[z]高可控網(wǎng)絡(luò)安全審計(jì)系統(tǒng)評(píng)估和測(cè)試方法

authen

原文 http://www.teczd.com/forum/viewtopic.php?t=28\r\n\r\n

原帖由 \"TecZm\" 發(fā)表：\n根據(jù)高可控性網(wǎng)絡(luò)需求及實(shí)踐出發(fā)，以技術(shù)為主，不針對(duì)任何廠商和產(chǎn)品。\r\n\r\n1.功能評(píng)估及測(cè)試方法\r\n從功能上講應(yīng)包括以下4大類：\r\n1)計(jì)算機(jī)軟硬件、計(jì)算機(jī)資產(chǎn)審計(jì)和控制\r\n2)遠(yuǎn)程行為審計(jì)和控制\r\n3)重要文件數(shù)據(jù)審計(jì)和控制\r\n4)網(wǎng)絡(luò)審計(jì)和控制\r\n\r\n具體功能應(yīng)包括：\r\n(1)主機(jī)信息審計(jì)功能\r\n(2)資產(chǎn)管理功能\r\n(3)進(jìn)程審計(jì)功能\r\n(4)屏幕審計(jì)和遠(yuǎn)程屏控功能\r\n(5)鍵盤(pán)審計(jì)功能\r\n(6)系統(tǒng)日志審計(jì)功能\r\n(7)盤(pán)符審計(jì)功能\r\n(Cool打印審計(jì)功能\r\n(9)移動(dòng)存儲(chǔ)審計(jì)功能\r\n(10)內(nèi)網(wǎng)防非法外連功能\r\n(11)內(nèi)網(wǎng)防非法接入功能\r\n(12)網(wǎng)絡(luò)審計(jì)功能\r\n(13)離線審計(jì)功能\r\n(14)IP審計(jì)功能\r\n(15)主機(jī)真實(shí)性識(shí)別功能等\r\n\r\n各功能細(xì)化評(píng)估和測(cè)試方法如下：\r\n(1)主機(jī)信息審計(jì)功能\r\n細(xì)化功能：可查看機(jī)器名、IP地址、MAC地址、操作系統(tǒng)版本、當(dāng)前用戶、安裝的軟硬件信息、本地磁盤(pán)基本信息、系統(tǒng)應(yīng)用、安全及開(kāi)關(guān)機(jī)日志、目前運(yùn)行的進(jìn)程，以及各進(jìn)程調(diào)用系統(tǒng)模塊和動(dòng)態(tài)鏈接庫(kù)等信息。\r\n測(cè)試方法:分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試審計(jì)內(nèi)容是否與真實(shí)主機(jī)內(nèi)容吻合。\r\n\r\n(2)資產(chǎn)管理功能\r\n細(xì)化功能：可查看軟硬件配置情況，原基準(zhǔn)硬件型號(hào)、新增或卸載硬件型號(hào)，對(duì)計(jì)算機(jī)硬件非授權(quán)變更報(bào)警并予以停用。\r\n測(cè)試方法:分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(3)進(jìn)程審計(jì)功能\r\n細(xì)化功能：可審計(jì)運(yùn)行的進(jìn)程及進(jìn)程調(diào)用系統(tǒng)模塊和動(dòng)態(tài)鏈接庫(kù)，可標(biāo)識(shí)非法進(jìn)程和合法進(jìn)程；并提供手動(dòng)和自動(dòng)阻斷非法進(jìn)程功能。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(4)屏幕審計(jì)功能和遠(yuǎn)程屏控功能\r\n細(xì)化功能：實(shí)時(shí)審計(jì)特定計(jì)算機(jī)，可指定時(shí)間截取屏幕。可遠(yuǎn)程控制。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n(5)鍵盤(pán)審計(jì)功能\r\n細(xì)化功能：實(shí)時(shí)審計(jì)特定計(jì)算機(jī)的鍵盤(pán),可設(shè)置時(shí)間段，自動(dòng)審計(jì)被監(jiān)管計(jì)算機(jī)的鍵盤(pán)操作。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(6)系統(tǒng)日志審計(jì)功能\r\n細(xì)化功能：對(duì)系統(tǒng)日志、安全日志、應(yīng)用日志審計(jì)，開(kāi)關(guān)機(jī)日志查看。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(7)盤(pán)符審計(jì)功能\r\n細(xì)化功能：對(duì)網(wǎng)絡(luò)內(nèi)主機(jī)可自動(dòng)識(shí)別USB設(shè)備或USB存儲(chǔ)，并允許/禁止使用光、軟驅(qū)和USB存儲(chǔ)設(shè)備、并口、串口、1394口、紅外、藍(lán)牙口使用。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。在測(cè)試本地設(shè)備允許禁止時(shí)需注意：策略改變響應(yīng)時(shí)間應(yīng)不高于3秒，同時(shí)被審計(jì)主機(jī)無(wú)需重啟、注銷。\r\n\r\n(Cool打印審計(jì)功能\r\n細(xì)化功能：對(duì)打印機(jī)行為審計(jì)并且可以還原打印內(nèi)容。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。打印機(jī)審計(jì)功能應(yīng)可適用于主機(jī)打印機(jī)和網(wǎng)絡(luò)打印機(jī)。\r\n\r\n(9)移動(dòng)存儲(chǔ)審計(jì)功能\r\n細(xì)化功能：允許使用的移動(dòng)存儲(chǔ)設(shè)備（移動(dòng)硬盤(pán)、優(yōu)盤(pán)、MP3等）可以在單位內(nèi)部計(jì)算機(jī)上使用，否則不能使用。