【正文】 體的訪問(wèn)；b) 訪問(wèn)控制的覆蓋范圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；c) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶(hù)的訪問(wèn)權(quán)限；d) 應(yīng)授予不同帳戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。remote login timeout(s)39。3 ）如磁盤(pán)空間不足、CPU利用率過(guò)高、硬件發(fā)生故障等，通過(guò)報(bào)警機(jī)制，將問(wèn)題現(xiàn)象發(fā)送給相關(guān)負(fù)責(zé)人， 及時(shí)定位引起問(wèn)題的原因和對(duì)異常情況進(jìn)行處理，從而避免故障的發(fā)生或?qū)⒂绊憸p小到最低。其中/etc/,/etc/ 禁止訪問(wèn)本機(jī)的IP，如果兩個(gè)文件的配置有沖突，以/etc/。 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄，可以極大地節(jié)省系統(tǒng)資源，保證了 系統(tǒng)的可用性，同時(shí)也提高了系統(tǒng)的安全性。（統(tǒng)一更新，定時(shí)查殺）資源控制（A3）（操作系統(tǒng)測(cè)評(píng)、數(shù)據(jù)庫(kù)系統(tǒng)測(cè)評(píng)a、b、d）a) 應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；（1）b) 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；（2）c) 應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；d) 應(yīng)限制單個(gè)用戶(hù)對(duì)系統(tǒng)資源的最大或最小使用限度；e) 應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。 2 ）查看入侵的重要線(xiàn)索的命令：more/var/log/secure|grep refused 查看是否啟用了主機(jī)防火墻、RCP SYN保護(hù)機(jī)制等設(shè)置的命令： find/namedaemon nameprint 檢查是否安裝了一下主機(jī)入侵檢測(cè)軟件。 系統(tǒng)入侵指入侵者在擁有系統(tǒng)的一個(gè)低級(jí)賬號(hào)權(quán)限下進(jìn)行的破壞活動(dòng)。 入侵行為分為：物理入侵、系統(tǒng)入侵和遠(yuǎn)程入侵。入侵防范（G3）（操作系統(tǒng)測(cè)評(píng)）a) 應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類(lèi)型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；b) 應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；c) 操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。audittrail39。 5 ）非法用戶(hù)進(jìn)入系統(tǒng)后的第一件事情就是去清理系統(tǒng)日志和審計(jì)日志，而發(fā)現(xiàn)入侵的最簡(jiǎn)單最直接的 方法就是去看系統(tǒng)記錄和安全審計(jì)文件。3 ）在linux操作系統(tǒng)中，使用aucat和augrep工具查看審計(jì)日志： aucat|tail100 查看最近的100條審計(jì)記錄； augrep e TEXT U AUTHsuccess 查看所有成功PAM授權(quán)。（5）注釋?zhuān)?） 以root身份登錄進(jìn)入Linux，查看服務(wù)進(jìn)程：系統(tǒng)日志服務(wù)service syslog status service audit status或 service statusall|grep auditd2 ）在linux中/etc/audit/、日志超出可用磁盤(pán) 空間后如何處理等內(nèi)容。數(shù)據(jù)庫(kù) Sql中查看是否存在多余過(guò)期的賬戶(hù)：select from syslogins oracle中查看是否存在多余過(guò)期的賬戶(hù)：select username，accountstatus from dbausers 查看是否安裝oracle label security模塊：select username from dbausers 查看是否創(chuàng)建策略：select policy_name，status from DBASAPOLICIES 查看是否創(chuàng)建級(jí)別：select * from dbasalevels order by levernum 查看標(biāo)簽創(chuàng)建情況：select * from dbasalabel 查看策略與模式、表的對(duì)應(yīng)關(guān)系：select * from dbasatabelpolicies；判斷是否針對(duì)重要信息資 源設(shè)置敏感標(biāo)簽。4 ）敏感標(biāo)記：是強(qiáng)制訪問(wèn)控制的依據(jù)，主客體都有，它存在的形式無(wú)所謂，可能是整形的數(shù)字，也肯能 是字母，他表示主客體的安全級(jí)別。 數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)對(duì)數(shù)據(jù)庫(kù)的安裝、配置、升級(jí)和遷移以及數(shù)據(jù)庫(kù)用戶(hù)的管理，從而保證數(shù)據(jù)庫(kù) 系統(tǒng)的可用性、完整性安全性。