信息系统安全总结(6-5)资料

1、信息系统安全知识总结主 题信息安全保障概述系统安全评价（等级保护）物理安全访问控制系统安全应用安全数据安全安全管理概述COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障3CS/IA网络空间安全/信息安全保障信息安全发展历程网络空间安全/信息安全保障CS/IA：Cyber Security/Information Assurance2009年，在美国带动下，世界各国信息安全政策、技术和实践等发生重大变革共识：网络安全问题上升到国家安全的重要程度核心思想：从传统防御的信息保障（IA），发展到“威慑”为主的防御、攻击和情报三位一体的信息保障/网络安全（IA/CS

2、）的网空安全网络防御-Defense（运维）网络攻击-Offense（威慑）网络利用-Exploitation（情报）4保护Protect检测Detect恢复Restore反应ReactIA信息安全保障人技术操作教育培训意识培养物理安全人事安全安全管理纵深防御安全标准设备采购风险评估认证认可评估监视入侵检测警告响应恢复 强调依赖人、技术和操作实现组织的使命。信息安全保障内涵PDRR技术操作深度防御战略人 人 通过 技术 进行 操作计算环境区域边界网络基础设施支撑性基础设施密钥管理检测响应成功的组织功能信息安全保障（IA）IATF框架6人（People）：信息保障体系的核心，是第一位的要素，同时

3、也是最脆弱的。基于这样的认识，安全管理在安全保障体系中愈显重要，包括：意识培训、组织管理、技术管理、操作管理技术（Technology）：技术是实现信息保障的重要手段。动态的技术体系：防护、检测、响应、恢复操作（Operation）：也叫运行，构成安全保障的主动防御体系。是将各方面技术紧密结合在一起的主动的过程，包括风险评估、安全监控、安全审计跟踪告警、入侵检测、响应恢复IATF的三要素7IATF的安全需求划分IATF定义了四个主要的技术焦点领域：本地计算环境区域边界网络和基础设施支撑性基础设施。这四个领域构成了完整的信息保障体系所涉及的范围。在每个领域范围内，IATF都描述了其特有的安全需求

4、和相应的可供选择的技术措施。8目标：使用信息保障技术确保数据在进人、离开或驻留客户机和服务器时具有保密性、完整性和可用性。方法：使用安全的操作系统, 使用安全的应用程序安全消息传递、安全浏览、文件保护等主机入侵检测防病毒系统主机脆弱性扫描文件完整性保护保护计算环境9保护区域边界什么是边界？“域”指由单一授权通过专用或物理安全措施所控制的环境，包括物理环境和逻辑环境。区域的网络设备与其它网络设备的接入点被称为“区域边界”。目标：对进出某区域（物理区域或逻辑区域）的数据流进行有效的控制与监视。方法：病毒、恶意代码防御防火墙人侵检测边界护卫远程访问多级别安全10保护网络和基础设施目标：网络和支持它的

5、基础设施必须防止数据非法泄露防止受到拒绝服务的攻击防止受到保护的信息在发送过程中的时延、误传或未发送。方法：骨干网可用性无线网络安全框架系统高度互联和虚拟专用网。11保护支撑性基础设施目标：为安全保障服务提供一套相互关联的活动与基础设施,包括：密钥管理功能检测和响应功能方法：密钥管理优先权管理证书管理入侵检测、审计、配置信息调查、收集12为什么会有信息安全问题？因为有病毒吗？因为有黑客吗？因为有漏洞吗？这些都是原因，但没有说到根源13内因： 信息系统复杂性：过程复杂，结构复杂，应用复杂外因： 人为和环境: 威胁与破坏信息安全问题产生根源14主 题信息安全保障概述物理安全访问控制系统安全应用安全

6、系统安全评价安全管理概述课程内容16信息系统安全评价等级保护分级保护信息安全等级保护法规政策体系17什么是等级保护？中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB 17859-1999计算机信息系统安全保护等级划分准则第一级:用户自主保护级；第二级:系统审计保护级；第三级:安全标记保护级；第四级:结构化保护级；第五级:访问验证保护级；18等级保护之五级划分等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公

