CERT安全指南

第1章 導(dǎo)讀
1.1 問題——從總體看
1.2 問題——從管理員的角度
1.3 如何使用本書
1.4 本書組織形式
1.4.1 加固／保護
1.4.2 準(zhǔn)備階段
1.4.3 檢測階段
1.4.4 響應(yīng)階段
1.4.5 改進階段
1.4.6 各章結(jié)構(gòu)
1.5 關(guān)鍵定義
1.6 本書資源
1.7 其他信息資源
1.8 小結(jié)
第I部分 計算機安全
第2章 保護網(wǎng)絡(luò)服務(wù)器和用戶工作站
2.1 概述
2.1.1 網(wǎng)絡(luò)服務(wù)器安全需求
2.1.2 用戶工作站安全需求
2.1.3 保護服務(wù)器和工作站的一種方法
2.2 在計算機部署計劃中列出安全問題（NS，UW）
2.2.1 標(biāo)識每臺計算機的用途
2.2.2 標(biāo)識要提供的網(wǎng)絡(luò)服務(wù)
2.2.3 標(biāo)識要安裝的網(wǎng)絡(luò)服務(wù)軟件
2.2.4 標(biāo)識用戶
2.2.5 確定用戶權(quán)限
2.2.6 計劃身份驗證
2.2.7 確定訪問執(zhí)行范圍
2.2.8 制定入侵檢測策略
2.2.9 文檔化備份和恢復(fù)過程
2.2.10 確定如何維護網(wǎng)絡(luò)服務(wù)并在出現(xiàn)不同類型的故障后恢復(fù)
2.2.11 開發(fā)并遵循文檔化過程以安裝操作系統(tǒng)
2.2.12 確定計算機如何接入網(wǎng)絡(luò)
2.2.13 標(biāo)識與日常管理相關(guān)的安全注意事項
2.2.14 保護不再用的、保存在硬件上的信息
2.2.15 及時更新計算機部署計劃
2.2.16 策略考慮事項
2.3 選擇服務(wù)器時列出安全需求（NS）
2.3.1 標(biāo)識功能和性能需求
2.3.2 評審服務(wù)器產(chǎn)品特性
2.3.3 估計競爭產(chǎn)品的運行成本差異
2.3.4 策略考慮事項
2.4 及時更新操作系統(tǒng)和應(yīng)用程序軟件（NS，UW）
2.4.1 評估和安裝更新
2.4.2 用最新軟件部署新計算機
2.4.3 新建完整性檢查信息
2.4.4 策略考慮事項
2.5 在服務(wù)器主機中只提供基本要素（NS）
2.5.1 確定功能
2.5.2 選擇更安全的方法
2.5.3 只安裝服務(wù)和應(yīng)用程序的最小集合
2.5.4 創(chuàng)建和記錄密碼校驗和
2.5.5 策略考慮事項
2.6 在工作站主機中只提供基本要素（UW）
2.6.1 確定功能
2.6.2 只安裝最基本的軟件
2.6.3 創(chuàng)建和記錄密碼校驗和
2.6.4 策略考慮事項
2.7 配置網(wǎng)絡(luò)服務(wù)客戶機以加強安全（UW）
2.7.1 標(biāo)識可能導(dǎo)致安全問題的行為
2.7.2 留意廠商更新
2.7.3 配置客戶機以保證安全
2.7.4 策略考慮事項
2.8 配置計算機進行用戶身份驗證（NS，UW）
2.8.1 配置基于硬件的訪問控制
2.8.2 控制賬戶和用戶組
2.8.3 檢查密碼策略并確保用戶遵守它
2.8.4 空閑一段時間后要求重新驗證
2.8.5 幾次登錄嘗試失敗后拒絕登錄
2.8.6 安裝和配置其他身份驗證機制
2.8.7 策略考慮事項
2.9 使用適當(dāng)?shù)膶ο?、設(shè)備和文件訪問控制來配置操作系統(tǒng)（NS，UW）
2.9.1 標(biāo)識所需的保護
2.9.2 配置訪問控制
2.9.3 為敏感數(shù)據(jù)安裝和配置文件加密
2.9.4 策略考慮事項
2.10 配置計算機的文件備份（UW）
2.10.1 制定文件備份和恢復(fù)計劃
2.10.2 安裝和配置文件備份工具
2.10.3 測試備份恢復(fù)能力
2.10.4 策略考慮事項
2.11 使用測試過的模型配置和安全復(fù)制過程（UW）
2.11.1 創(chuàng)建和測試模型配置
2.11.2 在其他工作站上復(fù)制配置
