CERT安全指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

CERT安全指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 导读1

1.1 问题——从总体看1

1.2 问题——从管理员的角度4

1.3 如何使用本书4

1.4 本书组织形式6

1.4.1 加固／保护6

1.4.2 准备阶段9

1.4.3 检测阶段9

1.4.4 响应阶段10

1.4.5 改进阶段10

1.4.6 各章结构10

1.5 关键定义11

1.6 本书资源12

1.7 其他信息资源13

1.8 小结15

第Ⅰ部分 计算机安全19

第2章 保护网络服务器和用户工作站19

2.1 概述19

2.1.1 网络服务器安全需求21

2.1.2 用户工作站安全需求22

2.1.3 保护服务器和工作站的一种方法22

2.2 在计算机部署计划中列出安全问题（NS,UW）24

2.2.1 标识每台计算机的用途24

2.2.3 标识要安装的网络服务软件25

2.2.4 标识用户25

2.2.2 标识要提供的网络服务25

2.2.5 确定用户权限26

2.2.6 计划身份验证26

2.2.7 确定访问执行范围27

2.2.8 制定入侵检测策略27

2.2.9 文档化备份和恢复过程27

2.2.10 确定如何维护网络服务并在出现不同类型的故障后恢复28

2.2.11 开发并遵循文档化过程以安装操作系统28

2.2.12 确定计算机如何接入网络29

2.2.15 及时更新计算机部署计划30

2.2.16 策略考虑事项30

2.2.14 保护不再用的、保存在硬件上的信息30

2.2.13 标识与日常管理相关的安全注意事项30

2.3 选择服务器时列出安全需求（NS）31

2.3.1 标识功能和性能需求32

2.3.2 评审服务器产品特性32

2.3.3 估计竞争产品的运行成本差异33

2.3.4 策略考虑事项33

2.4 及时更新操作系统和应用程序软件（NS,UW）33

2.4.1 评估和安装更新34

2.4.2 用最新软件部署新计算机35

2.4.3 新建完整性检查信息36

2.4.4 策略考虑事项36

2.5 在服务器主机中只提供基本要素（NS）36

2.5.1 确定功能37

2.5.3 只安装服务和应用程序的最小集合38

2.5.2 选择更安全的方法38

2.5.4 创建和记录密码校验和39

2.5.5 策略考虑事项39

2.6 在工作站主机中只提供基本要素（UW）39

2.6.1 确定功能40

2.6.2 只安装最基本的软件41

2.6.3 创建和记录密码校验和41

2.6.4 策略考虑事项41

2.7 配置网络服务客户机以加强安全（UW）41

2.7.1 标识可能导致安全问题的行为42

2.7.2 留意厂商更新42

2.8 配置计算机进行用户身份验证（NS,UW）43

2.7.4 策略考虑事项43

2.7.3 配置客户机以保证安全43

2.8.1 配置基于硬件的访问控制44

2.8.2 控制账户和用户组44

2.8.3 检查密码策略并确保用户遵守它44

2.8.4 空闲一段时间后要求重新验证45

2.8.5 几次登录尝试失败后拒绝登录46

2.8.6 安装和配置其他身份验证机制46

2.8.7 策略考虑事项47

2.9 使用适当的对象、设备和文件访问控制来配置操作系统（NS,UW）47

2.9.1 标识所需的保护48

2.9.2 配置访问控制48

2.9.4 策略考虑事项49

2.9.3 为敏感数据安装和配置文件加密49

2.10 配置计算机的文件备份（UW）50

2.10.1 制定文件备份和恢复计划50

2.10.2 安装和配置文件备份工具51

2.10.3 测试备份恢复能力52

2.10.4 策略考虑事项52

2.11 使用测试过的模型配置和安全复制过程（UW）52

2.11.1 创建和测试模型配置53

2.11.2 在其他工作站上复制配置53

2.11.3 根据不同情况逐一修改配置54

2.11.4 创建和记录密码校验和54

2.12 防范病毒和类似程序威胁（NS,UW）54

2.12.2 安装和执行防病毒工具55

2.12.1 制定程序威胁的保护计划55

2.12.3 培训用户56

2.12.4 更新检测工具56

2.12.5 策略考虑事项56

2.13 配置计算机进行安全远程管理（NS,UW）57

2.13.1 确保管理命令只来源于经身份验证的管理员和主机57

2.13.2 确保所有管理任务操作在最小的必要权限级别上57

2.13.3 确保机密信息不被入侵者拦截、读取或修改58

2.13.4 使用可移动存储介质传输信息58

2.13.5 使用安全方法审查所有日志文件58