7、共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级保护定级指南GB/T 2224020 定级方法基本要求技术要求管理要求要求标注业务信息安全类要求（标记为S类） 关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改系统服务保证类要求（标记为A类）关注的是保护系统连续正常的运行， 避免因对系统的未授权修改、破坏而导致系统不可用通用安全保护类要求（标记为G类）既关注保护业务信息的安全性， 同时也关注保护系统的连续可用性。 基本要求GB/T 2

8、2239三类要求之间的关系通用安全保护类要求（G）业务信息安全类（S）系统服务保证类（A安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/1874控制点基本要求GB/T 2223923控制点一级二级三级四级物理位置的选择*物理访问控制*防盗窃和防破坏*防雷击*防火*防水和防潮*防静电*温湿度控制*电力供应A*电磁防护S*合计7101010物理安全环境设备、介质24基

9、本要求- -GB/T 22239物理安全概述物理安全概念指保护计算机网络设备、设施以及其它介质免遭自然灾害、人为操作失误、各种计算机犯罪行为导致的破坏主要包括三个方面环境安全。指系统所在环境的安全，主要指场地与机房设备安全。指设备的防盗、防毁、防电磁辐射泄漏、抗电磁干扰、电源保护媒体安全。包括媒体数据的安全和媒体自身的安全。网络安全控制点一级二级三级四级结构安全*访问控制*安全审计*边界完整性检查S*入侵防范*恶意代码防范*网络设备防护*合计3677结构边界设备26基本要求- -GB/T 22239主机安全控制点一级二级三级四级身份鉴别S*安全标记S*访问控制S*可信路径S*安全审计*剩余信息

10、保护S*入侵防范*恶意代码防范*资源控制A*合计4679服务器；终端/工作站On操作系统；数据库系统27基本要求- -GB/T 22239应用安全控制点一级二级三级四级身份鉴别S*安全标记S*访问控制S*可信路经S*安全审计*剩余信息保护S*通信完整性S*通信保密性S*抗抵赖*软件容错A*资源控制A*合计47911基本应用业务应用28基本要求- -GB/T 22239数据安全及备份恢复控制点一级二级三级四级数据完整性S*数据保密性S*备份和恢复A*合计2333用户数据系统数据业务数据数据备份硬件冗余异地实时备份29基本要求- -GB/T 22239管理制度总体方针策略管理制度操作规程控制点一级

11、二级三级四级管理制度*制定和发布*评审和修订*合计233330基本要求- -GB/T 22239管理机构最高管理层执行管理层业务运营层控制点一级二级三级四级岗位设置*人员配备*授权和审批*沟通和合作*审核和检查*合计455531基本要求- -GB/T 22239人员安全内部人员外部人员控制点一级二级三级四级人员录用*人员离岗*人员考核*安全意识教育和培训*外部人员访问管理*合计455532基本要求- -GB/T 22239建设管理定级、设计建设实施验收交付测评控制点一级二级三级四级系统定级*安全方案设计*产品采购和使用*自行软件开发*外包软件开发*工程实施*测试验收*系统交付*系统备案*等级测

12、评*安全服务商选择*合计99111133基本要求- -GB/T 22239运维管理日常/应急/变更制度化管理监管、安管中心控制点一级二级三级四级环境管理*资产管理*介质管理*设备管理*监控管理和安全管理中心*网络安全管理*系统安全管理*恶意代码防范管理*密码管理*变更管理*备份与恢复管理*安全事件处置*应急预案管理*合计1013131334基本要求- -GB/T 22239主 题信息安全保障概述系统安全评价（等级保护）物理安全访问控制系统安全应用安全数据安全安全管理概述访问控制模型主 体客 体访问控制实施访问控制决策提交访问 请求请求决策决 策提出访问 请求36什么是访问控制模型对一系列访问控

13、制规则集合的描述，可以是非形式化的，也可以是形式化的。组成访问控制模型的分类访问控制模型强制访问控制模型（MAC）自主访问控制模型（DAC）访问矩阵模型访问控制列表（ACL）权能列表（Capacity List）Bell-Lapudula 模型Biba 模型Clark-Wilson 模型Chinese Wall 模型保密性 模型完整性 模型基于角色访问控制模型（RBAC）混合策略模型37自主访问控制的特点 优点：根据主体的身份和访问权限进行决策具有某种访问能力的主体能够自主地将访问权限的某个子集授予其它主体灵活性高，被大量采用缺点：信息在传递过程中其访问权限关系会被改变38强制访问控制模型主体

