【正文】 器來確定在你系統(tǒng)中安裝的補丁 ? 使用 winver工具，可以在“開始 —運行”中，輸入winver命令使用該工具 開啟 Windows 2022的審核功能 ? 確定 Windows 2022系統(tǒng)的啟動時間 ? 使用 ?快速確定系統(tǒng)啟動了多長時間 ?獲得遠程 Windows系統(tǒng)的啟動時間 ?使用 uptime/?命令可以獲得更多的關于 uptime工具的使用說明 日志過濾 ? 日志記錄文件會變得很大 ? 過大的日志記錄浪費磁盤空間 ? 不易查找日志記錄 ? 對系統(tǒng)進行適當?shù)呐渲靡垣@得重要事件的日志 日志過濾 ? Windows 2022系統(tǒng)日志過濾 ? 使用“篩選器”進行日志的過濾 ? 要非常謹慎地選擇過濾規(guī)則 ? 符合你所設置的過濾規(guī)則的事件才會被記錄，而其他不符合規(guī)則的活動都不會被記錄 日志過濾 ? Linux系統(tǒng)日志過濾 ? 使用不帶參數(shù)的 last和 lastlog命令會提供太多的信息，要帶參數(shù)使用 ?last x：只顯示與系統(tǒng)關閉和重啟有關的事件 ?last a：將所有主機信息列在最后一列 ?last d：顯示所有遠程登錄信息 ?…… 日志過濾 ? 可以合并命令 ? last ad將顯示遠程登錄的 IP和主機名 ? 將 last命令與 |grep結合起來縮小查找范圍 ?例如， last –x ∣ grep Wed∣ grep ftp將只顯示發(fā)生在星期三的有關 FTP的事件。 ?lastlog –t number_of_days：顯示指定天數(shù)內的記錄。例如， lastlog –t 2將列出最近兩天內的登錄情況。 ?lastlog –u loginname：顯示指定用戶的最后一次登錄記錄。 日志過濾 ? 操作系統(tǒng)附件和第三方日志記錄工具 ? 操作系統(tǒng)附件 ： ?Enterprise Reporting Server ?WebTrends for Firewalls and VPNs ? 第三方日志記錄工具 ： ?Symantec ?IBM ? 第三方日志記錄工具的優(yōu)缺點： ?黑客很難篡改日志記錄文件，而且對事件的反應速度很快 ?缺點是需要額外費用和人員培訓 實驗 62：使用 eEye Retina軟件獲得一份系統(tǒng)安全報告 ? 在本實驗中，我們將學習如何使用 eEye Retina軟件來獲得一份系統(tǒng)審核報告。 審核可疑活動 ? “可疑的活動” ? 一個用戶兩周以來每天半夜二點嘗試登錄系統(tǒng)，并且沒有登錄成功 ? 主服務器每天早晨自動地重新啟動 ? 在一天中的特定時間段內系統(tǒng)的性能突然下降 ? 仔細對下列現(xiàn)象進行檢查： ? 異常時段內的合法活動或任何不在基線范圍內的用戶舉動 ? 任何失敗 其他類型的日志 ? 事件日志不僅僅包括路由器、防火墻和操作系統(tǒng)的日志，通常還包括以下一些日志記錄： ? 入侵檢測系統(tǒng)日志 ? 電話連接（包括語音郵件日志）日志 ? ISDN或幀中繼連接（ frame relay）日志 ? 職員訪問日志 日志的存儲 ? 有效地保護日志記錄不受破壞 ? 利用不同的機器存放日志 ? 將日志記錄刻成光碟保存 ? 使用磁盤備份設備 審核對系統(tǒng)性能的影響 ? 審核會對系統(tǒng)的性能造成一些影響。影響系統(tǒng)性能的因素包括以下幾個方面： ? 網(wǎng)絡請求的數(shù)量，日志對這些請求的記錄會造成服務器對請求的響應變慢 ? 審核系統(tǒng)中需要審核的事件的數(shù)量 ? 硬盤的容量大小 ? 硬件總線接口的類型（ SCSI/IDE） ? CPU的工作頻率 @2022 VCampus Corporation All Rights Reserved. 第七單元 審 核 結 果 學習目標 ? 提供針對特殊網(wǎng)絡問題的解決方案 ? 建立審核步驟安全策略的建議方法 ? 創(chuàng)建一份評估報告 ? 實施積極主動的檢測服務 ? 修復和“清除”被損壞的系統(tǒng) ? 實施本機審核 ? 安裝必要的操作系統(tǒng)安全附件，如單機版防火墻 ? 使用 SSH替換 Tel、 rlogin和 rsh 建立審核報告 ? 