2.13.6 创建和记录密码校验和58

2.14.1 防止安装非授权硬件59

2.14 只允许对计算机进行适当的实地访问（NS,UW）59

2.13.7 策略考虑事项59

2.14.2 在安全地点部署计算机60

2.14.3 策略考虑事项60

2.15 制定和推广可接受的工作站使用策略（UW）60

2.15.1 可接受的使用策略要点61

2.15.2 培训用户62

2.15.3 每次登录时明确提醒62

2.16 本章实践核对清单62

第3章 保护公共Web服务器66

3.1 概述66

3.1.1 保护公共Web服务器的必要性67

3.1.2 保护公共Web服务器的方法68

3.2.2 使用防火墙限制通信69

3.2 隔离Web服务器69

3.2.1 将服务器放在隔离的子网中69

3.2.3 将提供支持服务的服务器主机放在另一个隔离的子网71

3.2.4 禁用源路由和IP转发73

3.2.5 可选的体系结构方法73

3.2.6 策略考虑事项74

3.3 用适当的对象、设备和文件访问控制来配置Web服务器74

3.3.1 建立新用户和组身份75

3.3.2 标识所需的保护75

3.3.3 缓解拒绝服务的危害75

3.3.4 保护敏感和受限信息76

3.3.6 禁止提供Web服务器文件命令列表服务77

3.3.5 配置Web服务器软件访问控制77

3.4 标识并启用Web服务器特定的日志机制78

3.3.7 策略考虑事项78

3.4.1 标识要记录的信息79

3.4.2 确定是否需要其他日志80

3.4.3 启用日志80

3.4.4 选择和配置日志分析工具81

3.5 考虑程序、脚本和插件的安全问题81

3.5.1 执行成本／效益权衡82

3.5.2 选择可信来源82

3.5.3 理解外部程序的所有功能82

3.5.4 评审公共信息以识别漏洞83

3.6.2 使用隔离的测试机器84

3.6.3 避免漏洞暴露84

3.5.5 策略考虑事项84

3.6.1 验证所得外部程序副本的真实性84

3.6 配置网络服务器以最小化程序、脚本和插件的功能84

3.6.4 减少发布恶意代码的风险85

3.6.5 禁用或限用服务器端包容功能86

3.6.6 禁止执行Web服务器配置中的外部程序86

3.6.7 限制访问外部程序86

3.6.8 确保只有授权用户可访问外部程序87

3.6.9 用惟一个人用户ID和组ID执行外部程序87

3.6.10 让外部程序只访问最基本的文件87

3.7 配置Web服务器，使其使用身份验证和加密技术88

3.6.12 策略考虑事项88

3.6.11 为所有外部程序创建完整性检查信息88

3.7.1 确定敏感或限制信息的访问需求89

3.7.2 在客户端（用户）和Web服务器之间建立信任89

3.7.3 理解基于地址的身份验证的局限性90

3.7.4 理解身份验证和加密技术90

3.7.5 支持SSL的使用93

3.7.6 策略考虑事项95

3.7.7 其他加密方法95

3.8 在安全主机上维护网站内容的授权副本96

3.8.1 限制用户访问96

3.8.2 实现和强制访问控制96

3.8.5 人工传输Web内容97

3.8.3 强制使用强用户身份验证97

3.8.4 接受经身份验证和加密的连接97

3.8.6 策略考虑事项98

3.8.7 其他信息98

3.9 本章实践核对清单98

第4章 部署防火墙101

4.1 概述101

4.1.1 防火墙的必要性102

4.1.2 部署防火墙的方法102

4.2 设计防火墙系统103

4.2.1 文档化环境105

4.2.2 选择防火墙的功能106

4.2.3 选择防火墙拓扑结构110

4.2.4 进行体系结构权衡分析112

4.2.5 保护防火墙系统，防止未经授权的访问114

4.2.6 策略考虑事项114

4.3 获得防火墙硬件和软件115

4.3.1 确定所需的硬件组件115

4.3.2 确定所需的软件组件116

4.3.3 确定所需的测试组件116

4.3.4 获得所有组件117

4.4 获得培训、文档和支持117

4.4.1 确定培训需求118

4.4.2 确定支持需求119

4.5 安装防火墙硬件和软件119

4.5.1 安装最基本的、可接受的操作系统环境120

4.5.2 安装所有可用的补丁程序121

4.5.3 限制用户和主机访问121

4.5.4 禁用包转发121

4.5.5 备份系统122

4.5.6 策略考虑事项122

4.6 配置IP路由122

4.6.1 获得IP地址123

4.6.2 建立路由配置123

4.6.3 策略考虑事项123

4.6.4 考虑规范化IP路由配置和包过滤规则124

4.7 配置防火墙包过滤124

4.7.1 设计包过滤规则125

4.7.3 安装包过滤规则128

4.7.2 文档化包过滤规则128

