信息安全等级测评师考试重点梳理

??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

安全审计（G3）（操作系统测评、数据库系统测评）

a)???审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；（1）

b)???审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；（2）

c)???审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

d)???应能够根据记录数据进行分析，并生成审计报表；

e)???应保护审计进程，避免受到未预期的中断；（4）

f)???应保护审计记录，避免受到未预期的删除、修改或覆盖等。（5）

注释：

1）以root身份登录进入Linux，查看服务进程：系统日志服务#service syslog status

?? #service audit status或 #service-status-all|grep auditd

2?）在linux中/etc/audit/audit.conf文件制定如何写入审查记录以及在那里写入、日志超出可用磁盘

????空间后如何处理等内容。/etc/audit/filesets.conf和/etc/audit/filters.conf指定内核用来判定

????系统调用是否要审查的规则。

3?）在linux操作系统中，使用aucat和augrep工具查看审计日志：

??? #aucat|tail-100? #查看最近的100条审计记录；

??? #augrep -e TEXT -U AUTH-success? #查看所有成功PAM授权。

? 4 )在Linux中，Auditd是审计守护进程，syslogd是日志守护进程，保护好审计进程当事件发生时，能

?????及时记录事件发生的详细内容。

? 5?）非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的

?????方法就是去看系统记录和安全审计文件。

数据库

Oracle?查看是否开启审计功能：selectvalue from v$paramater where name='audit-trail'或

???????????????????????????? Show parmeteraudit-trail

查看是否对所有sys用户的操作进行了记录：show parameter audit-sys-operation

查看是否对 sel，upd，del ins操作进行了审计：selectsel，upd，del ins from dba-obj-audit-opts

查看审计是否设置成功：select* from dba-stmt-audit-opts

查看权限审计选项：select* from dba-priv-audit-opts

?

剩余信息保护（S3）（操作系统测评）

a)???应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；

b)???应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

?

入侵防范（G3）（操作系统测评）

a)???应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；

b)???应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；

c)???操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。（涉及的两个方面系统服务和监听端口，补丁升级，对多余的系统服务可以禁用或卸载）

注释：

? 1?）入侵威胁分为：外部渗透、内部渗透和不法行为。

??????入侵行为分为：物理入侵、系统入侵和远程入侵。

??????造成入侵威胁的入侵行为主要是系统入侵和远程入侵两种。

??????系统入侵指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。（如果系统没有及时更新最

??????近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理权限）

??????远程入侵指入侵者通过网络渗透到一个系统中，这种情况下，入侵者通常不具备任何特殊权限，他

??????们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。

? 2?）查看入侵的重要线索的命令：#more/var/log/secure|greprefused

??????查看是否启用了主机防火墙、RCP SYN保护机制等设置的命令：

????? find/-name<daemon name>-print???检查是否安装了一下主机入侵检测软件。

? 3 )?监听端口的命令： netstat -an

??????确认系统目前正在运行的服务：#service-status-all|grep running

??????查看补丁安装情况的命令：#rpm-qa|grep patch

?

恶意代码防范（G3）（操作系统测评）

a)???应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；

b)???主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；

c)???应支持防恶意代码的统一管理。（统一更新，定时查杀）

?

资源控制（A3）（操作系统测评、数据库系统测评a、b、d）

a)???应通过设定终端接入方式、网络地址范围等条件限制终端登录；（1）

b)???应根据安全策略设置登录终端的操作超时锁定；（2）

c)???应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；

d)???应限制单个用户对系统资源的最大或最小使用限度；

e)???应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。（3）

注释：

?1?）系统资源是指CPU、存储空间、传输带宽等软硬件资源。

?????应通过设定终端接入方式、网络地址范围等条件限制终端登录，可以极大地节省系统资源，保证了

?????系统的可用性，同时也提高了系统的安全性。

??? Windows系统可以通过主机防火墙或TCP/IP筛选来实现以上功能，在linux系统中存在

??? /etc/hosts.allow和/etc/hosts.deny两个文件，它们是tcpd服务器的配置文件，tcpd服务器可以控

????制外部IP对本机服务的访问。其中/etc/hosts.allow控制可以访问本机的IP,/etc/hosts.deny控制

????禁止访问本机的IP，如果两个文件的配置有冲突，以/etc/hosts.deny为准。

2?）若是通过远程终端进行连接windows服务器系统，可以通过设置超时连接来限制终端操作超时；

????若是本地登录，则通过开启带有密码功能屏幕保护。

3?）如磁盘空间不足、CPU利用率过高、硬件发生故障等，通过报警机制，将问题现象发送给相关负责人，

???及时定位引起问题的原因和对异常情况进行处理，从而避免故障的发生或将影响减小到最低。

数据库

Sql查看是否设置了超时时间:在查询分析器中执行命令sp-configure'remote login timeout(s)'

