主机安全安全检测报告

主机安全检测报告
AchatesRay
本次安全检测只要包括以下几个方面：
1、身份认证技术；
2、恶意代码防范；
3、安全审计技术；
4、入侵防范技术；
5、访问控制技术；
一、身份认证技术
身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。

计算机系统和计算机网络是一个虚拟的数字世界。

在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。

如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。

身份认证技术的诞生就是为了解决这个问题。

在真实世界中，验证一个人的身份主要通过三种方式判定，一是根据你所知道的信息来证明你的身份（what you know），；二是根据你所拥有的东西来证明你的身份(what you have) ，假设某一个东西只有某个人有；三是直接根据你独一无二的身体特征来证明你的身份(who you are)。

信息系统中，对用户的身份认证手段也大体可以分为这三种，仅通过一个条件的符合来证明一个人的身份称之为单因子认证，由于仅使用一种条件判断用户的身份容易被仿冒，可以通过组合两种不同条件来证明一个人的身份，称之为双因子认证。

身份认证技术从是否使用硬件可以分为软件认证和硬件认证，从认证需要验证的条件来看，可以分为单因子认证和双因子认证。

从认证信息来看，可以分为静态认证和动态认证。

身份认证技术的发展，经历了从软件认证到硬件认证，从单因子认证到双因子认证，从静态认证到动态认证的过程。

常用的身份认证方式
1、用户名/密码方式
用户名/密码是最简单也是最常用的身份认证方法，它是基于“what you know”的验证手段。

每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。

然而实际上，由于许多用户为了防止忘记密码，经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码，或者把密码抄在一个自己认为安全的地方，这都存在着许多安全隐患，极易造成密码泄露。

即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易驻留在计算机内存中的木马程序或网络中的监听设备截获。

因此用户名/密码方式一种是极不安全的身份认证方式。

可以说基本上没有任何安全性可言。

2、IC卡认证
IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据， IC卡由专门的
厂商通过专门的设备生产，可以认为是不可复制的硬件。

IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。

IC卡认证是基于“what you have”的手段，通过IC卡硬件不可复制来保证用户身份不会被仿冒。

然而由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。

因此，静态验证的方式还是存在根本的安全隐患。

3、生物特征认证
生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。

常见的有指纹识别、虹膜识别等。

从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。

生物特征认证基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性。

首先，生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成合法用户无法登录的情况。

其次，由于研发投入较大和产量较小的原因，生物特征认证系统的成本非常高，目前只适合于一些安全性要求非常高的场合如银行、部队等使用，还无法做到大面积推广。

4、USB Key认证
基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。

USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。

基于USB Key 身份认证系统主要有两种应用模式：一是基于冲击/相应的认证模式，二是基于PKI体系的认证模式。

5、动态口令/动态密码
动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。

它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。

认证服务器采用相同的算法计算当前的有效密码。

用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。

由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。

而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。

动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。

下面以PASSPOD 系统为例，说明使用动态口令进行身份认证的过程。

一个典型的用户认证过程如下：
(1)用户接通客户服务器，等候认证提示；
(2)运行客户端，输入显示的结果作为此时的登录口令；
(3)客户服务器前端接受认证口令，调用认证代理软件包与认证服务器进行通信并等待认证结果；
(4)认证服务器根据由用户身份确定的秘密数据计算出认证口令，与用户输入口令比较，并
返回认证结果。

(5)客户服务器根据由认证服务器返回的结果决定用户登录成功与否。

未来，身份认证技术将朝着更加安全、易用，多种技术手段相结合的方向发展。

动态口令将会成为身份认证技术的发展方向之一，动态口令的易用性也将不断提高。

二、恶意代码防范
1.第3级安全测评要求对主机的恶意代码现场检查共有2项。

（1）检查主要服务器系统和重要终端系统，查看是否安装了实时监测与查杀恶意代码的软件产品，查看实时监测与查杀恶意代码的软件产品是否具有支持恶意代码防范的统一管理功能，查看检测与查杀恶意代码软件产品的厂家，版本号和恶意代码库名称。

（2）检查网络防恶意代码产品，查看厂家，版本号和恶意代码库名称，查看是否与主机恶意代码产品有不同的恶意代码库。

2.目标
查看是否安装了实时监测与查杀恶意代码的软件产品，查看实时监测与查杀恶意代码的软件产品是否具有支持恶意代码防范的统一管理功能，查看检测与查杀恶意代码软件产品的厂家，版本号和恶意代码库名称。

