第四章-主機安全測評分析課件

第4章主機安全測評技術(shù)05一月2023第4章主機安全測評技術(shù)29十二月20221本章要點本章要點2從“計算”到“計算安全”從“計算”到“計算安全”3信息安全與信息系統(tǒng)安全信息安全：回答的是what信息系統(tǒng)安全：回答的是how主機安全：是信息系統(tǒng)安全的分支主機安全：是信息系統(tǒng)安全的“最后一道防線”信息安全與信息系統(tǒng)安全信息安全：回答的是what4穿越時空的暢想古代信息安全：陰符、陰書、江湖切口密語、密碼現(xiàn)代信息安全：對稱加密非對稱加密信息隱藏……古代“主機”安全傳令兵的口令傳令兵的身體……現(xiàn)代主機安全身份鑒別、自主和強制訪問控制安全審計、剩余信息保護區(qū)、入侵防范、惡意代碼防范、資源控制……穿越時空的暢想古代信息安全：現(xiàn)代信息安全：古代“主機”安全現(xiàn)5防御體系防御體系6主機安全測評的要點主機安全測評的要點7身份鑒別---進大門低級：口令和密碼高級：數(shù)字證書、指紋識別、虹膜識別……2.自主訪問控制---進一些重要部門用戶按照自己的意愿對主機的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他的文件。3.強制訪問控制用戶與文件都有一個事先設(shè)置的、非經(jīng)授權(quán)不能修改的安全屬性。身份鑒別---進大門84.安全審計--“做了跑不掉”包括對主機系統(tǒng)安全日志的保護，對用戶行為的記錄，以及對主機資源的異常記錄等方面。5.剩余信息保護主機存儲敏感信息的空間被釋放給其他用戶的時候，原來存儲在主機里的重要信息要保證及時清理掉。6.入侵防范--正在干的要及時發(fā)現(xiàn)包括對入侵行為的記錄（攻擊的目的地、攻擊的時間、攻擊者的IP、重要程序是否被破壞以及破壞后是否及時恢復(fù)）。4.安全審計--“做了跑不掉”97.惡意代碼防范主要檢查主機是否配備相關(guān)的防惡意代碼的機制，包括殺毒軟件等。惡意代碼：病毒，木馬，間諜軟件等。8.資源控制用戶不能無限制的使用主機資源，也要防止外面的用戶非法掠奪這臺主機的資源。7.惡意代碼防范10主機安全測評的實施測評對象：“天網(wǎng)”的G2G政府內(nèi)部辦公網(wǎng)絡(luò)“青天”子系統(tǒng)。屬于巴山市政府的內(nèi)部辦公業(yè)務(wù)，服務(wù)對象時政府各部門的公務(wù)員，處理的政府公文很多帶有敏感性。定級為3級。主機安全測評的實施測評對象：“天網(wǎng)”的G2G政府內(nèi)部辦公網(wǎng)絡(luò)11主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：應(yīng)訪談系統(tǒng)管理員，詢問操作系統(tǒng)的身份標(biāo)識與鑒別機制采取何種措施實現(xiàn)。應(yīng)訪談數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫的身份標(biāo)識與鑒別機制采取何種措施實現(xiàn)。應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫管理員是否采用了遠程管理，如采用了遠程管理，查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。P79問卷調(diào)查主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：12主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：應(yīng)訪談安全審計員，詢問主機系統(tǒng)是否設(shè)置安全審計；詢問主機系統(tǒng)對事件進行審計的選擇要求和策略是什么？對審計日志的處理方式有哪些？P79問卷調(diào)查主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：13主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共2項：應(yīng)訪談系統(tǒng)管理員，詢問操作系統(tǒng)用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。應(yīng)訪談數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫管理員用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；數(shù)據(jù)庫記錄第3級安全測評要求等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。P79問卷調(diào)查主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共14主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：應(yīng)訪談系統(tǒng)管理員，詢問是否采取主機入侵防范措施，主機入侵防范內(nèi)容是否包括主機運行監(jiān)視、資源使用超過值報警、特定進程監(jiān)控、入侵行為檢測和完整性檢測等方面的內(nèi)容。應(yīng)訪談系統(tǒng)管理員，詢問入侵防范產(chǎn)品的廠家、版本和安裝部署情況；詢問是否按要求（如定期或?qū)崟r）進行產(chǎn)品升級。P79問卷調(diào)查主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：15主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只有1項：應(yīng)訪談系統(tǒng)安全管理員，詢問主機系統(tǒng)是否采取惡意代碼實時監(jiān)測與查殺措施，惡意代碼實時監(jiān)測與查殺措施的部署情況如何，是否按要求進行產(chǎn)品升級。P79問卷調(diào)查主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只16注意國家標(biāo)準(zhǔn)關(guān)于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制”、“強制訪問控制”和“資源控制”的訪談要求（第4級以上才會出現(xiàn)）。注意國家標(biāo)準(zhǔn)關(guān)于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制17訪談現(xiàn)場檢查：對訪談內(nèi)容進行核實包括：一是對各個主機所對應(yīng)的相關(guān)文檔資料進行檢查；二是對各型主機上運用各種操作指令進行現(xiàn)場檢查。抽樣檢查訪談18主機安全現(xiàn)場檢查主機安全現(xiàn)場檢查191、主機身份鑒別現(xiàn)場檢查第3級安全測評要求主機的身份鑒別現(xiàn)場檢查共5項：（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)身份鑒別功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第二級以上或TCSECC2級以上的測試報告。文檔檢查，檢查項目建設(shè)的招/投標(biāo)文件來驗證是否達到要求。1、主機身份鑒別現(xiàn)場檢查第3級安全測評要求主機的身份鑒別現(xiàn)場20（2）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)賬戶列表，查看管理員用戶名分配是否唯一。檢查目標(biāo)：檢查操作系統(tǒng)管理員賬戶是否唯一檢查對象：“青天”子系統(tǒng)Web服務(wù)器檢查步驟：開始-運行cmd命令：netlocalgroupadministrators檢查結(jié)論：該web服務(wù)器（不）符合國家標(biāo)準(zhǔn)關(guān)于第3級主機身份鑒別的安全測評要求。（2）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)賬戶列表，查看管理員21（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否提供了身份鑒別措施，其身份鑒別信息是否具有不易被冒用的特點。