信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》
信息安全风险评估脆弱性识别
信息安全风险评估脆弱性识别一、引言信息安全风险评估是企业规划和实施信息安全控制措施的关键步骤之一。
在评估过程中,脆弱性识别是非常重要的环节,旨在发现系统、网络或应用程序中存在的安全漏洞和弱点。
本文将介绍信息安全风险评估中脆弱性识别的重要性,并探讨几种常用的脆弱性识别方法。
二、信息安全风险评估概述信息安全风险评估是为了确定和分析系统、网络或应用程序等各个层面的潜在风险,并为其采取相应的安全控制措施提供依据。
在评估过程中,脆弱性识别是一个非常关键的环节,它可以帮助发现潜在的安全漏洞和弱点,为后续的安全控制工作提供基础。
三、脆弱性识别的重要性脆弱性识别的重要性主要体现在以下几个方面:1. 发现安全漏洞和弱点:脆弱性识别可以通过系统化的方法,主动发现各类安全漏洞和弱点,为企业提供全面的安全风险管理。
2. 避免信息泄露和攻击:通过脆弱性识别,可以及时发现系统、网络或应用程序中的潜在安全漏洞,从而采取相应的补救措施,避免信息泄露和遭受恶意攻击。
3. 保障业务连续性:脆弱性识别可以发现潜在的系统故障和弱点,提前预防潜在的风险,从而保障企业的业务连续性。
四、脆弱性识别方法1. 漏洞扫描:漏洞扫描是一种常用的脆弱性识别方法,通过扫描系统、网络或应用程序的各个层面,发现其中的安全漏洞和弱点。
漏洞扫描工具可以自动化进行,提高效率和准确性。
2. 安全审计:安全审计是通过对系统、网络或应用程序的日志和事件进行审计,发现潜在的安全漏洞和异常活动。
安全审计可以帮助识别系统可能存在的安全风险,从而及时采取措施进行修复。
3. 渗透测试:渗透测试是一种模拟真实攻击的方法,通过测试者模拟黑客攻击的手段和方法,评估系统、网络或应用程序的安全性。
渗透测试可以全面测试系统的安全性,发现隐藏的脆弱性。
五、结论脆弱性识别在信息安全风险评估中具有重要地位和作用。
通过脆弱性识别,可以发现系统或应用程序中的安全漏洞和弱点,为企业的信息安全提供保障。
最新信息技术安全风险及其防范措施评估指标及分值表资料
最新信息技术安全风险及其防范措施评估指标及分值表资料一、背景随着科技的迅速发展,信息技术在各行各业中扮演着至关重要的角色。
然而,随之而来的信息技术安全风险也日益增加,威胁到组织的安全和可持续发展。
因此,评估信息技术安全风险并采取相应的防范措施变得迫在眉睫。
二、评估指标及分值表为了帮助组织进行全面而有效的信息技术安全风险评估,以下是最新的评估指标及其相应的分值表。
这些指标和分值表将帮助组织了解当前风险状况,并采取适当的防范措施。
以上评估指标和分值表仅作为参考,组织可以根据自身情况进行调整和补充。
三、防范措施基于评估结果,组织可以采取以下防范措施来降低信息技术安全风险:1. 加强网络安全措施,包括防火墙、入侵检测系统等;2. 建立完善的数据保护机制,包括数据备份、加密等;3. 采用多因素身份验证,加强用户身份验证和授权;4. 控制远程访问权限,限制外部访问;5. 定期对应用程序进行安全检查和漏洞修复;6. 加强设备和设施的物理安全措施,如监控、访问控制等;7. 组织定期进行员工信息安全培训和提升意识;8. 建立安全审计和实时监测机制,及时发现和应对安全威胁;9. 制定和测试灾难恢复计划,以确保业务连续性。
以上防范措施应根据具体情况进行适度调整和实施,确保信息技术安全风险得到有效控制。
四、结论通过评估指标和分值表以及相应的防范措施,组织能够全面评估和防范信息技术安全风险。
然而,随着技术的不断发展,风险形势也会不断变化,组织需要不断更新和完善安全措施,以保护信息资产的安全。
> 注意:本文档提供的信息仅供参考,具体的信息技术安全防范需要依据组织自身情况和法律要求进行确定。
信息系统安全风险评估单
信息系统安全风险评估单1. 背景介绍信息系统安全风险评估是一项关键任务,用于评估和识别组织信息系统的安全风险。
本评估单旨在帮助组织评估其信息系统面临的潜在风险,并提供相关建议以加强安全措施。
2. 评估目的通过进行信息系统安全风险评估,我们的目标是:- 识别潜在的信息系统安全风险;- 评估当前的安全措施和防护措施的有效性;- 提供建议和措施以加强信息系统的安全性。
3. 评估内容评估内容将涵盖以下方面:1. 系统安全性:评估系统的硬件和软件安全性,包括系统架构和网络架构的安全性。
2. 身份验证和访问控制:评估组织的身份验证和访问控制机制,包括用户帐户管理、权限控制和多因素身份验证等。
3. 数据保护:评估数据保护措施,包括数据备份策略、加密技术和访问控制。
