【文章內容簡介】 安全審計（G3）（操作系統(tǒng)測評、數(shù)據庫系統(tǒng)測評）a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據庫用戶；（1）b) 審計內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件；（2）c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等； d) 應能夠根據記錄數(shù)據進行分析，并生成審計報表；e) 應保護審計進程，避免受到未預期的中斷；（4）f) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。（5）注釋：1） 以root身份登錄進入Linux，查看服務進程：系統(tǒng)日志服務service syslog status service audit status或 service statusall|grep auditd2 ）在linux中/etc/audit/、日志超出可用磁盤 空間后如何處理等內容。/etc/audit/ 系統(tǒng)調用是否要審查的規(guī)則。3 ）在linux操作系統(tǒng)中，使用aucat和augrep工具查看審計日志： aucat|tail100 查看最近的100條審計記錄； augrep e TEXT U AUTHsuccess 查看所有成功PAM授權。 4 )在Linux中，Auditd是審計守護進程，syslogd是日志守護進程，保護好審計進程當事件發(fā)生時，能 及時記錄事件發(fā)生的詳細內容。 5 ）非法用戶進入系統(tǒng)后的第一件事情就是去清理系統(tǒng)日志和審計日志，而發(fā)現(xiàn)入侵的最簡單最直接的 方法就是去看系統(tǒng)記錄和安全審計文件。數(shù)據庫Oracle 查看是否開啟審計功能：select value from v$paramater where name=39。audittrail39。或 Show parmeter audittrail查看是否對所有sys用戶的操作進行了記錄：show parameter auditsysoperation查看是否對 sel，upd，del ins操作進行了審計：select sel，upd，del ins from dbaobjauditopts查看審計是否設置成功：select * from dbastmtauditopts查看權限審計選項：select * from dbaprivauditopts剩余信息保護（S3）（操作系統(tǒng)測評）a) 應保證操作系統(tǒng)和數(shù)據庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；b) 應確保系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。入侵防范（G3）（操作系統(tǒng)測評）a) 應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；b) 應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；c) 操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。（涉及的兩個方面系統(tǒng)服務和監(jiān)聽端口，補丁升級，對多余的系統(tǒng)服務可以禁用或卸載）注釋： 1 ）入侵威脅分為：外部滲透、內部滲透和不法行為。 入侵行為分為：物理入侵、系統(tǒng)入侵和遠程入侵。 造成入侵威脅的入侵行為主要是系統(tǒng)入侵和遠程入侵兩種。 系統(tǒng)入侵指入侵者在擁有系統(tǒng)的一個低級賬號權限下進行的破壞活動。（如果系統(tǒng)沒有及時更新最 近的補丁程序，那么擁有低級權限的用戶就可能利用系統(tǒng)漏洞獲取更高的管理權限） 遠程入侵指入侵者通過網絡滲透到一個系統(tǒng)中，這種情況下，入侵者通常不具備任何特殊權限，他 們要通過漏洞掃描或端口掃描等技術發(fā)現(xiàn)攻擊目標，再利用相關技術執(zhí)行破壞活動。 2 ）查看入侵的重要線索的命令：more/var/log/secure|grep refused 查看是否啟用了主機防火墻、RCP SYN保護機制等設置的命令： find/namedaemon nameprint 檢查是否安裝了一下主機入侵檢測軟件。 3 ) 監(jiān)聽端口的命令： netstat an 確認系統(tǒng)目前正在運行的服務：service statusall|grep running 查看補丁安裝情況的命令：rpmqa|grep patch惡意代碼防范（G3）（操作系統(tǒng)測評）a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；b) 主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；c) 應支持防惡意代碼的統(tǒng)一管理。（統(tǒng)一更新，定時查殺）資源控制（A3）（操作系統(tǒng)測評、數(shù)據庫系統(tǒng)測評a、b、d）a) 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；（1）b) 應根據安全策略設置登錄終端的操作超時鎖定；（2）c) 應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內存、網絡等資源的使用情況；d) 應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；e) 應能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警。（3）注釋： 1 ）系統(tǒng)資源是指CPU、存儲空間、傳輸帶寬等軟硬件資源。 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄，可以極大地節(jié)省系統(tǒng)資源，保證了 系統(tǒng)的可用性，同時也提高了系統(tǒng)的安全性。 Windows系統(tǒng)可以通過主機防火墻或TCP/IP篩選來實現(xiàn)以上功能，在linux系統(tǒng)中存在 /etc/，它們是tcpd服務器的配置文件，tcpd服務器可以控 制外部IP對本機服務的訪問。其中/etc/,/etc/ 禁止訪問本機的IP，如果兩個文件的配置有沖突，以/etc/。2 ）若是通過遠程終端進行連接windows服務器系統(tǒng)，可以通過設置超時連接來限制終端操作超時； 若是本地登錄，則通過開啟帶有密碼功能屏幕保護。3 ）如磁盤空間不足、CPU利用率過高、硬件發(fā)生故障等，通過報警機制，將問題現(xiàn)象發(fā)送給相關負責人， 及時定位引起問題的原因和對異常情況進行處理，從而避免故障的發(fā)生或將影響減小到最低。