安全審核報告中應包含以下元素： ? 對現(xiàn)在的安全等級進行總體評價 ? 對偶然的、有經(jīng)驗的和專家級的黑客入侵系統(tǒng)分別做出時間上的估計 ? 簡要總結出最重要的建議，并提供相應的支撐材料 ? 詳細描述審核過程的步驟 ? 對各種網(wǎng)絡元素提出整改建議 ? 對物理安全提出建議 ? 對安全審核領域內使用的術語進行解釋 ? 詳細解釋系統(tǒng)可能出現(xiàn)的問題的報告方法 收集客戶意見 ? 在審核報告中我們要充分考慮客戶的意見 ? 審核報告的內容與客戶進行溝通 制定詳細審核報告 ? 依據(jù)審核的結果，以及相應的審核標準并結合客戶的意見，制定詳細的審核報告。 形成審核報告流程 推薦的審核方案 ? 三個角度來提出 ? 為了能夠有效地確定安全策略和實施情況的差距，建議采用一些特殊方法繼續(xù)進行有效的審核 ? 抵御和清除病毒、蠕蟲和木馬，修補系統(tǒng)漏洞 ? 建議完善和增強的內容 網(wǎng)絡審核范圍 網(wǎng)絡審核范圍的改善建議 分 類 改 善 防火墻 保證防火墻安全規(guī)則的正確設置以及對 DMZ區(qū)域內有問題的主機的有效監(jiān)控。 入侵檢測 升級入侵監(jiān)測系統(tǒng)規(guī)則 ,識別需要監(jiān)測的新內容 主機和個人安全 實施用戶級別的加密 ,在終端上安裝“個人防火墻”來控制端口和減小風險 強制策略 安裝監(jiān)視軟件，如使用 Axent的企業(yè)級安全管理系統(tǒng)對物理安全進行有效的審核 增強一致性 ? 加強安全和持續(xù)審核的步驟： ? 定義安全策略 ? 建立對特定任務負責的內部團隊 ? 對網(wǎng)絡資源進行分類 ? 為雇員建立安全指導 ? 確保終端和網(wǎng)絡系統(tǒng)的物理安全 ? 保障網(wǎng)絡主機的服務和操作系統(tǒng)安全 ? 增強訪問控制機制 ? 建立和維護系統(tǒng) ? 確保網(wǎng)絡滿足商業(yè)目標 ? 保持安全策略的一致性 ? 許多國際性的公司都要求符合這些需求 安全審核和安全標準 ? ISO 74982 ? 國際標準組織（ ISO）建立了 7498系列標準來幫助網(wǎng)絡實施標準化 ? 74982描述了如何確保站點安全和實施有效的審核計劃 ? 文件的標題 《 Information Processing Systems， Open System Interconnection， Basic Reference Model,Part 2： security Architecture》 ? 論述如何系統(tǒng)地實現(xiàn)網(wǎng)絡安全 安全審核和安全標準 ? 英國標準 BS 7799 ? 文檔標題 《 A Code of Practice For Information Security Management》 ? 論述了如何確保網(wǎng)絡系統(tǒng)安全 ? BS 7799系列與 ISO 9000系列的文檔有關，這些標準保證了公司之間安全的協(xié)作 ? 實施信息安全管理系統(tǒng)（ ISMS）的目的是確保公司使用的信息盡可能的安全 ? 完善 ISMS時，應遵循以下步驟： ? 定義安全策略 ? 為目標信息安全管理系統(tǒng)（ ISMS）定義范圍 ? 風險評估 ? 對已知的風險進行排序和管理 安全審核和安全標準 ? Common Criteria（ CC） ? 公共標準（ Common Criteria）提供了有助于你選擇和發(fā)展網(wǎng)絡安全解決方案的全球統(tǒng)一標準。 ? CC的目的是統(tǒng)一 ITSEC和 TCSEC，但它們還是用來取代“ Orange Book”標準 ? Common Criteria被稱為 ISO國際標準 15408（ IS 15408）， Common Criteria IS 15408 安全審核和安全標準 ? CC文件由三個部分組成 ? Evaluation assurance levels（ EAL）提供了描述和預測特別的操作系統(tǒng)和網(wǎng)絡的安全行為的通用方法 ? 