如何使用主机测评工具保障服务器主机安全?

主机测评 2024-03-01

目录

  • 主机安全是什么意思?
  • 为什么要进行主机安全测评?

  • 主机安全测评内容

  • 主机安全测评方式

  • 主机安全测评工具

主机安全是什么意思?

主机安全具体是指保证主机在数据存储和处理的保密性、完整性,可用性,它包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。

为什么要进行主机安全测评?

因为服务器主机一旦被黑客入侵,企业面临以下安全风险:

业务被中断:数据库、文件被篡改或删除,导致服务无法访问,系统瘫痪。

数据被窃取:黑客窃取企业数据后公开售卖,客户隐私数据被泄漏,造成企业品牌受损和客户流失。

被加密勒索:黑客入侵服务器后通过植入不可逆的加密勒索软件对数据进行加密,对企业进行金钱勒索。

服务器不稳定:黑客在服务器中运行挖矿程序,并通过 DDoS 木马程序获取经济利益,消耗大量的系统资源,导致服务器不能提供正常服务。

使用主机安全测评后可以有效预防以上问题,保障企业主机安全。

主机安全测评内容

主机安全旨在保证主机在数据存储和处理的保密性、完整性、可用性,它是保证信息系统安全的基础,直接影响信息系统的整体安全。

主机安全测评主要包括以下9个方面。

1)身份鉴别:

从身份鉴别方式、口令复杂度、鉴别信息传输机密性、登录失败处理措施等方面对主机安全性进行测评。

2)安全标记:

对主体和客体的敏感标记设置情况进行测评。

3)访问控制:

从访问控制主客体、访问控制策略、访问控制粒度等方面对主机安全性进行测评。

4)可信路径:

对系统与用户之间信息传输路径的安全性进行测评。

5)安全审计:

从审计的策略、范围、内容、记录、进程保护、日志保护等方面对主机安全性进行测评。

6)剩余信息保护:

主要对鉴别信息、系统文件、目录和数据库记录等客体存储空间的剩余信息保护情况进行测评。

7)入侵防范:

主要对主机的入侵防范措施、系统补丁更新等情况进行测评。

8)恶意代码防范:

主要对主机的恶意代码防护措施进行测评。

9)资源控制:

主要对系统资源监控情况进行测评。

主机安全测评方式

主机安全测评主要包括访谈、现场检查和测试3种方式。

(1)访谈

访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。主机安全访谈主要由测评人员与被测评主机的系统管理员、安全管理员、安全审计员、主机使用人员等针对主机测评所要求的访谈内容进行询问和调查,并根据访谈收集的信息进行主机安全性的分析判断。

(2)检查

检查是指测评人员通过测评对象(如制度文档、各类设备、安全配置)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。主机安全现场检查主要是基于访谈调研情况,依据主机安全现场检查表单和作业指导书,对信息系统中的主机安全状况进行实地核查。其中,主要包括2个方面:一是对所提供的主机安全相关技术文档资料进行检查分析;二是针对主机安全配置要求,登录各个相关主机,运用主机操作指令和工具进行安全现状数据的提取和分析。对于大型业务系统而言,由于主机数量繁多,实际执行时由于时间和人力投入有限,可采用抽查的方式进行现场检查。

(3)测试

测试是指测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,以将运行结果与预期的结果进行比对的过程。主机安全测试主要包括主机漏洞扫描、主机安全基线检测和主机渗透测试等3种方式。主机漏洞扫描主要针对被测评的主机实现操作系统脆弱性扫描,重要文件、目录脆弱性扫描,浏览器脆弱性扫描,Web服务脆弱性扫描,其他通用服务脆弱性扫描,用户、组、注册表脆弱性扫描,文件共享脆弱性扫描,数据库脆弱性扫描等安全测试工作;主机安全基线检测主要对被测评的主机进行安全配置检查,检查主机操作系统、数据库、虚拟化软件等是否符合用户的安全基线要求;主机渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术,对被测评的主机做深入的安全探测,以发现主机所存在的安全问题。