2.11.3 根據(jù)不同情況逐一修改配
2.11.4 創(chuàng)建和記錄密碼校驗和
2.12 防范病毒和類似程序威脅（NS，UW）
2.12.1 制定程序威脅的保護計劃
2.12.2 安裝和執(zhí)行防病毒工具
2.12.3 培訓(xùn)用戶
2.12.4 更新檢測工具
2.12.5 策略考慮事項
2.13 配置計算機進行安全遠程管理（NS，UW）
2.13.1 確保管理命令只來源于經(jīng)身份驗證的管理員和主機
2.13.2 確保所有管理任務(wù)操作在最小的必要權(quán)限級別上
2.13.3 確保機密信息不被入侵者攔截、讀取或修改
2.13.4 使用可移動存儲介質(zhì)傳輸信息
2.13.5 使用安全方法審查所有日志文件
2.13.6 創(chuàng)建和記錄密碼校驗和
2.13.7 策略考慮事項
2.14 只允許對計算機進行適當(dāng)?shù)膶嵉卦L問（NS，UW）
2.14.1 防止安裝非授權(quán)硬件
2.14.2 在安全地點部署計算機
2.14.3 策略考慮事項
2.15 制定和推廣可接受的工作站使用策略（UW）
2.15.1 可接受的使用策略要點
2.15.2 培訓(xùn)用戶
2.15.3 每次登錄時明確提醒
2.16 本章實踐核對清單
第3章 保護公共Web服務(wù)器
3.1 概述
3.1.1 保護公共Web服務(wù)器的必要性
3.1.2 保護公共Web服務(wù)器的方法
3.2 隔離Web服務(wù)器
3.2.1 將服務(wù)器放在隔離的子網(wǎng)中
3.2.2 使用防火墻限制通信
3.2.3 將提供支持服務(wù)的服務(wù)器主機放在另一個隔離的子網(wǎng)
3.2.4 禁用源路由和IP轉(zhuǎn)發(fā)
3.2.5 可選的體系結(jié)構(gòu)方法
3.2.6 策略考慮事項
3.3 用適當(dāng)?shù)膶ο?、設(shè)備和文件訪問控制來配置Web服務(wù)器
3.3.1 建立新用戶和組身份
3.3.2 標(biāo)識所需的保護
3.3.3 緩解拒絕服務(wù)的危害
3.3.4 保護敏感和受限信息
3.3.5 配置Web服務(wù)器軟件訪問控制
3.3.6 禁止提供Web服務(wù)器文件命令列表服務(wù)
3.3.7 策略考慮事項
3.4 標(biāo)識并啟用Web服務(wù)器特定的日志機制
3.4.1 標(biāo)識要記錄的信息
3.4.2 確定是否需要其他日志
3.4.3 啟用日志
3.4.4 選擇和配置日志分析工具
3.5 考慮程序、腳本和插件的安全問題
3.5.1 執(zhí)行成本／效益權(quán)衡
3.5.2 選擇可信來源
3.5.3 理解外部程序的所有功能
3.5.4 評審公共信息以識別漏洞
3.5.5 策略考慮事項
3.6 配置網(wǎng)絡(luò)服務(wù)器以最小化程序、腳本和插件的功能
3.6.1 驗證所得外部程序副本的真實性
3.6.2 使用隔離的測試機器
3.6.3 避免漏洞暴露
3.6.4 減少發(fā)布惡意代碼的風(fēng)險
3.6.5 禁用或限用服務(wù)器端包容功能
3.6.6 禁止執(zhí)行Web服務(wù)器配置中的外部程序
3.6.7 限制訪問外部程序
3.6.8 確保只有授權(quán)用戶可訪問外部程序
3.6.9 用惟一個人用戶ID和組ID執(zhí)行外部程序
3.6.10 讓外部程序只訪問最基本的文件
3.6.11 為所有外部程序創(chuàng)建完整性檢查信息
3.6.12 策略考慮事項
3.7 配置Web服務(wù)器，使其使用身份驗證和加密技術(shù)
3.7.1 確定敏感或限制信息的訪問需求
3.7.2 在客戶端（用戶）和Web服務(wù)器之間建立信任
3.7.3 理解基于地址的身份驗證的局限性
3.7.4 理解身份驗證和加密技術(shù)
3.7.5 支持SSL的使用
3.7.6 策略考慮事項
3.7.7 其他加密方法
3.8 在安全主機上維護網(wǎng)站內(nèi)容的授權(quán)副本
3.8.1 限制用戶訪問
3.8.2 實現(xiàn)和強制訪問控制
