当前位置:文档之家 › 安全等级保教材护技术培训课本主机部分v2[1]

安全等级保教材护技术培训课本主机部分v2[1]

  • 格式:pdf
  • 大小:3.02 MB
  • 文档页数:108

下载文档原格式

  / 108

合集下载

网络安全等级保护(等保2.0)3级建设内容设计方案

网络安全等级保护(等保2.0)3级建设内容设计方案

网络安全等级保护(等保2.0)3级建设内容设计方案一、物理环境安全设计机房与配套设备安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境,并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

1.1.物理位置的选择在机房位置选择上,应选择的场地具有防震、防风和防雨等能力建筑内,同时尽量避免设在建筑物的顶层或地下室以保证机房的防水防潮效果,确保机房的选择合理合规。

在UPS电池按放的位置选择要考虑到楼板的承重等因素。

1.2.物理访问控制对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;进入机房的来访人员须经过申请和审批流程,并限制和监控其活动范围,同时在机房的各出入口出配置配置电子门禁系统和视频监控系统,通过开关门记录和视频来控制、鉴别和记录机房进入的人员相关信息。

1.3.防盗窃和防破坏在防盗窃和防破坏方面,对设备或主要部件进行固定,并设置明显的不易除去的标记。

在强弱电铺设方面尽量进行隐蔽布设。

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。

此外,必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。

对介质进行分类标识,存储在介质库或档案室中。

利用光、电等技术设置机房防盗报警系统;对机房设置监控报警系统。

1.4.防雷击严格按照国家的相关的标准将各类机柜、设施和设备等通过接地系统安全接地。

同时在配电方面设置相应的防雷保安器或过压保护装置等。

1.5.防火合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。

房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定,同时设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;1.6.防水和防潮在机房建设阶段,对机房窗户、屋顶和墙壁进行处理,防止液体渗透。

2024安全工程师《安全生产技术基础》猛龙过江系列口袋书

2024安全工程师《安全生产技术基础》猛龙过江系列口袋书

——猛龙过江系列口袋2024年安全工程师《安全生产技术基础》书红色字体加粗、着重号..........(历年出题考点-词眼)紫色字体加粗、单下划线(高频考点)蓝色字体加粗(一般考点、口诀、拓展内容等)第一章机械安全技术第一节...机械安全基础知识........四、机械危险部位及其安全防护措施(一)转动的危险部位及其防护(二)直线运动的危险部位(三)转动和直线运动的危险部位(3)皮带传动....皮带的接头处和皮带进入皮带轮位置.............是最危险的部位。

焊接金属网是一种适用防护,可能需要一个支撑框架,皮带传动装置防护罩可采用金属骨架的防护网........,与皮带的距离不应小于50mm。

【皮带传动装置的防护措施】在距地面2m 以下时,必须加设防护装置。

在距地面2m 以上时,应加设防护的情况。

①皮带轮中心距之间的距离在.........3m ..以上..。

②皮带的宽度..15cm ....以上..。

③皮带回转的转速在......9m/min ......以上。

...防护可采用将皮带全部遮盖起来的方法,或采用防护栏杆防护。

六、机械制造生产场所安全技术(一)总平面布置(1)保证作业场地和作业环境的气象条件符合防寒、防风、防暑、防湿的要求。

(2)多层厂房应将输送量、荷载、噪声较大及有振动、有腐蚀溶液和用水量较多的工部布置在厂房的底层。

(3)将工艺生产过程中排出有粉尘、毒气和腐蚀性气体和火灾危险性较大的工部布置在顶层。

(4)散发热量、腐蚀性、尘毒危害较严重及使用易燃易爆物料或气体、电磁电离辐射严重的工序,布置在靠外墙和厂房的下风向。

.......(5)危害相同的生产工序宜集中布置。

...............2.作业现场设备应符合有关设备的安全卫生规程要求(2)重型机床高于..500mm .....的操作平台.....的周围应设高度不低于...1050mm ......的防护栏杆。