檢查：用戶輸入口令來檢查，或讓系統(tǒng)管理員提供口令設(shè)置文件和口令替換記錄等資料來核對。第3級：口令長度至少要達到7個字符以上，并混雜有大小寫字母、數(shù)字和特殊符號?？诹钐鎿Q至少每月一次（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否提22（4）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看身份鑒別是否采用兩個或兩個以上身份鑒別技術(shù)的組合技術(shù)來進行身份鑒別。比如：口令、生物識別、物理設(shè)備、動態(tài)口令。數(shù)字證書等二選一。注意：要核對證書產(chǎn)品是否通過了國家權(quán)威機構(gòu)的測評認(rèn)證。（4）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看身份鑒23（5）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否配置了鑒別失敗處理功能，并設(shè)置了非法登錄次數(shù)的限制；查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時并自動退出功能。檢查目標(biāo)：查看是否配置了鑒別失敗處理功能，并設(shè)置了非法登錄次數(shù)的限制；查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時并自動退出功能。檢查對象：”青天“子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器（5）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否配24檢查步驟：打開”管理工具“-本地安全設(shè)置-賬戶策略-賬戶鎖定策略。打開”管理工具“-本地安全設(shè)置-本地策略-安全選項檢查結(jié)論：該web服務(wù)器（不）符合國家標(biāo)準(zhǔn)關(guān)于第3級主機身份鑒別檢查的安全策略要求。檢查步驟：252、主機自主訪問控制現(xiàn)場檢查第3級安全測評要求主機的自主訪問控制現(xiàn)場檢查項共6項：（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的自主訪問控制功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。2、主機自主訪問控制現(xiàn)場檢查第3級安全測評要求主機的自主訪問26（2）檢查主要服務(wù)器操作系統(tǒng)的安全策略，查看是否對重要文件的訪問權(quán)限進行了限制，對系統(tǒng)不需要的服務(wù)、共享路徑等可能被非授權(quán)訪問者（人或程序）進行了限制。檢查目標(biāo)：查看是否對重要文件的訪問權(quán)限進行了限制；對系統(tǒng)不需要的服務(wù)是否進行了限制；是否對共享路徑進行了限制檢查對象：”青天“子系統(tǒng)內(nèi)網(wǎng)WEB服務(wù)器（2）檢查主要服務(wù)器操作系統(tǒng)的安全策略，查看是否對重要文件的27檢查步驟：管理工具-計算機管理-共享文件夾-共享管理工具-服務(wù)檢查結(jié)論：該服務(wù)器未對共享資源進行控制，但禁用了不需要的服務(wù)，重要文件的訪問權(quán)限進行了限制。不符合第3級要求。檢查步驟：28（3）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的訪問控制列表，查看授權(quán)的用戶中是否存在過期的賬號和無用的賬號等；訪問控制列表中的用戶和權(quán)限，是否與安全策略相一致。檢查目標(biāo)：查看授權(quán)用戶是否存在過期賬號和無用賬號檢查對象：”青天“子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器（3）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的訪問控制列表，29檢查步驟：管理工具-計算機管理-本地用戶和組-用戶查看用戶權(quán)限并與安全策略相對比檢查步驟：30(4)檢查主要數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫管理人員與操作系統(tǒng)管理員是否由不同管理員擔(dān)任。（5）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看特權(quán)用戶的權(quán)限是否進行分離；查看是否采用最小授權(quán)原則。(4)檢查主要數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫管理人員與操作系統(tǒng)管理員是31（6）查看主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看匿名/默認(rèn)用戶的訪問權(quán)限是否被禁用或者嚴(yán)格限制。檢查目標(biāo)：查看匿名/默認(rèn)用戶的訪問權(quán)限是否被禁用或者嚴(yán)格限制檢查對象：“青天”子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器（6）查看主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看匿名/32檢查步驟：管理工具-本地安全策略-安全選項“讓每個人權(quán)限應(yīng)用與匿名用戶”“限制匿名訪問命名管道和共享”“允許匿名SID/名稱轉(zhuǎn)換”三項禁用檢查結(jié)論：該服務(wù)器符合本條檢查要求。檢查步驟：333、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制訪問控制現(xiàn)場檢查共3項，均是檢查文檔資料。（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的強制訪問控制功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。3、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制34（2）檢查服務(wù)器操作系統(tǒng)文檔，查看強制訪問控制管理模型是否采用“向下讀，向上寫”模型，如果操作系統(tǒng)采用其他強制訪問模型，則操作系統(tǒng)文檔中是否有對這種模型的詳細分析，并有權(quán)威機構(gòu)對這種強制訪問控制模型的合理性和完善性的檢查證明。（2）檢查服務(wù)器操作系統(tǒng)文檔，查看強制訪問控制管理模型是否采35（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)文檔，查看強制訪問控制是否與用戶身份鑒別、識別等安全功能密切配合，是否控制粒度達到主體為用戶級、客體為文件和數(shù)據(jù)庫表級。（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)文檔，查看強364、安全審計現(xiàn)場檢查第3級安全測評要求對主機的安全審計現(xiàn)場檢查共5項，均可進行手動檢查。（1）檢查主要服務(wù)器操作系統(tǒng)、主要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看當(dāng)前審計范圍是否覆蓋到每個用戶。檢查目標(biāo)：檢查操作系統(tǒng)，查看當(dāng)前審計范圍是否覆蓋到每個用戶。檢查對象：“青天”子系統(tǒng)內(nèi)部郵件服務(wù)器4、安全審計現(xiàn)場檢查第3級安全測評要求對主機的安全審計現(xiàn)場檢37檢查步驟：管理工具-計算機管理-系統(tǒng)工具-事件查看器-系統(tǒng)管理工具-計算機管理-系統(tǒng)工具-事件查看器-安全性檢查結(jié)論：該服務(wù)器滿足主機對用戶的安全審計要求檢查步驟：38（2）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看審計策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件。