4. 事件响应和恢复:评估组织对安全事件的响应和恢复能力,包括安全事件监控、漏洞管理和灾难恢复计划等。
4. 评估方法我们将采用以下方法进行评估:1. 审查文档:审查相关的信息安全政策、规程和文件,以了解组织的安全要求和实施情况。
2. 面试:与相关人员进行面谈,了解其对信息系统安全的看法和实践。
3. 系统扫描:使用安全工具对信息系统进行扫描,发现潜在的安全漏洞。
4. 风险评估:分析已识别的安全风险,评估其潜在影响和可能性。
5. 风险评估报告根据评估结果,我们将提供一份详细的风险评估报告,报告将包括:1. 风险识别和分类:列出已识别的风险,并根据其严重性和可能性进行分类。
2. 建议和措施:针对每个风险,提供相应的建议和措施,以加强安全控制和减轻风险。
3. 报告结论:总结评估结果,强调需要优先考虑的关键问题和行动。
请注意:本评估单仅用于信息系统安全风险评估,不涉及法律问题和法律建议。
在采取任何措施之前,建议咨询组织内的法律专家。
> 提示:根据具体情况,可以根据评估内容和方法进行适当修改和补充。
信息安全_风险评估_检查流程_操作系统评估检查表_Solaris_free
12
SOLARIS 被审核部门 序 号 审核项目 审核人员 审核步骤/方法 # 缺省$HOME defparent=/export/home # 缺省初始设置文件来源 defskel=/etc/skel # 缺省 shell defshell=/bin/bash # 帐号永不过期 definact=0 defexpire= 检查是否 设置登录 超时 查看/etc/default/login 文件,确认其中存在合理的设置,下 面的举例为 30 秒 TIMEOUT=30 文件系统安全 检 查 root 的搜索路 径 检 查 /tmp 目录的属 执行:echo $PATH 检查 root 的$PATH 环境变量中是否出现当前目录“.” 。 执行:ls -ld /tmp 查看执行结果是否如下: 审核日期
SOLARIS 被审核部门 序 号 审核项目 服务 查看是否 运行 rpc 服 务,如果 有, 都有哪 些 rpc 服务 检查是否 运行 finger 服务 检查是否 允许 R 系 列服务, 是 否作了合 理限制 44 查看是否存在 /etc/rc3.d/S71RPC 或者执行:rpcinfo –p localhost 查看有无输出 同时也需要查看/etc/inetd.conf 查看都有哪些 rpc 服务开启。 审核人员 审核步骤/方法 审核日期
7
8
SOLARIS 被审核部门 序 号 审核项目 对 于 login 进行口令 认证 检查是否 设置了口 令最短长 度要求 检查是否 设置了口 令过期策 略 PASSREQ=YES 审核人员 审核步骤/方法 审核日期
安全审核 陪同人员 审核结果 补充说明 备注
9
执行:more /etc/default/passwd,确认是否有如下设置: # 密码最短长度缺省是 6,安全起见,设置为 8(再长无用) PASSLENGTH=8 执行:more /etc/default/passwd,确认是否有以下设置: # 以天为单位,MAXWEEKS 天后密码失效,缺省为空 MAXWEEKS=xx # 以天为单位,MINWEEKS 天后才可以修改密码,缺省
信息安全风险评估检查流程操作系统安全评估检查表格Linux
没有属主的文件
定位系统中没有属主的文件用下面的命令:
[root@linux]# find / -nouser -o -nogroup
注意:不用管“/dev”目录下的那些文件。
11
异常隐含文件
在系统的每个地方都要查察一下有没有异常隐含文件(点号是初步字符的,用“ls”命令看不到的文件),因为这些文件可能是隐蔽的黑客工具也许其他一些信息(口令破解程序、其他系统的口令文件,等等)。在UNIX下,一个常用的技术就是用一些特其他名,如:“…”、“..”(点点空格)或“..^G”(点点control-G),来隐含文件或目录。
确认存在以下内容
CRONLOG=YES
18
root用户的登陆审察
执行:more /etc/default/login
确认其中存在以下内容:
SYSLOG=YES
19
login行为的记录
查察可否有/var/adm/loginlog文件。
20
syslog.conf配置
主要查察/etc/syslog.conf配置文件中可否设置了loghost,需要提取/etc/syslog.conf文件的所有配置信息。
2、执行:more /etc/login.defs,检查可否存在PASS_MIN_LEN 5或PASS_MIN_LEN 8配置行
6
