人工评估介绍培训.ppt

1、人工评估介绍培训1内 容定义、目的和意义人工评估的内容人工评估的方式和要求实例介绍2人工评估的定义、目的和意义n人工评估安全专家长期积累的安全经验业界的标准checklistn人工评估的目的克服工具评估的局限性n误报n漏报n对被评估系统和网络的压力/不良影响n不适合行工具评估的对象实现对系统的完整性核查n意义是其他评估方式的有益补充3人工评估的适用对象n几乎所有系统Windows系统（桌面/服务器）Unix系统网络设备网络体系构架其他设备4人工评估内容n安全配置检查 系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。n安全机制检查 安

2、全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权及访问控制等。n入侵追查及事后取证 检查与发现系统入侵，攻击或其它危害，尽可能追查及取证。例如日志被毁坏篡改或删除，重要数据被删除，遭受DOS攻击，系统被监听，控制或安装后门等。5主机系统人工评估方式n控制台登录n以管理员方式进行操作审核n对系统管理人员进行必要的访谈系统安装情况系统补丁升级情况系统日常操作维护情况历史事件了解6Windows 2000 Servern版本检查7Windows 2000 Servern补丁情况检查8Windows 2000 Servern网络配置检查9Win

3、dows 2000 Servern网络连接情况检查Netstat-ann路由情况检查Netstat rnn硬盘分区及其使用情况n文件系统格式n多重引导/多操作系统情况10Windows 2000 Servern本地安全策略账户策略审核策略日志设定策略11Windows 2000 Servern账户策略密码长度最小值密码最长存留期强制密码历史密码复杂性账户锁定12Windows 2000 Servern审核策略审核登录事件审核帐户登录事件审核帐户管理审核策略更改审核对象访问13Windows 2000 Servern日志设定策略系统应用安全其他nftpnwwwnSmtpn14Windows 20

4、00 Servern安全选项对匿名连接的额外限制允许在未登录前关机是否显示上次登录帐号LAN Manager身份验证级别登录屏幕上不要显示上次登录的用户名禁用按CTRL+ALT+DEL进行登录的设置在关机时清理虚拟内存页面交换文件15Windows 2000 Servern用户权利指派从网络访问此计算机在本地登录从远端系统强制关机关闭系统取得文件或其它对象的所有权16Windows 2000 Servern用户管理用户组管理员账号来宾账号休眠/禁用账号可疑账号profile17Windows 2000 Servern系统服务审计所有开放的服务18Windows 2000 Servern启动程序

5、注册表Autoexec.batWin.iniSystem.iniConfig.sys19Windows 2000 Servern注册表安全启动键值键值权限许可键值访问控制20Windows 2000 Servern网络共享默认共享开放的额外共享访问策略21Windows 2000 Servern系统环境变量22Windows 2000 Servern系统安装软件开发环境木马/后门黑客工具/不良软件远程控制软件23Windows 2000 Servern重要目录访问权限24Windows 2000 Servern其他IIS服务器数据库服务器数据存储方式系统备份策略25后门/木马检测n要点注意观察系统的异常情况n特征异常的软件异常的服务端口异常的系统行为系统文件26后门/木马检测n异常监控异常的系统资源占用nCPU资源n磁盘资源n网络资源n异常系统日志n系统日志文件的变化n系统日志的分析n系统异常事件n异常进程或进程异常n异常端口和网络活动n异常用户活动n配置文件或设备的变动n异常的重要文件变动27检测工具n文件和目录基线校验n进程与服务监控/Mapn外部端口扫描n网络流量监控n系统日志集中采集和分析n系统审计行为28如何圆满完成人工评估nIP地址n系统类型n系统基本信息n系统管理员配合29Thank You！30