......(3)采用钢直梯时,钢直梯...3m ..以上部分应设安全护笼。

网络安全体系基础架构建设知识v2ppt网络安全体系基础架构建设知识

网络安全体系基础架构建设知识v2ppt网络安全体系基础架构建设知识

制定安全方针 制定安全策略 设计总体方案
安全产品选型 安全平台选型 管理方案设计 技术方案设计 运维方案设计
制定实施计划 设计实施方案
产品实施 服务实施 工程验收 项目监理 后期服务
安全检测服务 安全加固服务 安全优化服务 安全审计服务 安全监控服务 安全通告服务 应急响应服务 安全培训服务
标准导入 风险评估 体系建设 安全认证
信息安全需求
技术需求
管理需求
物网主应数 理络机用据 安安安安安 全全全全全
安安人系系 全全员统统 管管安建运 理理全设维 制机管管管 度构理理理
31
物理安全需求分析
物理安全(三级)
物 理 位 置 的 选 择
物 理 访 问 控 制
防 盗 窃 和 防 破 坏
防 雷 击

防 火
水 和 防

防 静 电
温电 湿力 度供 控应 制
• 1994年,国务院发布了《中华人民共和国计算机信息系统
安全保护条例》,该条例是计算机信息系统安全保护的法 律基础。
• 其中第九条规定“计算机信息系统实行安全等级保护。安
全等级的划分标准和安全等级保护的具体办法,由公安部 会同有关部门制定。”
• 公安部组织制订了《计算机信息系统安全保护等级划分准
则》的国家标准,并于2019年9月13日由国家质量技术监 督局审查通过并正式批准发布,已于 2019年1月1日执行。
Trusted Computer System Evaluation Criteria,俗称橘皮 书
• NCSC于1987年出版了一系列有关可信计算机数据库、可
信计算机网络等的指南等(俗称彩虹系列),根据所采用 的安全策略、系统所具备的安全功能将系统分为四类七个 安全级别。将计算机系统的可信程度划分为D、C1、C2、 B1、B2、B3和A1七个层次。

信息系统安全等级保护基本要求培训教材

信息系统安全等级保护基本要求培训教材

信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1 概述 (7)1.1背景介绍71.2主要作用及特点81.3与其他标准的关系101.4框架结构112 描述模型 (13)2.1总体描述132.2保护对象152.3安全保护能力162.4安全要求213 逐级增强的特点 (25)3.1增强原则253.2总体描述263.3控制点增加283.4要求项增加303.5控制强度增强324 各级安全要求 (34)4.1技术要求344.1.1物理安全344.1.2网络安全494.1.3主机安全624.1.4应用安全764.1.5数据安全及备份恢复914.2管理要求974.2.1安全管理制度974.2.2安全管理机构1044.2.3人员安全管理1124.2.4系统建设管理1214.2.5系统运维管理135本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。

