
f)应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别
2.1.2 访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
访问控制是安全防范和保护的主要策略,它不仅应用与网络层面,同样也适用于主机层面,它的主要任务是保证系统资源不被非法适用和访问,适用访问控制的目的在于通过限制用户对特定资源的访问来保护系统资源。
主要涉及2个方面的内容:文件系统和默认共享
文件权限:
在windows系统中,重要目录不能对“everyone”账户开放,在权限控制方面,尤其要注意文件权限更改后对于应用系统的影响;
在Linux系统中,应坚持Linux系统主要目录的权限设置情况,对于配置文件权限制不能大于644,对于可执行文件不能大于755。
以root身份登录Linux,使用”Ls-l 文件名”查看重要文件和目录权限设置是否合理
默认共享:
Windows OS的默认共享功能的设计初衷是为了方便网管通过网络对计算机进行远程管理而设的,它的存在依赖于系统服务的“server”。为保证系统安全性,通常我们可以将其关闭。Linux OS通常不存在默认共享
1)在命令模式下输入net share ,查看共享
2)查看注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值是否为“0”(0表示共享开启)
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分离;
d)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令
e)应及时删除多余的、过期的账户,避免共享账户的存在
f)应对重要信息资源设置敏感标记;
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作
2.1.3 安全审计
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d)应能够根据记录数据进行分析,并生成审计报表;
e)应保护审计进程,避免受到未预期的中断;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等;
2.1.4 剩余信息保护
a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;
2.1.5 入侵防范
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP,攻击的类型、目的、时间,并在发生严重入侵事件时提供报警;
b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新
2.1.6 恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库
c)应支持防恶意代码的统一管理
2.1.7 资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据安全策略设置登录终端的操作超时锁定;
c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
d)应限制单个用户对系统资源的最大或最小使用限度;
e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警
2.2 数据库系统测评
2.2.1 身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂程度要求并定期更换;
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;f)应采用2种或2种以上组合的鉴别技术对管理用户进行身份鉴别
2.2.2 访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分离;
d)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;e)应及时删除多余的、过期的账户,避免共享账户的存在;
f)应对重要信息资源设置敏感标记;
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
2.2.3 安全审计
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
d)应能根据记录数据进行分析,并生成审计报表;
e)应保护审计进程,避免受到未预期的中断;
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等;
2.2.4 资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
b)应根据安全策略设置登录终端的操作超时锁定;
c)应限制单个用户对系统资源的最大或最小使用限度
第3章应用安全测评
3.1 身份鉴别
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)应对同一用户采用2种或者2种以上组合的鉴别技术实现用户身份鉴别;
c)应提供用户身份标识唯一和鉴别信息复杂度检测功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
d)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查,以及登录失败处理功能,并根据安全策略配置相关参数;
3.2 访问控制
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
c)应有授权主体配置访问控制策略,并严格限制默认账户的访问权限;
d)应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
e)应具有对重要信息资源设置敏感标记的功能;
f)应根据安全策略严格控制用户对有敏感标记重要信息资源的操作;
3.3 安全审计
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能
3.4 剩余信息保护
a)应保证用户鉴别信息所在的存储空间呗释放或再分配给其他用户前被完全清除,无论这些信息是存放在硬盘上还是在内存中;