檢查目標(biāo)：查看操作系統(tǒng)，查看審計策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件。檢查對象：“青天”子系統(tǒng)內(nèi)部郵件服務(wù)器（2）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管39檢查步驟：管理工具-本地安全設(shè)置-本地策略-審核策略檢查結(jié)論：該服務(wù)器滿足第3級安全測評主機對安全審計策略的要求。檢查步驟：40（3）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看審計記錄信息是否包括事件發(fā)生的日期和事件、觸發(fā)事件的主體與客體、事件的類型、事件的成功或失敗、身份鑒別事件中請求的來源和事件的結(jié)果等內(nèi)容。檢查方式同（1）（3）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管41（4）檢查主要服務(wù)器和重要終端操作系統(tǒng)，查看是否授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具，并能根據(jù)需要生成審計報表。（4）檢查主要服務(wù)器和重要終端操作系統(tǒng)，查看是否授權(quán)用戶瀏覽42（5）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看審計跟蹤設(shè)置是否定義了審計跟蹤極限的閾值，當(dāng)儲存空間被耗盡時，能否采取必要的保護措施。檢查目標(biāo)：檢查操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，查看審計跟蹤設(shè)置是否定義了審計跟蹤極限的閾值，當(dāng)儲存空間被耗盡時，能否采取必要的保護措施。檢查對象：青天”子系統(tǒng)內(nèi)部郵件服務(wù)器（5）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管43檢查步驟：管理工具-本地安全設(shè)置-本地策略-安全選項管理工具-計算機管理-系統(tǒng)工具-事件查看器（右鍵）應(yīng)用程序-屬性檢查結(jié)論：從測試過程可以看出，當(dāng)存儲空間耗盡不能記錄安全審核時，系統(tǒng)會自動采取相應(yīng)保護措施，但該項已經(jīng)禁止，因此測試結(jié)果不符合安全審計的要求。對審計日志則設(shè)置了限制，并對超過限制采取了必要的保護措施，因此這項測試結(jié)果符合要求。檢查步驟：445、剩余信息保護現(xiàn)場檢查第3級安全測評要求對主機的剩余信息保護現(xiàn)場檢查共2項。（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的神域嘻嘻保護功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第2級以上的測試報告。5、剩余信息保護現(xiàn)場檢查第3級安全測評要求對主機的剩余信息保45（2）檢查主要操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)維護操作手冊，查看是否明確用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前的處理方法和過程；文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。（2）檢查主要操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)維護操作手冊，查看466、主機的入侵防范現(xiàn)場檢查第3級安全測評要求對主機的入侵防范現(xiàn)場檢查共3項。（1）檢查入侵防范系統(tǒng)，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標(biāo)和攻擊時間等，在發(fā)生嚴(yán)重入侵事件時能否提供報警功能。檢查目標(biāo)：檢查入侵防范系統(tǒng)，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標(biāo)和攻擊時間等，在發(fā)生嚴(yán)重入侵事件時能否提供報警功能。檢查對象：“青天”子系統(tǒng)邊界防火墻以及內(nèi)網(wǎng)某終端6、主機的入侵防范現(xiàn)場檢查第3級安全測評要求對主機的入侵防范47檢查步驟：Ｐ９５檢查結(jié)論：從測試過程可以看出，入侵防范系統(tǒng)可以記錄攻擊者的源IP、攻擊類型、攻擊目標(biāo)和攻擊事件等相關(guān)重要信息，因此符合檢查要求。檢查步驟：Ｐ９５48（2）檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補丁升級。檢查目標(biāo)：檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補丁升級。檢查對象：“青天”子系統(tǒng)某專門升級服務(wù)器（2）檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補丁升49檢查步驟：本實驗服務(wù)器IP7通過遠程管理在遠端計算機（模擬的補丁下載地址）打開IE瀏覽器，地址欄輸入“7”輸入該地址的主機用戶名和登錄口令，查看其軟件補丁升級的界面檢查結(jié)論：按第3級安全測評要求設(shè)置了升級服務(wù)器，可以用于對重要服務(wù)器的補丁升級，因此符合檢查要求。檢查步驟：50（3）檢查主要服務(wù)器是否已經(jīng)及時更新了操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)廠商新公布的補丁。檢查目標(biāo)：檢查服務(wù)器的補丁升級情況檢查對象：“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器檢查步驟：首先安裝MicrosoftBaselineSecurityAnalyzer補丁升級檢查軟件運行，單擊“scanacomputer”檢查結(jié)論：主要服務(wù)器對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行了及時更新，符合檢查要求。（3）檢查主要服務(wù)器是否已經(jīng)及時更新了操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)廠517、主機的惡意代碼現(xiàn)場檢查第3級安全測評要求對主機的惡意代碼現(xiàn)場檢查共2項。（1）檢查主要服務(wù)器系統(tǒng)和重要終端系統(tǒng)，查看是否安裝了實時檢測和查殺惡意代碼的軟件產(chǎn)品，查看實時檢測與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能，查看檢測與查殺惡意代碼軟件產(chǎn)品的廠家、版本號和惡意代碼庫名稱。7、主機的惡意代碼現(xiàn)場檢查第3級安全測評要求對主機的惡意代碼52（2）檢測網(wǎng)絡(luò)防惡意代碼產(chǎn)品，查看廠家、版本號和惡意代碼庫名稱，查看是否與主機惡意點名產(chǎn)品有不同的惡意代碼庫。檢查目標(biāo)：查看是否安裝了實時檢測和查殺惡意代碼的軟件產(chǎn)品，查看實時檢測與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能，查看檢測與查殺惡意代碼軟件產(chǎn)品的廠家、版本號和惡意代碼庫名稱。檢查對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器（2）檢測網(wǎng)絡(luò)防惡意代碼產(chǎn)品，查看廠家、版本號和惡意代碼庫名53檢查步驟：先從裸機上查看木馬程序是否存在，然后在windows命令行狀態(tài)下輸入命令”netstat-a“，查看當(dāng)前運行的程序所使用的通信端口。打開”任務(wù)管理器“查看進程打開殺毒軟件查看該殺毒軟件產(chǎn)品的廠家、版本號和惡意代碼庫名稱。