14、对客体的所有访问请求按照强制访问控制策略进行控制，客体的属主无权控制客体的访问权限，以防止对信息的非法和越权访问主体和客体分配有一个安全属性应用于军事等安全要求较高的系统可与自主访问控制结合使用39常见强制访问控制模型BLP模型1973年提出的多级安全模型，影响了许多其他模型的发展，甚至很大程度上影响了计算机安全技术的发展Biba模型1977年，Biba提出的一种在数学上与BLP模型对偶的完整性保护模型Clark-Wilson模型1987年，David Clark和David Wilson开发的以事物处理为基本操作的完整性模型，该模型应用于多种商业系统Chinese Wall模型1989年，D

15、. Brewer和M. Nash提出的同等考虑保密性与完整性的安全策略模型，主要用于解决商业中的利益冲突40基于角色的访问控制由IST的Ferraiolo等人在90年代提出NIST成立专门机构进行研究1996年提出一个较完善的基于角色的访问控制参考模型RBAC9641RBAC模型的特点便于授权管理，如系统管理员需要修改系统设置等内容时，必须有几个不同角色的用户到场方能操作，增强了安全性便于处理工作分级，如文件等资源分级管理便于任务分配，不同角色完成不同的任务利用安全约束，容易实现各种安全策略，如最小特权、职责分离等42访问控制技术实现网络的访问控制主机的访问控制数据库访问控制应用程序的访问控制

16、网络准入的整体认证与控制网络层访问控制基于网关设备网络准入控制防火墙网络隔离WEB应用防火墙访问控制技术产品实现网络准入设备实现原理基本概念 AAA Authentication、Authorization、Accounting验证、授权、记费 PAP Password Authentication Protocol 密码验证协议 CHAP Challenge-Handshake Authentication Protocol盘问握手验证协议 NAS Network Access Server 网络接入服务器 RADIUS Remote Authentication Dial In User

17、Service远程验证拨入用户服务（远程拨入用户验证服务）用户接入管理的协议模型 用户BAS接入管理服务器接入管理协议接入认证/控制协议接入链路协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层接入管理协议用户BAS接入管理协议接入认证/控制协议接入链路协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层接入管理协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层接入管理协议接入链路协议接入链路协议作用主要是提供链路通信服务，提供或便于实现基于用户的接入控制功能。典型的接入链路协议有：以太网协议：IE

18、EE 802.3无线局域网协议。如IEEE 802.11系列点到点协议PPP（Point-to-Point Protocol）以太网上的点到点协议PPPoE（Point to Point Protocol over Ethernet） 接入认证协议/接入控制协议接入认证协议作用是提供对申请接入用户的身份鉴别，典型的接入认证协议有口令认证协议（ PAP）质询认证协议（ CHAP）可扩展认证协议（EAP）。接入控制协议用来控制用户接入网络的方式，其代表是基于端口的接入控制协议 802.1X。 CHAP:质询认证协议RFC 1994 可扩展认证协议 （EAP） RFC 2284EAP （Extens

19、ible Authentication Protocol ，EAP） 是一种可扩展的认证协议，由RFC 2284描述它实际上是一种认证协议的封装协议，定义了一种封装的框架、格式。具体的认证协议和认证信息封装在EAP分组中，如PAP over EAP、CHAP over EAP 等等.。目前EAP已经可支持很多种认证协议。 802.1x的背景1、802.1x协议起源于802.11协议(标准无线局域网协议)，主要目的是为了解决无线局域网用户的接入认证问题，但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性，因此后来在有线局域网中也得到了广泛的应用。标准的起草者包括Microsoft，

20、Cisco，Extreme，Nortel等。2、IEEE 802.1x定义了基于端口的网络接入控制协议（port based network access control），其中端口可以是物理端口，也可以是逻辑端口，对于无线局域网来说 “端口”就是一条信道。3、802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPoL（Extensible Authentication Protocol over LANs）通过。受控端口 1、认证系统Autheti

21、cator内部有受控端口（Controlled Port）和非受控端口（Uncontrolled Port） 1）非受控端口始终处于双向连通状态，不必经过任何授权就可以访问或传递网络资源和服务；受控端口则反之，必须经过授权才能访问或传递网络资源和服务。启动802.1X的端口就是受控端口，用户通过认证获得授权。 2）受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。双向受控对受控端口的输入流和输出流都进行控制，在端口未授权前，两个方向的流量都不能通过受控端口。输入受控仅对端口的输入流进行控制，不管端口是否授权，输出流不受限制。 3) 一般交换机上的实现仅支持输入受控。802.1