b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间呗释放或重新分配给其他用户前得到完全清除;
3.5 通信完整性
a)应采用密码技术保证通信过程中的数据的完整性;
3.6 通信保密性
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
b)应对通信过程中的整个报文或会话过程进行加密;
3.7 抗抵赖
a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能;
3.8 软件容错
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求;
b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复;
3.9 资源控制
a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方面能够自动结束会话;
b)应能够对系统的最大并发会话连接数进行限制;
c)应能够对单个账户的多重并发会话进行限制;
d)应能够对一个时间段内可能的并发会话连接数进行限制;
e)应能够对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额;
f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问账户或请求进程的优先级,根据优先级分配系统资源;
第4章数据安全测评
4.1 数据完整性
a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
b)应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
4.2 数据保密性
a)应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性;
4.3 备份和恢复
a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放;b)应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;
c)应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障;
d)应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性
第7章工具测试
7.1 测试目的
工具测试,是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法
7.2 测试内容
利用工具测试,不仅可以直接获取到目标系统本身存在的系统、应用等方面的漏洞,同时,也可以通过在不同的区域接入测试工具所得到的测试结果,判断不同区域之间的访问控制情况。
7.3 测试流程
7.3.1 收集信息
1)网络设备
目标网络设备的基本信息,如路由器、交换机型号等;
需要了解目标系统网络设备的物理端口情况,是否具备接入测试工具的条件;
目标网络设备的IP地址
2)安全设备
目标安全设备的基本信息,比如防火墙,IDS或者特殊安全设备型号等;
目标安全设备的IP地址,注意防火墙,IDS等可能工作在透明模式或没有IP地址
3)主机
目标主机的基本信息,包括主机操作系统,运行的主要应用等
目标主机的IP地址
目标主机的主要业务时间段,为选择工具测试时间段做准备
4)网络拓扑结果
目标系统的网络结果,直接影响到测试时的接入点的设置。
需要了解目标系统的网络区域划分,比如应用区,数据库区等;
目标系统各个网络设备、安全设备的位置;
确定目标系统不同区域之间的关系,比如区域级别的关系及区域之间的大概业务数据流程。
7.3.2 规划接入点
工具测试的首要原则是在不影响目标系统正常运行的前提下严格按照方案选定范围进行测试。
接入点规划的,基本的、共性的原则:
(1)由低级别系统向高级别系统探测;
(2)同一系统同等重要程度功能区域之间要相互探测;
(3)由较低重要程度区域向较高重要程度区域探测;
(4)由外联接口向系统内部探测;
(5)跨网络隔离设备(包括网络设备和安全设备)要分段探测;
7.3.3 编制《工具测试作业指导书》
《工具测试作业指导书》是工具测试顺利进行、测试证据准确获取的重要保证,是对之前各个准备阶段中获取到信息的总结,也是对我们进行现场工具测试的指导文件。
7.3.4 现场测试
现场测试,是工具测试的一个重要实施阶段,也是取得工具测试证据的重要阶段。
测试过程中,必须详细记录每一接入点测试的起止时间、接入IP地址(包括接入设备的IP地址配置,掩码、网管配置等)。如果测试过程中出现异常情况,要及时记录。测试结果要及时整理、保存,重要验证步骤要抓图为证,为测试结果的整理准备充足必要的证据。
7.3.5 结果整理
从整理的结果中,可以分析出被测系统中各个被测个体存在的漏洞情况,也可以根据各个接入点测试结果的统计整理,分析出各个区域之间的访问控制策略配置情况。
7.4 注意事项
1)工具测试接入测试设备之前,首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行,测试时间段是否为可测试时间段;
2)接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认
3)对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响(例如口令探测可能会造成的账号锁定等情况),要事先告知被测系统相关人员。
4)对于测试过程中的关键步骤、重要证据,要及时利用抓图等取证工具取证。
5)对于测试过程中出现的异常情况(服务器出现故障、网络中断等)要及时记录。
6)测试结束后,需要被测方人员确认被测系统状态正常并签字后离场。
附录A 信息安全技术
A.1 标识与鉴别
A.1.1 技术简介
标识是指用户(设备)向信息系统(或对等实体)表明其身份的行为;
鉴别是指信息系统利用单一或者多重鉴别机制对用户(设备)所声称身份的真实性进行验证的过程
1)基于用户所知的信息
例如:个人标识号(PIN),口令等
2)基于用户所持有的物品
例如:门卡、智能卡、硬件令牌等
记忆令牌、智能令牌
3)基于用户特征
例如:指纹、虹膜、视网膜扫描结果或者其他生物特征等特有信息
