等保考试初级知识Word格式文档下载.docx

等保考试初级知识Word格式文档下载.docx

《等保考试初级知识Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《等保考试初级知识Word格式文档下载.docx（38页珍藏版）》请在冰豆网上搜索。

条款理解：

（一）结构安全：

是网络安全测评检查的重点，网络结构是否合理直接管理到信息系统的整体安全。

1、应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

为了保证信息系统的高可用性，主要网络设备的业务处理能力应具备冗余空间。

2、应保证网络各个部分的带宽满足业务高峰期需要。

对网络各个部分进行分配带宽，从而保证在业务高峰期业务服务的连续性。

3、应在业务终端与业务服务器之间进行路由控制建立安全的访问路径：

静态路由是指由网络管理员手工配置的路由信息。

动态路由是指路由器能够自动地建立自己的路由表。

路由器之间的路由信息交换是基于路由协议实现的，如OSPF路由协议是一种典型的链路状态的路由协议。

如果使用动态路由协议应配置使用路由协议认证功能，保证网络路由安全。

4、应绘制与当前运行情况相符的网络结构图：

为了便于网络管理，应绘制与当前运行情况相符的网络拓扑结构图，当网络拓扑结构发生改变时，应及时更新

5、应根据各个部门的工作职能，重要性和所设计信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网，网段分配地址段：

