当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之九:审计结果(3)

安全基础
十大高招教会你摆脱黑客的网络攻击
2007个人计算计安全配置手册---武装到牙齿
【安全防护】网络入侵检测初步探测方法
保护系统 从防范IP泄漏开始!
教你如何防止系统中IE被恶意修改
交换机路由器更加安全三种办法
网络的核心所在 交换机漏洞五宗罪
上网必看,8招让你安全高效上网
提醒 网络玩家成为黑客攻击主要对象
十一种常见流氓软件完全卸载方法
聊天的危险 即时通讯常见安全问题
保护系统从防范IP泄漏开始
动态嵌入式DLL木马简便发现与清除方法
更新换代Vista系统安全新特性全面阐述
不可不留神 病毒损坏硬件有七大损招
注册表探秘 跟踪病毒的映象劫持的危害
追根溯源DLL技术木马进程内幕大揭密
擦亮眼睛小心假冒卡巴斯基的陷阱
简单安全习惯减少电脑资料丢失损坏几率
避免自己的服务器被列入黑名单的小技巧

安全基础 中的 网络安全讲座之九:审计结果(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 73 ::
收藏到网摘: n/a

  Evaluation Assurance Level

  Evaluation assurance levels(EAL)提供了描述和预测特别的操作系统和网络的安全行为的通用的方法。等级数越高,则要求得越严格。EAL 1需要由TOE厂商做出声明的证明,EAL 7需要你核实和记录下实施过程的每一个步骤。你应该注意到当EAL的等级升高时,两项要求也会变得更严格。

  ·设计的证明:EAL 1只要求检查产品的文件,而EAL 7要求对系统进行完全的记录完整的独立的分析。
  ·抵御攻击的能力:EAL 1需要产品至少声明能够提供对攻击的有效防范;而EAL 7需要操作系统能够抵御复杂的破坏数据机密性和拒绝服务式的攻击。

  下表描述了七个EAL类别。

类别
描述
1
功能上的测试:分析产品的声明,和实施TOE的基本测试。
2
结构上的测试:需要选择TOE的重要元素来经受具有权威资格的测试,例如程序开发者。
3
系统的测试和检查:进行测试的要求非常严格,在有限的基础上,操作系统的所有元素都必须独立地检验。
4
系统地设计,测试和回顾:这一级别的保证是允许已经完成的程序和以前实施的系统进行更改的最高保证。这一级别还需要操作系统通过抵御低级别的攻击的测试。
5
半正式的设计和测试:操作系统必须可以经受适度的,比较复杂的攻击。
6
半正式地验证设计和测试:与EAL 5相同,但是需要第三方的TOE设计核实。
7
操作系统必须经完整地回顾和被证明能够抵御灵活的攻击。正式地设计和测试:确保发展的过程有组织,由第三方记录所有的过程。例如,所有通信都必须被记录下来。

  增强路由器安全

  简单地增强路由器安全的方法包括:

  ·严格控制路由器的物理访问。
  ·获得最新的操作系统升级(包括NT系统做路由,和专门的路由器操作系统,例如Cisco IOS)
  ·确保路由器不受拒绝服务攻击的影响。
  ·确保路由器不成为拒绝服务攻击的不知情的帮凶。

  下表提供了一些建议来确保第三、四项的要求。

过程
描述
入口和出口过滤配置你的路由器只路由那些具有合法的内部IP地址的数据包离开。你的路由器应当丢弃任何不具有合法的内部IP地址的包。这个设置有助于网络不成为发送虚假IP包的源头。

  然后,配置路由器丢弃所有源于表7月5日的IP地址包

  要获得更多的信息请查看Internet Draft ierf-grip-isp-07(ISP的安全展望)

  禁止广播过滤

  许多拒绝服务攻击,包括Smurf攻击,都是攻击者利用路由器在配置上允许直接广播的漏洞。最简单的确定路由器是否配置成回应这些地址的方法是ping该网络地址(例如192.168.4.0)或该网络广播地址(例如192.168.4.255)

  在入口和出口过滤中应当考虑的IP 地址

分类
地址
Historical Low End Broadcast0.0.0.0/8
Limited broadcast255.255.255.255/32
RFC 1918 私有网络10.0.0.0/8
RFC 1918 私有网络172.16.0.0/12
RFC 1918 私有网络192.168.0.0/16