信息安全等级测评师考试重点梳理

f)??应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；（可以利用命令配置VTY的超时，避免一个空闲的任务一直占用VTY，从而避免恶意攻击或远端系统的意外崩溃导致的资源独占。）

g)??当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；（不应当使用明文传送的telnet、http服务，而应当采用ssh、https等加密协议等方式进行交互式管理）

h)??应实现设备特权用户的权限分离。（应根据实际需要为用户分配完成其任务的最小权限）

注释：

1?）用户登录路由器、交换机的方式：

????1利用控制台端口（console）通过串口进行本地连接登录；

????2利用辅助端口（AUX）通过MODEM进行远程拨号链接登录；

????? MODEM（调制解调器）实现数字信号和模拟信号之间的转换。

????3利用虚拟终端（VTY）通过TCP/IP网络进行远程Telnet登录等。

???无论那种登录方式，都需要对用户身份进行鉴别，口令是路由器用来防止非授权访问的常用手段，是路

???由器本身安全的一部分。因此需要加强对路由器口令的管理，包括口令的设置、储存，最好的口令存储

???方法是保存在TACACS+或RADIUS认证服务器上。管理员应当依据需要为路由器相应的端口加上身份

???鉴别最基本的安全控制。

???路由器、交换机的口令安全包括两类：设置登录口令和设置使能口令（特权密码）。当为特权用户设置

???口令时，应当使用?enable secret命令，该命令用于设定具有管理员权限的口令，enable secret命令采用

????的是MD5算法，这种算法比enable password加密算法强，不容易被破解。

?show running-config???? display current-configuration

2?）为了保证网络管理员对路由器安全访问的同时，避免其他人的未授权访问，最好的方法是采用带外管

理，使用专用的管理终端和通讯路径，将管理数据流和其他数据流分开，能够有效地增加安全性。

?利用ip access-class限制访问VTY（虚拟终端）的IP地址范围。同时由于VTY的数目有一定的限制，当

???所有的vty用完，就不能再建立远程的网络连接了，通过限制登录地址，限制能够防止DOS攻击（拒绝服

务攻击）。

3?）双因子鉴别不仅需要访问者知道一些信息，还需要访问者拥有鉴别特征，如：令牌、智能卡、数字证

???书和生物信息等。

?

?

?

?

?

?

?

?

第二章??主机安全测评

?

身份鉴别（S3）（操作系统测评、数据库系统测评）

a)???应对登录操作系统和数据库系统的用户进行身份标识和鉴别；（1）

b)???操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；（2）

c)???应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施;

d)???当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；

e)???应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

f)???应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

注释：

1?）身份标识和鉴别就是用户向系统以一种安全的方式提交自己的身份证实，然后由系统确认用户的身

????份是否属实的过程。linux用户的口令经过加密处理后存放于/etc/passwd文档中。现在的linux系统

????中口令不再直接保存在passwd文件中，通常将passwd文件中的口令字段使用一个“x”来代替，将

????/etc/shadow作为真正的口令文件，用于保存包括个人口令在内的数据。淡然，shadow文件时不能

????被普通用户读取的，只有超级用户才有权读取。? 在root权限下，使用命令more、cat、vi查看

??? /etc/passwd?和 /etc/shadow文件中各用户名的状态。以root 身份登录进入linux。

??? #cat/etc/passwd??????? #cat/etc/shadow?????? ???

2?）控制和监视密码是不可缺少的。在windows中，如设置密码历史记录、设置密码最常使用期限、设置

????密码最短使用期限、设置最短密码长度，设置密码复杂性要求。??

??? Linux中的?/etc/login.defs是登录程序的配置文件，在这里我们可以配置最大过期天数，密码的

????最大长度约束等内容。由于该文件对root用户无效，如果?/etc/shadow文件里有相同的选项，则以

????/etc/shadow里的设置为准，也就是说?/etc/shadow的配置优先级别高于?/etc/login.defs。

????以root身份登录进入linux。

??? #more/etc/login.defs

??? PASS-MAX-DAYS 90? #登录密码有效期90天

??? PASS-MIN-DAYS 0? #登录密码最短修改时间，设置为0，则禁用此功能。防止非法用户短期修改多次。?

??? PASS-MIN-LEN 8??? #登录密码最小长度8位

??? PASS-WARN-AGE 7?? #登录密码过期提前7天提示修改

??? FAIL-DELAY 10???? #登录错误时等待时间10秒

??? FAILLOG-ENAB yes?? #登录错误记录到日志

??? SYSLOG-SU-ENAB yes??? #当限定超级用户管理日志时使用

??? SYSLOG-SG-ENAB yes??? #当限定超级用户组管理日志时使用

??? MD5-CRYPT-ENAB? yes?? #当使用MD5的加密方法时使用

??

?? 3 )windows操作系统具备了登录失败处理功能，可以通过适当的配置“账户锁定策略”来对用户的的登

?????录进行限制，如账户锁定阙值、账户锁定时间、复位账户锁定计数器等。当登录失败次数超过管理员

?????指定值时可以禁用该账户。

?????账户锁定阙值：确定用户账户被锁定的登录尝试失败的次数，在管理员重置锁定账户或账户锁定时期

?????满之前，无法使用该锁定账户，次数可介于0-999之间，如果将值置为0，则永远不会锁定账户。

?????账户锁定时间：确定锁定账户在自动解锁前，保持锁定的分钟数，可用范围0-99,999.如果将锁定时

?????设置为0，账户将被一直锁定，指导管理员明确对它的锁定。如果定义了账户锁定阙值，则账户锁定

?????时间必须大于等于重置时间。

?????复位账户锁定计数器：确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试

?????之前需要的时间。可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值，此重置时间必须小于

?????或等于帐户锁定时间。只有在指定了帐户锁定阈值时，此策略设置才有意义。

?4?）linux系统具有调用PAM的应用程序可以用来认证用户、登录服务、屏保等功能，其中的一个重要的文

件/etc/pam.d/system-auth，它是pam-stack.so模块的标准控制文件，在这个文件中可以通过配置参

数，设置登录失败断开连接的次数等。要获得最大程度的安全性，建议在3-5次登录尝试失败后锁定账

户，且不要在30分钟内重新启用该账户，并将锁定时间设置为“永久锁定（直到管理员解开锁定）”

在linux操作系统中，以root身份登录进入linux的命令： #cat/etc/pam.d/system-auth???? 查看是

否存在“account required/lib/security/pam-tally.so deny=5no-magic-root reset? ”??

5 )在linux操作系统中：以root身份登录linux。

???首先查看是否安装SSH的相应的包：#rpm -aq|grep ssh?

???或查看是否安装SSH的相应包：# service -status-all | grep sshd

???如果已经安装则查看相关的端口是否打开：# netstat-an|grep sshd? 22

???若未使用SSH方式进行远程管理，则查看是否使用了Telnet方式进行远程管理：

?? # service -status-all | grep?? running查看是否存在Telnet服务。??

数据库系统??

Sql?查看是否存在空口令用户：select *from?? syslogins where password? is null??????????

Oracle查看是否启用口令复杂度函数?select limitfrom? dba-profiles? where?profile=“DEFAULT” and resource-name=‘PASSWORD-VERIFY-FUNTION’

登录失败尝试次数的限制?select limit from? dba-profiles?where? profile=“DEFAULT” and resource-name="FAILED-LOGIN-ATTEMPTS"(值为unlimited表示没有限制)

?口令锁定时间的设置语句?select limitfrom? dba-profiles? where?profile=“DEFAULT” andresource-name="PASSWORD-LOCK-TIME"(值为unlimited表示没有限制)

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!