Root用户的登陆控制台限制
执行:more /etc/securetty
检查所有没有被说明掉的tty,这些控制台root可以直接登陆。
7
重要目录和文件的权限设置
检查以下目录和文件的权限设置情况:
/etc/
/etc/rc.d/init.d/
/tmp
/etc/inetd.conf也许/etc/xinet.d/
gb信息安全风险评估
gb信息安全风险评估
信息安全风险评估是一个组织或企业评估其信息技术系统及其相关数据的安全风险的过程。
对于GB(国家标准)信息安全
风险评估,根据《信息安全风险评估导则》(GB/T 25070-2019),以下是一些评估方面的内容:
1. 评估目标和范围:确定风险评估的目标和具体范围,包括评估系统和数据的边界和范围。
2. 资产鉴定:确定和识别组织的信息资产,包括硬件、软件、网络及相关数据等。
3. 威胁分析:分析和识别系统可能面临的各种威胁,包括内部人员、外部黑客、恶意软件等。
4. 脆弱性分析:评估系统和数据可能存在的脆弱性,并确定恶意攻击者可能利用的安全漏洞。
5. 风险评估:通过对资产、威胁和脆弱性进行综合分析,评估系统的安全风险级别,并确定可能对系统和数据造成的潜在损失和影响。
6. 风险管理:根据评估结果,制定相应的风险管理策略和措施,包括风险的接受、转移、降低和避免等。
7. 监测和评估:建立监测和评估机制,定期对系统的安全风险进行检测和评估,及时发现并处理新的风险。
8. 文档记录:进行详细的风险评估文档记录,包括评估过程、结果、策略和措施等,以便追踪和复查。
需要注意的是,GB信息安全风险评估的具体流程和方法可能会根据实际情况和需要进行调整和改进,上述内容仅为参考。
在实施评估时,建议根据GB/T 25070-2019的要求进行具体操作,并结合组织的实际情况进行适当调整。
信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》
服务器脆弱性识别表格依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。
项目子项内容是否符合备注安全功能身份鉴别a) 按GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能:——凡需进入操作系统的用户,应先进行标识(建立账号);——操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID 等之间的一致性;b) 按GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能:——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别;——鉴别信息应是不可见的,在存储和传输时应按GB/T 20271-2006 中6.3.3.8 的要求,用加密方法进行安全保护;——过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:——将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;——将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。
自主访问控制a) 允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。
b) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体的默认值;c) 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户。
对系统中的每一个客体,都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限,而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予;d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任;e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体;f) 定义访问控制属性,并保护这些属性。
安全脆弱性评估清单
安全脆弱性评估清单
1. 概述
安全脆弱性评估是为了评估系统或应用程序中存在的潜在安全漏洞和弱点,以便及时采取相应的措施加以改进和防范。
本文档提供了一个安全脆弱性评估清单,以帮助用户更好地进行评估和管理系统的安全性。