通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。

1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。

”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。

依据此要求,《基本要求》列入了首批需完成的6个标准之一。

信息安全等级保护制度的主要内容和工作要求

信息安全等级保护制度的主要内容和工作要求

码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求


一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。

优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和

网络安全防护技能培训教材

网络安全防护技能培训教材

网络安全防护技能培训教材第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.1.1 个人信息安全 (4)1.1.2 企业信息安全 (4)1.1.3 国家信息安全 (4)1.2 常见网络安全威胁 (4)1.2.1 恶意软件 (4)1.2.2 网络钓鱼 (4)1.2.3 社交工程 (4)1.2.4 DDoS攻击 (4)1.2.5 数据泄露 (5)1.3 安全策略与防护措施 (5)1.3.1 安全策略 (5)1.3.2 防护措施 (5)第2章密码学基础 (5)2.1 密码学概述 (5)2.2 对称加密算法 (5)2.3 非对称加密算法 (6)2.4 哈希算法与数字签名 (6)第3章网络设备与系统安全 (6)3.1 网络设备的安全配置 (6)3.1.1 基本安全配置原则 (6)3.1.2 路由器安全配置 (7)3.1.3 交换机安全配置 (7)3.1.4 无线设备安全配置 (7)3.2 操作系统的安全防护 (7)3.2.1 操作系统安全概述 (7)3.2.2 常见操作系统安全漏洞 (7)3.2.3 操作系统安全防护策略 (7)3.2.4 主机安全防护 (7)3.3 网络安全设备介绍 (7)3.3.1 防火墙 (7)3.3.2 入侵检测系统(IDS)与入侵防御系统(IPS) (7)3.3.3 虚拟专用网络(VPN) (8)3.3.4 安全审计设备 (8)第4章网络攻防技术 (8)4.1 扫描与探测技术 (8)4.1.1 基本概念 (8)4.1.2 常用扫描技术 (8)4.1.3 常用探测工具 (8)4.2 漏洞分析与利用 (8)4.2.2 漏洞挖掘技术 (8)4.2.3 常用漏洞利用工具 (9)4.3 防御策略与应对措施 (9)4.3.1 防御策略 (9)4.3.2 应对措施 (9)第5章恶意代码与病毒防护 (9)5.1 恶意代码概述 (9)5.1.1 恶意代码的定义 (9)5.1.2 恶意代码的类型及特点 (10)5.2 病毒防护技术 (10)5.2.1 病毒防护原理 (10)5.2.2 常见病毒防护技术 (10)5.3 勒索软件防护策略 (10)5.3.1 勒索软件概述 (10)5.3.2 勒索软件防护策略 (11)第6章防火墙与入侵检测系统 (11)6.1 防火墙原理与配置 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙工作原理 (11)6.1.3 防火墙配置 (11)6.2 入侵检测系统原理与应用 (12)6.2.1 入侵检测系统概述 (12)6.2.2 入侵检测系统工作原理 (12)6.2.3 入侵检测系统应用 (12)6.3 防火墙与入侵检测系统的联动 (12)6.3.1 联动原理 (12)6.3.2 联动配置 (12)第7章虚拟专用网络(VPN) (13)7.1 VPN技术概述 (13)7.1.1 VPN的定义与功能 (13)7.1.2 VPN的分类 (13)7.1.3 VPN的典型应用场景 (13)7.2 VPN加密协议 (13)7.2.1 加密技术在VPN中的应用 (13)7.2.2 常见VPN加密协议 (13)7.2.3 加密协议的选择与配置 (13)7.3 VPN设备的配置与管理 (13)7.3.1 VPN设备选型与部署 (13)7.3.2 VPN设备配置基本步骤 (14)7.3.3 VPN设备管理 (14)7.3.4 VPN设备故障排除 (14)第8章无线网络安全 (14)8.1 无线网络安全概述 (14)8.1.2 威胁类型 (14)8.1.3 安全挑战 (14)8.2 无线网络安全协议 (15)8.2.1 WEP (15)8.2.2 WPA (15)8.2.3 WPA2 (15)8.2.4 WPA3 (15)8.3 无线网络安全防护策略 (15)8.3.1 加强无线接入点安全 (15)8.3.2 强化密码策略 (16)8.3.3 网络隔离与访问控制 (16)8.3.4 安全监控与审计 (16)第9章应用层安全 (16)9.1 Web安全防护 (16)9.1.1 概述 (16)9.1.2 Web攻击手段 (16)9.1.3 Web防护策略 (16)9.1.4 Web应用防火墙 (16)9.1.5 与SSL/TLS (17)9.2 数据库安全 (17)9.2.1 数据库安全概述 (17)9.2.2 数据库访问控制 (17)9.2.3 数据库加密技术 (17)9.2.4 数据库防火墙 (17)9.2.5 数据库安全运维 (17)9.3 邮件安全与防护 (17)9.3.1 邮件安全概述 (17)9.3.2 邮件加密技术 (17)9.3.3 邮件认证与签名 (17)9.3.4 邮件过滤与防护 (17)9.3.5 邮件服务器安全配置 (17)第10章安全审计与应急预案 (17)10.1 安全审计概述 (17)10.1.1 安全审计的定义与作用 (17)10.1.2 安全审计的分类与标准 (18)10.1.3 安全审计的实施步骤 (18)10.2 安全事件应急响应 (18)10.2.1 安全事件概述 (18)10.2.2 安全事件应急响应流程 (18)10.2.3 安全事件应急响应团队建设 (18)10.3 安全预案制定与演练 (18)10.3.1 安全预案概述 (18)10.3.2 安全预案的编制方法 (18)10.3.3 安全预案的演练与评估 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全作为维护国家、企业和个人信息安全的关键环节,日益受到广泛关注。

