系统及应用安全.ppt

系统及应用安全 中国信息安全测评中心 课程内容 2 操作系统安全 系统及应用安全技术 Web应用安全 互联网使用安全 知识体 系统及应用安全技术 知识域 操作系统安全了解Windows系统服务器安全安装及配置 了解Windows系统终端安全管理策略 3 骨干网络 保护网络边界 保护网络和基础设施 保护计算环境 系统安全是信息系统纵深防御中的最后环节IATF 保护计算环境 的主要内容 4 系统安全重要性 系统安全的核心要素 硬件系统安全硬件 服务器 存储等硬件设施威胁源 故障 自然灾害等 软件系统安全软件 操作系统 系统软件 应用软件等威胁源 兼容性 入侵 病毒等 5 如何打造安全的Windows系统 安全的安装安全的配置 6 打造安全的Windows系统 安全安装 系统选择分区选择优化安装补丁及备份 7 系统选择 正版合适的版本 以windows2003为例 WindowsServer2003标准版WindowsServer2003企业版WinowsServer数据中心版Windowsserver2003Web版单一操作系统 8 注意不同版本之间的差异 分区选择 分区设置操作系统与数据放在不同的分区建议三个分区C盘 操作系统 适当的空间 D盘 数据 足够大的空间 E盘 日志及备份 尽量大的空间 文件系统使用NTFS文件系统安装前格式化为NTFS 不要安装后使用convert命令转换 9 Windows文件系统 FAT FAT32小磁盘和简单的目录结构设计 以簇 Clusters 为单位进行空间分配 容易导致空间浪费不具备安全特性NTFS访问控制权限管理容错性支持压缩及空间利用率高 10 优化安装 最小化组件安装 仅安装必要的组件IISFTPSMTPNNTP 修改默认配置Windows安装目录 例如 c winnt 11 补丁及备份 补丁ServicePackHotfix备份应急修复盘还原点 12 打造安全的Windows系统 安全配置 账户安全配置共享安全配置系统服务配置日志安全配置安全策略配置 文件安全配置防火墙安全配置自动更新配置安全软件增强 13 账号安全配置 账户策略密码策略密码必须符合复杂性要求密码长度最小值密码最短使用期限密码最长使用期限强制密码历史用可还原的加密来存储密码账户锁定策略账户锁定时间账户锁定阀值重置账户锁定计数器 14 账号安全配置 账户信息修改更名管理员账户administrator改名给管理员账户一个安全的口令Guest账户改名 给一个安全的口令属性关闭普通账号的终端登录权限创建审计账户创建一个新的administrator账户 属于guest组对此账户进行审计以发现口令攻击行为 15 共享安全配置 共享安全风险IPC 的安全问题 空会话连接导致信息泄露 管理共享风险 远程文件操作 普通共享的风险 远程文件操作 16 解决IPC 空会话连接 系统策略本地安全策略 安全选项中的相关设置注册表 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control LSA 把RestrictAnonymous DWORD的键值改为 1端口139445端口 17 通过控制面板里面的管理工具来取消共享为暂时 重启后恢复 HKEY LOCAL MACHINE System CurrentControlSet Services LanmanServer Parameters服务器 创建键值名AutoShareServer 类型DWORD 双字节 并且值为0客户端 创建键值名为AutoShareWks 类型DWORD 双字节 并且值为0 关闭管理共享 18 系统服务安全配置 关闭不必要的服务 手工 禁用 MessageTaskSchedulerRemoteRegistryWindowsTime 服务的权限控制默认服务权限 system降低部分服务的权限 特别是应用程序服务权限 19 关注互操作服务 日志安全配置 20 默认提供日志系统日志应用程序日志安全日志安装相应服务后提供目录服务日志文件复制日志DNS服务器日志 开启安全审核 日志安全配置 日志属性日志大小上限 100M日志覆盖时间 30天日志保存路径修改HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services EventlogApplication应用程序日志Security安全日志System系统日志 