2. 清单内容
2.1 系统和应用程序配置
- 确保系统和应用程序的最新补丁已经安装。
- 验证系统和应用程序的配置是否满足安全标准。
- 检查系统和应用程序的访问控制措施,包括用户权限和角色分类。
2.2 网络安全
- 核查网络设备的防火墙和入侵检测系统是否正常运行。
- 检测网络流量和日志记录,以识别异常活动或潜在攻击。
- 检查网络设备和应用程序的加密和认证机制。
2.3 密码策略
- 确保使用强密码策略,并定期更改密码。
2.4 数据保护
- 确保敏感数据的存储和传输采取了适当的加密措施。
- 检查数据备份和恢复机制是否可靠有效。
2.5 用户培训和认知
- 进行定期的安全培训,提高用户对安全威胁的认知和应对能力。
- 定期审查用户权限和访问控制策略,确保与员工离职或调动相应地进行调整。
2.6 安全检测和响应
- 部署安全检测工具,及时发现和分析潜在的安全事件。
- 制定有效的安全响应计划,包括事故处理和恢复流程。
3. 结论
本文档提供了一个简单而全面的安全脆弱性评估清单,涵盖了系统和应用程序配置、网络安全、密码策略、数据保护、用户培训
和认知以及安全检测和响应等方面。
使用该清单,用户可以快速评估和改进系统的安全性,并采取相应的防范措施。
信息安全风险评估脆弱性识别路由器脆弱性表格GBT18018
审计---潜在侵害分析
路由器应能监控可审计行为,并指出潜在的侵害。路由器应在检测到可能有安全侵害发生时做出响应,如:通知管理员,向管理员提供一组遏制侵害的或采取矫正的行动。
简单网络管理协议的保护
路由器应支持SNMP V3。路由器可通过设置SNMP Community参数,采用访问控制列表(ACL)保护SNMP访问权限。路由器应支持对SNMP访问的认证功能,能够监测并阻断对管理信息模块(MIB)的非授权访问,能够防范对于SNMP的拒绝服务攻击。SNMP认证失败时,路由器应向陷阱消息接收工作站发送认证失败消息。
c)开发者应提供路由器安全功能的低层设计。低层设计应以模块术语描述安全功能,并描述每一个模块的目的、接口和相互间的关系。低层设计还应描述如何将路由器中有助于增强安全策略的模块分离出来;
身份鉴别---登录历史
路由器应具有登录历史功能,为登录人员提供系统登录活动的有关信息,使登录人员识别入侵的企
图。成功通过鉴别并登录系统后,路由器应显示如下数据:
——日期、时间、来源和上次成功登录系统的情况;
——上次成功登录系统以来身份鉴别失败的情况;
——口令距失效日期的天数。
数据保护
路由器应具有数据完整性功能,对系统中的信息采取有效措施,防止其遭受非授权人员的修改、破坏和删除。
b)与一般的安装和配置有关的功能的管理;
c)路由器的安全配置参数要有初始值。路由器安装后,安全功能应能及时提醒管理员修改配置,并能周期性地提醒管理员维护配置。
审计---审计数据生成
路由器应具有审计功能,至少能够审计以下行为:
信息安全评估表
信息安全评估表一、评估基本信息1. 被评估组织名称2. 评估日期3. 评估目的二、信息资产识别与分类1. 硬件资产(如服务器、计算机、网络设备等)资产描述重要性级别所在位置2. 软件资产(操作系统、应用程序等)资产描述重要性级别当前版本3. 数据资产(客户数据、业务数据等)重要性级别存储方式三、威胁评估1. 外部威胁(黑客攻击、网络钓鱼等)发生可能性潜在影响2. 内部威胁(员工误操作、恶意行为等)发生可能性潜在影响3. 自然灾害威胁(火灾、水灾等)发生可能性潜在影响四、脆弱性评估1. 网络架构脆弱性(拓扑结构、访问控制等)风险级别2. 系统漏洞(操作系统、应用软件漏洞)漏洞详情修复状态3. 人员安全意识薄弱点具体表现改进建议五、安全策略与措施评估1. 访问控制策略(用户认证、权限管理等)策略有效性执行情况2. 数据备份与恢复策略备份频率恢复测试情况3. 安全培训与教育培训内容培训效果六、合规性评估1. 法律法规符合性(如数据保护法等)符合情况差距分析2. 行业标准遵循情况相关标准达标情况七、事件响应计划评估1. 计划的完整性涵盖的事件类型具体步骤2. 演练情况演练频率演练效果八、评估结果总结1. 主要风险点与问题2. 改进建议与优先级九、后续行动计划1. 针对评估结果的具体改进措施2. 责任分配与时间。
02-脆弱性评估
47 80 HEAD / HTTP/1.0