根据实际情况和区域安全防护要求，应在要求的网络设备上进行VLAN划分或子网划分

不同VLAN内的报分再传输时是相互隔离的，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备设备实现

6、应避免将重要网段部署在网络边界处且直接连接到外部信息系统，重要网段与其他网段之间可采取可靠的技术隔离手段：

为了保证信息系统的安全，应避免将重要的网段部署在网络边界处且连接外部信息系统，防止来自外部信息系统的攻击

在重要的网段和其它网段之间配置安全侧略进行访问控制

7、应按照对业务服务的重要次序来指定带块分配优先级别，保证在网络发生拥堵的时候优先保护重要主机：

为了保证重要业务的连续性，应按照业务服务的重要次序来指定带宽分配优先级别，从而保证在网络发生拥堵的时候优先保护重要主机

（二）访问控制：

访问控制是网络测评检查中的核心部分，涉及到大部分网络设备，安全设备。

8、应在网络边界处部署访问控制设备，启用访问控制功能：

在网络边界部署访问控制设备防御来自其它网络的攻击，保护内部网络的安全

9、应能根据会话状态信息为数据流提供明确的允许、拒绝访问的能力控制粒度为端口级：

在网络边界部署访问控制设备对进出网络的流量进行过滤，保护内部网络的安全

配置的访问控制列表应有明确的源/目的地址，源/目的协议及服务等

10、应对进出网络的信息内容进行过滤，实线对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制：

对于一些常用的应用层协议，能够在访问控制设备上实现应用层协议命令的控制和内容检查，从而增强访问控制粒度

11、应在会话处于非活跃一定时间或会话结束后终止网络连接：

当恶意用户进行网络攻击时，有时会建立大量的会话连接，建立会话后长时间保持保持状态连接从而占用大量的网络资源，最终将网络资源耗尽

应在会话终止或长时间无响应的情况下终止网络连接，释放被占用的网络资源，保证业务可以被正常访问

12、应限制网络最大流量数及网络连接数：

可根据IP地址，端口，协议来限制应用数据流的最大流量，还可以根据IP地址来限制网络连接数，从而保证业务带宽不被占用，业务系统可以对外正常提供业务

13、重要网段应采取技术手段防止地址欺骗：

地址欺骗在网络安全中是比较重要的一个问题，这里的地址可以是MAC地址也可以是IP地址，在关键设备上采用IP/MAC地址绑定的方式防止地址欺骗

14、应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户：

对于远程拨号用户，应在相关设备上提供用户认证功能

通过配置用户，用户组，并结合访问控制规则可以实现对认证成功的用户允许访问受控制资源

15、应限制具有拨号访问权限的用户数量：

应限制通过远程拨号方式或通过其他方式接入系统内部的用户数量

（三）安全审计：

安全审计要对相关时间进行日志记录，还要求对形成的记录能够分析，形成报表。

16、应对网络系统中的网络设备运行状态，网络流量，用户行为等进行日志记录：

为了对网络设备的运行状况、网络流量、管理记录等进行检测和记录，需要启用系统日志功能，系统日志信息通常输出至各种管理端口、内部缓存或者日志服务器

17、审计记录应包括：

事件的日期和时间，用户，事件类型，事件是否成功及其他与审计相关的信息：

日志审计需要记录时间、类型、用户、时间、事件是否成功等相关信息

18、应能够根据记录数据进行分析，并生成审计报表：

为了便于管理员能够及时准确地了解设备运行状况和发现网络入侵行为，需要对审计记录数据进行分析和生成报表

19、应对审计记录进行保护，避免受到未预期的删除，修改和或覆盖等：

审计记录能够帮助管理人员及时发现运行状况和网络攻击行为，因此需要对审计记录实施技术上和管理上得保护，防止为授权修改、删除和破坏

（四）边界完整性检查：

边界完整性检查主要检查全网中对网络的连接状态进行监控，发现非法接入，非法外联时能够准确定位并及时报警和阻断。

20、应能够对非授权设备私自联入内部网络的行为进行检查，准确定出位置，并对其进行有效阻断：