數(shù)據庫Sql查看是否設置了超時時間:在查詢分析器中執(zhí)行命令spconfigure 39。remote login timeout(s)39。 Oracle查看空閑超時設置：select limit from dbaprofiles where profile=“DEFAULT” and resourcename=IDLETIME(值為unlimited表示沒有限制) 確定用戶使用的profile，針對指定用戶的profile，查看其限制（以defaut為例）： select username，profile from dbausers 查看是否對每個用戶所允許的并行會話數(shù)進行了限制：select limit from dbaprofiles where profile=“DEFAULT” and resourcename=SESSIONPERUSERS(值為unlimited表示沒有限制) 查看是否對一個會話可以使用的CPU時間進行了限制：select limit from dbaprofiles where profile=“DEFAULT” and resourcename=CPUPERSESSION(值為unlimited表示沒有限制) 查看是否對允許空閑會話的時間進行了限制：select limit from dbaprofiles where profile=“DEFAULT” and resourcename=IDLETIME(值為unlimited表示沒有限制)第三章 應用安全 身份鑒別（S3）a) 應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別； b) 應對同一用戶采用兩種或兩種以上組合的鑒別技術實現(xiàn)用戶身份鑒別；c) 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復用戶身份標識，身份鑒別信息不易被冒用；d) 應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施；e) 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數(shù)。 訪問控制（S3）a) 應提供訪問控制功能，依據安全策略控制用戶對文件、數(shù)據庫表等客體的訪問；b) 訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作；c) 應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；d) 應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。e) 應具有對重要信息資源設置敏感標記的功能；f) 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作； 安全審計（G3）a) 應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；b) 應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；(1)c) 審計記錄的內容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等；d) 應提供對審計記錄數(shù)據進行統(tǒng)計、查詢、分析及生成審計報表的功能。注釋：1 )應用系統(tǒng)應對審計進程或功能進行保護，如果處理審計的事務是一個單獨的進程，那么應用系統(tǒng)對審 計進程進行保護，不允許非授權用戶對進程進行中斷；如果審計是一個獨立的功能，則應用系統(tǒng)應防 止非授權用戶關閉審計功能。應用系統(tǒng)應對審計記錄進行保護，防止非授權刪除、修改或覆蓋審計記錄。 剩余信息保護（S3）a) 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；b) 應保證系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。注釋：1 ）有的應用系統(tǒng)將用戶的鑒別信息放在內存中進行處理，處理完成后沒有及時將其清除，這樣其他的 用戶通過一些非正常手段就有可能獲取該用戶的鑒別信息。2 ）有的應用系統(tǒng)在使用過程中可能會產生一些臨時文件，這些臨時文件中可能會記錄一些敏感信息， 當將這些資源分配給其他用戶是我，其他用戶就可能獲取到這些敏感信息。 通信完整性（S3）應采用密碼技術保證通信過程中數(shù)據的完整性。注釋：為了防止數(shù)據在傳輸時被修改或破壞，應用系統(tǒng)必須確保通信過程中的數(shù)據完整性，通信雙方利用密碼算法，來保證數(shù)據的完整性。 通信保密性（S3）a) 在通信雙方建立連接之前，應用系統(tǒng)應利用密碼技術進行會話初始化驗證；b) 應對通信過程中的整個報文或會話過程進行加密。 抗抵賴（G3）a) 應具有在請求的情況下為數(shù)據原發(fā)者或接收者提供數(shù)據原發(fā)證據的功能；b) 應具有在請求的情況下為數(shù)據原發(fā)者或接收者提供數(shù)據接收證據的功能。 軟件容錯（A3）a) 應提供數(shù)據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據格式或長度符合系統(tǒng)設定要求；b) 應提供自動保護功能，當故障發(fā)生時自動保護當前所有狀態(tài)，保證系統(tǒng)能夠進行恢復。（A3）a) 當應用系統(tǒng)的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；b) 應能夠對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制；c) 應能夠對單個帳戶的多重并發(fā)會話進行限制；d) 應能夠對一個時間段內可能的并發(fā)會話連接數(shù)進行限制；e) 應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；f) 應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；g) 應提供服務優(yōu)先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優(yōu)先級，根據優(yōu)先級分配系統(tǒng)資源。第四章 數(shù)據安全（S3）a) 應能夠檢測到系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)務數(shù)據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；（重傳或其他方式）b) 應能夠檢測到系統(tǒng)管理數(shù)據、鑒別信息和重要業(yè)