21 本地安全策略设置 用户权限分配创建文件和目录从网络访问此计算机 安全选项当登录时间完成自动注销关机清理虚拟内存页面不显示上次登陆用户名超过登录时间后强制注销用户登录时的消息标题用户登录时的消息文本使用空白密码的账号允许控制台登录 22 其他本地安全策略 高级安全Windows防火墙网络列表管理器策略公钥策略软件限制策略应用程序控制策略高级审核策略配置 23 组策略设置 24 软件设置Windows设置管理模板Windows组件打印机控制面板网络系统所有设置 文件安全配置 设置系统文件权限 权限最小化原则 给予正常工作所需的最小权限参考相关文档或标准数据文件权限设置仅对需要访问的用户提供权限日志文件系统安全防护日志系统设置为仅对system有写权限Administrator为读权限 25 防火墙安全配置 出站规则入站规则连接安全规则监视防火墙连接安全规则安全关联 26 有必要考虑第三方防火墙 自动更新配置 更新方式自动更新自动下载 手动安装 推荐 通知更新 手动下载安装不检查更新更新时间其他设置 27 远程访问设置 限制对远程终端的访问尽量不要开放远程终端等远程管理系统限时限制访问源 IP 限制管理员从远程终端登录 28 安全增强软件 软件防火墙防病毒软件安全检测软件安全还原软件 外部网络 29 打造安全计算机终端的十条策略 规范的名称安全的账号及口令确保共享安全确保系统补丁更新防病毒软件及更新关闭系统自动执行功能启用系统防火墙安全策略设置安装增强软件重要数据要备份 30 策略一 规范的计算机名称 31 更改计算机名 我的电脑 属性 计算机名 更改 重启计算机即可 32 策略二 安全的账号及口令 33 开启屏幕保护功能 桌面右键 属性 屏幕保护程序 勾选 在回复时使用密码保护 34 策略三 确保共享安全 共享的管理关闭管理共享 35 共享 策略四 确保系统补丁更新 36 开启自动更新 安装更新 控制面板 安全中心 启用控制面板 自动更新 选择相应选项 37 安装更新 从弹出的对话框选择 快速安装或自定义安装安装完成后及时重启计算机 38 手工查询更新 开始菜单 所有程序 windowsUpdate 进入微软更新网站 手工更新 39 使用第三方工具修复系统漏洞 40 策略五 防病毒软件及更新 41 移动存储设备自动播放的威胁 U盘插入 病毒则立刻运行 42 策略六 关闭系统自动执行功能 43 策略七 开启windows防火墙 控制面板 安全中心 启用控制面板 windows防火墙 选择 启用 44 配置windows防火墙 选择例外 根据需要配置 例外 选项只有经过允许的应用程序才能访问网络 45 策略八 安全策略设置 46 开启审核功能 控制面板 管理工具 本地安全策略 或者直接在开始 运行中输入gpedit msc windows设置 安全设置 本地策略 审核策略 属性 根据需要选择 成功 失败 选项 47 配置日志大小和覆盖方式 控制面板 管理工具 事件查看器 或者直接在开始 运行中输入eventvwr msc 选中其中一项 属性 调整日志大小 覆盖策略 48 策略九 安全增强软件 49 文档邮件数据通讯录 备份 50 策略十 小心重要数据 知识体 系统及应用安全技术 知识域 WEB应用安全了解IIS等常用Web软件安全配置管理方法 了解SQL等数据库系统安全配置管理方法 知识域 互联网使用安全了解互联网浏览安全基本常识 了解数据安全基本概念 51 Web应用面临的安全风险 篡改挂马数据丢失拒绝服务钓鱼攻击SQL注入 52 Web应用架构 53 IISApache AspPhpJspPerl SqlserverOracleDb2mysql 如何构建安全应用环境 运行环境的安全Web服务软件安全配置数据库安全管理安全脚本开发 54 构建安全应用环境 IIS安全设置 主目录及目录安全性 目录权限 性能设置 端口 连接数等 日志安全文档和错误消息 55 虚拟目录 默认虚拟目录带来的安全风险默认文件带来的安全风险 56 不需要请删除 主目录及目录安全性 57 性能设置 58 并发连接数设置带宽限制Cpu限制 Web站点设置 IP地址端口主机头名称连接控制日志 59 日志安全性 日志记录内容日志的路径非系统盘足够大的空间单独的日志分区日志的访问权限System可以写入 不可读Administrator可读不可修改其他用户无权限 60 构建安全应用环境 SQLServer安全管理 