同時(shí)對(duì)授權(quán)模塊 進(jìn)行一些授權(quán)管理，并且系統(tǒng)的授權(quán)安全管理工作要做到細(xì)致，今授予管理用戶(hù)所需的最小權(quán)限，避 免出現(xiàn)權(quán)限的漏洞，使一些高級(jí)用戶(hù)擁有過(guò)大的權(quán)限。在操作系統(tǒng)中的每一個(gè)文件和目錄都包含有訪問(wèn)權(quán)限，這些訪問(wèn)權(quán)限決定 了誰(shuí)能訪問(wèn)和如何訪問(wèn)這些文件和目錄。f) 應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；（4）g) 應(yīng)依據(jù)安全策略嚴(yán)格控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作；注釋?zhuān)? ） 訪問(wèn)控制是安全防范和保護(hù)的主要策略，它不僅僅用于網(wǎng)絡(luò)層面，同樣也適用于主機(jī)層面。 首先查看是否安裝SSH的相應(yīng)的包：rpm aq|grep ssh 或查看是否安裝SSH的相應(yīng)包： service statusall | grep sshd 如果已經(jīng)安裝則查看相關(guān)的端口是否打開(kāi)： netstat an|grep sshd 22 若未使用SSH方式進(jìn)行遠(yuǎn)程管理，則查看是否使用了Telnet方式進(jìn)行遠(yuǎn)程管理： service statusall | grep running查看是否存在Telnet服務(wù)。 4 ）linux系統(tǒng)具有調(diào)用PAM的應(yīng)用程序可以用來(lái)認(rèn)證用戶(hù)、登錄服務(wù)、屏保等功能，其中的一個(gè)重要的文件/etc/，在這個(gè)文件中可以通過(guò)配置參數(shù)，設(shè)置登錄失敗斷開(kāi)連接的次數(shù)等。如果定義了帳戶(hù)鎖定閾值，此重置時(shí)間必須小于 或等于帳戶(hù)鎖定時(shí)間。 復(fù)位賬戶(hù)鎖定計(jì)數(shù)器：確定在某次登錄嘗試失敗之后將登錄嘗試失敗計(jì)數(shù)器重置為0次錯(cuò)誤登錄嘗試 之前需要的時(shí)間。 賬戶(hù)鎖定時(shí)間：確定鎖定賬戶(hù)在自動(dòng)解鎖前，保持鎖定的分鐘數(shù)，可用范圍099, 設(shè)置為0，賬戶(hù)將被一直鎖定，指導(dǎo)管理員明確對(duì)它的鎖定。當(dāng)?shù)卿浭〈螖?shù)超過(guò)管理員 指定值時(shí)可以禁用該賬戶(hù)。防止非法用戶(hù)短期修改多次。 以root身份登錄進(jìn)入linux。 Linux中的 /etc/，在這里我們可以配置最大過(guò)期天數(shù)，密碼的 最大長(zhǎng)度約束等內(nèi)容。 cat/etc/passwd cat/etc/shadow 2 ）控制和監(jiān)視密碼是不可缺少的。 在root權(quán)限下，使用命令more、cat、vi查看 /etc/passwd 和 /etc/shadow文件中各用戶(hù)名的狀態(tài)?，F(xiàn)在的linux系統(tǒng) 中口令不再直接保存在passwd文件中，通常將passwd文件中的口令字段使用一個(gè)“x”來(lái)代替，將 /etc/shadow作為真正的口令文件，用于保存包括個(gè)人口令在內(nèi)的數(shù)據(jù)。注釋?zhuān)? ）身份標(biāo)識(shí)和鑒別就是用戶(hù)向系統(tǒng)以一種安全的方式提交自己的身份證實(shí)，然后由系統(tǒng)確認(rèn)用戶(hù)的身 份是否屬實(shí)的過(guò)程。d) 當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；e) 應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶(hù)分配不同的用戶(hù)名，確保用戶(hù)名具有唯一性。3 ）雙因子鑒別不僅需要訪問(wèn)者知道一些信息，還需要訪問(wèn)者擁有鑒別特征，如：令牌、智能卡、數(shù)字證 書(shū)和生物信息等。 利用ip accessclass限制訪問(wèn)VTY（虛擬終端）的IP地址范圍。當(dāng)為特權(quán)用戶(hù)設(shè)置 口令時(shí)，應(yīng)當(dāng)使用 enable secret命令，該命令用于設(shè)定具有管理員權(quán)限的口令，enable secret命令采用 的是MD5算法，這種算法比enable password加密算法強(qiáng)，不容易被破解。管理員應(yīng)當(dāng)依據(jù)需要為路由器相應(yīng)的端口加上身份 鑒別最基本的安全控制。 無(wú)論那種登錄方式，都需要對(duì)用戶(hù)身份進(jìn)行鑒別，口令是路由器用來(lái)防止非授權(quán)訪問(wèn)的常用手段，是路 由器本身安全的一部分。（應(yīng)根據(jù)實(shí)際需要為用戶(hù)分配完成其任務(wù)的最小權(quán)限）注釋?zhuān)? ）用戶(hù)登錄路由器、交換機(jī)的方式： 利用控制臺(tái)端口（console）通過(guò)串口進(jìn)行本地連接登錄； 利用輔助端口（AUX）通過(guò)MODEM進(jìn)行遠(yuǎn)程撥號(hào)鏈接登錄； MODEM（調(diào)制解調(diào)器）實(shí)現(xiàn)數(shù)字信號(hào)和模擬信號(hào)之間的轉(zhuǎn)換。對(duì)儲(chǔ)存在配置文件中的所有口令和類(lèi)似數(shù)據(jù)進(jìn)行加密，可以避免通過(guò)讀取配置文件而獲取明文口令）f) 應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；（可以利用命令配置VTY的超時(shí)，避免一個(gè)空閑的任務(wù)一直占用VTY，從而避免惡意攻擊或遠(yuǎn)端系統(tǒng)的意外崩潰導(dǎo)致的資源獨(dú)占。