??Oracle查看空闲超时设置：select limit from? dba-profiles?where? profile=“DEFAULT” and?

? resource-name="IDLE-TIME"(值为unlimited表示没有限制)

??确定用户使用的profile，针对指定用户的profile，查看其限制（以defaut为例）：

? select username，profile from dba-users

??查看是否对每个用户所允许的并行会话数进行了限制：selectlimit from? dba-profiles? where

? profile=“DEFAULT”and??resource-name="SESSION-PER-USERS"(值为unlimited表示没有限制)

??查看是否对一个会话可以使用的CPU时间进行了限制：selectlimit from? dba-profiles? where?

? profile=“DEFAULT”and??resource-name="CPU-PER-SESSION"(值为unlimited表示没有限制)

?查看是否对允许空闲会话的时间进行了限制：selectlimit from? dba-profiles? where?profile=“DEFAULT”and??resource-name="IDLE-TIME"(值为unlimited表示没有限制)

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

第三章??应用安全

3.1?身份鉴别（S3）

a)???应提供专用的登录控制模块对登录用户进行身份标识和鉴别；

b)???应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；

c)???应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；

d)???应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

e)???应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

?

3.2?访问控制（S3）

a)???应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；

b)???访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；

c)???应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；

d)???应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

e)???应具有对重要信息资源设置敏感标记的功能；

f)???应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；

?

3.3?安全审计（G3）

a)???应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；

b)???应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；(1)

c)???审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；

d)???应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

注释：

1 )应用系统应对审计进程或功能进行保护，如果处理审计的事务是一个单独的进程，那么应用系统对审

??计进程进行保护，不允许非授权用户对进程进行中断；如果审计是一个独立的功能，则应用系统应防

?止非授权用户关闭审计功能。应用系统应对审计记录进行保护，防止非授权删除、修改或覆盖审计记录。

?

3.4?剩余信息保护（S3）

a)???应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；

b)???应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。

注释：

1?）有的应用系统将用户的鉴别信息放在内存中进行处理，处理完成后没有及时将其清除，这样其他的

????用户通过一些非正常手段就有可能获取该用户的鉴别信息。

2?）有的应用系统在使用过程中可能会产生一些临时文件，这些临时文件中可能会记录一些敏感信息，

??当将这些资源分配给其他用户是我，其他用户就可能获取到这些敏感信息。

?

3.5?通信完整性（S3）

应采用密码技术保证通信过程中数据的完整性。

注释：

为了防止数据在传输时被修改或破坏，应用系统必须确保通信过程中的数据完整性，通信双方利用密码算法，来保证数据的完整性。

?

3.6?通信保密性（S3）

a)???在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；

b)???应对通信过程中的整个报文或会话过程进行加密。

?

3.7?抗抵赖（G3）

a)???应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；

b)???应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

?

3.8?软件容错（A3）

a)???应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；

b)???应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

?

3.9资源控制（A3）

a)???当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；

b)???应能够对系统的最大并发会话连接数进行限制；

c)???应能够对单个帐户的多重并发会话进行限制；

d)???应能够对一个时间段内可能的并发会话连接数进行限制；

e)???应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；

f)???应能够对系统服务水平降低到预先规定的最小值进行检测和报警；

g)???应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

?

?

?

?

?

?

第四章数据安全

4.1数据完整性（S3）

a)???应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；（重传或其他方式）

b)???应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

?

4.2数据保密性（S3）

a)???应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；

b)???应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。

?