檢查結(jié)論：植入的木馬程序被本機上的殺毒軟件實時發(fā)現(xiàn)并進行了查殺，通過該殺毒軟件，可以清楚地了解到該殺毒軟件的廠家、版本和惡意代碼庫的名稱，以及日期等信息。因此，符合檢查要求。檢查步驟：548、主機的資源控制現(xiàn)場檢查第3級安全測評要求對主機的資源控制現(xiàn)場檢查共4項。（1）檢查主要服務(wù)器操作系統(tǒng)，查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能。檢查目標(biāo)：檢查主要服務(wù)器操作系統(tǒng)，查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能。檢查對象:“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器8、主機的資源控制現(xiàn)場檢查第3級安全測評要求對主機的資源控制55檢查步驟：組策略編輯器（gpedit.msc）-計算機配置-管理模板-windows組件-終端服務(wù)-會話管理工具-本地安全策略-IP安全策略。雙擊安全服務(wù)器。檢查結(jié)論：主要服務(wù)器操作系統(tǒng)設(shè)定了“僅從原始客戶端重新鏈接”和網(wǎng)絡(luò)地址范圍等條件，從而限制了終端登錄。因此符合檢查要求。檢查步驟：56（2）檢查主要服務(wù)器操作系統(tǒng)，查看是否限制了單個用戶對系統(tǒng)資源的最大和最小使用限度。檢查目標(biāo)：檢查主要服務(wù)器操作系統(tǒng)，查看是否限制了單個用戶對系統(tǒng)資源的最大和最小使用限度。檢查對象：”青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器（2）檢查主要服務(wù)器操作系統(tǒng)，查看是否限制了單個用戶對系統(tǒng)資57檢查步驟：我的電腦-右鍵-磁盤-屬性配額-配額項檢查結(jié)論：主要服務(wù)器的操作系統(tǒng)設(shè)置了用戶對硬盤的使用限制，因此符合檢查要求。檢查步驟：58（3）檢查主要服務(wù)器操作系統(tǒng)，查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能檢測和報警。檢查目標(biāo)：檢查系統(tǒng)是否為服務(wù)水平設(shè)置了最小值；查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能進行檢查和報警。檢查對象：“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器（3）檢查主要服務(wù)器操作系統(tǒng)，查看是否在服務(wù)水平降低到預(yù)先規(guī)59檢查步驟：管理工具-性能-性能日志和報警-報警右鍵-新建管理工具-事件查看器-應(yīng)用程序雙擊事件源為sysmonlog的應(yīng)用程序事件檢查結(jié)論：主要服務(wù)器操作系統(tǒng)為服務(wù)水平設(shè)定了最小值；服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能檢測和報警。因此符合檢查要求。檢查步驟：60（4）檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能。檢查目標(biāo)：檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能。檢查對象：“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器檢查步驟：管理工具-終端服務(wù)配置終端服務(wù)配置-連接RDP-Tcp檢查結(jié)論：操作超時鎖定設(shè)定了時間。因此，符合檢查要求。（4）檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能614.2.3主機安全測試第3級安全測試要求關(guān)于主機的安全測試共8項。4.2.3主機安全測試第3級安全測試要求關(guān)于主機的安全測試共621、身份鑒別測試第3級主機安全測試要求關(guān)于主機的身份鑒別測試共3項。（1）測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，驗證鑒別失敗處理功能是否有效。測試目標(biāo)：測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，驗證鑒別失敗處理功能是否有效。測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器1、身份鑒別測試第3級主機安全測試要求關(guān)于主機的身份鑒別測試63測試步驟：對已有賬號進行錯誤登錄，3次登錄無效。結(jié)果P106圖4.33測試結(jié)果：連續(xù)3次使用系統(tǒng)已有賬戶進行錯誤登錄，會使賬戶被鎖定。因此，測試結(jié)果符合要求。測試步驟：對已有賬號進行錯誤登錄，3次登錄無效。64（2）滲透測試主要服務(wù)器操作系統(tǒng)，對服務(wù)器操作系統(tǒng)進行用戶口令的強度檢測，查看能否破解用戶口令，破解口令后能付登錄進入系統(tǒng)。測試目標(biāo)：如上測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器（2）滲透測試主要服務(wù)器操作系統(tǒng)，對服務(wù)器操作系統(tǒng)進行用戶口65測試步驟：首先安裝perl語言執(zhí)行環(huán)境，下載NTCrack口令破解軟件使用perl命令行語句啟動NTCrack工具獲得該機用戶口令使用破解的口令，成功登陸系統(tǒng)測試結(jié)論：從測試過程可以看出，可以通過口令破解工具，獲取系統(tǒng)中的弱口令用戶名和密碼，并使用該賬戶名和密碼成功登陸主要服務(wù)器。因此，不符合要求。測試步驟：66（3）滲透測試主要服務(wù)器操作系統(tǒng)，測試是否存在繞過認(rèn)證方式進行系統(tǒng)登陸的方法，如認(rèn)證程序存在的安全漏洞、社交工程或其他手段。測試目標(biāo)：如上測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器（3）滲透測試主要服務(wù)器操作系統(tǒng)，測試是否存在繞過認(rèn)證方67測試步驟：運行nc.exe監(jiān)聽一個沒有被系統(tǒng)使用的端口，本實驗采用1024端口按照如圖所示運行ms06040rpc.exe監(jiān)聽到shell，說明存在成功的繞過認(rèn)證方式進行系統(tǒng)登錄的情況測試結(jié)論：從測試過程可以看出，存在繞過認(rèn)證方式進行成功登錄系統(tǒng)的方法，因此不符合要求。測試步驟：682、主機的自主訪問控制測試第3級安全測評要求對主機安全自主訪問控制測試只有1項。測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，依據(jù)系統(tǒng)訪問控制的安全策略，并以未授權(quán)用戶身份/角色進行訪問檢驗，以驗證系統(tǒng)是否可以拒絕訪問。測試目標(biāo)：如上測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器2、主機的自主訪問控制測試第3級安全測評要求對主機安全自主訪69測試步驟：以管理員身份登錄系統(tǒng)，檢查用戶權(quán)限的分配。以較低權(quán)限用戶身份登錄，進行越權(quán)操作。

