最新资料欢迎阅读
系统安全方案
一、概述3
二、安全方案3一、服务器配置方案31)安装防病毒软件并及时更新病毒库32)及时安装最新版本的SP和Hotfixes补丁程序33)关掉不需要的服务44)对系统帐户进行安全设置45)开启审核策略76)限制LAS信息不被匿名访问77)禁止对注册表的远程访问88)关闭不需要的端口89)IIS的安全设置9二、网络安全方案111)、使用防火墙122)、使用VPN技术133)、使用SSL安全机制134)、安装入侵检测系统13三、数据安全方案1 41、安全审核1
42、使用安全的密码策略14四、软件安全方案15
一、概述 现代计算机系统功能日渐复杂,信息化日渐强大,正在对社会各行各业产生巨大深远的影响,但同时由于其开放性特点,使得安全问题越来越突出。然而,随着人们对计算机网络依赖程度的日渐加深,信息化安全也表现得越来越重要。为防止不同类型的系统安全隐患,所以构建一个安全的系统是非常重要的。 二、安全方案 一、服务器配置方案对于各类服务器的操作系统要有严格的操作管理流程,对服务器的操作严格按照操作流程来做,这是最基本的要求,另外还要按照以下流程对操作系统进行安全设置:1)安装防病毒软件并及时更新病毒库计算机病毒的危害日益加重,我们必须在服务器上安装防病毒软件,并做到及时更新。2)及时安装最新版本的SP和Hotfixes补丁程序 要及时跟踪Microsoft公司发布SP以及hotfixes的消息,从而根据具体环境,在机器中安装最新的SP及hotfixes补丁程序。微软公司的产品补丁分为2类:SP(Service Pack)和HotFixes。SP是集合一段时间发布的HotFixes的大补丁,一般命名为SP
1、SP2,一段时间才发布一次。HotFixes是小补丁,它位于当前SP和下一个SP之间,是为解决微软网站上最新安全告示(Security bulletin)中的系统漏洞而发布的,一般命名为“MS年份-序号”,比如MS01-044表示2001第44个HotFixes。可以设置系统为自动下载更新系统补丁。3)关掉不需要的服务安装完Windows2003 Server后,我们就应该禁止掉该服务器不承担的任何网络服务程序。特别要考虑的是,是否需要运行文件和打印机共享服务。另外,除非特
1
最新资料欢迎阅读 别需要,我们也不要在服务器上安装其他应用程序。比如说,不要安装电子邮件客户端程序、office产品等等。总之,不是必须运行的程序,不安装!4)对系统帐户进行安全设置(1)禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。(2)限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。(3)创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators 权限的用户只在需要的时候使用。(4)把系统Administrator账号改名大家都知道,Windows2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。(5)创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。(6)把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。(7)开启用户策略使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。(8)不让系统显示上次登录的用户名默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“HKLM\\Software\\Microsoft\\WindowsT\\CurrentVersion\\Winlogon\\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。(9)密码安全设置使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
开启密码策略注意应用密码策略,如启用密码复杂性要求,设置密码长度最
1
最新资料欢迎阅读 小值为6位 ,设置强制密码历史为5次,时间为42天。
考虑使用智能卡来代替密码对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
5)开启审核策略 全审核是win2003最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:策略设置:审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败6)限制LAS信息不被匿名访问LSA 是Local Security Authority的缩写,即本地安全颁发机构,它的功能是负责在本地计算机上处理用户登录与身份验证。LSA的信息非常重要,我们应该限制匿名用户对LSA的访问。要实现这个目的,需要修改注册表,步骤如下: 创
建
键
值
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous赋值为1,类型为REG_DWORD7)禁止对注册表的远程访问对注册表的远程访问会造成安全上的问题,我们的注册表中保留了机器的配置和安全信息,让别人知道总不是件好事。可以通过下面的方法禁止对注册表的远程访问:打开注册表编辑器
,
找
到
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\SecurePipeServers\\WinReg,设置其值为1即可8)关闭不需要的端口用端口扫描器扫描系统所开放的端口,确定开放了哪些端口,关闭不必要的端口,在\\system32\\drivers\\etc\\services文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性打开tcp/ip筛选,添加需要的tcp,udp,协议即可9)IIS的安全设置(1)避免把IIS安装在主系统分区上:把IIS安放在系统分区上,
1
最新资料欢迎阅读 会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。(2)修改IIS安装的默认目录(3)删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。(4)删除不必要的应用程序映射ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。(5)保护日志安全保护日志安全日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
修改IIS日志的存放路径 默认情况下,IIS的日志存放在%WinDir%\\System32\\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
修改日志访问权限,设置只有管理员才能访问。(6)使用SSL安全机制使用SSL安全机制IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证:通过SSL(Security Socket Layer)安全机制使用数字证书。
SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服
1
最新资料欢迎阅读 务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。具体步骤如下:
(1) 启动ISM并打开Web站点的属性页; (2) 选择“目录安全性”选项卡; (3) 单击“密钥管理器”按钮; (4) 通过密钥管理器生成密钥对文件和请求文件; (5) 从身份认证权限中申请一个证书; (6) 通过密钥管理器在服务器上安装证书; (7) 激活Web站点的SSL安全性。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信。二、网络安全方案网络通讯与访问的安全防护主要在于保证信息在网络上被安全地传输,保证通过网络线路和设备访问GS应用系统及数据信息的访问者的合法性,保证企业内部数据信息不被企业外部攻击者所窃取。1)、使用防火墙在保证网络安全方面,防火墙(Firewall)被广泛使用。在接入Internet的组织中,经常使用来保护内部网及资源,也可以将防火墙用于内部网内对保密信息或其他敏感信息的限制访问,使得只有限定的授权的操作可以通过防火墙。 我们建议对于GS产品服务器在网络上与其它服务器进行隔离,通过建立子网、子网与企业内部网之间使用防火墙的形式提高安全性。网络分离同时保证了企业内部网的数据传输速度。在企业内部网(Intranet)与Internet网之间配置防火墙(Firewall)。将WEB服务器、应用服务器、数据库服务器等部署在防火墙后面。将企业内部应用的程序与外部应用进行分离。将网上信息发布单独部署在一个WEB服务器上,外部用户可以通过防火墙后访问这个WEB服务器。对访问记录进行审计。对反复试探的IP地址禁用。2)、使用VPN技术基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使企业的远程用户可以在安全的前提下迅速接入企业内部网,以实现对内部网的相关操作。远程用户使用VPN技术连接入GS产品服务器,就像企业内部网用户使用一样,安全性大大提高,同时使得企业能够降低成本、提高效率、增强安全性。3)、使用SSL安全机制4)、安装入侵检测系统网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通讯信息,另一种是在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。系统完整性检测,主要用于监视系统文件或者Windows
1