1、第4章 环境安全中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证主要内容概述机房环境主机安全漏洞管理安全审计取证技术安全测试安全编码4.1 概述概念、范畴、常见安全问题中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证概念环境是承载数据的载体所处的物理的、逻辑的资源。物理环境包括计算资源、计算所在的物理平台、物理网络、基础性支持设施,以及监督和监控系统等;逻辑环境包括处理信息的系统、支撑性系统和平台(如操作系统、数据库系统)、运行于物理平台上的网络系统等。环境安全是指环境对象的安全,包括物理环境安全和逻辑环境安全。12345678中
2、国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证范畴12345678环境安全环境的可用性环境的完整性环境的机密性环境的真实性环境的不可否认性环境的可控性中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证常见安全问题常见的环境安全问题和安全属性的关系表常见问题安全属性可用性完整性机密性真实性不可否认性可控性非法闯入机房 供电系统故障 温湿度超标 电磁辐射严重 机房网络设备瘫痪 核心服务器宕机 计算环境被假冒 计算环境非法访问 计算环境遭受攻击 123456784.2 机房环境中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信
3、息安全保障人员认证基本知识机房是一种物理环境,是计算机系统、网络、存储等载体和环境所处的外部条件,为这些载体提供安全的保障。这里,机房环境不仅包含机房的场所,还包含确保机房安全及维护机房正常运转的配电、照明、供水等各类系统、设备及措施等支撑设施。12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识机房建设的主要内容环境安全供配电系统安全保安系统安全消防安全12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识机房的设计选址空间与面积配电与照明系统空调系统12345678中国信息安全认证中心中国
4、信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识机房的验收机房的安全管理出入管理机房登记审查制度12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识相关规范1)GB50174-2008电子信息系统机房设计规范;2)GB50462-2008电子信息系统机房施工及验收规范;3)CECS 72-97建筑与建筑群综合布线系统工程设计规范;4)GBJ16-87建筑设计防火规范;5)GB50116-98火灾自动报警系统设计规范;6)GB2887-89计算机场地安全要求;7)GB50057-94建筑物防雷设计规范;8)GB50054-95低
5、压配电设计规范;12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例123456784.3 主机安全中国信息安全认证中心中国信息安全
6、认证中心信息安全保障人员认证信息安全保障人员认证基本概念主机,在这里,是一个相对网络的概念,是指连接到互联网上计算机系统,包括了服务器计算机系统和桌面计算机系统。主机是一种计算环境。主机安全是指主机系统作为计算环境的安全,涉及相关软硬件的安全问题,即确保主机系统的可用性、真实性、完整性等安全属性。主机加固是指针对不同目标主机系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。其主要目的是消除与降低主机系统的安全隐患。12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证典型技术主机防护技术主机防火墙技术、主机入侵检测技术、主机监控技
7、术主机加固技术操作系统加固技术、数据库加固技术内部存储器的保护技术沙箱技术12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证应用实例最牛密码?不少于8位?字母+数字+其他字符?密文含义Tree_0f0=sprintf(2_Bird_ff0/a)两个黄鹂鸣翠柳for_$n(RenSheng)_$n+=die人生自古谁无死while(1)Ape1Cry&Ape2Cry两岸猿声啼不住hold?fish:palm鱼和熊掌不可兼得FLZX3000cY4yhx9day飞流直下三千尺,疑似银河下九天12345678中国信息安全认证中心中国信息安全认证中心信息安全
8、保障人员认证信息安全保障人员认证应用实例Windows2003服务器安全加固系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固系统,整体提高服务器的安全性。IIS手工加固:手工加固iis可以有效的提高web站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。123456784.4 漏洞管理中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识漏洞是环境在其生命周期的各个阶段(从设计、到实现、运维等过程),由
9、于与环境相关的硬件、软件的结构、配置和协议存在缺陷,以及环境的管理、信任过程中存在某些问题,从而使得攻击者能够在未授权的情况下实现对系统的访问或破坏。具体指如在硬件芯片中的逻辑错误,程序员在编程中的错误,以及管理员在配置匿名FTP服务时由于配置不当等都可能被攻击者利用。12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识常见的漏洞产生的原因和导致漏洞产生的因素主要包括:系统复杂性设备熟知度基础操作系统的设计缺陷用户的使用与配置错误常见的代码bug针对用户输入的非有效验证漏洞分类:硬件漏洞、操作系统漏洞、数据库系统漏洞、开发平台和工具的漏洞、应
10、用程序漏洞和网络漏洞。12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识漏洞管理漏洞预警、漏洞发现、漏洞风险、修复确认零日攻击漏洞管理技术CVE标准、OVAL评估语言漏洞发现技术漏洞扫描技术渗透测试技术12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证很多Web应用程序都使用数据库来存储信息。SQL命令就是前端Web和后端数据库之间的接口,使得数据可以传递至Web应用程序。http:/www.* len(passwd)from user where username=admin)4.5 安全审计
11、中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识安全审计就是对有关操作系统、系统应用或用户活动所产生的一系列有关安全的活动进行记录、检查及审核。管理员采用审计系统来监控系统的状态和活动,并对日志文件进行分析、及时发现系统中存在的安全问题。12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识安全审计中检查的内容包括审计事件类型;事件安全级;引用事件的用户;报警;指定时间内的事件以及恶意用户表等。12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识安全审计
12、的形式人工审计计算机手动分析处理审计记录并与审计人员最后决策相结合的半自动审计依靠专家系统作出判断结果的自动化的智能审计等12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识审计日志分析技术统计分析Syslog标准与Syslog系统12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识安全审计系统是安全审计的工具,其通过对安全审计日志的分析和处理来对系统的活动进行检查和审核,即进行安全审计。操作系统安全审计系统数据库安全审计系统网络安全审计系统12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证基本知识安全审计的作用对于已经发生的系统破坏行为,提供有效的追踪证据;为系统管理员提供有价值的系统使用日志,便于及时发现系统入侵行为或潜在的系统漏洞;重建事件;评估损失;监测系统的问题区;发现和阻止系统的不正当使用。12345678中国信息安全认证中心中国信息安全认证中心信息安全保障人员认证信息安全保障人员认证谢谢!
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。