等级保护测评师初级技术考试资料
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全审计
SQL的检查方法
1、在“企业管理器=》右键单击注册名称=》单击:“属性”=》安全性,查看每个注册的“审核级别”是否为“全部”
2、询问数据库管理员,是否采取第三方工具或其他措施增强SQL Server的日志功能。
3、用不同的用户登录数据库系统并进行不同的操作,在SQL SERVER数据库中查看日志记录。
ORACLE的检查方法
Select value from v$parameter where name='audit_trail'
Show parmeter audit_trail查看是否开启审计功能
Show parameter audit audit_sys_operations查看是否对所有sys用户的操作进行了记录
Select sel,uqd,del,ins from dba_obj_audit_opts,查看是否对sel,upd,del,ins操作进行了审计Select*from dba_stmt_audit_opts,查看审计是否设置成功
Select*from dba_priv_audit_opts查看权限审计选项
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
用户可以通过alter system set audit_trail=none并重启实例关闭审计功能,查看是否成功
Sp_config'remote login timeout(s);,查看是否设置了超时时间
查看空闲超时设置,select limit from dba_profiles where profile='DEFAULT and resource_name='IDLE_TIME'.
应限制单个用户对系统资源的最大或最小使用限度。
ORACLE的检查方法
Select username,profile from dba_users确定用户使用的profile,针对指定用户的profile,查看其限制(以default为例)。
Select limit from dba_profiles where profile='DEFAULT'and resource_name='CPU_PER_USER',查看是否对每个用户所允许的并行会话数进行了限制。Select limit from dba_profiles where profile='DEFAULT'and resource_name='CPU_PER_SESSION',查看是否对一个会话可以使用的CPU时间进行了限制。
Select limit from dba_profiles where profile='DEFAULT'and resource_name='CPU_PER_IDLE_TIME',查看是否对允许空闲会话的时间进行了限制。
备份与恢复应用和数据库
应提供数据本地备份与恢复功能,完全数据备份至少每天一次备份介质场外存储
考试要点
1.应用系统的特点
a测评范围较广
和数据库、操作系统等成熟产品不同,应用系统现场测评除检查安全配置外,还需验证其安全功能是
否正确
b测评中不确定因素较多,测评较为困难
需根据业务和数据流程确定测评重点和范围
应用系统安全漏洞发现困难,很难消除代码级的安全隐患
c测评结果分析较为困难
应用系统与平台软件,如Web平台、操作系统、数据库系统、网络等都存在关联关系
2.应用系统的测评方法
a通过访谈,了解安全措施的实施情况
和其他成熟产品不同,应用系统只有在充分了解其部署情况和业务流程后,才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁,有针对性的进行测评
b通过检查,查看其是否进行了正确的配置
有的安全功能(如口令长度限制、错误登录尝试次数等)需要在应用系统上进行配置,则查看其是否进行了正确的配置,与安全策略是否一致。
无需进行配置的,则应查看其部署情况是否与访谈一致。
c如果条件允许,需进行测试
可通过测试验证安全功能是否正确,配置是否生效。
代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试,如果条件允许,则可进行代码白盒测试。
3.应用系统难理解的地方
4.应用系统如何测评
a身份鉴别
应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
条款理解
三级或三级以上系统要求必须提供两种(两次口令鉴别不属于两种鉴别技术)或两种以上组合的鉴别技术进行身份鉴别,在身份鉴别强度上有了更大的提高。
检查方法
询问系统管理员,了解身份鉴别措施的部署和实施情况。
根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,验证功能(包括应用口令暴力破解等测试手段)是否正确。
b访问控制
要求项
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
应具有对重要信息资源设置敏感标记的功能;
应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
条款理解
三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(如三权分离,管理、审计和操作权限),并利用敏感标记控制用户对重要信息资源的操作。
检查方法