主机安全测评工具

开展主机安全测评的工具主要有以下5个类型。

(1)主机自身提供的检测工具

包括系统命令、系统自带工具等,如ping、netstat、route、ps等命令,Windows操作系统的管理、任务管理器等工具。这一类检测工具能够协助测评人员对系统配置、系统状态、系统性能、系统用户行为等信息进行有效收集。

(2)端口扫描工具

用来检测主机开放了哪些对外端口以及端口对应的服务,一般端口扫描器还具有主机状态扫描功能。典型的端口扫描工具包括Nmap、Super Scan等。可以代替使用系统自带的命令对系统开放端口/服务的检查,也可以检查经过安全设备或软件保护后的主机对外端口。端口扫描类型主要是TCP端口扫描,为躲避安全设备对扫描工具的拦截和监控,扫描工具开发者还设计了秘密扫描、慢速扫描、乱序扫描等端口扫描技术。

(3)漏洞扫描工具

通过端口扫描得知目标主机开启的端口以及对应的服务后,利用漏洞扫描工具进行进一步的探测,包括主机系统的版本号、系统信息、系统文件、应用配置信息等,将这些信息与漏洞扫描工具提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。常见的漏洞扫描工具均包含了端口扫描工具,同时也包含了大量已有主机漏洞的检查策略。

(4)渗透测试工具

提供用于针对主机开展渗透性测试工作的工具包,包括字典攻击、暴力破解、缓冲区溢出、脚本注入、拒绝服务、木马植入等攻击工具,通过模拟黑客的攻击手法,以入侵者的思维与技术,模拟可能被利用的漏洞途径,发现隐藏的安全隐患,验证主机漏洞是否真实存在。

(5)主机安全配置核查工具

对系统各类安全策略的配置情况进行自动检查,包括日志策略、审计策略、用户身份鉴别策略、访问控制策略、数据备份策略、应用服务开启配置等,使用工具代替人工记录各类系统检查命令的执行结果,并对结果进行自动分析,如安全配置核查系统(BVS)。


Exchange Autodiscover漏洞暴露10万Windows域凭证

微软 Exchange Autodiscover设计和实现漏洞引发严重凭证泄露攻击,数十万Windows域凭证泄露。Autodiscover是Microsoft Exchange用来自动配置outlook这类Exchange客户端应用的工具。研究人员发现 Ex...
漏洞服务器安全ExchangeAutodiscover

阿里云DDoS防护黑洞策略分析

为了保障服务器网络的整体可用性,当服务器遭受超出防御范围的大流量攻击时,系统对其采用黑洞策略,即实行外网封禁,并根据实例的安全信誉等级决定黑洞时长,到期后解除黑洞。本文分享关于黑洞策略的相关问题集锦。更多参阅官方文档什么是黑洞?黑洞指服务器受攻击流量超过本机房...
阿里云服务器安全DDOS防护黑洞

服务器安全狗和网站安全狗有什么区别?会不会冲突?

网站安全狗主要保护服务器上网站的安全,主要功能包括网马挂马扫描、SQL注入防护,CC攻击防护,资源保护等。图.网站安全狗服务器安全狗主要保护服务器免遭恶意攻击,主要功能包括DDOS防火墙,ARP防火墙,远程桌面守护,端口保护,网络监控等。图.服务器安全狗这两个...
服务器安全狗网站安全狗服务器安全

十个 Web 日志安全性分析工具

我经常听到朋友问,是否有更好的Web日志安全性分析工具?首先,我们应该清楚的是,日志文件不仅可以帮助我们追踪入侵者的来源并找到其攻击路径,而且在正常的操作和维护中,日志还可以反映出许多安全攻击。一个简单易用的Web日志分析工具可以大大提高效率。当前,行业中有许...
服务器安全Web日志分析工具