信息系统安全加固描述_第1页
信息系统安全加固描述_第2页
信息系统安全加固描述_第3页
信息系统安全加固描述_第4页
信息系统安全加固描述_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、一平安加固概述网络设备与操作系统加固和优化效劳是实现客户信息系统平安的关键环节。通过使用该项效劳,将在客户信息系统的网络层、主机层等层次建立符合客户平安需求的平安状态,并以此作为保证客户信息系统平安的起点。网络设备与操作系统加固和优化效劳的目的是通过对主机和网络设备所存在平安问题执行以下操作:  网络设备与操作系统的平安配置;  系统平安风险防范;  提供系统使用和维护建议;  安装最新平安补丁根据风险决定是否打补丁;上述工作的结果断定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,那么可以归纳为:1加固目标也就是确定系统在做过

2、加固和优化后,到达的平安级别,通常不同环境下的系统对平安级别的要求不同,由此采用的加固方案也不同。2明确系统运行状况的内容包括:  系统的具体用途,即明确系统在工作环境下所必需开放的端口和效劳等。  系统上运行的应用系统及其正常所必需的效劳。  我们是从网络扫描及人工评估里来收集系统的运行状况的。3明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。二加固和优

3、化流程概述网络设备与操作系统加固和优化的流程主要由以下四个环节构成:1. 状态调查对系统的状态调查的过程主要是导入以下效劳的结果:  系统平安需求分析  系统平安策略制订  系统平安风险评估(网络扫描和人工评估)对于新建的系统而言,主要是导入系统平安需求分析和系统平安策略制订这两项效劳的结果。在导入上述效劳的结果后,应确定被加固系统的平安级别,即确定被加固系统所能到达的平安程度。同时,也必须在分析上述效劳结果的根底上确定对网络与应用系统加固和优化的代价。2. 制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。3.

4、 实施加固对系统实施加固和优化主要内容包含以下两个方面:  对系统进行加固  对系统进行测试对系统进行测试的目的是检验在对系统实施平安加固后,系统在平安性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和平安性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。对有些系统会存在加固失败的情况,如果发生加固失败,那么根据客户的选择,要么放弃加固,要么重建系统。4. 生成加固报告加固报告是向用户提供完成网络与应用系统加固和优化效劳后的最终报告。其中包含以下内容:  加固过

5、程的完整记录  有关系统平安管理方面的建议或解决方案  对加固系统平安审计结果三平安加固技术1.网络设备加固路由器作为网络边界最重要的设备,也是进入内网的第一道防线。边界路由器的平安缺陷来源于操作系统,路由协议、硬件、配置。路由器上运行的操作系统通常存在平安隐患,主要表现为远程溢出漏洞和默认开放的效劳。除了及时下载补丁修复漏洞外,路由器操作系统默认开放的许多效劳通常存在着平安风险,加固的方法是根据最小特权原那么关闭不需要的效劳,同时对用户和进程赋予完成任务所需的最小权限。一些路由协议,如RIP,对收到的路由信息不进行任何校验和认证,由此能造成网络拓扑信息泄露或因收到恶意路由

6、而导致网络瘫痪。对此需要添加认证,确保通信对象是可信的。CDP协议(Cisco Discovery Protocal)会造成路由器操作系统版本等信息的泄露,一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机,为此需要进行备份。加固边界路由器最重要的方法是进行平安配置,建立适宜的访问控制表(ACL)。ACL(Access Control List)规定哪些IP地址和协议可以通过边界路由器,而哪些被阻止,由此确保流量平安进出网络。定制访问控制表通常应遵守这样的原那么:流量如果不被明确允许,就应该被拒绝。值得注意的是,某些网络设备可以通过物理的改变设备上的一些硬件开关来重置管理员口令字或恢

7、复出厂设置。从业务的连续性和系统可靠性上讲,物理平安是用户关键业务的重要前提保证。只要从物理上能接近设备,设备的平安性就无从谈起,因为此时我们常提到的平安效劳,如访问控制、鉴别效劳等就不能起到保护作用。2.网络结构调整在网络中我们已部署了防火墙、入侵检测、认证系统等网络平安设备,但是主要是侧重于网络层的攻击检测和防护,并且仅部署于企业公网的网络出口,对于网络的防护有一定的局限性。而近年来随着网络规模的不断扩张,应用的不断增多,连续爆发的冲击波、震荡波、CodeRed、Nimda等蠕虫病毒以及最近大量出现的ARP病毒、DDOS分布式网络攻击、大量不请自来的垃圾邮件,已成为网络当中最令管理员头疼的

8、问题。3.效劳器系统加固效劳器系统平安加固是指通过一定的技术手段,提高系统的主机平安性和抗攻击能力,通过对操作系统的平安加固,可以大大减少操作系统存在的平安漏洞,减少可能存在的平安风险,确保效劳器的正常运作。网络中各种效劳器,如Web效劳器、FTP效劳器、E-mail效劳器,是黑客攻击的重点目标,其平安性至关重要。虽然通过路由器的包过滤和防火墙的访问控制,大大增强了平安性。但黑客还可以利用效劳器的漏洞或配置错误进行攻击,以图获取系统控制权或实现拒绝效劳。例如UNIX、Windows NT、Linux都只能到达美国国防部提出可信计算机系统评测标准TCSEC的C2级。但对于开放源代码的Linux操

9、作系统,可以很好的通过采取B级系统代替传统的C级系统等措施来解决平安加固的问题。可以首先在最敏感的效劳器和网络隔离设备上及要害信息系统的效劳器中采用B级操作系统,并配备B级数据库管理系统。将应用、效劳都建设在B级的根底上,这样整个信息系统的平安性能才有根本性的保障。SELinux是由NSA美国国家平安局和SCCSecure Computing Corporation开发的Linux的一个扩张强制访问控制平安模块。2000年以GNU GPL发布。经过SELinux保护的Linux平安级别那么可以到达B1级。另外,国内在平安Linux内核技术方面的相关研究主要是LIDS工程,LIDS是一个在开放源

10、码的Linux Kernel上进行平安加固的工程。目前已经得到了国内外的广泛认同。LIDS工程在标准Linux内核源码根底上,采用强制性访问控制技术、类型保证和执行域等技术,对标准内核进行以平安增强为目的的修改,并提供了一个管理工具lidsadm。4. 数据库加固主流数据库系统包括Oracle、SQL Server、Sybase、MySQL、Informix的补丁、账号管理、口令强度和有效期检查、远程登陆和远程效劳、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。平安加固主要方式是补丁安装及平安配置的调整,并不是所有的补丁包都可以随便安装、配置随意调

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论