账户安全问题扩展存储过程默认端口 通讯加密日志监控 审计备份 恢复 61 账户安全问题 默认的SA用户为空口令 62 扩展存储过程 SqlServer存在扩展存储过程能够对系统进行调用 xp cmdshell 实现cmd的调用 xp regwrite 实现注册表的调用 其他与系统交互的存储过程 63 默认端口 SqlServer默认采用的通讯端口为1433 可以将该端口进行修改提高安全性 64 通讯加密 可以选择强制协议加密来保证通讯安全 65 日志监控 审计 经常需要查看SqlServer的运行日志打开SqlServer的审计功能 66 备份 恢复 添加备份任务增量备份全备份做系统崩溃恢复测试 测试数据库 67 互联网使用安全 即时聊天 网页浏览 文件下载 邮件 办公 网络游戏 网上购物 68 网页浏览安全问题 69 网页挂马恶意脚本隐私泄露网络钓鱼网页欺诈 网页挂马的技术实现 70 利用浏览器及系统漏洞实现利用脚本实现利用activeX控件实现 网页挂马技术实现 将木马伪装为页面元素利用脚本运行的漏洞伪装为缺失的组件通过脚本运行调用某些com组件在渲染页面内容的过程中利用格式溢出释放或下载木马 例如 ani格式溢出漏洞及flash9 0 115的播放漏洞 71 恶意脚本 72 恶意脚本的实现脚本强大的交互功能可以被攻击者利用 编写具备破坏性的脚本恶意脚本类型广告 修改首页 弹出广告等 破坏 破坏系统 浏览器设置 窃取 窃取信息 放置木马 隐私泄露 73 随意注册大量网站要求注册访问 用户注册导致信息泄露密码找回密码找回方式 邮件 手机短信 导致用户信息泄露未来实名制导致的信息泄露风险增大 网络钓鱼与网页欺诈 网络钓鱼事件的发生情况 2009年网络钓鱼网站举报情况 74 钓鱼邮件 75 钓鱼网站 76 Web浏览安全 使用安全的浏览器IE安全配置良好的安全意识 77 浏览器安全 使用非IE浏览器FirefoxOperaChrome搜狗浏览器360浏览器 78 IE安全配置 浏览级别 79 以IE8为例 在安全选项中 建议勾选 该区域的安全等级 下的 该区域的允许级别 为高 IE安全配置 隐私保护 以IE8为例 在常规选项中 建议勾选 退出时删除浏览历史记录 防止信息泄漏 单击 删除 配置删除内容 建议全选 80 IE安全配置 隐私保护 在隐私选项中 建议勾选 阻止显示大多数弹出窗口 避免广告窗口打扰以及被感染病毒 木马的弹出窗口运行病毒程序 对于经常访问的网站 可以单击 设置 添加该网站即可不阻止该网站的弹出窗口 81 浏览安全 网页欺诈 伪造金融网站 电子邮件守株待兔网上 垂钓 孰真孰假 伪造网站的域名和真正的银行网站差别很小 可能仅仅是一个字母的差别 仅是 i 和 1 的差别 82 浏览安全 网银安全 以IE8浏览网银为例 不同版本IE显示可能不同 注意左侧是否是以https开头 右侧是否有锁的图标 另外 浏览器栏的底色是不是绿色 83 邮件安全 垃圾邮件 钓鱼邮件 84 邮件客户端安全使用 85 使用非微软邮件客户端等thunderbird foxmail kmail等尽量使用纯文本格式阅读备份 即时通讯安全 86 即时通讯安全 即时通讯工具散布中奖信息诈骗高额钱财诈骗者冒充客服人员 发送大量的中奖通知 骗取网友的银行卡及个人身份信息 达到盗取银行存款的目的 或以个税等各类名义要求汇款 收到汇款后拖延时间要求再次汇款 直至销声匿迹 即使是亲朋好友的汇款请求 也注意确认 87 即时聊天保护工具 QQ医生 1 查杀QQ病毒2 诊断QQ程序异常3 网页防火墙等功能 MSN保护盾 1 聊天内容加密 双方必须同时安装相同软件 2 开启多账户功能 MSNshell 1 聊天内容加密 双方必须同时安装 2 头像 多账户等强化功能 88 数据安全防护 银行卡号身份证号 通讯录社会关系 敏感内容 电子日记 空间 家庭住址 工作邮件 文件 89 数据安全 存储设备中的数据面临的信息安全威胁存储设备丢失存储设备物理损坏 数据丢失或被破坏数据被窃取 恶意恢复 90 设备丢失 设备被盗或遗失导致数据丢失不可用 同时机密数据 隐私泄露 应对办法 做好数据备份及数据加密 91 数据丢失 设备保存 使用不当 设备损坏导致数据丢失 不可用数据被误删除导致数据丢失 被破坏 不可用 应对办法 使用数据恢复软件抢救数据 重要数据请专业机构处理 92 数据被窃取 恶意恢复 数据在移动设备使用过程中被直接窃取病毒及木马设备在维修 借用给他人之后 数据被恶意