如何使用主机测评工具保障服务器主机安全?
主机安全是什么意思?
主机安全具体是指保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。
为什么要进行主机安全测评?
因为服务器主机一旦被黑客入侵,企业面临以下安全风险:
业务被中断:数据库、文件被篡改或删除,导致服务无法访问,系统瘫痪。
数据被窃取:黑客窃取企业数据后公开售卖,客户隐私数据被泄漏,造成企业品牌受损和客户流失。
被加密勒索:黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密,对企业进行金钱勒索。
服务器不稳定:黑客在服务器中运行挖矿程序,并通过 DDoS 木马程序获取经济利益,消耗大量的系统资源,导致服务器不能提供正常服务。
使用主机安全测评后可以有效预防以上问题,保障企业主机安全。
主机安全测评内容
主机安全旨在保证主机在数据存储和处理的保密性、完整性、可用性,它是保证信息系统安全的基础,直接影响信息系统的整体安全。
主机安全测评主要包括以下9个方面。
1)身份鉴别:从身份鉴别方式、口令复杂度、鉴别信息传输机密性、登录失败处理措施等方面对主机安全性进行测评。
2)安全标记:对主体和客体的敏感标记设置情况进行测评。
3)访问控制:从访问控制主客体、访问控制策略、访问控制粒度等方面对主机安全性进行测评。
4)可信路径:对系统与用户之间信息传输路径的安全性进行测评。
5)安全审计:从审计的策略、范围、内容、记录、进程保护、日志保护等方面对主机安全性进行测评。
6)剩余信息保护:主要对鉴别信息、系统文件、目录和数据库记录等客体存储空间的剩余信息保护情况进行测评。
7)入侵防范:主要对主机的入侵防范措施、系统补丁更新等情况进行测评。
8)恶意代码防范:主要对主机的恶意代码防护措施进行测评。
9)资源控制:主要对系统资源监控情况进行测评。
主机安全测评方式
主机安全测评主要包括访谈、现场检查和测试3种方式。
(1)访谈
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。主机安全访谈主要由测评人员与被测评主机的系统管理员、安全管理员、安全审计员、主机使用人员等针对主机测评所要求的访谈内容进行询问和调查,并根据访谈收集的信息进行主机安全性的分析判断。
(2)检查
检查是指测评人员通过测评对象(如制度文档、各类设备、安全配置)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。主机安全现场检查主要是基于访谈调研情况,依据主机安全现场检查表单和作业指导书,对信息系统中的主机安全状况进行实地核查。其中,主要包括2个方面:一是对所提供的主机安全相关技术文档资料进行检查分析;二是针对主机安全配置要求,登录各个相关主机,运用主机操作指令和工具进行安全现状数据的提取和分析。对于大型业务系统而言,由于主机数量繁多,实际执行时由于时间和人力投入有限,可采用抽查的方式进行现场检查。
(3)测试
测试是指测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,以将运行结果与预期的结果进行比对的过程。主机安全测试主要包括主机漏洞扫描、主机安全基线检测和主机渗透测试等3种方式。主机漏洞扫描主要针对被测评的主机实现操作系统脆弱性扫描,重要文件、目录脆弱性扫描,浏览器脆弱性扫描,Web服务脆弱性扫描,其他通用服务脆弱性扫描,用户、组、注册表脆弱性扫描,文件共享脆弱性扫描,数据库脆弱性扫描等安全测试工作;主机安全基线检测主要对被测评的主机进行安全配置检查,检查主机操作系统、数据库、虚拟化软件等是否符合用户的安全基线要求;主机渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术,对被测评的主机做深入的安全探测,以发现主机所存在的安全问题。
主机安全测评工具
开展主机安全测评的工具主要有以下5个类型。
(1)主机自身提供的检测工具
包括系统命令、系统自带工具等,如ping、netstat、route、ps等命令,Windows操作系统的管理、任务管理器等工具。这一类检测工具能够协助测评人员对系统配置、系统状态、系统性能、系统用户行为等信息进行有效收集。
(2)端口扫描工具
用来检测主机开放了哪些对外端口以及端口对应的服务,一般端口扫描器还具有主机状态扫描功能。典型的端口扫描工具包括Nmap、Super Scan等。可以代替使用系统自带的命令对系统开放端口/服务的检查,也可以检查经过安全设备或软件保护后的主机对外端口。端口扫描类型主要是TCP端口扫描,为躲避安全设备对扫描工具的拦截和监控,扫描工具开发者还设计了秘密扫描、慢速扫描、乱序扫描等端口扫描技术。
(3)漏洞扫描工具
通过端口扫描得知目标主机开启的端口以及对应的服务后,利用漏洞扫描工具进行进一步的探测,包括主机系统的版本号、系统信息、系统文件、应用配置信息等,将这些信息与漏洞扫描工具提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。常见的漏洞扫描工具均包含了端口扫描工具,同时也包含了大量已有主机漏洞的检查策略。
(4)渗透测试工具
提供用于针对主机开展渗透性测试工作的工具包,包括字典攻击、暴力破解、缓冲区溢出、脚本注入、拒绝服务、木马植入等攻击工具,通过模拟黑客的攻击手法,以入侵者的思维与技术,模拟可能被利用的漏洞途径,发现隐藏的安全隐患,验证主机漏洞是否真实存在。
(5)主机安全配置核查工具
对系统各类安全策略的配置情况进行自动检查,包括日志策略、审计策略、用户身份鉴别策略、访问控制策略、数据备份策略、应用服务开启配置等,使用工具代替人工记录各类系统检查命令的执行结果,并对结果进行自动分析,如安全配置核查系统(BVS)。
本文由主机测评网发布,不代表主机测评网立场,转载联系作者并注明出处:https://zhuji.jb51.net/ceping/8397.html