4.7.4 策略考虑事项129

4.8 配置防火墙日志和警告机制130

4.8.1 设计日志环境131

4.8.2 为包过滤规则选择日志选项132

4.8.3 设计警告机制配置132

4.8.4 获得或开发支持工具133

4.8.5 策略考虑事项133

4.9 测试防火墙系统133

4.9.1 制定测试计划134

4.9.2 获得测试工具135

4.9.3 在测试环境中测试防火墙功能136

4.9.4 在生产环境中测试防火墙功能138

4.9.5 选择和测试日志文件相关特性141

4.9.6 测试防火墙系统142

4.9.7 扫描漏洞142

4.9.8 设计初始回归测试套件142

4.9.9 准备生产用的系统142

4.9.10 准备执行连续监视142

4.9.11 策略考虑事项143

4.10 安装防火墙系统143

4.10.1 安装新的连接143

4.10.2 安装替换连接144

4.10.3 策略考虑事项144

4.11 分阶段运行防火墙系统144

4.11.2 通知用户145

4.11.1 准备过渡到备用的防火墙系统145

4.11.3 使专用通信通过新的防火墙系统146

4.11.4 策略考虑事项149

4.12 本章实践核对清单149

第Ⅱ部分 入侵检测和响应155

第5章 建立入侵检测和响应实践155

5.1 概述155

5.1.1 准备入侵检测和响应的必要性156

5.1.2 准备检测和响应的方法156

5.2 确定策略和过程157

5.2.1 在安全策略中阐述入侵检测和响应158

5.2.2 文档化实现入侵检测策略的过程161

5.2.3 文档化实现入侵响应策略的过程162

5.2.4 文档化角色和职责163

5.2.5 实施合法的评审163

5.2.6 培训用户163

5.2.7 保证策略、过程和培训符合当前实际165

5.3 确定用于检测可疑行为信号的特征和其他数据165

5.3.1 确定收集最有用的数据167

5.3.2 确定要收集的数据167

5.3.3 确定使用日志记录机制捕捉的数据169

5.3.4 确定使用其他数据收集机制捕捉的数据170

5.3.5 确定哪些事件应该产生警告171

5.3.6 认识到数据的收集和特征化是重复的过程171

5.3.9 特征化预期的系统行为和性能172

5.3.7 文档化和验证特征化的置信假设172

5.3.8 特征化典型的网络通信和性能172

5.3.10 特征化预期的进程和用户行为173

5.3.11 特征化预期的文件和目录信息173

5.3.12 制定系统硬件的盘存清单174

5.3.13 保护资产信息，并保持更新177

5.3.14 策略考虑事项178

5.3.15 其他信息178

5.4 管理日志记录和其他数据收集机制180

5.4.1 启用日志记录180

5.4.2 保护日志180

5.4.3 文档化日志文件的管理计划182

5.4.5 考虑特殊过程以保存证据183

5.4.4 保护数据收集机制及其输出183

5.4.6 策略考虑事项184

5.5 针对入侵响应，选择、安装和了解相关工具184

5.5.1 建立启动盘和发行介质的文档集185

5.5.2 建立安全相关补丁程序的文档集185

5.5.3 确定和安装支持重新安装的工具185

5.5.4 确保足够的备份程序186

5.5.5 建立测试结果的文档集186

5.5.6 建立和维护联系信息的来源和方法186

5.5.7 建立安全的通信机制187

5.5.8 建立资源工具箱188

5.5.9 确保测试系统和网络经过正确配置且可用188

5.6 本章实践核对清单189

5.5.10 策略考虑事项189

第6章 检测入侵信号192

6.1 概述192

6.1.1 检测入侵信号的必要性193

6.1.2 检测入侵信号的方法193

6.2 确保用于检测系统的软件不受侵害194

6.2.1 策略考虑事项196

6.2.2 其他信息197

6.3 监视并检查网络行为197

6.3.1 通知用户198

6.3.2 评审网络警告198

6.3.4 评审网络性能199

6.3.3 评审网络错误报告199

6.3.5 评审网络通信200

6.3.6 策略考虑事项201

6.3.7 其他信息202

6.4 监视并检查系统行为202

6.4.1 通知用户203

6.4.2 评审系统警告203

6.4.3 评审系统错误报告203

6.4.4 评审系统性能统计信息204

6.4.5 监视进程动作和行为204

6.4.6 监视用户行为206

6.4.7 监视网络嗅探器的存在207

6.4.9 在所有系统上运行漏洞扫描工具208

6.4.8 运行网络映射和扫描工具208

6.4.10 策略考虑事项209

6.4.11 其他信息209

