主机安全安全检测报告.doc

发布时间：2022-06-17 发布人：admin 分类：说明书资料大小：1.47M 资料格式：doc 举报版权申诉

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第1页.png

第1页 / 共20页

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第2页.png

第2页 / 共20页

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第3页.png

第3页 / 共20页

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第4页.png

第4页 / 共20页

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第5页.png

第5页 / 共20页

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第6页.png

第6页 / 共20页

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第7页.png

第7页 / 共20页

da82cfba-65ef-4118-984b-be823c3e3cbb.doc.pdf-第8页.png

第8页 / 共20页

文本预览

主机安全检测报告本次安全检测只要包括以下几个方面： 1、身份认证技术； 2、恶意代码防范； 3、安全审计技术； 4、入侵防范技术； 5、访问控制技术；一、身份认证技术身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。在真实世界中，验证一个人的身份主要通过三种方式判定，一是根据你所知道的信息来证明你的身份（what you know），；二是根据你所拥有的东西来证明你的身份(what you have) ，假设某一个东西只有某个人有；三是直接根据你独一无二的身体特征来证明你的身份(who you are)。信息系统中，对用户的身份认证手段也大体可以分为这三种，仅通过一个条件的符合来证明一个人的身份称之为单因子认证，由于仅使用一种条件判断用户的身份容易被仿冒，可以通过组合两种不同条件来证明一个人的身份，称之为双因子认证。身份认证技术从是否使用硬件可以分为软件认证和硬件认证，从认证需要验证的条件来看，可以分为单因子认证和双因子认证。从认证信息来看，可以分为静态认证和动态认证。身份认证技术的发展，经历了从软件认证到硬件认证，从单因子认证到双因子认证，从静态认证到动态认证的过程。常用的身份认证方式 1、用户名/密码方式用户名/密码是最简单也是最常用的身份认证方法，它是基于“what you know”的验证手段。每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。然而实际上，由于许多用户为了防止忘记密码，经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码，或者把密码抄在一个自己认为安全的地方，这都存在着许多安全隐患，极易造成密码泄露。即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式一种是极不安全的身份认证方式。可以说基本上没有任何安全性可言。 2、IC 卡认证 IC 卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据， IC 卡由专门的

厂商通过专门的设备生产，可以认为是不可复制的硬件。IC 卡由合法用户随身携带，登录时必须将 IC 卡插入专用的读卡器读取其中的信息，以验证用户的身份。IC 卡认证是基于“what you have”的手段，通过 IC 卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从 IC 卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。因此，静态验证的方式还是存在根本的安全隐患。 3、生物特征认证生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。生物特征认证基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性。首先，生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成合法用户无法登录的情况。其次，由于研发投入较大和产量较小的原因，生物特征认证系统的成本非常高，目前只适合于一些安全性要求非常高的场合如银行、部队等使用，还无法做到大面积推广。 4、USB Key 认证基于 USB Key 的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key 是一种 USB 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用 USB Key 内置的密码学算法实现对用户身份的认证。基于 USB Key 身份认证系统主要有两种应用模式：一是基于冲击/相应的认证模式，二是基于 PKI 体系的认证模式。 5、动态口令/动态密码动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。动态口令技术采用一次一密的方法，有效地保证了用户身份的安全性。下面以 PASSPOD 系统为例，说明使用动态口令进行身份认证的过程。一个典型的用户认证过程如下： (1)用户接通客户服务器，等候认证提示； (2)运行客户端，输入显示的结果作为此时的登录口令； (3)客户服务器前端接受认证口令，调用认证代理软件包与认证服务器进行通信并等待认证结果； (4)认证服务器根据由用户身份确定的秘密数据计算出认证口令，与用户输入口令比较，并

返回认证结果。 (5)客户服务器根据由认证服务器返回的结果决定用户登录成功与否。未来，身份认证技术将朝着更加安全、易用，多种技术手段相结合的方向发展。动态口令将会成为身份认证技术的发展方向之一，动态口令的易用性也将不断提高。二、恶意代码防范 1.第 3 级安全测评要求对主机的恶意代码现场检查共有 2 项。（1）检查主要服务器系统和重要终端系统，查看是否安装了实时监测与查杀恶意代码的软件产品，查看实时监测与查杀恶意代码的软件产品是否具有支持恶意代码防范的统一管理功能，查看检测与查杀恶意代码软件产品的厂家，版本号和恶意代码库名称。（2）检查网络防恶意代码产品，查看厂家，版本号和恶意代码库名称，查看是否与主机恶意代码产品有不同的恶意代码库。 2.目标查看是否安装了实时监测与查杀恶意代码的软件产品，查看实时监测与查杀恶意代码的软件产品是否具有支持恶意代码防范的统一管理功能，查看检测与查杀恶意代码软件产品的厂家，版本号和恶意代码库名称。 3.检查对象 4.检查环境： PC 机 5.检查方案 A.技术路线 B 检查步骤 1) 在 DOS 环境下查看主机开放的端口，看看是否有异常端口。