A.1.2 典型产品
1)硬件令牌
基于时间的动态令牌:在一定的时间间隔内根据口令计算器(令牌)通过某种算法和其他要素动态生成一个口令,认证端根据相同的算法和要素计算出同一时刻的口令,进行比对。
基于挑战应答的令牌:其在实现原理上与时间令牌相似,同样是认证端随机生成挑战数,客户端对其进行加密运算并回传,与认证端相比对。
2)数字证书
数字证书是由认证中心生成并经认证中心数字签字的,标志网络用户身份信息的一系列数据,用来在网络通信中识别通信各方的身份。
A.2 访问控制
A.2.1 技术简介
1)按访问控制策略划分
自主访问控制、强制访问控制、基于角色的访问控制(Role-Based Access Control ,RBAC)
自主访问控制
使用自主访问控制机制的系统允许资源所有者(主体)自主决定谁可以访问、如何访问其资源(客体)
强制访问控制
强制访问控制是一种不允许主体干涉的访问控制类型,在强制访问控制机制下,系统内的每一个用户或主体被赋予一个访问标签以表示他对敏感性客体的访问许可级别,同样,系统内的每一个客体也被赋予一个敏感性标签以反映该信息的敏感性级别,系统内的“引用监视器”通过比较主客体相应的标签来决定是否授予一个主体队客体的访问请求。——主体对客体的访问必须满足以下条件:
A 主体的安全级别不低于客体的安全级别;
B 主体的类别包含客体的类别
基于角色的访问控制(Role-Based Access Control,RBAC)
系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予响应的角色,一旦某个用户称为某角色的成员,则此用户可以完成该角色所具有的职能
2)按层面划分
网络访问控制
主要限制网络设备或主机设备可以与哪些设备建立什么样的连接以及通过网络传输什么样的数据
主机访问控制
主要是指OS和DB提供的访问控制功能;它是限制OS或DB用户或进程可以访问哪些文件系统、系统设备或数据表,以及可以对它们进行哪些访问操作(如读、写、执行等)
应用访问控制
访问控制往往嵌入应用程序(或中间件)中以提供更细粒度的数据访问控制。通过内置的访问控制模型,应用程序可以限制用户对功能模块和数据的访问,以及对它们可以进行哪些操作等
物理访问控制
它主要是限制用户对物理环境和设备的物理访问,具体方式有给房间加锁、安装电子门禁系统,以及给设备加上防损设施等
A.2.2 典型产品
1)交换机
网络交换机主要是通过其虚拟局域网(VLAN)功能实现网络访问控制;
VLAN技术是基于链路层和网络层之间的隔离技术
三层交换机由于集成了路由模块,也可以通过路由的访问控制列表实现网络访问控制功能,具体实现原理与路由器的实现原理相同
2)路由器
路由器工作在网络层,主要是通过访问控制列表来实现访问控制功能。
访问控制列表是一种基于简单的包过滤的流向控制技术,在路由器上读取网络层及传输层包头中的信息来源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的
标准访问控制列表的具体格式为 access-list ACL号 permit/deny host IP
例如 access-list 10 deny 192.168.1.1
也可以对某个网段进行过滤access-list 10 deny 192.168.1.0 0.0.0.255(将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃)
参见PS1
3)防火墙
防火墙是最常见和成熟的网络访问控制产品,它一般部署在网络系统的边界处,属于网络边界的安全保护设备。
所谓网络边界是采用不同安全策略的2个网络连接处,比如用户网路和互联网之间连接,和其他业务往来单位的网络连接,用户内网不同部门之间的连接等。
根据防火墙的性能和功能,它的访问控制可以达到不同的级别
&连接控制,控制哪些应用程序终结点之间可建立连接;
&协议控制,控制用户通过一个应用程序可以进行什么操作;
&数据控制,防火墙可以控制应用数据流的通过
包过滤防火墙
根据分组包头源地址、目的地址和端口号、协议类型等标识确定是否允许数据包通过,所根据的信息来源于IP,TCP或UDP包头。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃
应用代理防火墙
它作用在应用层,分别与客户端和服务器建立单独的连接,彻底隔断内网与外网的直接通信。它在应用层能够提供强大的数据包内容过滤的功能,主要包括
&阻塞URL地址
&关键字过滤
&阻止Java,ActiveX和Java Script等不安全内容的传输
&防止特洛伊木马的传输
&防止邮件缓存溢出
状态检测防火墙
状态检测技术是继“包过滤”技术和“应用代理”技术后发展起来的防火墙技术。它在保留了对每个数据包的头部、协议、地址、端口等信息进行分析的基础上,进一步发展了“会话功能”,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行
4)网闸
由于防火墙缺乏对未知网络协议漏洞造成的安全问题有效解决,并且无法检测基于内容的网络攻击,而互联网上病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,由此诞生了基于协议对内容进行检查的产品——网闸
网闸是使用带有多种控制功能的固态开关读写介质连接2个独立主机系统的信息安全设备。常见的网闸产品主要分为2类:空气开关型和专用交换通道型。
5)安全操作系统或操作系统加固产品
A.3 密码技术
A.3.1 技术简介
1)对称密钥加密(私钥加密)
信息的发送方和接收方用同一个密钥去加密和解密数据。最大优势是加/解密速度快,适合于大数据量进行加密。对称密钥的加密算法有DE S , 3DE S, AE S等(3S)
对于具有n个用户的网络,需要n(n-1)/2个密钥(即Cn2)
2)非对称密钥加密(公钥加密)
需要使用一对密钥来分别完成加密和解密操作,一个公开,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者用公开密钥去加密,而信息接收者用私用密钥去解密。非对称密钥加密算法主要有RS A ,DS A ,和EC C等(AAC)
3)单向哈希函数
A.3.2 典型产品
VPN
1)VPN概念
2)VPN工作原理
3)VPN涉及的关键技术
IPSec协议
SSL协议
4)VPN的应用领域
远程访问
组建内联网
构建外联网