等級數(shù)越高，則要求得越嚴格 ?EAL 1需要由 TOE廠商做出聲明的證明， EAL 7需要核實和記錄下實施過程的每一個步驟 ?EAL 1只要求檢查產(chǎn)品的文件，而 EAL 7要求對系統(tǒng)進行完全的記錄完整的獨立的分析 ?EAL 1需要產(chǎn)品至少聲明能夠提供對攻擊的有效防范；而EAL 7需要操作系統(tǒng)能夠抵御復雜的破壞數(shù)據(jù)機密性和拒絕服務式的攻擊 安全審核人員有關的概念和術語 術 語 描 述 Protection Profile（ PP） 需要的網(wǎng)絡服務和元素的詳細列表，包括安全目標。 Security Objectives 列出如何提出特別的弱點的書面敘述，這是一種總體的陳述。 Security Target（ ST） 由生產(chǎn)廠商提供的描述安全工具的用處的一組聲明，與安全目標和安全需求不同。 Target of Evaluation(TOE) 將要審核的某個操作系統(tǒng)，網(wǎng)絡，分布式的程序或軟件。 Packages 任何允許 IT專家達到安全目標和要求的可以重復使用的內容。 Evaluation Assurance Level (EAL) 七個事先定義好的 packages，用來幫助 IT專家評價規(guī)劃的和已經(jīng)存在的網(wǎng)絡和系統(tǒng)。 EAL的七個類別 類 別 描 述 1 功能上的測試：分析產(chǎn)品的聲明，和實施 TOE的基本測試。 2 結構上的測試：需要選擇 TOE的重要元素來經(jīng)受具有權威資格的測試，例如程序開發(fā)者。 3 系統(tǒng)的測試和檢查：進行測試的要求非常嚴格，在有限的基礎上，操作系統(tǒng)的所有元素都必須獨立地檢驗。 4 系統(tǒng)地設計，測試和回顧：這一級別的保證是允許已經(jīng)完成的程序和以前實施的系統(tǒng)進行更改的最高保證。這一級別還需要操作系統(tǒng)通過抵御低級別的攻擊的測試。 5 半正式的設計和測試：操作系統(tǒng)必須可以經(jīng)受適度的，比較復雜的攻擊。 6 半正式地驗證設計和測試：與 EAL 5相同，但是需要第三方的TOE設計核實。 7 操作系統(tǒng)必須經(jīng)完整地回顧和被證明能夠抵御靈活的攻擊。 增強路由器安全 ? 增強路由器安全的一般方法包括： ? 嚴格控制路由器的物理訪問權限 ? 及時獲取最新的操作系統(tǒng)（包括 NT系統(tǒng)做路由和專門的路由器操作系統(tǒng)，例如 Cisco IOS） ? 確保路由器不受拒絕服務攻擊的影響 ? 確保不讓路由器在不知情的情況下成為拒絕服務攻擊的幫兇 確保路由器不受拒絕服務攻擊 過 程 描 述 入口和出口過濾 配置你的路由器只對那些具有合法的內部 IP地址的數(shù)據(jù)包進行路由。你的路由器應當丟棄任何不具有合法的內部 IP地址的包。這些設置有助于網(wǎng)絡不成為發(fā)送虛假 IP包的源頭。要獲得更多的信息請查看Inter Draft ietfgripisp07（ ISP的安全展望） 禁止廣播過濾 許多拒絕服務攻擊，包括 Smurf攻擊，都是攻擊者利用路由器在配置上允許直接廣播的漏洞。最簡單的確定路由器是否配置成回應這些地址的方法是ping該網(wǎng)絡地址（例如 ）或該網(wǎng)絡廣播地址（例如 ） 入口和出口過濾中應當考慮的 IP 地址 分 類 地 址 Historical Low EndBroadcast Limited broadcast RFC 1918 私有網(wǎng)絡 RFC 1918 私有網(wǎng)絡 RFC 1918 私有網(wǎng)絡 本機回環(huán)地址 連接本地網(wǎng)絡 D類地址 E類保留地址 未分配地址 實施主動檢測 ? 主動檢測是指使用黑客的策略和手法來對付黑客，而不是簡單地停止攻擊 ? 一個有效的檢測策略通常包括審核 實施主動檢測 ? 掃描檢測、蜜罐和網(wǎng)絡陷阱 ? 用于反擊的系統(tǒng)通常包括建立一臺服務器作為目標，同時也還可以包括下列內容： ?混雜模式掃描 ?虛假的數(shù)據(jù)庫 ?虛假的帳號文件 ?虛擬文件 ?虛假的管理員帳號 ?自動將攻擊者引入虛擬網(wǎng)絡中的防火墻配置 ?報警或懲罰黑客行為的 Tripwire帳號 ?物理線路追蹤（試圖確定黑客使用的端口或電話線路） ?數(shù)據(jù)包追蹤（試圖了解包的起源） 實施主動檢測 ? 檢測工作在