HTTP/1.1 200 OK Date: Fri, 01 Jan 1999 20:06:24 GMT Server: Apache/1.3.19 (Unix) (Red-Hat/Linux) mod_ssl/2.8.1 OpenSSL/0.9.6 DAV/1.0.2 PHP/4.0.4pl1 mod_perl/1.24_01 Content-Location: http://192.168.7.247/Default.htm Last-Modified: Fri, 01 Jan 1999 20:06:24 GMT ETag: W/"e0d362a4c335be1:ae0" Accept-Ranges: bytes Content-Length: 133 Content-Type: text/html
存活性判定
• 常用的传统扫描手段有:
– ICMP Echo扫描 – ICMP Sweep扫描 – Broadcast ICMP扫描 – Non-Echo ICMP扫描
• 规避技术
– 以规避防火墙和入侵检测设备为目的, 利用 ICMP协议提供网络间传送错误信息的功能
• 错误的数据分片 • 错误协议
Generated by Foxit PDF Creator © Foxit Software For evaluation only.
服务识别
• 如何识别服务?
– Banner Grabbing:一般可用于确定服务版本信息 – 指纹(Fingerprint):基本可以精确至小版本号
Generated by Foxit PDF Creator © Foxit Software For evaluation only.
信息安全风险评估项
信息安全风险评估项
在信息安全风险评估中,以下是一些常见的评估项:
1. 威胁评估:评估系统或网络面临的潜在威胁,包括外部攻击、内部威胁、自然灾害等。
2. 脆弱性评估:评估系统的脆弱性,包括软件漏洞、配置错误、访问控制不当等问题。
3. 资产评估:评估组织的信息资产,包括数据、设备、网络等的价值和重要性。
4. 访问控制评估:评估系统的访问控制措施,包括密码策略、用户权限管理、身份认证等。
5. 安全意识评估:评估组织员工的安全意识水平,包括对安全政策的理解和遵守程度。
6. 备份和恢复评估:评估系统的备份和恢复机制,包括备份策略、存储介质、恢复测试等。
7. 物理安全评估:评估物理环境的安全措施,包括门禁、监控、灭火等。
8. 应急响应评估:评估组织的应急响应计划和能力,包括演练、警报系统、通信渠道等。
9. 合规性评估:评估组织的合规性,如符合法规、行业标准和组织内部政策等。
10. 外包评估:评估外包服务提供商的安全措施和服务水平,保证其满足组织的安全需求。
以上仅列举了一些常见的信息安全风险评估项,具体的评估内容还需根据组织的实际情况和需求来确定。
信息系统脆弱性评估
信息系统脆弱性评估
信息、系统:计算机硬件网络通讯设备软件信息资源用户和规章条例
脆弱性评估标准:
(1)物理环境脆弱性识别:GB/T9361 -2000标准
⑵操作系统与数据库:GB17895-1999
(3)网络/主机/应用:GB/T18336-2008
信息系统脆弱性评估
⑴脆弱性识别方法:问卷调查,工具检测,人工核查,文档查阅
⑵技术脆弱性:物理安全,网络结构,系统软件,应用系统
脆弱性评估模型
第一步: 系统脆弱性识别内容
第二步: 是否需要进行工具检测
第三步: a)漏洞检测(Y)脆弱性赋值
b)标准检测(N)专家评分
第四步: AHP评估
第五步: 脆弱性评估结果和安全建议信息系统脆弱性评估使用工具
X-SCAN:
Nmap:。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
d)对操作系统中处理的数据,应按回退的要求设计相应的SSOOS安全功能模块,进行异常情况
的操作序列回退,以确保用户数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。
用户数据保密性
a)应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括:
——鉴别信息应是不可见的,在存储和传输时应按GB/T 20271-2006中6.3.3.8的要求,用加密方法进行安全保护;
——过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
c)对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:
实现对SSF出现失败时的处理。系统因故障或其它原因中断后,应有一种机制去恢复系统。
系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用,各种安全
功能全部失效;
n)操作系统环境应控制和审计系统控制台的使用情况;
o)补丁的发布、管理和使用:补丁是对操作系统安全漏洞进行修补的程序的总称。操作系统的