4.3备份和恢复（A3）

a)???应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；

b)???应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；

c)???应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；

d)???应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

注释：

??1?）对数据进行备份，是防止数据遭到破坏后无法使用的最好方法。通过对数据采取不同的备份方式和

?????形式等，保证系统重要数据在发生破坏后能够被恢复。

? 2?）对于配置文件、应用程序这类数据一般变化较小，一般是在其发生变化时才进行备份。而业务数据

?????由于其具有重要程度高、变化快等特点，它是备份的主题（如每天、每小时等）批量传送至备用场地。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

第五章物理安全

5.1?物理位置的选择（G3）

a)???机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；

b)???机房和办公场地应避免在建筑物的顶层或地下室，以及用水设备的下层或隔壁。

?

5.2物理访问控制（G3）

a)???机房出入口应安排专人值守，控制、鉴别和记录进入的人员；

b)???需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；

c)???应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

d)???重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

注释：

???采取门禁、专人值守、专人陪同、审批登记、区域隔离等必要的措施，对机房的出入及人员进入机房

????后的活动进行管理和控制

?

5.3?防盗窃和防破坏（G3）

a)???应将主要设备放置在机房内；

b)???应将设备或主要部件进行固定，并设置明显的不易除去的标记；

c)???应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；

d)???应对介质分类标识，存储在介质库或档案室中；

e)???应利用光、电等技术设置机房防盗报警系统；

f)???应对机房设置监控报警系统。

注释：

机房安装视频监控和防盗报警系统，设备固定并粘贴标记，存储介质分类安全存放，通信线缆隐蔽铺设

?

5.4?防雷击（G3）

a)???机房建筑应设置避雷装置；

b)???应设置防雷保安器，防止感应雷；

c)???机房应设置交流电源地线。

注释：

机房建筑、机房内部的电源线、信号线及电子设备采取必要的防雷措施

?

5.5?防火（G3）

a)???机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；

b)???机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；

c)???机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。

?

注释：

安装消防设备和采用防火材料装修机房，以及进行区域隔离防火措施

?

5.6防水和防潮（G3）

a)???水管安装，不得穿过机房屋顶和活动地板下；

b)???应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

c)???应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

d)???应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

注释：

正确、合理设计机房内的各种水、蒸汽或气体管道，尽量避开主要设备，配备除湿装置，安装防水检测

装置及时发现水患隐情。

?

5.7防静电（G3）

a)???主要设备应采用必要的接地防静电措施；

b)???机房应采用防静电地板、防静电工作台。

注释：

机房采用防静电地板、防静电工作台、关键设备接地等。如果信息系统位于气候干燥、易产生静电地区，

还应检查是否有静电消除剂或静电消除器等措施。（气候干燥静电极易产生。）

?

5.8?温湿度控制（G3）

配备机房专用空调等温、湿度自动调节装置，保证机房温度和湿度分别在设备运行所允许的范围之内。

注释：

理想的空气湿度范围被定义在40%-70% ；温度20度左右

?

5.9?电力供应（A3）

a)???应在机房供电线路上配置稳压器和过电压防护设备；

b)???应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；

c)???应设置冗余或并行的电力电缆线路为计算机系统供电；

d)???应建立备用供电系统。

注释：

在供电线路或设备上安装稳压器或过电压保护装置，设置冗余或并行的电力电缆线路，为一些关键系统

和设备配备不间断电源（UPS）和备份供电系统。（电力波动对一些精密的电子配件造成严重物理损害，

电力供应的意外中断会造成设备无法正常工作。）

?

5.10电磁防护（S3）

a)???应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；

b)???电源线和通信线缆应隔离铺设，避免互相干扰；

c)???应对关键设备和磁介质实施电磁屏蔽。

注释：

设备外壳接地、电源线和通信线缆隔离铺设、对关键设备和磁介质实施电磁屏蔽。（电磁设备的电磁辐

射不仅会造成设备之间的相互干扰，也可能造成重要数据信息的泄露。一些线路铺设和设计的不合理也

可能会造成电磁耦合与干扰，造成数据传输错误。）

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

第六章 安全管理测评

?

6.1安全管理制度

a)???应制定信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；

b)???应对安全管理活动中的各类管理内容建立安全管理制度；

c)???应对要求管理人员或操作人员执行的日常管理操作建立操作规程；

d)???应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

?

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!