可以采用技术手段和管理措施对“非法接入”行为进行检查，技术手段包括网络接入控制，IP/MAC地址绑定

21、应能够对内部网络用户私自联到外部网络的行为进行检查、准确定出位置、并对其进行有效阻断：

可以采用技术手段和管理措施对“非法外联”行为进行检查。

技术手段可以采取部署桌面管理系统或其他技术实施控制

（五）入侵防范：

对入侵时间不仅能够检测，并能发出警报，对于近亲防御系统要求定期更新特征库，发现入侵后能够警报并阻断：

22、应在网络边界处监视以下攻击行为：

端口扫描，强力攻击，木马后门攻击，拒绝服务攻击，缓冲区溢出，IP碎片攻击和网络蠕虫攻击等：

要维护系统安全，必须在网络边界处对常见的网络攻击行为进行监视，以便及时发现攻击行为

23、当检测到攻击行为时，记录攻击源IP，攻击类型，攻击目的，攻击时间，在发生严重入侵事件时提供报警：

当检测到攻击行为时，应对攻击信息进行日志记录，在发生严重入侵事件时应能通过短信、邮件等向有关人员报警

（六）恶意代码防护：

恶意代码防范是综合性的多层次的，在网络边界处需要对恶意代码进行防范。

24、应在网络边界处对恶意代码进行检测和清除：

计算机病毒、木马和蠕虫的泛滥使得防范恶意代码的破坏显得尤为重要，在网络边界处部署防恶意代码产品进行恶意代码防范是最为直接和高效的办法

25、应维护恶意代码的升级和检测系统的更新：

、

恶意代码具有特征变化快，特征变化多的特点，因此对于恶意代码检测重要的特征库更新，以及监测系统自身的更新都非常重要

（七）网络设备防护：

网络设备的防护主要是对用户登录前后的行为进行控制，对网络设备的权限进行管理。

26、应对登录网络设备的用户进行身份鉴别：

对于网络设备，可以采用CON、AUX、VTY等方式登录

对于安全设备，可以采用WEB、GUI、命令行等方式登录

27、应对网络设备的管理员登录地址进行限制：

为了保证安全，需要对访问网络设备的登录地址进行限制，避免未授权的访问

28、网络设备用户的标识应唯一：

不允许在网络设备上配置用户名相同的用户，要防止公用一个账户，实行分账户管理，每名管理员设置一个单独的账户，避免出现问题后不能及时进行检查

29、主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别：

采用双因子鉴别是防止身份欺骗的有效方法，双因子鉴别不仅要求访问者知道一些鉴别信息，还需要访问者拥有鉴别特征，例如采用令牌、智能卡等

30、身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换：

为避免身份身份鉴别信息被冒用，可以通过采用令牌、认证服务器等措施，加强身份鉴别信息的保护，如果仅仅基于口令的身份鉴别，应当保证口令复杂度和定期更改的要求

31、应具有登录失败处理功能，可采取结束会话，限制非法登录次数和当网络登录连接超时自动退出等措施：

应对登录失败进行处理，避免系统遭受恶意的攻击

32、当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听：

对网络设备进行管理时，应采用SSH、HTTPS等加密协议，防止鉴别信息被窃听

33、应实现设备特权用户的权限分离：

应根据实际需要为用户分配其完成任务的最小权限

现场测评网络安全的步骤：

1、网络全局性测评

2、网络设备，安全设备测评

3、测评结果汇总整理

（一）网络全局性测评

2、边界完整性检查

3、入侵防范

4、恶意代码防范

（二）网络设备，安全设备测评

1、访问控制

2、安全审计

3、网络设备防护

4、备份与恢复

1、应提供本地数据备份与恢复功能、完全数据备份至少每天一次、备份介质场外存放：

应制定完备的设备配置数据备份与恢复策略，定期对设备策略进行备份，并且备份介质要场外存放

应能对路由器配置进行维护，可以方便地进行诸如查看保存配置和运行配置，上传和下载系统配置文件（即一次性导入和导出系统所有配置）等维护操作，还可以恢复出厂默认配置，以方便用户重新配置设备