22、x的核心概念802.1x的核心概念（续）ControlledUn-Controlled非受控端口主要是用来连接认证服务器，以便保认证服务器与交换机的正常通讯连接在受控端口的用户，只有通过认证才能访问网络资源EAPoLEAPoL2、端口接入控制的模式Authorized-force：常开模式 端口一直维持控制模式，下挂用户无需认证过程就可访问网络资源 Auto：协议控制模式 初始状态为非授权状态，仅允许EAPoL报文收发。802.1X认证通过后，将此端口状态切换到授权状态，这时用户才可访问网络资源Unauthorized-force：常关模式 端口一直维持非授权状态，忽略所有客户端发起的认证请求

23、，用户不能访问网络资源。802.1x的核心概念（续）3、端口接入控制方式：Macbased ： 基于MAC地址的认证方式 对共用同一个物理端口的多个用户分别进行认证控制，限制同时使用同一个物理端口的用户数目（限制MAC地址数目），但不指定MAC地址，让系统根据先到先得原则进行MAC地址学习，系统将拒绝超过限制数目的请求，若有用户退出，则可以覆盖已退出的MAC地址。 只有认证通过的用户可以访问网络资源。Portbased：基于PORT的认证方式仅对使用同一物理端口的任何一个用户进行认证（仅对一个用户进行认证，认证过程中忽略其他用户的认证请求），认证通过后其他用户也就可以利用该物理端口访问网络资源

24、。802.1x的核心概念（续）802.1x的体系结构 IEEE 802.1x的体系结构中包括三个部分：Supplicant System-接入系统；即认证客户端Authenticator System-认证系统；即NAS(Network Access Server）Authentication Sever System-认证服务器。 802.1x体系与设备软件对应关系接入系统（如PC）需要安装802.1x客户端软件，例如Windows 端的802.1x客户端；NAS(如交换机)需要实现 802.1x的认证系统功能认证服务器系统一般驻留在运营商的AAA中心，典型的是传统的Radius（远程验证拨

25、入用户服务）服务器。如windows2k/2003自带的Radius服务器。PAE: 端口认证实体(port access entity) 认证机制中负责处理算法和协议的实体。802.1x的体系结构（续）802.1x的认证过程认证前端口相当于受控关闭状态，只允许EAP0L报文通过802.1x通过EAP帧承载认证信息进行认证（此处用PAP的认证方式讲解认证过程）：首先客户端发起认证 (EAPOL-START)设备向客户端进行用户名请求(EAPOL-Request/Identity) 客户端回应认证用户名(EAPOL-Reponse) 设备向客户端进行密码请求(EAPOL-Request/PAss

26、word)客户端回应密码(EAPOL-Request/PAssword)设备收到后将用户名和密码映射到RADIUS报文传给服务器服务器进行用户名和密码等属性判断都符合后回应设备认证成功(否则返回拒绝，设备再发failue报文给客户端)如果设备配置了计费这时将向服务器发送计费请求服务器判断传递过来的属性，符合后就回应设备计费成功等信息(否则返回拒绝，设备再发failue报文给客户端)设备接收到计费回应后发success报文给交换机至此认证通过，端口被打开，用户可以通过端口访问外部资源如果此时端口启用了握手功能，设备将定期和客户端进行握手交互，检测客户端是否在线，如果不在线就会发logoff通知用

27、户下线，端口又被关闭接入管理协议RADIUS协议TACACS协议TACACS+协议Diameter协议61基于RADIUS的用户接入管理应用实例 防火墙技术-防火墙的工作模式路由模式（网络层）透明模式（链路层）混合模式63防火墙技术-防火墙的工作模式路由模式内部网络/24GW:54外部网络/24GW:防火墙路由器InternetIntranet/2454/2464防火墙技术-防火墙的工作模式透明模式内部网络/24GW:54外部网络路由器InternetIntranet54/2465防火墙技术-防火墙的工作模式混合模式 工作于透明模式的防火墙可以实现透明接入，工作于路由模式的防火墙可以实现不同网