測試結(jié)論：從測試過程可以看出，以權(quán)限較低用戶身份登錄系統(tǒng)，進行越權(quán)操作，無法安裝程序。因此，測試結(jié)果符合要求。測試步驟：703、主機的強制訪問控制測試第3級安全測評要求對主機安全強制訪問控制測試有2項。（1）測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，依據(jù)系統(tǒng)文檔描述的強制訪問控制模塊，以授權(quán)用戶和非授權(quán)用戶進行訪問，驗證是否只有授權(quán)用戶可以進行訪問，而非授權(quán)用戶不能訪問。測試目標(biāo)：如上測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器3、主機的強制訪問控制測試第3級安全測評要求對主機安全強制訪71測試步驟：以任意用戶身份登錄，然后訪問不屬于NTFS分區(qū)的文件（任何登錄的用戶都可以讀取不屬于NTFS分區(qū)的磁盤上的文件）。查看設(shè)置了訪問控制權(quán)限的NTFS文件以其他用戶身份登錄系統(tǒng)，訪問未授權(quán)的文件，被拒絕訪問。測試結(jié)論：以未授權(quán)用戶的身份訪問設(shè)置了強制訪問控制的NTFS文件，發(fā)現(xiàn)只有文件的所有者才有讀取和修改文件的權(quán)限；以其他用戶身份登錄系統(tǒng)，訪問未授權(quán)的文件，被拒絕訪問。因此，測試結(jié)果符合要求。測試步驟：72（2）滲透測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，測試強制訪問控制是否安全、可靠。測試目標(biāo)：如上測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器測試步驟：以操作系統(tǒng)的普通賬戶身份登錄系統(tǒng)，進入C盤，以鼠標(biāo)右鍵單擊WINNT文件夾，選擇屬性。P113圖4.43測試結(jié)果：非法修改強制訪問相關(guān)規(guī)則沒有操作成功，說明測試的主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)的強制訪問控制安全、可靠，符合要求。（2）滲透測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，測試強734、主機的安全審計測試第3級安全測評要求對主機的安全審計測試有2項。（1）測試主要服務(wù)器操作系統(tǒng)、主要終端操作系統(tǒng)和主要數(shù)據(jù)庫管系統(tǒng)，驗證其審計功能是否受到保護。測試目標(biāo)：如上測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器測試步驟：用操作系統(tǒng)普通賬戶登錄系統(tǒng)，進入本地安全設(shè)置界面，然后嘗試對審計配置中的”組策略“進行修改。4、主機的安全審計測試第3級安全測評要求對主機的安全審計測試74測試結(jié)論：用操作系統(tǒng)普通賬戶登錄系統(tǒng)，進入本地安全設(shè)置界面，然后嘗試對審計配置中的”組策略“進行修改，結(jié)果顯示，系統(tǒng)拒絕普通賬戶修改組策略，說明用戶無法修改審計配置。因此，審計功能受到保護，符合要求。測試結(jié)論：用操作系統(tǒng)普通賬戶登錄系統(tǒng)，進入本地安全設(shè)置界面，75（2）測試主要服務(wù)器操作系統(tǒng)、主要終端操作系統(tǒng)和主要數(shù)據(jù)庫管系統(tǒng)，驗證安全審計的保護情況與要求是否一致。測試目標(biāo)：如上測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器測試步驟：用操作系統(tǒng)的普通賬戶登錄系統(tǒng)，刪除系統(tǒng)的審計日志記錄，系統(tǒng)反饋。P114測試結(jié)論：用操作系統(tǒng)的普通賬戶登錄系統(tǒng)后，無法刪除系統(tǒng)的審計日志記錄，安全審計的保護情況與要求一致，符合要求。（2）測試主要服務(wù)器操作系統(tǒng)、主要終端操作系統(tǒng)和主要數(shù)據(jù)庫管764.3本章小結(jié)主機安全測評的三種主要方法身份鑒別測評自主訪問控制測評強制訪問控制測評安全審計測評剩余信息保護測評入侵防范測評惡意代碼防范測評資源控制測評訪談、檢查、測試4.3本章小結(jié)主機安全測評的三種主要方法訪談、檢查、測試77That'sallfortoday!That'sallfortoday!78第4章主機安全測評技術(shù)05一月2023第4章主機安全測評技術(shù)29十二月202279本章要點本章要點80從“計算”到“計算安全”從“計算”到“計算安全”81信息安全與信息系統(tǒng)安全信息安全：回答的是what信息系統(tǒng)安全：回答的是how主機安全：是信息系統(tǒng)安全的分支主機安全：是信息系統(tǒng)安全的“最后一道防線”信息安全與信息系統(tǒng)安全信息安全：回答的是what82穿越時空的暢想古代信息安全：陰符、陰書、江湖切口密語、密碼現(xiàn)代信息安全：對稱加密非對稱加密信息隱藏……古代“主機”安全傳令兵的口令傳令兵的身體……現(xiàn)代主機安全身份鑒別、自主和強制訪問控制安全審計、剩余信息保護區(qū)、入侵防范、惡意代碼防范、資源控制……穿越時空的暢想古代信息安全：現(xiàn)代信息安全：古代“主機”安全現(xiàn)83防御體系防御體系84主機安全測評的要點主機安全測評的要點85身份鑒別---進大門低級：口令和密碼高級：數(shù)字證書、指紋識別、虹膜識別……2.自主訪問控制---進一些重要部門用戶按照自己的意愿對主機的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他的文件。3.強制訪問控制用戶與文件都有一個事先設(shè)置的、非經(jīng)授權(quán)不能修改的安全屬性。身份鑒別---進大門864.安全審計--“做了跑不掉”包括對主機系統(tǒng)安全日志的保護，對用戶行為的記錄，以及對主機資源的異常記錄等方面。5.剩余信息保護主機存儲敏感信息的空間被釋放給其他用戶的時候，原來存儲在主機里的重要信息要保證及時清理掉。6.入侵防范--正在干的要及時發(fā)現(xiàn)包括對入侵行為的記錄（攻擊的目的地、攻擊的時間、攻擊者的IP、重要程序是否被破壞以及破壞后是否及時恢復(fù)）。4.安全審計--“做了跑不掉”877.惡意代碼防范主要檢查主機是否配備相關(guān)的防惡意代碼的機制，包括殺毒軟件等。惡意代碼：病毒，木馬，間諜軟件等。8.資源控制用戶不能無限制的使用主機資源，也要防止外面的用戶非法掠奪這臺主機的資源。7.惡意代碼防范88主機安全測評的實施測評對象：“天網(wǎng)”的G2G政府內(nèi)部辦公網(wǎng)絡(luò)“青天”子系統(tǒng)。屬于巴山市政府的內(nèi)部辦公業(yè)務(wù)，服務(wù)對象時政府各部門的公務(wù)員，處理的政府公文很多帶有敏感性。定級為3級。主機安全測評的實施測評對象：“天網(wǎng)”的G2G政府內(nèi)部辦公網(wǎng)絡(luò)89主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：應(yīng)訪談系統(tǒng)管理員，詢問操作系統(tǒng)的身份標(biāo)識與鑒別機制采取何種措施實現(xiàn)。應(yīng)訪談數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫的身份標(biāo)識與鑒別機制采取何種措施實現(xiàn)。應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫管理員是否采用了遠程管理，如采用了遠程管理，查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。P79問卷調(diào)查主機身份鑒別訪談第3級安全測評要求主機身份鑒別訪談共3項：90主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：應(yīng)訪談安全審計員，詢問主機系統(tǒng)是否設(shè)置安全審計；詢問主機系統(tǒng)對事件進行審計的選擇要求和策略是什么？對審計日志的處理方式有哪些？P79問卷調(diào)查主機安全審計訪談第3級安全測評要求主機安全審計訪談只有1項：91主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共2項：應(yīng)訪談系統(tǒng)管理員，詢問操作系統(tǒng)用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。應(yīng)訪談數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫管理員用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前是否得到完全清除；數(shù)據(jù)庫記錄第3級安全測評要求等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。