2、应提供异地数据备份功能、利用通信网络将关键数据定时批量传送至备用场地：

此处提出的数据是指路由策略配置文件，可以通过采用数据同步方式，将路由器的策略文件备份到异地的服务器上

3、应采用冗余技术设计网络拓扑结构、避免关键节点存在单点故障：

为了避免网络设备或线路出现故障时引起数据通信中断，应为关键设备提供双机热备功能，以确保在通信线路或设备故障时提供备用方案，有效增强网络的可靠性

4、应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性：

5、测评结果汇总整理

对全局性检查结果和各单项检查结果进行汇总

核对检查结果，记录内容真实有效，勿有遗漏

第二章：

主机安全测评：

Windows十大安全隐患

Web服务器和服务

工作站服务

Windows远程访问服务

微软SQL服务器

Windows认证

Web浏览器

文件共享

LSASSExposures

电子邮件客户端

即时信息

Unix十大安全隐患

BIND域名系统

Web服务器

认证

版本控制系统

电子邮件传输服务

简单网络管理协议

开放安全连接通讯层

企业服务NIS/NFS配置不当

数据库

内核

主机的相关知识点：

1、主机按照其规模或系统功能来区分，可分为巨型，大型，中型，小型，微型计算机和单片机。

2、主机安全是由操作系统自身的安全配置，相关安全软件以及第三方安全设备等来实现，主机测评则是依据基本要求对主机安全进行符合性检查。

3、目前运行在主机上的主流的操作系统有windows，linux，sunsolaris，ibmaix，hp-ux等等。

测评对象主机上各种类型的操作系统

操作系统级别

Linux/Unix/NetwareC2级

MSWinNT/2000C2级

SalorisC2级

DOS/Win9xD级

基本要求中主机各级别的控制点和要求项对比

不同级别系统控制点的差异

层面一级二级三级四级

主机安全4679

不同级别系统要求项的差异

主机安全6193236

熟悉操作系统自带的管理工具

Windows

Computermanagement

Microsoftmanagementconsole（mmc）

Registryeditor

Commandprompt

Linux

常用命令：

cat、more、ls等具备查看功能的命令

检查流程：

1、现场测评准备

2、现场测评和记录结果

3、结果确认和资料归还

测评准备工作：

1、信息收集：

服务器设备名称，型号，所属网络区域，操作系统版本，IP地址，安全应用软件名称，主要业务应有，涉及数据，是否热备，重要程度，责任部门……

2、测评指导书准备：

根据信息收集的内容，结合主机所属等级，编写测评指导书。

注意：

测评方法，步骤一定要明确，清晰。

现场测评内容与方法：

（一）身份鉴别

（二）访问控制

（三）安全审计

（四）剩余信息保护

（五）入侵防御

（六）恶意代码防范

（七）系统资源控制

（八）备份与恢复

（一）身份鉴别：

1、应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

用户的身份标识和鉴别，就是用户向系统以一种安全的方式提交自己身份证实，然后由系统确认用户的身份是否属实的过程

2、操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。

要求系统应具有一定的密码策略，如设置密码历史记录、设置密码最长使用期限、设置密码最短使用期限、设置最短密码长度、设置密码复杂性要求、启用密码可逆加密

3、应启用登录失败处理功能，可采取结束会话，限制非法登录次数和自动退出等措施。

要求系统应具有一定的登录控制功能，可以通过适当的配置“账户锁定策略”来对用户的登录进行限制，如账户锁定阀值，账户锁定时间等

4、当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

为方便管理员进行管理操作，从多服务器采用了网络登录的方式进行远程管理操作，例如Linux可以使用telnet登录，Windows使用远程终端服务，基本要求规定了这些传输的数据需要进行加密处理过，目的是为了保障账户与口令的安全

5、为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性。

对于操作系统来说，用户管理是操作系统应具备的基本功能，用户管理由创建用户和组以及定义它们的属性构成，用户的一个主要属性是如何对他们进行认证，用户是系统的主要代理，其属性控制他们的访问权，环境，如何对他们进行认证以及如何、何时、在哪里可以访问他们的账户，因此，用户标识的唯一性至关重要，如果系统允许用户名相同，而UID不同，其唯一性标识为UID，如果系统允许UID相同，而用户名不同，其唯一性标识为用户名

小结：

在三级系统中，身份鉴别公有6个检查项，分别是身份的标识、密码口令的复杂度设置、登录失败的处理、远程管理的传输模式、用户名的唯一性以及身份组合鉴别技术

6、应启用访问控制功能，依据安全策略控制用户对资源的访问。

访问控制是安全防范和保护的主要策略，它不仅应用于网络层面，同样也适用于主机层面，它的主要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的访问保护系统资源，对于本项而言，主要涉及到两个方面的内容,

分别是：

文件权限和默认共享

7、应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。

根据管理用户的角色对权限做出标准细致的划分，有利于各岗位细致协调的工作，同时对授权模块进行一些授权管理，并且系统的授权安全管理工作要做到细致，仅授予管理用户所需的最小权限，避免出现权限漏洞是一些高级用户拥有过大的权限

8、应实现操作系统和数据库特权用户的权限分离。

操作系统特权用户可能拥有以下一些权限：

安装和配置系统的硬件和软件、建立和管理用户账户、升级软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性，数据库系统特权用户则更多是对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库系统的可用性、完整性和安全性。

将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些认为的误操作，做到了职责明确

9、应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令。

对于系统默认的用户名，由于它们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用，对于匿名用户的访问原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁用或者严格限制。

依据服务器操作系统访问控制的安全策略，以为授权用户身份/角色测试访问客体，是否不允许进行访问

10、应及时删除多余的，过期的账户，避免共享账户的存在。

对于系统默认的用户名，由于他们的某些权限与实际系统的要求可能存在差异，从而造成安全隐患，因此这些默认用户名应禁用。

对于匿名用户的访问，原则上是禁止的，查看服务器操作系统，确认匿名/默认用户的访问权限已被禁止或严格限制。

依据服务器操作系统、访问控制的安全策略，以未授权用户身份/角色测试访问客体，是否不允许进行访问

11、应对重新信息资源设置敏感标记。

12、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

敏感标记是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。

敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。

在三级系统中，访问控制公有7个检查项，分别是对系统的访问控制功能、管理用户的角色分配、操作系统和数据库系统管理员的权限分离，默认用户的访问权限，账户的清理、重要信息资源的敏感标记设置和对有敏感标记信息资源的访问控制