28、段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以，大多数的防火墙一般同时保留了透明模式和路由模式，根据用户网络情况及用户需求，在使用时由用户进行选择。 66防火墙技术-弱点和局限性防火墙防外不防内；防火墙难于管理和配置，易造成安全漏洞；很难为用户在防火墙内外提供一致的安全策略；防火墙只实现了粗粒度的访问控制；对于某些攻击防火墙也无能为力。67网络隔离技术及目标在保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是指两个或两个以上的计算机或网络在“断开连接”的基础上，实现信息交换和资源共享。也就是说，通过网络隔离技术既可以使两个网络实现“物理上的隔离”，又能

29、在安全的网络环境下进行数据交换。主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。目前，一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。 隔离技术需具备的安全要点要确保网络之间是“隔离”的 保证网间隔离的关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要最终使得一方的网络包能够进入到对方的网络中，都达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是没有任何隔离效果的。此外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。要保

30、证网间交换的只是应用数据 就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包，彻底地阻挡在了可信网络之外。GAP技术 GAP技术从字面上理解，可以译为“缺口、豁口”，即在两个网络之间形成一个缺口。有了缺口当然就能保证安全。也有将GAP译为“Gap All Protocol”的说法，表明这个“缺口”不是什么都不让通过，而只是将协议隔离，应用数据还是可以利用这个缺口通过安全方式交换的。遵从这种理解方式，如Myong H.K

31、ang所刻画，GAP应该是一个三系统的设备：一个外端机、一个内端机、一个中间交换缓存。内外端机用于终止网络协议，对解析出的应用数据进行安全处理。同时能够通过中间的交换缓存通过非TCP/IP协议的方式进行数据交换。我国的信息安全产业界从1999年即发出了一种声音：GAP技术就是物理隔离，以此希望实现涉密网络与非涉密网络的联网突破。这一思想也影响了信息安全界的厂商和部分主管部门，一时间专注GAP技术研究的厂商如雨后春笋蓬勃发展。但在Gap技术初生之际，国家保密局就在不同场合正本清源：“GAP技术不是物理隔离，不能用于涉密网络与非涉密网络之间的连接”。 “数据二极管”（Data Diode） “数据

32、二极管”技术以其纯单向性，能够保证数据信息从低密级网络向上流动，同时保证高密级信息不可能流到低密级网络中，从而达到数据推移、防止泄密的有效折衷。在我国，一些厂家研制出了基于“数据二极管纯单向传输技术”的安全隔离与信息单向导入系统，用于解决涉密网络与非涉密网络之间的数据导入问题。也可用于不同安全域之间的信息单向传送要求。安全隔离与信息单向导入系统 安全隔离与信息单向导入系统 实例2）单向数据同步 1）静态文件单向传输 安全隔离与信息单向导入系统 实例3）外到内文件单向传输 4）邮件单向中继 安全审计的概念日志日志就是记录的事件或统计数据，这些事件或统计数据能提供关于系统使用及性能方面的信息。审计

33、审计就是对日志记录的分析，并以清晰的、能理解的方式表述系统信息。审计使得系统分析员可以评审资源的使用模式，以便评价保护机制的有效性。75审计系统的组成结构审计系统包含三个部分：日志记录器、分析器、通告器，分别用于收集数据、分析数据及通报结果。日志记录器：日志机制可以把信息记录成二进制形式或可读的形式。系统会提供一个日志浏览工具。用户能使用工具检查原始数据或用文本处理工具来编辑数据。分析器：分析器以日志作为输入，然后分析日志数据。分析的结果可能会改变正在记录的数据，也可能只是检测一些事件或问题。通告器：分析器把分析结果传送到通告器。通告器把审计结果通知系统管理员和其他实体。这些实体可能执行一些操

34、作来响应通告结果。76入侵检测技术-什么是入侵？77入侵是指在非法或未经授权的情况下，试图存取或处理系统或网络中的信息，或破坏系统或网络正常运行，致使系统或网络的可用性、机密性和完整性受到破坏的故意行为。 入侵检测技术-入侵检测系统的分类78按检测方法异常检测（基于行为）误用检测（基于特征）按检测范围基于主机基于网络基于网络节点入侵检测技术异常检测79设定“正常”的行为模式；假设所有的入侵行为是异常的；基于系统和基于用户的异常；优点：可检测未知的攻击；自适应、自学习功能；不需要先验知识。关键问题：“正常”行为特征的选择；统计算法、统计点的选取等。入侵检测技术异常检测80使用的检测方法基于规则统