P79問卷調(diào)查主機剩余信息保護訪談第3級安全測評要求主機剩余信息保護訪談共92主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：應(yīng)訪談系統(tǒng)管理員，詢問是否采取主機入侵防范措施，主機入侵防范內(nèi)容是否包括主機運行監(jiān)視、資源使用超過值報警、特定進程監(jiān)控、入侵行為檢測和完整性檢測等方面的內(nèi)容。應(yīng)訪談系統(tǒng)管理員，詢問入侵防范產(chǎn)品的廠家、版本和安裝部署情況；詢問是否按要求（如定期或?qū)崟r）進行產(chǎn)品升級。P79問卷調(diào)查主機入侵防范訪談第3級安全測評要求主機入侵防范訪談共2項：93主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只有1項：應(yīng)訪談系統(tǒng)安全管理員，詢問主機系統(tǒng)是否采取惡意代碼實時監(jiān)測與查殺措施，惡意代碼實時監(jiān)測與查殺措施的部署情況如何，是否按要求進行產(chǎn)品升級。P79問卷調(diào)查主機惡意代碼防范訪談第3級安全測評要求主機惡意代碼防范訪談只94注意國家標(biāo)準(zhǔn)關(guān)于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制”、“強制訪問控制”和“資源控制”的訪談要求（第4級以上才會出現(xiàn)）。注意國家標(biāo)準(zhǔn)關(guān)于第3級主機安全訪談規(guī)定，沒有對“自主訪問控制95訪談現(xiàn)場檢查：對訪談內(nèi)容進行核實包括：一是對各個主機所對應(yīng)的相關(guān)文檔資料進行檢查；二是對各型主機上運用各種操作指令進行現(xiàn)場檢查。抽樣檢查訪談96主機安全現(xiàn)場檢查主機安全現(xiàn)場檢查971、主機身份鑒別現(xiàn)場檢查第3級安全測評要求主機的身份鑒別現(xiàn)場檢查共5項：（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)身份鑒別功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第二級以上或TCSECC2級以上的測試報告。文檔檢查，檢查項目建設(shè)的招/投標(biāo)文件來驗證是否達到要求。1、主機身份鑒別現(xiàn)場檢查第3級安全測評要求主機的身份鑒別現(xiàn)場98（2）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)賬戶列表，查看管理員用戶名分配是否唯一。檢查目標(biāo)：檢查操作系統(tǒng)管理員賬戶是否唯一檢查對象：“青天”子系統(tǒng)Web服務(wù)器檢查步驟：開始-運行cmd命令：netlocalgroupadministrators檢查結(jié)論：該web服務(wù)器（不）符合國家標(biāo)準(zhǔn)關(guān)于第3級主機身份鑒別的安全測評要求。（2）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)賬戶列表，查看管理員99（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否提供了身份鑒別措施，其身份鑒別信息是否具有不易被冒用的特點。檢查：用戶輸入口令來檢查，或讓系統(tǒng)管理員提供口令設(shè)置文件和口令替換記錄等資料來核對。第3級：口令長度至少要達到7個字符以上，并混雜有大小寫字母、數(shù)字和特殊符號?？诹钐鎿Q至少每月一次（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否提100（4）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看身份鑒別是否采用兩個或兩個以上身份鑒別技術(shù)的組合技術(shù)來進行身份鑒別。比如：口令、生物識別、物理設(shè)備、動態(tài)口令。數(shù)字證書等二選一。注意：要核對證書產(chǎn)品是否通過了國家權(quán)威機構(gòu)的測評認(rèn)證。（4）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看身份鑒101（5）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否配置了鑒別失敗處理功能，并設(shè)置了非法登錄次數(shù)的限制；查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時并自動退出功能。檢查目標(biāo)：查看是否配置了鑒別失敗處理功能，并設(shè)置了非法登錄次數(shù)的限制；查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時并自動退出功能。檢查對象：”青天“子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器（5）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看是否配102檢查步驟：打開”管理工具“-本地安全設(shè)置-賬戶策略-賬戶鎖定策略。打開”管理工具“-本地安全設(shè)置-本地策略-安全選項檢查結(jié)論：該web服務(wù)器（不）符合國家標(biāo)準(zhǔn)關(guān)于第3級主機身份鑒別檢查的安全策略要求。檢查步驟：1032、主機自主訪問控制現(xiàn)場檢查第3級安全測評要求主機的自主訪問控制現(xiàn)場檢查項共6項：（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的自主訪問控制功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。2、主機自主訪問控制現(xiàn)場檢查第3級安全測評要求主機的自主訪問104（2）檢查主要服務(wù)器操作系統(tǒng)的安全策略，查看是否對重要文件的訪問權(quán)限進行了限制，對系統(tǒng)不需要的服務(wù)、共享路徑等可能被非授權(quán)訪問者（人或程序）進行了限制。檢查目標(biāo)：查看是否對重要文件的訪問權(quán)限進行了限制；對系統(tǒng)不需要的服務(wù)是否進行了限制；是否對共享路徑進行了限制檢查對象：”青天“子系統(tǒng)內(nèi)網(wǎng)WEB服務(wù)器（2）檢查主要服務(wù)器操作系統(tǒng)的安全策略，查看是否對重要文件的105檢查步驟：管理工具-計算機管理-共享文件夾-共享管理工具-服務(wù)檢查結(jié)論：該服務(wù)器未對共享資源進行控制，但禁用了不需要的服務(wù)，重要文件的訪問權(quán)限進行了限制。不符合第3級要求。檢查步驟：106（3）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的訪問控制列表，查看授權(quán)的用戶中是否存在過期的賬號和無用的賬號等；訪問控制列表中的用戶和權(quán)限，是否與安全策略相一致。檢查目標(biāo)：查看授權(quán)用戶是否存在過期賬號和無用賬號檢查對象：”青天“子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器（3）檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的訪問控制列表，107檢查步驟：管理工具-計算機管理-本地用戶和組-用戶查看用戶權(quán)限并與安全策略相對比檢查步驟：108(4)檢查主要數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫管理人員與操作系統(tǒng)管理員是否由不同管理員擔(dān)任。（5）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看特權(quán)用戶的權(quán)限是否進行分離；查看是否采用最小授權(quán)原則。