2) 打开主机的任务管理器查看进程，查看是否有木马进程，注意一些危险进程常常将自己伪装成系统进程在主机中激活一个木马程序，看看该主机的杀毒软件的实时监控是否能检测出木马程序，开启查毒软件，查杀木马，看看该主机的杀毒软件能否杀掉木马 3)查看该杀毒软件的详细信息，

查看病毒库，恶意代码库是否为最新，查看杀毒软件能否自动更新 6.检查结论植入的木马程序被本机的杀毒软件实时发现并进行了查杀，通过该杀毒软件，可以看到该杀毒软件的详细信息，该杀毒软件符合要求三、安全审计技术 1、安全审计的定义和组成安全审计，本文专指 IT 安全审计，是一套对 IT 系统及其应用进行量化检查与评估的技术和过程。安全审计通过对 IT 系统中相关信息的收集、分析和报告，来判定现有

IT 安全控制的有效性，检查 IT 系统的误用和滥用行为，验证当前安全策略的合规性，获取犯罪和违规的证据，确认必要的记录被文档化，以及检测网络异常和入侵。根据 GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》，安全审计被定义为对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作。信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障信息系统正常运行的目的。同时，信息系统安全审计产品对信息系统各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高信息系统安全管理的效率。对于一款安全审计产品，从产品功能组成上应该包括以下几个部分：（１）信息采集功能：产品能够通过某种技术手段获取需要审计的数据，例如日志，网络数据包等。对于该功能，关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度（细致程度）。如果采用数据包审计技术，网络协议抓包和分析引擎显得尤为重要；如果采用日志审计技术，日志归一化技术则是体现产品专业能力的地方；如果采用宿主代理审计技术，代理程序对宿主的兼容性、影响性是很关键的环节。（２）信息分析功能：是指对于采集上来的信息进行分析、审计。这是审计产品的核心，审计效果好坏直接由此体现出来。在实现信息分析的技术上，简单的技术可以是基于数据库的信息查询和比较；复杂的技术则包括实时关联分析引擎技术，采用基于规则的审计、基于统计的审计、基于时序的审计，以及基于人工智能的审计算法，等等（３）信息存储功能：对于采集到原始信息，以及审计后的信息都要进行保存，备查，并可以作为取证的依据。在该功能的实现上，关键点包括海量信息存储技术、以及审计信息安全保护技术。（４）信息展示功能：包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能，等等。这部分功能是审计效果的最直接体现，审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。（５）产品自身安全性和可审计性功能：审计产品自身必须是安全的，包括要确保审计数据的完整性、机密性和有效性，对审计系统的访问要安全。此外，所有针对审计产品的访问和操作也要记录日志，并且能够被审计。 2、安全审计技术分析当前，随着企业和组织安全防御不断向纵深发展、对加强内部安全的重视、以及内控与合规性要求的不断提升，安全审计技术和产品得到了广泛的应用。一方面，企业和组织对安全的建设思路已经开始从以防外为主的策略，逐步转为以防内为主、内外兼顾的策略，安全审计技术和产品成为安全防御纵深的延伸和安全体系建设中的必要一环，大量地应用于防范内部违规和内部用户行为异常。另一方面，政府、行业对 IT 治理、 IT 内控和 IT 风险管理的日益重视极大地促进了安全审计的发展。目前推出的一些国际、国家、行业的内控和审计相关的法律、法规、标准等，都直接或者间接地对某些行业或企业提出了需要配备安全审计产品的要求。国内的安全审计产品根据被审计对象和审计采用的技术手段两个维度，可以划分为从被审计对象的维度来看，IT 环境的各种 IT 资源都能够成为不同的产品类型。被审计对象，自底向上依次可以包括网络和安全设备、主机和服务器、终端、网络、数据库、应用和业务系统审计，以及 IT 资源的使用者——人。对于审计产品而言，被审计对象也可以看作是被保护对象。据此，可以分为：（１）设备审计（Device Audit）：对网络设备、安全设备等各种设备的操作和行为进行审计；（２）主机审计（Host Audit）：审计针对主机（服务器）的各种操作和行为；