35、计分析神经网络数据来源审计日志或网络流量特殊用途的数据收集机制键盘击键监控入侵检测技术特征检测81建立入侵行为模型(攻击特征)；假设可以识别和表示所有可能的特征；基于系统的和基于用户；优点:准确率高；算法简单。关键问题：有所有的攻击特征，建立完备的特征库；特征库要不断更新；无法检测新的入侵。入侵检测技术特征检测82使用的检测方法基于规则模式匹配 状态转换分析神经网络 数据来源审计日志或网络流量特殊用途的数据收集机制主 题信息安全保障概述系统安全评价（等级保护）物理安全访问控制系统安全应用安全数据安全安全管理概述操作系统安全要求 系统内重要服务器和安全保密设备尽可能采用安全操作系统，或者对其操作

36、系统采取安全加强措施。测评方法a) 检查重要服务器和安全保密设备是否采用三级以上（含）安全操作系统；b) 若没有采用安全操作系统，检查是否对系统内重要服务器和安全保密设备的操作系统采取安全加强措施；c) 通过安全性检测分析操作系统是否存在弱口令、开放多余服务与端口、存在高风险漏洞等安全隐患；d) 检查操作系统是否安装了补丁程序，是否进行了账户策略设置、账户管理、共享设置、运行审计及维护等安全配置，并查看日志记录；e) 检查是否采用刻光盘等方式将补丁程序导入涉密信息系统，避免移动存储介质在涉密和非涉密信息系统之间交叉使用造成泄密。Unix文件系统安全851、文件系统目录结构2、文件系统的权限管理

37、 （文件权限及SUID/SGID） UNIX系统帐号安全ROOT用户的重要性（ Root是unix系统的上帝）避免以超级用户登录。严格限制root终端登陆，远程用户可以使用/bin/su -l来成为root。不要随意把root shell留在终端上。普通用户采用sudo提升权限不要把当前目录(“ . /”)和普通用户的bin目录放在root帐号的环境 变量PATH中永远不以root运行其他用户的或不熟悉的程序/etc/shadow文件的重要性格式：name:coded-passwd:UID:GID:userinfo:homedirectory:shell检查账号：伪用户账号、单独命令账号检查/

38、etc/passwd，确保口令域是”*”而非空白公告账号的管理：口令每天改变，限制shell等86Windows系统安全身份认证与授权安全账户管理器（SAM）验证与授权日志与审计安全策略87Windows安全配置安装分区格式安装目录配置补丁关闭管理共享安全策略(关闭U盘自动执行功能)关闭不必要的服务设置文件系统权限（根据相关要求）文件系统加密（需要时）安全增强软件安装88主 题信息安全保障概述系统安全评价（等级保护）物理安全访问控制系统安全应用安全数据安全安全管理概述主 题信息安全保障概述物理安全访问控制系统安全应用安全系统安全评价安全管理概述结构化查询语言SQLSQL语言分类91SQL功能操

39、作符数据定义CREATE，DROP，ALTER数据查询SELECT数据操纵INSERT，UPDATE，DELETE数据控制GRANT，REVOKE，DENY事务控制BEGIN， COMMIT，ROLLBACK嵌入式/服务器端编程DECLARE,EXPLAIN,OPEN,FETCH,CLOSE,PREPARE,EXECUTE,DESCRIBE数据库安全概念现代数据库运行环境：多层结构应用环境在一个多层应用环境中，中间层负责:鉴别客户层应用（用户认证）管理与数据库交互（数据库会话管理）中间层使用通用的用户名和密码与数据库连接并进行身份验证数据库服务器使用中间层的通用用户名和密码，依据应用上下文对终

40、端用户的权限进行管理92数据库层客户层中间层应用服务器数据库服务器终端用户鉴别会话管理中间层用户标识、密码等权限检查数据库完整性保护完整性保护的机制完整性约束条件完整性检查违约处理机制完整性约束实体完整性（PRIMARY KEY定义，唯一、非空）参照完整性（FOREIGN KEY定义，关联）用户定义完整性（生成时定义，唯一、非空、布尔）93数据库安全要求 系统内应尽可能使用安全数据库，或者对数据库采取安全加强措施。测评方法a) 检查是否采用安全数据库；b) 若没有采用安全数据库，检查是否对数据库采取安全加强措施；c) 通过安全性检测分析数据库是否存在弱口令，是否存在高风险漏洞等安全隐患；d)