(4)檢查主要數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫管理人員與操作系統(tǒng)管理員是109（6）查看主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看匿名/默認(rèn)用戶的訪問權(quán)限是否被禁用或者嚴(yán)格限制。檢查目標(biāo)：查看匿名/默認(rèn)用戶的訪問權(quán)限是否被禁用或者嚴(yán)格限制檢查對象：“青天”子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器（6）查看主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看匿名/110檢查步驟：管理工具-本地安全策略-安全選項“讓每個人權(quán)限應(yīng)用與匿名用戶”“限制匿名訪問命名管道和共享”“允許匿名SID/名稱轉(zhuǎn)換”三項禁用檢查結(jié)論：該服務(wù)器符合本條檢查要求。檢查步驟：1113、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制訪問控制現(xiàn)場檢查共3項，均是檢查文檔資料。（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的強制訪問控制功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第2級以上或TCSECC2級以上的測試報告。3、主機的強制訪問控制安全檢查第3級安全測評要求對主機的強制112（2）檢查服務(wù)器操作系統(tǒng)文檔，查看強制訪問控制管理模型是否采用“向下讀，向上寫”模型，如果操作系統(tǒng)采用其他強制訪問模型，則操作系統(tǒng)文檔中是否有對這種模型的詳細分析，并有權(quán)威機構(gòu)對這種強制訪問控制模型的合理性和完善性的檢查證明。（2）檢查服務(wù)器操作系統(tǒng)文檔，查看強制訪問控制管理模型是否采113（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)文檔，查看強制訪問控制是否與用戶身份鑒別、識別等安全功能密切配合，是否控制粒度達到主體為用戶級、客體為文件和數(shù)據(jù)庫表級。（3）檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)文檔，查看強1144、安全審計現(xiàn)場檢查第3級安全測評要求對主機的安全審計現(xiàn)場檢查共5項，均可進行手動檢查。（1）檢查主要服務(wù)器操作系統(tǒng)、主要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看當(dāng)前審計范圍是否覆蓋到每個用戶。檢查目標(biāo)：檢查操作系統(tǒng)，查看當(dāng)前審計范圍是否覆蓋到每個用戶。檢查對象：“青天”子系統(tǒng)內(nèi)部郵件服務(wù)器4、安全審計現(xiàn)場檢查第3級安全測評要求對主機的安全審計現(xiàn)場檢115檢查步驟：管理工具-計算機管理-系統(tǒng)工具-事件查看器-系統(tǒng)管理工具-計算機管理-系統(tǒng)工具-事件查看器-安全性檢查結(jié)論：該服務(wù)器滿足主機對用戶的安全審計要求檢查步驟：116（2）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看審計策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件。檢查目標(biāo)：查看操作系統(tǒng)，查看審計策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件。檢查對象：“青天”子系統(tǒng)內(nèi)部郵件服務(wù)器（2）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管117檢查步驟：管理工具-本地安全設(shè)置-本地策略-審核策略檢查結(jié)論：該服務(wù)器滿足第3級安全測評主機對安全審計策略的要求。檢查步驟：118（3）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看審計記錄信息是否包括事件發(fā)生的日期和事件、觸發(fā)事件的主體與客體、事件的類型、事件的成功或失敗、身份鑒別事件中請求的來源和事件的結(jié)果等內(nèi)容。檢查方式同（1）（3）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管119（4）檢查主要服務(wù)器和重要終端操作系統(tǒng)，查看是否授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具，并能根據(jù)需要生成審計報表。（4）檢查主要服務(wù)器和重要終端操作系統(tǒng)，查看是否授權(quán)用戶瀏覽120（5）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，查看審計跟蹤設(shè)置是否定義了審計跟蹤極限的閾值，當(dāng)儲存空間被耗盡時，能否采取必要的保護措施。檢查目標(biāo)：檢查操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，查看審計跟蹤設(shè)置是否定義了審計跟蹤極限的閾值，當(dāng)儲存空間被耗盡時，能否采取必要的保護措施。檢查對象：青天”子系統(tǒng)內(nèi)部郵件服務(wù)器（5）檢查主要服務(wù)器操作系統(tǒng)、重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管121檢查步驟：管理工具-本地安全設(shè)置-本地策略-安全選項管理工具-計算機管理-系統(tǒng)工具-事件查看器（右鍵）應(yīng)用程序-屬性檢查結(jié)論：從測試過程可以看出，當(dāng)存儲空間耗盡不能記錄安全審核時，系統(tǒng)會自動采取相應(yīng)保護措施，但該項已經(jīng)禁止，因此測試結(jié)果不符合安全審計的要求。對審計日志則設(shè)置了限制，并對超過限制采取了必要的保護措施，因此這項測試結(jié)果符合要求。檢查步驟：1225、剩余信息保護現(xiàn)場檢查第3級安全測評要求對主機的剩余信息保護現(xiàn)場檢查共2項。（1）檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的神域嘻嘻保護功能是否具有《操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）和《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）第2級以上的測試報告。5、剩余信息保護現(xiàn)場檢查第3級安全測評要求對主機的剩余信息保123（2）檢查主要操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)維護操作手冊，查看是否明確用戶的鑒別信息存儲空間，被釋放或再分配給其他用戶前的處理方法和過程；文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前的處理方法和過程。（2）檢查主要操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)維護操作手冊，查看1246、主機的入侵防范現(xiàn)場檢查第3級安全測評要求對主機的入侵防范現(xiàn)場檢查共3項。（1）檢查入侵防范系統(tǒng)，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標(biāo)和攻擊時間等，在發(fā)生嚴(yán)重入侵事件時能否提供報警功能。檢查目標(biāo)：檢查入侵防范系統(tǒng)，查看能否記錄攻擊者的源ＩＰ、攻擊類型、攻擊目標(biāo)和攻擊時間等，在發(fā)生嚴(yán)重入侵事件時能否提供報警功能。檢查對象：“青天”子系統(tǒng)邊界防火墻以及內(nèi)網(wǎng)某終端6、主機的入侵防范現(xiàn)場檢查第3級安全測評要求對主機的入侵防范125檢查步驟：Ｐ９５檢查結(jié)論：從測試過程可以看出，入侵防范系統(tǒng)可以記錄攻擊者的源IP、攻擊類型、攻擊目標(biāo)和攻擊事件等相關(guān)重要信息，因此符合檢查要求。