3.检查对象
4.检查环境：
PC机
5.检查方案
A.技术路线
B检查步骤
1)在DOS环境下查看主机开放的端口，看看是否有异常端口。

2) 打开主机的任务管理器查看进程，
查看是否有木马进程，注意一些危险进程常常将自己伪装成系统进程
在主机中激活一个木马程序，看看该主机的杀毒软件的实时监控是否能检测出木马程序，开启查毒软件，查杀木马，看看该主机的杀毒软件能否杀掉木马
3)查看该杀毒软件的详细信息，
查看病毒库，恶意代码库是否为最新，查看杀毒软件能否自动更新
6.检查结论
植入的木马程序被本机的杀毒软件实时发现并进行了查杀，通过该杀毒软件，可
以看到该杀毒软件的详细信息，该杀毒软件符合要求
三、安全审计技术
1、安全审计的定义和组成
安全审计，本文专指IT安全审计，是一套对IT系统及其应用进行量化检查与评估的技术和过程。

安全审计通过对IT系统中相关信息的收集、分析和报告，来判定现有
IT安全控制的有效性，检查IT系统的误用和滥用行为，验证当前安全策略的合规性，获取犯罪和违规的证据，确认必要的记录被文档化，以及检测网络异常和入侵。

根据GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》，安全审计被定义为对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作。

信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障信息系统正常运行的目的。

同时，信息系统安全审计产品对信息系统各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高信息系统安全管理的效率。

对于一款安全审计产品，从产品功能组成上应该包括以下几个部分：
（１）信息采集功能：产品能够通过某种技术手段获取需要审计的数据，例如日志，网络数据包等。

对于该功能，关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度（细致程度）。

如果采用数据包审计技术，网络协议抓包和分析引擎显得尤为重要；如果采用日志审计技术，日志归一化技术则是体现产品专业能力的地方；如果采用宿主代理审计技术，代理程序对宿主的兼容性、影响性是很关键的环节。

（２）信息分析功能：是指对于采集上来的信息进行分析、审计。

这是审计产品的核心，审计效果好坏直接由此体现出来。

在实现信息分析的技术上，简单的技术可以是基于数据库的信息查询和比较；复杂的技术则包括实时关联分析引擎技术，采用基于规则的审计、基于统计的审计、基于时序的审计，以及基于人工智能的审计算法，等等（３）信息存储功能：对于采集到原始信息，以及审计后的信息都要进行保存，备查，并可以作为取证的依据。

在该功能的实现上，关键点包括海量信息存储技术、以及审计信息安全保护技术。

（４）信息展示功能：包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能，等等。

这部分功能是审计效果的最直接体现，审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。

（５）产品自身安全性和可审计性功能：审计产品自身必须是安全的，包括要确保审计数据的完整性、机密性和有效性，对审计系统的访问要安全。

此外，所有针对审计产品的访问和操作也要记录日志，并且能够被审计。

2、安全审计技术分析
当前，随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升，安全审计技术和产品得到了广泛的应用。

一方面，企业和组织对安全的建设思路已经开始从以防外为主的策略，逐步转为以防内为主、内外兼顾的策略，安全审计技术和产品成为安全防御纵深的延伸和安全体系建设中的必要一环，大量地应用于防范内部违规和内部用户行为异常。

另一方面，政府、行业对IT治理、IT内控和IT风险管理的日益重视极大地促进了安全审计的发展。

目前推出的一些国际、国家、行业的内控和审计相关的法律、法规、标准等，都直接或者间接地对某些行业或企业提出了需要配备安全审计产品的要求。

国内的安全审计产品根据被审计对象和审计采用的技术手段两个维度，可以划分为不同的产品类型。

从被审计对象的维度来看，IT环境的各种IT资源都能够成为被审计对象，自底向上依次可以包括网络和安全设备、主机和服务器、终端、网络、数据库、应用和业务系统审计，以及IT资源的使用者——人。

对于审计产品而言，被审计对象也可以看作是被保护对象。

据此，可以分为：
（１）设备审计（Device Audit）：对网络设备、安全设备等各种设备的操作和行为进行审计；
（２）主机审计（Host Audit）：审计针对主机（服务器）的各种操作和行为；
（３）终端审计（Endpoint Audit）：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；
（４）网络审计（Network Audit）：对网络中各种访问、操作的审计，例如telnet 操作、FTP操作，等等；
（５）数据库审计（Database Audit）：对数据库行为和操作、甚至操作的内容进行审计；
（６）业务系统审计（Business Behavior Audit）：对业务IT支撑系统的操作、行为、内容的审计；
（７）用户行为审计（User Behavior Audit）：对企业和组织的人进行审计，包括上网行为审计、运维操作审计。