安全培训教材书目录

安全培训教材书目明细订购单位(盖章) 经办人(签字)电话通信地址邮编 到货地址 邮编收货人 电话 到货时间 一、安全生产日常工作用书(含煤矿类)(一)安全生产标准化评级标准与达标指南系列序号书名作者开本订价(元)订数AQ21《企业安全生产标准化基本规范》解读与实施指南安监总局宣教中心16开220.00AQ22金属非金属矿山安全标准化评级标准与达标实用指南安监总局宣教中心16开240.00AQ23危险化学品企业安全生产标准化评级标准与达标实用指南安监总局宣教中心16开198.00AQ24冶金企业安全生产标准化评级标准与达标实用指南安监总局宣教中心16开198.00序号书名作者开本订价(元)订数AQ25烟花爆竹企业安全生产标准化评级标准与达标实用指南安监总局宣教中心16开198.00AQ31工贸企业安全生产标准化工作指南(纺织、造纸、平板玻璃、建筑卫生陶瓷、水泥生产企业适用)安监总局宣教中心16开98.00AQ32工贸企业安全生产标准化工作指南(啤酒、白酒、乳制品、食品生产企业适用)安监总局宣教中心16开98.00AQ33工贸企业安全生产标准化工作指南(商场、仓储物流、烟草行业适用)安监总局宣教中心16开98.00AQ34工贸企业安全生产标准化工作指南(电解铝、氧化侣、有色金属压力加工、有色重金属冶炼企业适用)安监总局宣教中心16开98.00(二)安全生产法律法规与技术标准全编系列AQ61煤矿安全生产法律法规与技术标准全编(全九册)安监总局宣教中心大16开2800.00AQ62金属非金属矿山安全生产法律法规与技术标准全编(全四册)安监总局宣教中心大16开1480.00AQ63化工行业安全生产法律法规与技术标准全编(全七册)安监总局宣教中心大16开2500.00 AQ64烟花爆竹安全生产法律法规与技术标准全编(全二册)安监总局宣教中心大16开980.00AQ65冶金机械行业安全生产法律法规与技术标准全编(全六册)安监总局宣教中心大16开1800.00AQ66道路交通安全生产法律法规与技术标准全编(全九册)安监总局宣教中心大16开2800.00 AQ67建筑施工安全生产法律法规与技术标准全编(全十六册)安监总局宣教中心大16开4800.00 AQ68消防安全法律法规与技术标准全编(全七册)安监总局宣教中心大16开2400.00AQ69职业安全健康与职业危害防护法律法规与技术标准(全四册)安监总局宣教中心大16开1480.00AQ70安全生产应急救援法律法规与技术标准(全二册)安监总局宣教中心大16开980.00序号书名作者开本订价(元)订数AQ71安全生产规范性文件汇编(全二册)安监总局宣教中心16开890.00AQ02安全生产法律法规汇编安监总局宣教中心16开280.00(三)安全生产强制规范与管理指南系列●该系列工作用书对安全生产相关的法律法规、行政规章、规范性文件进行了全面梳理,明确阐述了在安全生产方面必须要遵守哪些强制规范,以及落实这些规范性的要求。

等保四级-安全技术-主机系统安全

否 □是 □
5.测试主要服务器操作系统和主要数据库管理系统,依据系统文档描述的强制访问控制模型,以授权用户和非授权用户身份访问客体,验证是否只有授权用户可以访问客体,而非授权用户不能访问客体:
否 □是 □
6.渗透测试主要服务器操作系统和主要数据库管理系统,可通过非法终止强制访问模块,非法修改强制访问相关规则,使用假冒身份等方式,测试强制访问控制是否安全、可靠:
d)如果16中没有常见的绕过认证方式进行系统登录的方法,则该项为肯定;
e)5-13均为肯定,则信息系统符合本单元测评项要求
测试类别
等级测评(四级)
测试对象
安全技术
测 试 类
主机系统安全
测 试 项
自主访问控制
测试要求:
1.应依据安全策略控制用户对客体的访问;
2.自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它们之间的操作;
否□是□
9.测试主要服务器操作系统和主要数据库管理系统,可通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效:
否□是□
10.测试主要服务器操作系统和主要数据库管理系统,当进入系统时,是否先需要进行标识(如建立账号),而没有进行标识的用户不能进入系统:
否□是□
11.测试主要服务器操作系统和主要数据库管理系统,添加一个新用户,其用户标识为系统原用户的标识(如用户名或UID),查看是否不会成功:
否 □是 □
9.查看主要服务器操作系统,查看匿名/默认用户是否已被禁用
否 □是 □
10.测试主要服务器操作系统和主要数据库管理系统,依据系统访问控制的安全策略,试图以未授权用户身份/角色访问客体,验证是否不能进行访问
否 □是 □
测试结果:□符合□部分符合□不符合