檢查步驟：Ｐ９５126（2）檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補丁升級。檢查目標(biāo)：檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補丁升級。檢查對象：“青天”子系統(tǒng)某專門升級服務(wù)器（2）檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補丁升127檢查步驟：本實驗服務(wù)器IP7通過遠程管理在遠端計算機（模擬的補丁下載地址）打開IE瀏覽器，地址欄輸入“7”輸入該地址的主機用戶名和登錄口令，查看其軟件補丁升級的界面檢查結(jié)論：按第3級安全測評要求設(shè)置了升級服務(wù)器，可以用于對重要服務(wù)器的補丁升級，因此符合檢查要求。檢查步驟：128（3）檢查主要服務(wù)器是否已經(jīng)及時更新了操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)廠商新公布的補丁。檢查目標(biāo)：檢查服務(wù)器的補丁升級情況檢查對象：“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器檢查步驟：首先安裝MicrosoftBaselineSecurityAnalyzer補丁升級檢查軟件運行，單擊“scanacomputer”檢查結(jié)論：主要服務(wù)器對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行了及時更新，符合檢查要求。（3）檢查主要服務(wù)器是否已經(jīng)及時更新了操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)廠1297、主機的惡意代碼現(xiàn)場檢查第3級安全測評要求對主機的惡意代碼現(xiàn)場檢查共2項。（1）檢查主要服務(wù)器系統(tǒng)和重要終端系統(tǒng)，查看是否安裝了實時檢測和查殺惡意代碼的軟件產(chǎn)品，查看實時檢測與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能，查看檢測與查殺惡意代碼軟件產(chǎn)品的廠家、版本號和惡意代碼庫名稱。7、主機的惡意代碼現(xiàn)場檢查第3級安全測評要求對主機的惡意代碼130（2）檢測網(wǎng)絡(luò)防惡意代碼產(chǎn)品，查看廠家、版本號和惡意代碼庫名稱，查看是否與主機惡意點名產(chǎn)品有不同的惡意代碼庫。檢查目標(biāo)：查看是否安裝了實時檢測和查殺惡意代碼的軟件產(chǎn)品，查看實時檢測與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能，查看檢測與查殺惡意代碼軟件產(chǎn)品的廠家、版本號和惡意代碼庫名稱。檢查對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器（2）檢測網(wǎng)絡(luò)防惡意代碼產(chǎn)品，查看廠家、版本號和惡意代碼庫名131檢查步驟：先從裸機上查看木馬程序是否存在，然后在windows命令行狀態(tài)下輸入命令”netstat-a“，查看當(dāng)前運行的程序所使用的通信端口。打開”任務(wù)管理器“查看進程打開殺毒軟件查看該殺毒軟件產(chǎn)品的廠家、版本號和惡意代碼庫名稱。檢查結(jié)論：植入的木馬程序被本機上的殺毒軟件實時發(fā)現(xiàn)并進行了查殺，通過該殺毒軟件，可以清楚地了解到該殺毒軟件的廠家、版本和惡意代碼庫的名稱，以及日期等信息。因此，符合檢查要求。檢查步驟：1328、主機的資源控制現(xiàn)場檢查第3級安全測評要求對主機的資源控制現(xiàn)場檢查共4項。（1）檢查主要服務(wù)器操作系統(tǒng)，查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能。檢查目標(biāo)：檢查主要服務(wù)器操作系統(tǒng)，查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能。檢查對象:“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器8、主機的資源控制現(xiàn)場檢查第3級安全測評要求對主機的資源控制133檢查步驟：組策略編輯器（gpedit.msc）-計算機配置-管理模板-windows組件-終端服務(wù)-會話管理工具-本地安全策略-IP安全策略。雙擊安全服務(wù)器。檢查結(jié)論：主要服務(wù)器操作系統(tǒng)設(shè)定了“僅從原始客戶端重新鏈接”和網(wǎng)絡(luò)地址范圍等條件，從而限制了終端登錄。因此符合檢查要求。檢查步驟：134（2）檢查主要服務(wù)器操作系統(tǒng)，查看是否限制了單個用戶對系統(tǒng)資源的最大和最小使用限度。檢查目標(biāo)：檢查主要服務(wù)器操作系統(tǒng)，查看是否限制了單個用戶對系統(tǒng)資源的最大和最小使用限度。檢查對象：”青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器（2）檢查主要服務(wù)器操作系統(tǒng)，查看是否限制了單個用戶對系統(tǒng)資135檢查步驟：我的電腦-右鍵-磁盤-屬性配額-配額項檢查結(jié)論：主要服務(wù)器的操作系統(tǒng)設(shè)置了用戶對硬盤的使用限制，因此符合檢查要求。檢查步驟：136（3）檢查主要服務(wù)器操作系統(tǒng)，查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能檢測和報警。檢查目標(biāo)：檢查系統(tǒng)是否為服務(wù)水平設(shè)置了最小值；查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能進行檢查和報警。檢查對象：“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器（3）檢查主要服務(wù)器操作系統(tǒng)，查看是否在服務(wù)水平降低到預(yù)先規(guī)137檢查步驟：管理工具-性能-性能日志和報警-報警右鍵-新建管理工具-事件查看器-應(yīng)用程序雙擊事件源為sysmonlog的應(yīng)用程序事件檢查結(jié)論：主要服務(wù)器操作系統(tǒng)為服務(wù)水平設(shè)定了最小值；服務(wù)水平降低到預(yù)先規(guī)定的最小值時，能檢測和報警。因此符合檢查要求。檢查步驟：138（4）檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能。檢查目標(biāo)：檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能。檢查對象：“青天”子系統(tǒng)數(shù)據(jù)庫服務(wù)器檢查步驟：管理工具-終端服務(wù)配置終端服務(wù)配置-連接RDP-Tcp檢查結(jié)論：操作超時鎖定設(shè)定了時間。因此，符合檢查要求。（4）檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能1394.2.3主機安全測試第3級安全測試要求關(guān)于主機的安全測試共8項。4.2.3主機安全測試第3級安全測試要求關(guān)于主機的安全測試共1401、身份鑒別測試第3級主機安全測試要求關(guān)于主機的身份鑒別測試共3項。（1）測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，驗證鑒別失敗處理功能是否有效。測試目標(biāo)：測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)，驗證鑒別失敗處理功能是否有效。測試對象：”青天“子系統(tǒng)數(shù)據(jù)庫服務(wù)器1、身份鑒別測試第3級主機安全測試要求關(guān)于主機的身份鑒別測試141測試步驟：對已有賬號進行錯誤登錄，3次登錄無效。結(jié)果P106圖4.33測試結(jié)果：連續(xù)3次使用系統(tǒng)已