41、检查数据库管理系统是否安装了补丁程序，是否进行了账户管理、权限管理等安全配置，并查看日志记录；e) 检查是否采用刻光盘等方式将数据库管理系统补丁程序导入涉密信息系统，避免移动存储介质在涉密和非涉密信息系统之间交叉使用造成泄密数据库备份与恢复备份：数据冗余技术数据转储日志文件恢复：从冗余数据中实施数据库恢复事务故障的恢复系统故障的恢复介质故障的恢复95Web协议安全问题数据未加密HTTP协议没有加密功能，传输的数据都是以明文方式显示，因此在传输过程中可能会被攻击者截取账号及密码等重要信息。无状态协议HTTP不会记录前一次传输的数据信息，因此无法实现服务器和客户端的交互。9697可信计算平台的基本

42、思想从行为的角度理解可信：一个实体是可信的，那么它的行为总是以所期望的方式运行。实现：首先建立一个信任根。信任根的可信性由物理安全和管理安全确保。 再建立一条信任链。从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展到整个计算机系统9798可信计算平台在计算机主版上嵌入一个独立的TPM芯片，以增强系统的安全。98TPM（Trusted Platform Module） 可信平台模块可信平台模块TPM它由CPU、存储器、I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。TPM本身就是一个小的计算机系统，一般是一种片上系统SOC（System o

43、n Chip）,而且它应当是物理可信和管理可信的。TPM采用证书技术，用户与TPM通过证书认证来确认相互的身份。TPM能实现加解和解密，数字签名和验证99主 题信息安全保障概述系统安全评价（等级保护）物理安全访问控制系统安全应用安全数据安全安全管理概述功能模块部署结构I/O安全网站、数据库分离使用独立服务器限制文件上传类型审核用户发表内容禁止查看其他人账户检查密码复杂度密码使用HASH加密保存密码嗅探密码破解注入攻击旁注攻击社会工程学Web服务器常见安全漏洞和防范方法101检测输入数据类型过滤特殊字符使用SSL加密屏蔽错误信息过滤敏感数据IIS安全设置102性能设置（端口、连接数等）主目录及目

44、录安全性（目录权限）日志安全文档和错误消息性能设置103端口号（单个网站和多个网站的处理）并发连接数设置带宽限制cpu限制主目录及目录安全性主目录设置Web文件存放位置（不宜使用默认目录）目录权限设置建议：对所有修改权限的目录在IIS中把执行权限设置为：无。这样即使网站程序出现漏洞，入侵者能写入asp木马的目录没有脚本运行权限，有脚本运行权限的目录又无法修改和创建文件。网站根目录权限是继承的，取消继承，添加来宾帐户只读；对一些asp程序的access数据库目录、上传目录等去掉继承，添加修改权限，执行权限设置：无。104主目录及目录安全性设置105在IIS管理器中删除必须之外的任何没有用到的映射

45、（保留asa、asp、php、等必要映射即可）和删除不必要的应用程序映射Web站点权限设定：日志安全性日志重要性IIS日志是系统安全策略的一个重要坏节，IIS的日志功能记录所有的用户请求URL。确保日志的安全能有效提高系统整体安全性日志安全性设置方法一：修改IIS日志的存放路径IIS的日志默认保存的默认位置（%WinDir%System32LogFil-es），如果网站存在安全漏洞攻击者可以获取日志文件，因此应修改日志其存放路径（建议存放在非系统盘）方法二：修改日志访问权限日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，并设置为只有管理员才能访问10

46、6文档及错误消息107启用父级路径和启用默认文档 ；HTTP404 Not Found等错误返回页面定制；服务器安全应用采用安全协议安全策略配置邮件客户端安全应用PGP应用电子邮件安全应用108FTP应用安全嗅探攻击防御采取其他技术对会话进行加密（VPN）口令暴力破解防御限制尝试输入正确口令的次数。在几次尝试失败后，服务器应关闭和客户的控制连接限制控制连接的最大数目，或探查会话中的可疑行为并在以后拒绝该站点的连接请求 访问控制，现在访问FTP的客户地址109即时通信软件安全应用工作即时通讯采用企业自建“实时信息系统”终端部署即时通讯防护软件良好的安全意识不与陌生人聊天不用陌生人发的文件不看陌生