电力行业信息系统安全等级保护基本要求

电力行业信息系统安全等级保护基本要求(总101页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除ICSDL电力行业信息系统安全等级保护基本要求Baseline for classified protection of power industry informationsystem(征求意见稿)目次前言................................................................ 错误!未定义书签。

引言................................................................ 错误!未定义书签。

第一部分通用要求..................................................... 错误!未定义书签。

1 适用范围............................................................ 错误!未定义书签。

2 规范性参考文件...................................................... 错误!未定义书签。

3 术语和定义.......................................................... 错误!未定义书签。

4 信息系统安全等级保护概述............................................ 错误!未定义书签。

信息系统安全保护等级................................................. 错误!未定义书签。

不同等级的安全保护能力............................................... 错误!未定义书签。

信息安全等级保护概念及案例分析

等级保护是基本制度国家信息化领导小组关亍加强信息安全保障工作的意见中办发200327号国务院第147号令中华人民共和国计算机信息系统安全保护条例1994年2月18日关亍信息安全等级保护工作的实施意见公通字200466号信息安全等级保护管理办法公通字200743定级备案安全建设整改等级测评监督检查主要政策回顾序号发文单位名称国务院令1994147号国务院中华人民共和国计算机信息系统安全保护条例规定计算机信息系统实行安全等级保护中办发200327号中央办公厅国家信息化领导小组关亍加强信息安全保障工作的意见公通字200466号公安部4部委关亍信息安全等级保护工作的实施意见中办200618号中央办公厅转发国家信息化领导小组关亍推进国家电子政务网络建设的意见的通知公通字200743号公安部4部委信息安全等级保护管理办法公安部信息安全等级保护备案实施细则公信安2007861号公安部4部委关亍开展全国重要信息系统安全等级保护定级工作的通知公信安2008736号公安部公安机关信息安全等级保护检查工作规范试行发改高技20082071号发改委关亍加强国家电子政务工程建设项目信息安全风险评估工作的通知10公信安20091429公安部关亍印送关亍开展信息安全等级保护安全建设整改工作的指导意见的凼11公信安2010303号公安部关亍推劢信息安全等级保护测评体系建设和开展等级测评工作的通知主要标准回顾序号标准编号标准分类名称gbt222402008信息安全技术信息系统安全保护等级定级指南gbt222392008信息安全技术信息系统安全等级保护基本要求gbt248562009信息安全技术信息系统安全等级保护安全设计技术要求gbt250582010信息安全技术信息系统安全等级保护实施指南gbtxxxxxxxxx信息安全技术信息系统安全等级保护测评要求序号标准编号标准分类名称gb178591999信息安全技术计算机信息系统安全保护等级划分准则gbt202712006信息安全技术信息系统通用安全技术要求gbt210522006信息安全技术信息系统物理安全技术要求gbt202702006信息安全技术网络基础安全技术要求gbt202722006信息安全技术操作系统安全技术要求gbt202732006信息安全技术数据库管理系统安全技术要求gbt210282006信息安全技术服务器技术要求gat6712006信息安全技术终端计算机系统安全等级技术要求gbt
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18
现场测评内容与方法——身份鉴别
#cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon: :2:2:daemon:/sbin:/sbin/nologin …… #cat /etc/shadow root:$1$crpkUkzg$hLl/dYWm1wY4J6FqSG2jS0:14296:0:99999:7::: bin:$1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0 daemon:*:14296:0:99999:7::: .....
信息安全等级测评师培训
主机系统安全测评
公安部信息安全等级保护评估中心 尹湘培
1
目录
1. 前言 2. 测评准备工作 3. 现场测评内容与方法 4. 总结
2
前言
3
前言
主机的相关知识点
主机按照其规模或系统功能来区分,可分为巨型、大型、中型、 小型、微型计算机和单片机
主机安全是由操作系统自身安全配置、相关安全软件以及第三方 安全设备等来实现,主机测评则是依据基本要求对主机安全进行 符合性检查。
用户的身份标识和鉴别,就是用户向系统以一种安全的方式提 交自己的身份证实,然后由系统确认用户的身份是否属实的过 程。
16
现场测评内容与方法——身份鉴别
Winlogon
明文口令 被散列
客户端请求登录 服务器发出8字节质询
SAM 8字节质询
用口令对质 询进行散列
发送应答
通过比较决定是否允许登录
用口令对质询进 行散列并比较
17
现场测评内容与方法——身份鉴别
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 检查方法
Window: 访谈系统管理员系统用户是否已设置密码,并查看登陆过
程中系统账户是否使用了密码进行验证登陆。 Linux:
采用查看方式,在root权限下,使用命令more、cat或vi 查看/etc/passwd和/etc/shadow文件中各用户名状态 。
目前运行在主机上的主流的操纵系统有Windows、Linux、Sun Solaris 、IBM AIX、HP-UX等等
4
前言
测评对象是主机上各种类型的操作系统。
操作系统 Linux/Unix/Netware MS WinNT/2000 Saloris DOS/Win9X
C2级 C2级 C2级 D级
23
现场测评内容与方法——身份鉴别
c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次 数和自动退出等措施。
条款理解 要求系统应具有一定的登录控制功能。可以通过适当的配置“ 帐户锁定策略”来对用户的登录进行限制。如帐户锁定阈值, 帐户锁定时间等。
21
现场测评内容与方法——身份鉴别
22
现场测评内容与方法——身份鉴别
#more /etc/login.defs
PASS_MAX_DAYS 90 #登录密码有效期90天 PASS_MIN_DAYS 0 #登录密码最短修改时间,增加可以防止非法用户短期更改多次 PASS_MIN_LEN 8 #登录密码最小长度8位 PASS_WARN_AGE 7 #登录密码过期提前7天提示修改 FAIL_DELAY 10 #登录错误时等待时间10秒 FAILLOG_ENAB yes #登录错误记录到日志 SYSLOG_SU_ENAB yes #当限定超级用户管理日志时使用 SYSLOG_SG_ENAB yes #当限定超级用户组管理日志时使用 MD5_CRYPT_ENAB yes #当使用md5为密码的加密方法时使用
级别
5
前言
基本要求中主机各级别的控制点和要求项对比
不同级别系统控制点的差异
层面 主机安全
一级 4
二级 6
三级 7
不同级别系统要求项的差异
层面 主机安全
一级 6
二级 19
三级 32
四级 9
四级 36
6
前言
熟悉操作系统自带的管理工具
Windows Computer management Microsoft management console (mmc) Registry editor Command prompt …… Linux 常用命令:cat、more、ls等具备查看功能的命令
7
前言
MMC
MMC是用来创建、保 存、打开管理工具的 控制台,在其中可以 通过添加各种管理工 具插件来实现对软硬 件和系统的管理,
8
前言
MMC
mmc本身不提供 管理功能,而是 通过各个管理单 元(snap-评准 现场测评和 结果确认和