13、安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。

安全审计定义是保障计算机系统本地安全和网络安全的重要技术，通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。

因此覆盖范围必须要到每个操作系统用户和数据库用户

14、审计内容应包括重要用户行为，系统资源的一场使用和重要系统命令的使用等系统内重要的安全相关事件。

有效合理的配置安全审计内容，能够及时准确的了解和判断安全事件的内容和性质，并且可以极大的节省系统资源

15、审计记录包括事件的日期，时间，类型，主体标识，客体标识和结果等。

审计记录是指跟踪指定数据库的使用状态产生的信息，它应该包括事件的日期、时间、类型、主体标识、客体标识和结果等。

通过记录中得详细信息，能够帮助管理员或其他相关检查人员准确的分析和定位事件

16、应保护审计进程，避免受到未预期的中断。

保护好审计进程，当避免当时间发生时，能够及时记录时间发生的详细内容

17、应保护审计记录，避免受到未预期的删除，修改或覆盖等。

非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的方法就是去看系统记录和安全审计文件，因此，必须对审计记录进行安全保护，避免受到未预期的删除、修改或覆盖等。

在三级系统中，安全审计共有6个检查项，分别是审计范围、审计的事件、审计记录格式、审计报表得生成、审计进程保护和审计记录的保护

（四）剩余信息保护：

18、应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

剩余信息保护是指操作系统用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全清楚

19、应确保系统的文件，目录和数据库记录等资源所在的储存空间，被释放或重新分配给其他用户前得到完全清除。

由于主存于辅存价格和性能的差异，现代操作系统普遍采用辅存作为缓存，对于缓存使用的安全问题也尤其重要

小结

在三级系统中，剩余信息保护共有2个检查项，分别是鉴别信息清空、文件记录等得清空

20、应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP，攻击的类型，攻击的目的，攻击的时间，并在发生严重入侵事件时提供报警。

要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。

因此一套成熟的主机监控机制能够有效的避免、发现、阻断恶意攻击事件

21、应能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

对系统重要文件备份或者对整个系统进行全备，有利于当系统遭受到破坏后能够得到及时恢复

22、操作系统遵循最小安装的原则，仅安装需要的组建和应用程序，并通过设置更新服务器等方式保持系统补丁及时得到更新。

对于本项而言，主要涉及到两个方面的内容，分别是：

系统服务、补丁升级。

遵循最小安装原则，仅开启需要的服务，安装需要的组件和程序，可以极大地降低系统遭受攻击的可能性。

及时更新系统补丁，可以避免遭受由系统漏洞带来的风险

在三级系统中，入侵防范公有3个检查项，分别是入侵行为的记录和报警、重要文件的完整性保护、最小安装原则

（六）恶意代码防范：

23、应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库。

无论是Windows主机还是Linux主机，都面临着木马，蠕虫等病毒软件的破坏。

因此一般的主机为防范病毒均会安装防病毒软件，如NortonAnti-Virus、金山毒霸等，并且通常也能及时更新病毒库

24、主机防恶意代码产品应具有与网络防恶意代码产品不通的恶意代码库。

基于网络和基于主机的防病毒软件在系统上应构成立体的防护结构，属于深层防御的一部分。

因此基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同

25、应支持恶意代码方法的统一管理。

一个机构的病毒管理应满足木桶原理，只有当所有主机都及时更新了病毒库才能够做到防止病毒的入侵。

因此应有同意的病毒管理策略，例如统一更新，定时查杀等

在三级系统中，恶意代码防范共有3个检查项，分别是安装防恶意代码软件，主机的防恶意代码库和网络防恶意代码库的差别，防恶意代码软件统一管理

（七）系统资源控制：

26、应通过设置终端接入方式，网络地址范围等条件限制终端登录。

系统资源概念是指CPU、存储空间、传输带快等软硬件资源，通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大的节省系统资源，保证了系统的可用性，同时也提高了系统的安全性，对于Windows系统自身来说，可以通过主机防火墙或TCP/