3.8.3 強制使用強用戶身份驗證
3.8.4 接受經(jīng)身份驗證和加密的連接
3.8.5 人工傳輸Web內(nèi)容
3.8.6 策略考慮事項
3.8.7 其他信息
3.9 本章實踐核對清單
第4章 部署防火墻
4.1 概述
4.1.1 防火墻的必要性
4.1.2 部署防火墻的方法
4.2 設(shè)計防火墻系統(tǒng)
4.2.1 文檔化環(huán)境
4.2.2 選擇防火墻的功能
4.2.3 選擇防火墻拓撲結(jié)構(gòu)
4.2.4 進行體系結(jié)構(gòu)權(quán)衡分析
4.2.5 保護防火墻系統(tǒng)，防止未經(jīng)授權(quán)的訪問
4.2.6 策略考慮事項
4.3 獲得防火墻硬件和軟件
4.3.1 確定所需的硬件組件
4.3.2 確定所需的軟件組件
4.3.3 確定所需的測試組件
4.3.4 獲得所有組件
4.4 獲得培訓(xùn)、文檔和支持
4.4.1 確定培訓(xùn)需求
4.4.2 確定支持需求
4.5 安裝防火墻硬件和軟件
4.5.1 安裝最基本的、可接受的操作系統(tǒng)環(huán)境
4.5.2 安裝所有可用的補丁程序
4.5.3 限制用戶和主機訪問
4.5.4 禁用包轉(zhuǎn)發(fā)
4.5.5 備份系統(tǒng)
4.5.6 策略考慮事項
4.6 配置IP路由
4.6.1 獲得IP地址
4.6.2 建立路由配置
4.6.3 策略考慮事項
4.6.4 考慮規(guī)范化IP路由配置和包過濾規(guī)則
4.7 配置防火墻包過濾
4.7.1 設(shè)計包過濾規(guī)則
4.7.2 文檔化包過濾規(guī)則
4.7.3 安裝包過濾規(guī)則
4.7.4 策略考慮事項
4.8 配置防火墻日志和警告機制
4.8.1 設(shè)計日志環(huán)境
4.8.2 為包過濾規(guī)則選擇日志選項
4.8.3 設(shè)計警告機制配置
4.8.4 獲得或開發(fā)支持工具
4.8.5 策略考慮事項
4.9 測試防火墻系統(tǒng)
4.9.1 制定測試計劃
4.9.2 獲得測試工具
4.9.3 在測試環(huán)境中測試防火墻功能
4.9.4 在生產(chǎn)環(huán)境中測試防火墻功能
4.9.5 選擇和測試日志文件相關(guān)特性
4.9.6 測試防火墻系統(tǒng)
4.9.7 掃描漏洞
4.9.8 設(shè)計初始回歸測試套件
4.9.9 準(zhǔn)備生產(chǎn)用的系統(tǒng)
4.9.10 準(zhǔn)備執(zhí)行連續(xù)監(jiān)視
4.9.11 策略考慮事項
4.10 安裝防火墻系統(tǒng)
4.10.1 安裝新的連接
4.10.2 安裝替換連接
4.10.3 策略考慮事項
4.11 分階段運行防火墻系統(tǒng)
4.11.1 準(zhǔn)備過渡到備用的防火墻系統(tǒng)
4.11.2 通知用戶
4.11.3 使專用通信通過新的防火墻系統(tǒng)
4.11.4 策略考慮事項
4.12 本章實踐核對清單
第II部分 入侵檢測和響應(yīng)
第5章 建立入侵檢測和響應(yīng)實踐
5.1 概述
5.1.1 準(zhǔn)備入侵檢測和響應(yīng)的必要性
5.1.2 準(zhǔn)備檢測和響應(yīng)的方法
5.2 確定策略和過程
5.2.1 在安全策略中闡述入侵檢測和響應(yīng)
5.2.2 文檔化實現(xiàn)入侵檢測策略的過程
5.2.3 文檔化實現(xiàn)入侵響應(yīng)策略的過程
5.2.4 文檔化角色和職責(zé)
5.2.5 實施合法的評審
5.2.6 培訓(xùn)用戶
5.2.7 保證策略、過程和培訓(xùn)符合當(dāng)前實際
5.3 確定用于檢測可疑行為信號的特征和其他數(shù)據(jù)
5.3.1 確定收集最有用的數(shù)據(jù)
5.3.2 確定要收集的數(shù)據(jù)
5.3.3 確定使用日志記錄機制捕捉的數(shù)據(jù)
5.3.4 確定使用其他數(shù)據(jù)收集機制捕捉的數(shù)據(jù)
