主机安全是什么意思？

主机安全具体是指保证主机在数据存储和处理的保密性、完整性，可用性，它包括硬件、固件、系统软件的自身安全，以及一系列附加的安全技术和安全管理措施，从而建立一个完整的主机安全保护环境。

为什么要进行主机安全测评？

因为服务器主机一旦被黑客入侵，企业面临以下安全风险：

业务被中断：数据库、文件被篡改或删除，导致服务无法访问，系统瘫痪。

数据被窃取：黑客窃取企业数据后公开售卖，客户隐私数据被泄漏，造成企业品牌受损和客户流失。

被加密勒索：黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密，对企业进行金钱勒索。

服务器不稳定：黑客在服务器中运行挖矿程序，并通过 DDoS 木马程序获取经济利益，消耗大量的系统资源，导致服务器不能提供正常服务。

使用主机安全测评后可以有效预防以上问题，保障企业主机安全。

主机安全测评内容

主机安全旨在保证主机在数据存储和处理的保密性、完整性、可用性，它是保证信息系统安全的基础，直接影响信息系统的整体安全。

主机安全测评主要包括以下9个方面。

1）身份鉴别：从身份鉴别方式、口令复杂度、鉴别信息传输机密性、登录失败处理措施等方面对主机安全性进行测评。

2）安全标记：对主体和客体的敏感标记设置情况进行测评。

3）访问控制：从访问控制主客体、访问控制策略、访问控制粒度等方面对主机安全性进行测评。

4）可信路径：对系统与用户之间信息传输路径的安全性进行测评。

5）安全审计：从审计的策略、范围、内容、记录、进程保护、日志保护等方面对主机安全性进行测评。

6）剩余信息保护：主要对鉴别信息、系统文件、目录和数据库记录等客体存储空间的剩余信息保护情况进行测评。

7）入侵防范：主要对主机的入侵防范措施、系统补丁更新等情况进行测评。

8）恶意代码防范：主要对主机的恶意代码防护措施进行测评。

9）资源控制：主要对系统资源监控情况进行测评。

主机安全测评方式

主机安全测评主要包括访谈、现场检查和测试3种方式。

（1）访谈

访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。主机安全访谈主要由测评人员与被测评主机的系统管理员、安全管理员、安全审计员、主机使用人员等针对主机测评所要求的访谈内容进行询问和调查，并根据访谈收集的信息进行主机安全性的分析判断。

（2）检查

检查是指测评人员通过测评对象（如制度文档、各类设备、安全配置）进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。主机安全现场检查主要是基于访谈调研情况，依据主机安全现场检查表单和作业指导书，对信息系统中的主机安全状况进行实地核查。其中，主要包括2个方面：一是对所提供的主机安全相关技术文档资料进行检查分析；二是针对主机安全配置要求，登录各个相关主机，运用主机操作指令和工具进行安全现状数据的提取和分析。对于大型业务系统而言，由于主机数量繁多，实际执行时由于时间和人力投入有限，可采用抽查的方式进行现场检查。

（3）测试

测试是指测评人员使用预定的方法/工具使测评对象（各类设备或安全配置）产生特定的结果，以将运行结果与预期的结果进行比对的过程。主机安全测试主要包括主机漏洞扫描、主机安全基线检测和主机渗透测试等3种方式。主机漏洞扫描主要针对被测评的主机实现操作系统脆弱性扫描，重要文件、目录脆弱性扫描，浏览器脆弱性扫描，Web服务脆弱性扫描，其他通用服务脆弱性扫描，用户、组、注册表脆弱性扫描，文件共享脆弱性扫描，数据库脆弱性扫描等安全测试工作；主机安全基线检测主要对被测评的主机进行安全配置检查，检查主机操作系统、数据库、虚拟化软件等是否符合用户的安全基线要求；主机渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术，对被测评的主机做深入的安全探测，以发现主机所存在的安全问题。

主机安全测评工具

开展主机安全测评的工具主要有以下5个类型。

（1）主机自身提供的检测工具

包括系统命令、系统自带工具等，如ping、netstat、route、ps等命令，Windows操作系统的管理、任务管理器等工具。这一类检测工具能够协助测评人员对系统配置、系统状态、系统性能、系统用户行为等信息进行有效收集。

（2）端口扫描工具

用来检测主机开放了哪些对外端口以及端口对应的服务，一般端口扫描器还具有主机状态扫描功能。典型的端口扫描工具包括Nmap、Super Scan等。可以代替使用系统自带的命令对系统开放端口/服务的检查，也可以检查经过安全设备或软件保护后的主机对外端口。端口扫描类型主要是TCP端口扫描，为躲避安全设备对扫描工具的拦截和监控，扫描工具开发者还设计了秘密扫描、慢速扫描、乱序扫描等端口扫描技术。

（3）漏洞扫描工具

通过端口扫描得知目标主机开启的端口以及对应的服务后，利用漏洞扫描工具进行进一步的探测，包括主机系统的版本号、系统信息、系统文件、应用配置信息等，将这些信息与漏洞扫描工具提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。常见的漏洞扫描工具均包含了端口扫描工具，同时也包含了大量已有主机漏洞的检查策略。

（4）渗透测试工具

提供用于针对主机开展渗透性测试工作的工具包，包括字典攻击、暴力破解、缓冲区溢出、脚本注入、拒绝服务、木马植入等攻击工具，通过模拟黑客的攻击手法，以入侵者的思维与技术，模拟可能被利用的漏洞途径，发现隐藏的安全隐患，验证主机漏洞是否真实存在。

（5）主机安全配置核查工具

对系统各类安全策略的配置情况进行自动检查，包括日志策略、审计策略、用户身份鉴别策略、访问控制策略、数据备份策略、应用服务开启配置等，使用工具代替人工记录各类系统检查命令的执行结果，并对结果进行自动分析，如安全配置核查系统（BVS）。