（３）终端审计（Endpoint Audit）：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；（４）网络审计（Network Audit）：对网络中各种访问、操作的审计，例如 telnet 操作、FTP 操作，等等；（５）数据库审计（Database Audit）：对数据库行为和操作、甚至操作的内容进行审计；（６）业务系统审计（Business Behavior Audit）：对业务 IT 支撑系统的操作、行为、内容的审计；（７）用户行为审计（User Behavior Audit）：对企业和组织的人进行审计，包括上网行为审计、运维操作审计。有的审计产品针对上述一种对象进行审计，还有的产品综合上述多种审计对象。 3、从审计采用的技术手段维度来看，为了实现审计目标，通常采用以下几种审计技术手段：（１）基于日志分析的安全审计技术（Log Analysis Based Audit Technology）一种通过采集被审计或被保护对象运行过程中产生的日志，进行汇总、归一化和关联分析，实现安全审计的目标的技术。这种审计技术具有最大的普适性，是最基本、最经济实用的审计方式，能够对最大范围的 IT 资源对象实施审计，并应对大部分的审计需求。在国家等级化保护技术要求中、以及行业内控规范和指引中都明确提及了这种审计方式。该日志审计类产品在市场上也最为常见。（２）基于本机代理的安全审计技术（Host Agent Based Audit Technology）一种通过在被审计或者被保护对象（称为“宿主”）之上运行一个特定的软件代码，获取审计所需的信息，然后将信息发送给审计管理端进行综合分析，实现审计目标的技术。作为这种技术应用的扩展，采用该技术的审计产品通常还具有对宿主的反向控制功能，改变宿主的运行状态，使得其符合既定的安全策略。这种审计技术的审计粒度十分细致，多用于对主机和终端等设备进行审计。目前市场上常见的服务器加固与审计系统、终端安全审计系统都采用这种技术。（３）基于远程代理的安全审计技术（Remote Agent Based Audit Technology）一种通过一个独立的审计代理端对被审计对象或者保护对象（宿主）发出远程的脚本或者指令，获取宿主的审计信息，并提交给审计管理端进行分析，实现安全审计目标的技术。这种方式与基于本机代理的技术最大的区别就在于不需要安装宿主代理，只需要开放远程脚本或者指令的通讯接口及其帐号口令。当然，这种审计技术的审计粒度受限于远程脚本的能力。目前市场上常见的产品有基于漏洞扫描的审计系统、WEB 安全审计系统、或者基线配置审核系统。（４）基于网络协议分析的安全审计技术（Network Protocol Analysis Based Audit Technology）一种通过采集被审计对象或者被保护对象在网络环境下与其他网络节点进行通讯过程中产生的网络通讯报文，进行协议分析（包括应用层协议分析），实现审计目标的技术。由于现在用户基本都实现了网络互联互通，并且该技术对被审计对象的要求较低，对网络环境影响较小，因而得到了广泛的应用，多应用于对 IT 资源的核心基础设施（设备、主机、应用和业务等）和用户行为进行审计。该审计类型根据具体技术原理的不同，又可以分为若干种子类型，包括基于旁路侦听（Sniffer-based）的网络协议分析技术、基于代理（Proxy-based）的网络协议分析技术，等等。目前市场上常见的产品有 NBA（Network Behavior Audit，网络行为审计）类产品、用户上网行为审计类产品，以及某些 WEB 应用防火墙（WAF）。

4、安全审计产品选型过程通过对安全审计技术和产品的分析，我们不难发现，客户为了实现安全审计的目标，首先要将需求进行分解，对应到一组审计对象之上，然后选取最合适的技术手段，从而选定适当的审计产品。这也是审计产品选型的推荐过程。审计对象和审计技术手段已经详细阐述过，这里，审计目标就是 IT 安全审计定义中的目标，包括：判定现有 IT 安全控制的有效性；检查 IT 系统的误用和滥用行为；验证当前安全策略的合规性；获取犯罪和违规的证据；确认必要的记录被文档化；检测网络异常和入侵。针对不同的审计目标，审计需求分解会不一样，进而审计对象和技术的选择也会有所不同。对于不同的审计对象，每种审计手段都各有利弊。日志审计具有最广泛的适用性，能够对各类审计对象进行审计，审计目标能够覆盖国家等级化保护、IT 内控指引和规范的大部分要求，实现大部分客户的大部分审计目标。同时，日志审计的技术实现代价较小，对网络系统影响不大，后期维护代价适中。因而一般建议用户构建安全审计体系首先从日志审计开始。日志审计最主要的缺陷在于有时候无法获得被审计对象的日志信息，从而无法进行后续分析。基于网络协议分析的审计技术多用于对网络、数据库和应用系统，以及用户行为进行审计。该技术具有对被审计对象无影响的特点，但是需要购买专门的审计设备和系统，需要专门的维护。该技术最主要的缺陷在于一般无法审计加密信息，或者为了审计加密信息而不得不改变网络结构，进而增加影响网络性能的风险。此外，在审计用户上网行为的过程中，需要不断地更新应用协议解析库，存在一个被动升级的过程。目前，该技术的变种较多，具体实现技术手段也都各异。基于本机代理的审计技术较为固定，基本上就用于对主机服务器和终端的审计之上。该技术的缺陷就是需要安装代理，需要考虑代理的兼容性和对主机或者终端的自身运行影响性。此外，代理的升级和维护也是一个难点，具有较高的维护代价。一般用于有较高安全需求的场合。基于远程代理的审计技术使用范围也较广，可适用于对关键基础设施的审计，并且对被审计对象基本无影响。但是，该技术实现的审计目标较窄，集中于对审计对象的漏洞审计，以及对审计对象的配置基线进行稽核。审计对象与审计技术实现方式的一般对应关系如下图所示：

分享到：

赞收藏

资料库

主机安全安全检测报告.doc

相关推荐

网络技术

热门标签

最新资料