5.3.5 確定哪些事件應(yīng)該產(chǎn)生警告
5.3.6 認識到數(shù)據(jù)的收集和特征化是重復(fù)的過程
5.3.7 文檔化和驗證特征化的置信假設(shè)
5.3.8 特征化典型的網(wǎng)絡(luò)通信和性能
5.3.9 特征化預(yù)期的系統(tǒng)行為和性能
5.3.10 特征化預(yù)期的進程和用戶行為
5.3.11 特征化預(yù)期的文件和目錄信息
5.3.12 制定系統(tǒng)硬件的盤存清單
5.3.13 保護資產(chǎn)信息，并保持更新
5.3.14 策略考慮事項
5.3.15 其他信息
5.4 管理日志記錄和其他數(shù)據(jù)收集機制
5.4.1 啟用日志記錄
5.4.2 保護日志
5.4.3 文檔化日志文件的管理計劃
5.4.4 保護數(shù)據(jù)收集機制及其輸出
5.4.5 考慮特殊過程以保存證據(jù)
5.4.6 策略考慮事項
5.5 針對入侵響應(yīng)，選擇、安裝和了解相關(guān)工具
5.5.1 建立啟動盤和發(fā)行介質(zhì)的文檔集
5.5.2 建立安全相關(guān)補了程序的文檔集
5.5.3 確定和安裝支持重新安裝的工具
5.5.4 確保足夠的備份程序
5.5.5 建立測試結(jié)果的文檔集
5.5.6 建立和維護聯(lián)系信息的來源和方法
5.5.7 建立安全的通信機制
5.5.8 建立資源工具箱
5.5.9 確保測試系統(tǒng)和網(wǎng)絡(luò)經(jīng)過正確配置且可用
5.5.10 策略考慮事項
5.6 本章實踐核對清單
第6章 檢測入侵信號
6.1 概述
6.1.1 檢測入侵信號的必要性
6.1.2 檢測入侵信號的方法
6.2 確保用于檢測系統(tǒng)的軟件不受侵害
6.2.1 策略考慮事項
6.2.2 其他信息
6.3 監(jiān)視并檢查網(wǎng)絡(luò)行為
6.3.1 通知用戶
6.3.2 評審網(wǎng)絡(luò)警告
6.3.3 評審網(wǎng)絡(luò)錯誤報告
6.3.4 評審網(wǎng)絡(luò)性能
6.3.5 評審網(wǎng)絡(luò)通信
6.3.6 策略考慮事項
6.3.7 其他信息
6.4 監(jiān)視并檢查系統(tǒng)行為
6.4.1 通知用戶
6.4.2 評審系統(tǒng)警告
6.4.3 評審系統(tǒng)錯誤報告
6.4.4 評審系統(tǒng)性能統(tǒng)計信息
6.4.5 監(jiān)視進程動作和行為
6.4.6 監(jiān)視用戶行為
6.4.7 監(jiān)視網(wǎng)絡(luò)嗅探器的存在
6.4.8 運行網(wǎng)絡(luò)映射和掃描工具
6.4.9 在所有系統(tǒng)上運行漏洞掃描工具
6.4.10 策略考慮事項
6.4.11 其他信息
6.5 檢查文件和目錄有無意外變化
6.5.1 驗證完整性
6.5.2 確定意外變化及其含義
6.5.3 策略考慮事項
6.5.4 其他信息
6.6 調(diào)查已接入網(wǎng)絡(luò)的、未經(jīng)授權(quán)的硬件
6.6.1 審計與網(wǎng)絡(luò)基礎(chǔ)設(shè)施相連的所有系統(tǒng)和外設(shè)
6.6.2 探查未經(jīng)授權(quán)的調(diào)制解調(diào)器
6.6.3 探查所有內(nèi)部網(wǎng)段，確定未經(jīng)授權(quán)的硬件
6.6.4 尋找企業(yè)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的意外路由
6.6.5 策略考慮事項
6.7 尋找末經(jīng)授權(quán)的物理資源訪問信號
6.7.1 檢查所有物理形式的入口或出口
6.7.2 檢查物理資源的篡改跡象
6.7.3 執(zhí)行所有可移動存儲介質(zhì)的物理審計
6.7.4 報告所有未經(jīng)授權(quán)的物理訪問信號
6.7.5 策略考慮事項
6.8 評審可疑系統(tǒng)、網(wǎng)絡(luò)行為和事件的報告