有的审计产品针对上述一种对象进行审计，还有的产品综合上述多种审计对象。

3、从审计采用的技术手段维度来看，为了实现审计目标，通常采用以下几种审计技术手段：
（１）基于日志分析的安全审计技术（Log Analysis Based Audit Technology）一种通过采集被审计或被保护对象运行过程中产生的日志，进行汇总、归一化和关联分析，实现安全审计的目标的技术。

这种审计技术具有最大的普适性，是最基本、最经济实用的审计方式，能够对最大范围的IT资源对象实施审计，并应对大部分的审计需求。

在国家等级化保护技术要求中、以及行业内控规范和指引中都明确提及了这种审计方式。

该日志审计类产品在市场上也最为常见。

（２）基于本机代理的安全审计技术（Host Agent Based Audit Technology）一种通过在被审计或者被保护对象（称为“宿主”）之上运行一个特定的软件代码，获取审计所需的信息，然后将信息发送给审计管理端进行综合分析，实现审计目标的技术。

作为这种技术应用的扩展，采用该技术的审计产品通常还具有对宿主的反向控制功能，改变宿主的运行状态，使得其符合既定的安全策略。

这种审计技术的审计粒度十分细致，多用于对主机和终端等设备进行审计。

目前市场上常见的服务器加固与审计系统、终端安全审计系统都采用这种技术。

（３）基于远程代理的安全审计技术（Remote Agent Based Audit Technology）一种通过一个独立的审计代理端对被审计对象或者保护对象（宿主）发出远程的脚本或者指令，获取宿主的审计信息，并提交给审计管理端进行分析，实现安全审计目标的技术。

这种方式与基于本机代理的技术最大的区别就在于不需要安装宿主代理，只需要开放远程脚本或者指令的通讯接口及其帐号口令。

当然，这种审计技术的审计粒度受限于远程脚本的能力。

目前市场上常见的产品有基于漏洞扫描的审计系统、WEB安全审计系统、或者基线配置审核系统。

（４）基于网络协议分析的安全审计技术（Network Protocol Analysis Based Audit Technology）一种通过采集被审计对象或者被保护对象在网络环境下与其他网络节点进行通讯过程中产生的网络通讯报文，进行协议分析（包括应用层协议分析），实现审计目标的技术。

由于现在用户基本都实现了网络互联互通，并且该技术对被审计对象的要求较低，对网络环境影响较小，因而得到了广泛的应用，多应用于对IT资源的核心基础设施（设备、主机、应用和业务等）和用户行为进行审计。

该审计类型根据具体技术原理的不同，又可以分为若干种子类型，包括基于旁路侦听（Sniffer-based）的网络协议分析技术、基于代理（Proxy-based）的网络协议分析技术，等等。

目前市场上常见的产品有NBA（Network Behavior Audit，网络行为审计）类产品、用户上网行为审计类产品，以及某些WEB应用防火墙（WAF）。

4、安全审计产品选型过程
通过对安全审计技术和产品的分析，我们不难发现，客户为了实现安全审计的目标，首先要将需求进行分解，对应到一组审计对象之上，然后选取最合适的技术手段，从而选定适当的审计产品。

这也是审计产品选型的推荐过程。

审计对象和审计技术手段已经详细阐述过，这里，审计目标就是IT安全审计定义中的目标，包括：
判定现有IT安全控制的有效性；
检查IT系统的误用和滥用行为；
验证当前安全策略的合规性；
获取犯罪和违规的证据；
确认必要的记录被文档化；
检测网络异常和入侵。