47、人发来的连接接收文件后先杀毒110办公软件安全问题111病毒传播载体微软的Office文件中可以嵌入并执行脚本语言（宏语言），宏语言可被用于编写恶意代码，当用户打开被感染的office文件后，宏语言被执行，对系统安全形成影响信息泄露办公软件对文档保护缺乏足够的安全机制，攻击者可能获得文件导致信息泄露隐私泄露文档信息中包含部分不应泄露的隐私信息主 题信息安全保障概述系统安全评价（等级保护）物理安全访问控制系统安全应用安全数据安全安全管理概述数据安全 VS 十大技术窃密手段一、利用计算机漏洞窃密二、利用“木马”技术窃密三、利用“嗅探”技术窃密四、利用“摆渡”技术窃密五、利用数据恢复技术窃密六、利用

48、口令破解窃密七、利用预设后门窃密八、利用无线上网的窃密九、利用手机窃密十、利用办公设备窃密数据安全-数据完整性数据完整性应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏；应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏。应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应能够检测到重要程序的完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。数据安全-数据保密性数据保密

49、性网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性；网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性；当使用便携式和移动式设备时，应加密或者采用可移动磁盘存储敏感信息。网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性；网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性；当使用便携式

50、和移动式设备时，应加密或者采用可移动磁盘存储敏感信息；用于特定业务通信的通信信道应符合相关的国家规定。数据安全-数据备份与恢复数据备份和恢复应提供自动机制对重要信息进行有选择的数据备份；应提供恢复重要信息的功能；应提供重要网络设备、通信线路和服务器的硬件冗余应提供自动机制对重要信息进行本地和异地备份；应提供恢复重要信息的功能；应提供重要网络设备、通信线路和服务器的硬件冗余；应提供重要业务系统的本地系统级热备份。类别要求二级解决方案三级解决方案差异分析数据安全数据完整性数据校验传输采用VPN配置存储系统传输采用VPN三级要求在传输过程增加对系统管理数据的检测与恢复数据保密性应用系统针对鉴别信息的

51、存储开发加密功能应用系统针对存储开发加密功能，利用VPN实现传输保密性三级要求实现管理数据、鉴别信息和重要业务数据传输过程的保密性备份与恢复重要信息进行定期备份关键设备线路冗余本地备份与异地备份关键设备线路冗余设计三级要求进行每天数据备份且要求实现异地备份；等级保护整改方案设计之技术设计数据完整性鉴别数据传输的完整性备份和恢复重要数据的备份数据安全及备份恢复的整改要点各类数据传输及存储异地备份网络冗余、硬件冗余本地完全备份硬件冗余检测和恢复数据保密性鉴别数据存储的保密性各类数据的传输及存储每天1次备份介质场外存放主 题信息安全保障概述系统安全评价（等级保护）物理安全访问控制系统安全应用安全数据

52、安全安全管理概述我国的信息安全管理格局多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全中央网络安全和信息化领导小组 国家公安部国家保密局国家密码管理局国家安全部工信部国务院新闻办公室等等120我国的信息安全基础设施中国信息安全测评中心(CNITSEC)中国信息安全认证中心(ISCCC)国家计算机网络应急技术处理协调中心（CNCERT/CC）国家计算机病毒应急处理中心全国信息安全标准化技术委员会（TC260）等等121安全产品资质要求密码类： 国密办技术鉴定(强制性)国家信息安全测评认证安全类：公安部销售许可(强制性)国家保密局鉴定(推荐)知识体：信息安全管理方法知识域：风险管理基本概念了解信息安全风险的概念，理解信息安全风险基本要素，包括资产、威胁、脆弱性和控制措施等术语概念，理解这些要素之间的关系理解风险管理的定义，理解风险评估、风险处置等基本概念了解风险评估和风险处置的作用123信息安全风险术语资产（Asset）威胁源（Threat Agent）威胁（ Threat ）脆弱性（Vunerability）控制措施（Countermeasure,safeguard,control）可能性（Likelihood,Probability）影响（ Impact,loss ）风险（Risk）残余风险（