结果记录
资料归还
19
现场测评内容与方法——身份鉴别
b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的 特点,口令应有复杂度要求并定期更换。
条款理解 要求系统应具有一定的密码策略,如设置密码历史记录、设置 密码最长使用期限、设置密码最短使用期限、设置最短密码长 度、设置密码复杂性要求、启用密码可逆加密。
20
现场测评内容与方法——身份鉴别
b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的 特点,口令应有复杂度要求并定期更换。
检查方法 Windows: 本地安全策略->帐户策略->密码策略中的相关项目 Linux: 采用查看方式,在root权限下,使用命令more、cat或vi 查看/etc/login.defs文件中相关配置参数
13
目录
1. 前言 2. 测评准备工作 3. 现场测评内容与方法 4. 总结
14
现场测评内容与方法
身份鉴别 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 系统资源控制 备份与恢复
15
现场测评内容与方法——身份鉴别
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 条款理解
10
内容目录
1. 前言 2. 测评准备工作 3. 现场测评内容与方法 4. 总结
11
测评准备工作
信息收集
服务器设备名称、型号、所属网络区域、操作系统 版本、IP地址、安装应用软件名称、主要业务应用 、涉及数据、是否热备、重要程度、责任部门……
12
测评准备工作
测评指导书准备 根据信息收集的内容,结合主机所属等级,编 写测评指导书。 注意:测评方法、步骤一定明确、清晰。