信息安全等级测评师考试重点梳理(3)

??????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

访问控制（S3）（操作系统测评、数据库系统测评）

a)???应启用访问控制功能，依据安全策略控制用户对资源的访问；

b)???应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；（2）

c)???应实现操作系统和数据库系统特权用户的权限分离；（3）

d)???应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；

e)???应及时删除多余的、过期的帐户，避免共享帐户的存在。

f)???应对重要信息资源设置敏感标记；（4）

g)???应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；

注释：

1?） 访问控制是安全防范和保护的主要策略，它不仅仅用于网络层面，同样也适用于主机层面。它的主

?????要任务是保证系统资源不被非法使用和访问，使用访问控制的目的在于通过限制用户对特定资源的

?????访问，来保护系统资源。在操作系统中的每一个文件和目录都包含有访问权限，这些访问权限决定

?????了谁能访问和如何访问这些文件和目录。对于linux中的一些重要文件，应检查linux系统主要的权

????限设置情况，对于配置文件权限值不能大于644，对于可执行文件不能大于755.

????以root身份登录进入linux，使用命令：ls -l文件名，查看重要文件和目录权限设置是否合理，如：

??? #ls -l/etc/passwd #744

???查看共享情况，在命令行模式下输入net share查看注册表：

??HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlSet\Control\lsa\restrictanonymous值是否为0（0

???表示共享）

2?）根据管理用户的角色对权限做出标准细致的划分，有利于各岗位细致协调的工作。同时对授权模块

???进行一些授权管理，并且系统的授权安全管理工作要做到细致，今授予管理用户所需的最小权限，避

???免出现权限的漏洞，使一些高级用户拥有过大的权限。

3?）操作系统特权用户可以拥有以下权限：安装和配置系统的硬件和软件、建立和管理用户账户、升级

????软件、备份和恢复等业务，从而保证操作系统的可用性、完整性和安全性。

???数据库系统特权用户对数据库的安装、配置、升级和迁移以及数据库用户的管理，从而保证数据库

???系统的可用性、完整性安全性。

???将操作系统和数据库系统特权用户的权限分离，能够避免一些特权用户拥有过大的权限以及减少一些

??? ?认为的误操作，做到职责分明。

4?）敏感标记：是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也肯能

???是字母，他表示主客体的安全级别。敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资

???源设置敏感标记，决定主体以何种权限为客体进行操作，实现强制访问控制。

数据库

???Sql中查看是否存在多余过期的账户：select from syslogins

???oracle中查看是否存在多余过期的账户：selectusername，account-status from dba-users

???查看是否安装oraclelabel security模块：select username from dba-users

???查看是否创建策略：select policy_name，status from DBA-SA-POLICIES

???查看是否创建级别：select * from dba-sa-levels orderby lever-num

???查看标签创建情况：select *from dba-sa-label

???查看策略与模式、表的对应关系：select *from dba-sa-tabel-policies；判断是否针对重要信息资

???源设置敏感标签。

?

?

（编辑：ASP站长网）