针对不同的审计目标，审计需求分解会不一样，进而审计对象和技术的选择也会有所不同。

对于不同的审计对象，每种审计手段都各有利弊。

日志审计具有最广泛的适用性，能够对各类审计对象进行审计，审计目标能够覆盖国家等级化保护、IT内控指引和规范的大部分要求，实现大部分客户的大部分审计目标。

同时，日志审计的技术实现代价较小，对网络系统影响不大，后期维护代价适中。

因而一般建议用户构建安全审计体系首先从日志审计开始。

日志审计最主要的缺陷在于有时候无法获得被审计对象的日志信息，从而无法进行后续分析。

基于网络协议分析的审计技术多用于对网络、数据库和应用系统，以及用户行为进行审计。

该技术具有对被审计对象无影响的特点，但是需要购买专门的审计设备和系统，需要专门的维护。

该技术最主要的缺陷在于一般无法审计加密信息，或者为了审计加密信息而不得不改变网络结构，进而增加影响网络性能的风险。

此外，在审计用户上网行为的过程中，需要不断地更新应用协议解析库，存在一个被动升级的过程。

目前，该技术的变种较多，具体实现技术手段也都各异。

基于本机代理的审计技术较为固定，基本上就用于对主机服务器和终端的审计之上。

该技术的缺陷就是需要安装代理，需要考虑代理的兼容性和对主机或者终端的自身运行影响性。

此外，代理的升级和维护也是一个难点，具有较高的维护代价。

一般用于有较高安全需求的场合。

基于远程代理的审计技术使用范围也较广，可适用于对关键基础设施的审计，并且对被审计对象基本无影响。

但是，该技术实现的审计目标较窄，集中于对审计对象的漏洞审计，以及对审计对象的配置基线进行稽核。

审计对象与审计技术实现方式的一般对应关系如下图所示：
图：审计对象与审计技术的一般性对应关系
5、安全审计需要体系化的
审计模型
随着对审计的日益重视，客户部署了越来越多的单一型安全审计产品。

现在，客户已经认识到，要在企业和组织中实现有效的安全审计，依靠某一类安全审计产品往往是不够的。

这些审计系统从各自的角度对特定的信息对象进行审计，虽然专业，但是却增加了运维和审计人员的工作量，同时审计系统之间缺乏必要的信息交换。

客户需要建立一个安全审计的体系，以及一套体系化的安全审计平台。

通过前面安全审计产品选型过程的分析，也可以看出来，每种审计技术和产品都有其适用性，有利有弊，需要根据安全目标进行综合考量。

为此，客户需要一个统一安全审计的架构和模型。

统一安全审计架构应该是一个点面结合的综合审计模型。

面是指统一审计平台和日志审计，是统一安全审计的基础和基本组成，包括用户的统一操作界面。

需要强调的是，日志审计由于其普适性而成为统一安全审计的基础平台的一部分。

点作为面的补充，针对更高安全审计要求的安全域进行有针对性的审计，成为专项审计，并且要无缝的融入到面之中。

典型的点审计（专项审计）有：
（１）针对业务系统安全域的增强性审计：主机和服务器审计、数据库审计、应用和业务审计；
（２）针对网络区域的增强性审计：网络审计、设备审计；
（３）针对办公区域用户上网行为的审计；
（４）针对终端区域操作的审计；
在这个审计模型中，日志审计是核心。

统一安全审计模型如下图所示：
图：统一安全审计模型
在运用统一安全审计模型的时候，客户首先搭建起一个可扩展的安全审计基础平台，并建立起日志审计体系及其审计用户界面。

此时，审计的功能和目标不必太多，重点放在对最广泛的IT资源采集日志，进行基础性审计之上。

由于日志审计能力所限，对于一些重要的安全区域需要采用增强的专项审计机制，例如对网络区域的审计、对办公区域的审计、对业务核心系统区域的审计，等等。

每类专项审计都采用具有专门技术的审计产品，例如基于本机代理的终端安全审计产品，基于网络协议分析的数据库审计产品和用户上网行为审计产品，等等。

每类专项审计产品都必须实现统一安全审计基础平台的互联。

最基本的互联就是各个专项审计产品能够将他们的审计结果以告警或者日志的形式发送给审计基础平台，由基础审计平台上的日志审计模块通过关联分析和告警给客户进行统一的展示，并通过基础平台向各个专项审计产品下发控制指令，由各个专项审计产品执行控制指令，阻断或者抑制违规行为。

案例：网御神州SecFox安全管理与审计解决方案
将安全审计与安全管理平台（SOC）进行整合通过对安全审计进行统一建模，我们可以发现，这个统一安全审计模型与安全管理平台（SOC）架构具备天然的相似性，他们都具有信息的采集、分析、存储和展示等功能组成，他们都强调对全网IT资源进行一体化的监控与审计。

同时，对于已经或者即将建立统一安全管理平台（SOC）的用户而言，为了不增加安全体系的复杂性，需要将安全审计的需求与SOC需求一并进行统筹考虑。

SOC2.0的统一管理模型，如下图所示：。