安全審計(jì)（G3）（路由器、交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)/防御系統(tǒng)）a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶(hù)行為等進(jìn)行日志記錄；b) 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；c) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。因此應(yīng)在會(huì)話(huà)終止或長(zhǎng)時(shí)間無(wú)響應(yīng)的情況下終止網(wǎng)絡(luò)連接，釋放被占用網(wǎng)絡(luò)資源，保證業(yè)務(wù)可以被正常訪問(wèn)。解決方法：在網(wǎng)絡(luò)設(shè)備中把所有pc的ipmac輸入一個(gè)靜態(tài)表中，這叫ipmac綁定；在內(nèi)網(wǎng)所有pc上設(shè)置網(wǎng)管的靜態(tài)arp信息，這叫pc ipmac綁定Show ip arp display arp4） 通過(guò)配置用戶(hù)、用戶(hù)組，并結(jié)合訪問(wèn)控制規(guī)則可以實(shí)現(xiàn)對(duì)認(rèn)證成功的用戶(hù)允許訪問(wèn)受控資源show crypto isakmp policy；show crypto ipsec transformset；show ip accesslist。建立假網(wǎng)關(guān)，讓被他欺騙的pc向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過(guò)正常的途徑上網(wǎng)。它通知網(wǎng)絡(luò)設(shè)備一系列錯(cuò)誤的MAC地址，并按照一定的頻率不斷進(jìn) 行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在網(wǎng)絡(luò)設(shè)備中，結(jié)果網(wǎng)絡(luò)設(shè)備的所有數(shù)據(jù)只能發(fā)給錯(cuò)誤的 MAC地址，造成正常pc無(wú)法收到信息。Arp地址解析協(xié)議是一種位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地 址解析成對(duì)應(yīng)的MAC地址。show runningconfig display acl config al2 3 ）地址欺騙可以是mac地址，也可以是ip地址。 查看acl的命令： show ip accesslist display acl config all 2 ）限制網(wǎng)絡(luò)的最大流量的方法：路由器、交換機(jī)可根據(jù)ip地址、端口、協(xié)議來(lái)限制應(yīng)用數(shù)據(jù)流的最 大流量，還可以根據(jù)ip地址來(lái)限制網(wǎng)絡(luò)連接數(shù)，從而保證業(yè)務(wù)帶寬不被占用，業(yè)務(wù)系統(tǒng)可以對(duì)外正 常提供服務(wù)。流入流量過(guò)濾：用于過(guò)濾掉一些源IP不是公網(wǎng)IP的數(shù)據(jù)包，同時(shí)也用于限制外部對(duì)內(nèi)部網(wǎng) 絡(luò)服務(wù)的訪問(wèn)。（更新方式：自動(dòng)遠(yuǎn)程更新、手動(dòng)遠(yuǎn)程更新、手動(dòng)本地更新等）訪問(wèn)控制（G3）（路由器、交換機(jī)、防火墻、入侵檢測(cè)系統(tǒng)/防御系統(tǒng)）a) 應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制功能；（訪問(wèn)控制設(shè)備：網(wǎng)閘、防火墻、路由器、三層路由交換機(jī)等）b) 應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；（路由器通過(guò)配置合理的訪問(wèn)控制列表ACL）c) 應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制；（一般實(shí)現(xiàn)方式：防火墻）d) 應(yīng)在會(huì)話(huà)處于非活躍一定時(shí)間或會(huì)話(huà)結(jié)束后終止網(wǎng)絡(luò)連接；（5一般在防火墻上實(shí)現(xiàn)）e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；（2一般在防火墻上實(shí)現(xiàn)）f) 重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；（3）g) 應(yīng)按用戶(hù)和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪問(wèn)，控制粒度為單個(gè)用戶(hù)；（4）h) 應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶(hù)數(shù)量。（G3）a) 應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除。只有通過(guò)檢查日志文件，攻擊才得以根據(jù)日志信息進(jìn)行復(fù)查和再現(xiàn)。它會(huì)查找已知的攻擊模式或命令，并阻止這些命令的執(zhí)行。（報(bào)警方式：短信、郵件、聲光報(bào)警等）注釋?zhuān)? 1）入侵檢測(cè)的分類(lèi)：主動(dòng)入侵檢測(cè)、被動(dòng)入侵檢測(cè)。 思科 華為 4）