服务器脆弱性识别表格
依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。
项目
子项
内容
是否符合
备注
安全功能
身份鉴别
a)按GB/T 20271-2006中6.3.3.1.1和以下要求设计和实现用户标识功能:
——凡需进入操作系统的用户,应先进行标识(建立账号);
理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件,这个机制的使用者应是有限的授权用户;
f)每个事件的数据记录,应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份标识和鉴别事件,应记录请求的源(如末端号或网络地址);对于创建和删除客体的事件,应记录客体的名字和客体的安全属性;
资源利用
a)应通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行,如系统应
检测和报告系统的服务水平已降低到预先规定的最小值;
b)应采取适当的策略,有限服务优先级提供主体使用TSC内某个资源子集的优先级,进行SSOOS
资源的管理和分配;
c)应按资源分配中最大限额的要求,进行SSOOS资源的管理和分配,要求配额机制确保用户和主体将不会独占某种受控的资源;
d)提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,
应对用户和管理员的安全策略属性应进行定义;
e)应区分普通操作模式和系统维护模式;
f)应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统内维护
模式交互。从而保证在普通用户访问系统之前,系统能以一个安全的方式进行安装和配置;
——自动检查文件与磁盘表面是否完好;
——将磁盘表面的问题自动记录下来;
——随时检查、诊断和修复磁盘上的错误;
——修复扇区交错和扇区流失;
——将数据移到好的扇区;
——可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复;
c)在操作系统内部传输的用户数据,如进程间的通信,应提供保证用户数据完整性的功能。完
c)运行于网络环境的分布式操作系统,应统一实现强制访问控制功能;
d)运行于网络环境的多台计算机系统上的网络操作系统,在需要进行统一管理时,应考虑各台计算机操作系统的主、客体安全属性设置的一致性,并实现跨网络的SSOOS间用户数据保密性和完整性保护
数据流控制
对于以数据流方式实现数据交换的操作系统,一般应按GB/T 20271-2006中6.3.3.6的要求,设计
强访问控制
a)由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信
息,并将系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和系统审计员来承担,按职能分割原则分别授予它们各自为完成自己所承担任务所需的权限,并形成相互制约关系;
b)强制访问控制应与用户身份鉴别、标记等安全功能密切配合,使系统对用户的安全控制包含从用户进入系统到退出系统的全过程,对客体的控制范围涉及操作系统内部的存储、处理和传输过程;
——操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID等之间的一致性;
b)按GB/T 20271-2006中6.3.3.1.2和以下要求设计和实现用户鉴别功能:
——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别;
改或替换系统提供的实用程序;
j)操作环境应为用户提供一个机制,来控制命令的目录/路径的查找顺序;
k)提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动执行;
l)为操作系统安全管理人员提供一种机制,来产生安全参数值的详细报告;
m)在SSOOS失败或中断后,应确保其以最小的损害得到恢复。并按失败保护中所描述的内容,
——将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;
——将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。
自主访问控制
a)允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。