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(10)內(nèi)網(wǎng)防非法外連功能\r\n細(xì)化功能：可允許或禁止主機(jī)采用modem、PPPoE等方式擅自接入外網(wǎng)。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(11)內(nèi)網(wǎng)防非法接入功能\r\n細(xì)化功能：對(duì)未允許的主機(jī)接入網(wǎng)絡(luò)后自動(dòng)報(bào)警，提供手動(dòng)和自動(dòng)阻斷。\r\n測(cè)試方法：在不同網(wǎng)段接入未允許主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(12)網(wǎng)絡(luò)審計(jì)功能\r\n細(xì)化功能：可定義主機(jī)指定網(wǎng)絡(luò)進(jìn)程允許/禁止、允許的網(wǎng)絡(luò)進(jìn)程源端口、目標(biāo)端口、目標(biāo)ip及目標(biāo)ip段。對(duì)非授權(quán)網(wǎng)絡(luò)連接自動(dòng)阻斷。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(13)離線審計(jì)功能\r\n細(xì)化功能：特定計(jì)算機(jī)網(wǎng)絡(luò)連接情況，在一定時(shí)間內(nèi)設(shè)置非法網(wǎng)絡(luò)連接列表，對(duì)離線時(shí)間超過(guò)設(shè)定的自動(dòng)鎖定，除非管理員解鎖或重新連入園區(qū)網(wǎng)。設(shè)置某些客戶端離線時(shí)間，超時(shí)后，系統(tǒng)自動(dòng)給與提示。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(14)IP審計(jì)功能\r\n細(xì)化功能：允許/禁止主機(jī)更改ip地址和mac地址。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n(15)主機(jī)真實(shí)性識(shí)別功能等\r\n細(xì)化功能：對(duì)允許更改ip地址和mac地址的主機(jī)做到真實(shí)唯一性判斷。\r\n測(cè)試方法：分別對(duì)win98、win2k、winXP、win2003、RH-Linux每種系統(tǒng)至少1臺(tái)主機(jī)測(cè)試該功能可用性和準(zhǔn)確性。\r\n\r\n文件審計(jì)功能，即對(duì)主機(jī)端文件讀、寫(xiě)、更名、移動(dòng)權(quán)限的控制功能。對(duì)于高可控性網(wǎng)絡(luò)而言，分布式文件存儲(chǔ)方式在訪問(wèn)控制、身份鑒別、物理竊取、數(shù)據(jù)容災(zāi)等方面不具備高可控性，因此該功能不做為測(cè)試要求\r\n2.系統(tǒng)兼容性評(píng)估及測(cè)試方法\r\n安全審計(jì)系統(tǒng)涉及面廣，其目的在于對(duì)內(nèi)部網(wǎng)絡(luò)的高度可控，對(duì)于被控主機(jī)而言，其功能的實(shí)現(xiàn)不能影響正常應(yīng)用；因此，對(duì)一個(gè)安全審計(jì)系統(tǒng)的評(píng)估應(yīng)充分考量其系統(tǒng)環(huán)境兼容性和應(yīng)用環(huán)境兼容性。\r\n系統(tǒng)環(huán)境兼容性要求：適用于win98、win2k pro、win2k server、win XP、win2003和國(guó)內(nèi)某行業(yè)使用的RH linux和派生的RF linux桌面版；測(cè)試過(guò)程中不會(huì)發(fā)生死機(jī)、藍(lán)屏、停止響應(yīng)或系統(tǒng)間歇性停頓等現(xiàn)象。\r\n\r\n應(yīng)用環(huán)境兼容性要求：與KV、諾頓、瑞星、卡巴、AV、金山等殺毒軟件無(wú)沖突；與Photoshop、UG、AutoCAD、MS Office、3D MAX等大型桌面軟件無(wú)明顯性能影響。\r\n\r\n\r\n3.系統(tǒng)可靠性評(píng)估及測(cè)試方法\r\n如前所述，安全審計(jì)系統(tǒng)的目的是對(duì)內(nèi)部網(wǎng)絡(luò)的高度可控，被控主機(jī)使用者為進(jìn)行非授權(quán)活動(dòng)可能使用黑客工具和技術(shù)手段進(jìn)行反制；因此安全審計(jì)系統(tǒng)的防殺能力尤為重要。\r\n測(cè)試手段及工具：\r\n1.安全模式下卸載安全審計(jì)系統(tǒng)\r\n2.使用procexp、LP_Check、HijackThis、killbox、aports、icesword對(duì)安全審計(jì)系統(tǒng)防殺能力進(jìn)行測(cè)試。\r\n\r\n4.部署多樣性評(píng)估及測(cè)試方法\r\n對(duì)于高可控性網(wǎng)絡(luò)而言，其網(wǎng)絡(luò)拓?fù)涠酁槎嗉?jí)部署，同時(shí)由于行政歸屬和安全管理的要求，安全審計(jì)系統(tǒng)應(yīng)提供總控部署和多級(jí)部署能力。\r\n------------全文完-------------

greister

我用過(guò)sans的bs7799的審計(jì)列表，還可以。\r\n你這個(gè)安全審計(jì)依據(jù)什么標(biāo)準(zhǔn)》

authen

原帖由 greister 于 2005-11-1 14:10 發(fā)表\r\n我用過(guò)sans的bs7799的審計(jì)列表，還可以。\r\n你這個(gè)安全審計(jì)依據(jù)什么標(biāo)準(zhǔn)》

\r\n實(shí)踐