6.8.1 收到報告時執(zhí)行“鑒別分類”
6.8.2 對每個報告進行評估、關(guān)聯(lián)和確定優(yōu)先級
6.8.3 調(diào)查每個報告或相關(guān)的一組報告
6.8.4 策略考慮事項
6.9 采取適當(dāng)行動
6.9.1 文檔化任何異常行為或活動
6.9.2 調(diào)查每一個異常文檔
6.9.3 認識分析和調(diào)查的反復(fù)性
6.9.4 啟動入侵響應(yīng)過程
6.9.5 更新警告機制的配置
6.9.6 更新所有特征化信息
6.9.7 更新日志和數(shù)據(jù)收集機制的配置
6.9.8 處置所有已報告的事件
6.9.9 策略考慮事項
6.10 本章實踐核對清單
第7章 入侵響應(yīng)
7.1 概述
7.1.1 響應(yīng)實踐的必要性
7.1.2 入侵響應(yīng)方法
7.2 分析所有可用的信息
7.2.1 捕獲和記錄系統(tǒng)信息
7.2.2 備份易受侵害的系統(tǒng)
7.2.3 隔離受侵害的系統(tǒng)
7.2.4 在其他系統(tǒng)上搜索入侵信號
7.2.5 檢查日志
7.2.6 標(biāo)識用于獲取訪問的攻擊
7.2.7 確定入侵者做了什么
7.2.8 策略考慮事項
7.3 與相關(guān)各方進行通信
7.3.1 遵守信息發(fā)布過程
7.3.2 使用安全的通信渠道
7.3.3 通知受影響的其他站點
7.3.4 維護聯(lián)系信息
7.3.5 策略考慮事項
7.4 收集和保護信息
7.4.1 收集所有信息
7.4.2 收集和保存證據(jù)
7.4.3 保存證據(jù)監(jiān)管鏈
7.4.4 聯(lián)系執(zhí)法機關(guān)
7.4.5 策略考慮事項
7.5 遏制入侵
7.5.1 臨時關(guān)閉系統(tǒng)
7.5.2 斷開受侵害系統(tǒng)的網(wǎng)絡(luò)連接
7.5.3 禁用訪問、服務(wù)和賬戶
7.5.4 監(jiān)視系統(tǒng)和網(wǎng)絡(luò)行為
7.5.5 驗證冗余系統(tǒng)和數(shù)據(jù)未受侵害
7.5.6 策略考慮事項
7.6 消除所有入侵訪問方式
7.6.1 改變密碼
7.6.2 重新安裝受侵害的系統(tǒng)
7.6.3 刪除所有入侵者訪問方式
7.6.4 從原始發(fā)布介質(zhì)恢復(fù)可執(zhí)行程序和二進制文件
7.6.5 評審系統(tǒng)配置
7.6.6 校正系統(tǒng)和網(wǎng)絡(luò)漏洞
7.6.7 改進保護機制
7.6.8 改進檢測機制
7.6.9 策略考慮事項
7.7 恢復(fù)系統(tǒng)正常運行
7.7.1 確定需求和時間框架
7.7.2 恢復(fù)用戶數(shù)據(jù)
7.7.3 重新建立服務(wù)和系統(tǒng)的可用性
7.7.4 觀察入侵者返回的信號
7.7.5 策略考慮事項
7.8 實踐所學(xué)知識
7.8.1 完整的通信步驟
7.8.2 召開事后評審會議
7.8.3 修訂安全文檔
7.8.4 其他步驟
7.9 本章實踐核對清單
附錄A 安全實現(xiàn)
A.1 概述
A.2 在運行Solaris 2.x的系統(tǒng)上安裝、配置和使用Tripwire以驗證目錄和文件的完整性
A.3 在運行Solaris 2.x的系統(tǒng)上安裝、配置和運行Secure Shell（SSH）
A.4 理解Solaris 2.x操作系統(tǒng)的系統(tǒng)日志文件
A.5 在運行Solaris 2.x的系統(tǒng)上配置和使用syslogd以收集日志消息
A.6 在運行Solaris 2.x的系統(tǒng)上安裝、配置和使用logsurfer 1.5以分析日志消息
A.7 在運行Solaris 2.x的系統(tǒng)上安裝、配置和使用spar 1.3
A.8 在運行Solaris 2.x的系統(tǒng)上安裝和運行tcpdump 3.4
A.9 編寫Snort規(guī)則，理解Snort警告
附錄B 實踐級策略考慮事項
縮略語
參考文獻