b)设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体的默认值;
一般应按GB/T 20271-2006中6.3.4.1的要求,实现SSF的物理安全保护,通过对物理攻击的检查
和自动报告,及时发现以物理方式的攻击对SSF造成的威胁和破坏。
SSF运行安全保护
a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口;
用户数据完整性
a)应为操作系统SSOOS安全功能控制范围内的主体和客体设置完整性标签(IL),并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性;
b)在对数据进行访问操作时,检查存储在存储介质上的用户数据是否出现完整性错误,并在检测到完整性错误时进行恢复。可通过密码支持系统所提供的完整性功能,对加密存储的数据进行完整性保护。操作系统对磁盘设备中存储的数据,可通过增加磁盘扫描程序实现以下功能:
b)安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构;
c)操作系统程序与用户程序要进行隔离。一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间,两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应允许进程对所有的虚存空间进行读、写操作;
——确保非授权用户不能查找使用后返还系统的记录介质中的信息内容;
——确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容;
b)在单用户系统中,存储器保护应防止用户进程影响系统的运行;
c)在多用户系统中,存储器保护应保证系统内各个用户之间互不干扰;
d)存储器保护应包括:
——对存储单元的地址的保护,使非法用户不能访问那些受到保护的存储单元;
d)系统应确保在被授权的主体发出请求时,资源能被访问和利用;
e)当系统资源的服务水平降低到预先规定的最小值时,应能检测和发出报告;
f)系统应提供维护状态中运行的能力,在维护状态下各种安全性能全部失效,系统只允许由系统管理员使用;
g)系统应以每个用户或每个用户组为基础,提供一种机制,控制他们对磁盘的消耗和对CPU的使用;
标记
a)采用标记的方法为操作系统SSOOS安全功能控制范围内的主体和客体设置敏感标记。这些敏
感标记构成多级安全模型的的属性库。操作系统主、客体的敏感标记应以默认方式生成或由
安全员进行建立、维护和管理;
b)当信息从SSOOS控制范围之内向SSOOS控制范围之外输出时,可带有或不带有敏感标记;当
信息从SSOOS控制范围之外向SSOOS控制范围之内输入时,应通过标记标明其敏感标记。
g)应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件,并在系统工作时处于默认状态;该机制的使用应受到系统管理员的授权限制,系统管理员应能够选择一个或多个基于身份鉴别或客体属性的用户的审计活动;审计工具应能够授权个人监察和浏览审计数据,同时数据应得到授权的使用、修改和删除;应提供对审计跟踪管理功能的保护,使之可以完成审计跟踪的创建、破坏、腾空和存档;系统管理员应能够定义超过审计跟踪极限的阈值;当存储空间被耗尽时,应能按管理员的指定决定采取的措施,包括:报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。
功的或不成功的访问,使用户对自己的行为承担明确的责任;
e)客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控
制权,但是,不允许客体拥有者把并保护这些属性。主体的访问控制属性至少应有:读、写、执行等;客
体的访问控制属性应包含可分配给主体的读、写和执行等权限;
g)对备份或不影响SSOOS的常规的系统维护,不要求所有的系统维护都在维护模式中执行;
h)当操作系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、根目
录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制;
i)执行系统所提供的实用程序,应(默认地)限定于对系统的有效使用,只允许系统管理员修
开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时获取、统一管理并及时运
用补丁对操作系统的漏洞进行修补。