6.5 检查文件和目录有无意外变化210

6.5.1 验证完整性210

6.5.2 确定意外变化及其含义211

6.5.3 策略考虑事项212

6.5.4 其他信息212

6.6 调查已接入网络的、未经授权的硬件212

6.6.1 审计与网络基础设施相连的所有系统和外设213

6.6.2 探查未经授权的调制解调器213

6.6.3 探查所有内部网段，确定未经授权的硬件213

6.7 寻找未经授权的物理资源访问信号214

6.6.4 寻找企业网络和外部网络之间的意外路由214

6.6.5 策略考虑事项214

6.7.1 检查所有物理形式的入口或出口215

6.7.2 检查物理资源的篡改迹象215

6.7.3 执行所有可移动存储介质的物理审计215

6.7.4 报告所有未经授权的物理访问信号215

6.7.5 策略考虑事项215

6.8 评审可疑系统、网络行为和事件的报告216

6.8.1 收到报告时执行“鉴别分类”216

6.8.2 对每个报告进行评估、关联和确定优先级217

6.8.3 调查每个报告或相关的一组报告217

6.8.4 策略考虑事项217

6.9.1 文档化任何异常行为或活动218

6.9 采取适当行动218

6.9.3 认识分析和调查的反复性219

6.9.4 启动入侵响应过程219

6.9.5 更新警告机制的配置219

6.9.2 调查每一个异常文档219

6.9.6 更新所有特征化信息220

6.9.7 更新日志和数据收集机制的配置220

6.9.8 处置所有已报告的事件220

6.9.9 策略考虑事项220

6.10 本章实践核对清单221

第7章 入侵响应224

7.1 概述224

7.1.2 入侵响应方法225

7.1.1 响应实践的必要性225

7.2 分析所有可用的信息227

7.2.1 捕获和记录系统信息228

7.2.2 备份易受侵害的系统228

7.2.3 隔离受侵害的系统229

7.2.4 在其他系统上搜索入侵信号229

7.2.5 检查日志229

7.2.6 标识用于获取访问的攻击230

7.2.7 确定入侵者做了什么231

7.2.8 策略考虑事项231

7.3 与相关各方进行通信231

7.3.3 通知受影响的其他站点233

7.3.2 使用安全的通信渠道233

7.3.1 遵守信息发布过程233

7.3.4 维护联系信息234

7.3.5 策略考虑事项234

7.4 收集和保护信息235

7.4.1 收集所有信息236

7.4.2 收集和保存证据236

7.4.3 保存证据监管链237

7.4.4 联系执法机关237

7.4.5 策略考虑事项238

7.5 遏制入侵238

7.5.1 临时关闭系统239

7.5.2 断开受侵害系统的网络连接239

7.5.5 验证冗余系统和数据未受侵害240

7.5.3 禁用访问、服务和账户240

7.5.4 监视系统和网络行为240

7.5.6 策略考虑事项241

7.6 消除所有入侵访问方式241

7.6.1 改变密码242

7.6.2 重新安装受侵害的系统242

7.6.3 删除所有入侵者访问方式242

7.6.4 从原始发布介质恢复可执行程序和二进制文件243

7.6.5 评审系统配置243

7.6.6 校正系统和网络漏洞244

7.6.7 改进保护机制244

7.6.8 改进检测机制244

7.7 恢复系统正常运行245

7.6.9 策略考虑事项245

7.7.2 恢复用户数据246

7.7.1 确定需求和时间框架246

7.7.3 重新建立服务和系统的可用性247

7.7.4 观察入侵者返回的信号247

7.7.5 策略考虑事项247

7.8 实践所学知识248

7.8.1 完整的通信步骤248

7.8.2 召开事后评审会议248

7.8.3 修订安全文档249

7.8.4 其他步骤249

7.9 本章实践核对清单249

A.1 概述252

附录A 安全实现252

A.2 在运行Solaris 2.x的系统上安装、配置和使用Tripwire以验证目录和文件的完整性253

A.3 在运行Solaris 2.x的系统上安装、配置和运行Secure Shell(SSH)265

A.4 理解Solaris 2.x操作系统的系统日志文件279

A.5 在运行Solaris 2.x的系统上配置和使用syslogd以收集日志消息283

A.6 在运行Solaris 2.x的系统上安装、配置和使用logsurfer 1.5以分析日志消息291

A.7 在运行Solaris 2.x的系统上安装、配置和使用spar 1.3305

A.8 在运行Solaris 2.x的系统上安装和运行tcpdump 3.4311

A.9 编写Snort规则，理解Snort警告322

附录B 实践级策略考虑事项332

缩略语353

参考文献356