服务器安全加固方案

1、服务器安全加固方案密级：普通文档编号：服务器安全加固方案Version 1.0.0浪潮集团信息安全事业部2022 年 6 月概述信息系统建设的规划模型信息建设框架图如上图所示：浪潮认为，根据建设对象和实现目标不同， 客户的信息化建设架构应该分为四个部分，分别是 IT 基础设施建设和管理，安全系统建设和管理、安全网管平台建设和管理、应用系统建设和管理。建设的顺序也是自下而上依次或者同步进行。但是在实际的建设工程中，集成商往往引导客户重视两 头的建设既基础设施建设和应用系统的建设却对中间过程的安全系统建设及安全网络管理平台建设比较忽视（信息建设框架图中红色的模块部分）。即使在建设中涉及了部分内容，

2、也只是网络安全的边界防护、PC 终端的防病毒建设等等，对于数据库的数据安全以及服务器的自身安全管理并不是太重视。更不要说建设集中的安全的网络安全管理中心了。当基 础设施结构越来越庞大、应用系统越来越复杂，业务和基础 设施之间的脱节感就会越来越强，越来越多的问题也会被提 出来，例如：什么是影响业务的主要瓶颈？业务带来的安全问题如何去解决？ 需要增加网络带宽吗？网络故障导致业务受阻，问题出在什么地方？业务网络内安全状况到底是什么状态，业务的数据传 输安全吗？?等等因此，浪潮提供的信息建设和管理不仅仅关注纯粹的 IT 技术，更多地关注如何把客户的应用业务和基础结构这两个 层面中间的空白连接在一起，使

3、他们之间的鸿沟更好地弥合。 也就是努力的将框架中通常缺失的红色部分完整地提供给客户。服务器操作系统及数据安全的重要性长期以来我们对基于网络应用的外部防范技术关注较多，但是往往忽略了信息安全的“终点问题”。安全网络管理是通过网络层、链路层以及分析审计信息来对信息网络的 整体安全和网络状况进行监控和管理。我们知道所有的攻击 来源和攻击目标最终都会归结到承载企事业单位信息业务 的终端和服务器上。浪潮安全网管系统能够很好的全面对服 务器进行监控，但是操作系统的漏洞是层出不穷的，一旦最 后一道防线被攻破，即使我们有监控证据和管理措施，服务 器的重要数据丢失造成的影响我们还是无法估量的。业务系统中的数据库

4、已不再是只存在可靠性高的网络 中。慢慢地，数据库与多个应用相连接，其间网络多是不可靠的。数据库中的数据是单位信息业务的生命血液，存放的信息又重要又广泛。对数据库的非授权访问引起了人们的关注，产生了新的难题。IT 和安全管理员已相继配置了安全策略和技术，但很少企业能足以抵御攻击，保护自己的数据库。 面对不断增长的风险，国家制定了相关的行业法规。隐私权保护、数据保护以及重要信息的长期存储和归档隐患，企业需要保证他们的数据保护上处于不断改进中。面对需求变更的商业压力，越来越多的企业想在标准数 据库包的安全控制之外仍然取得一定级别的数据库安全性， 尤其是，他们希望能够限制查看数据库中重要数据项的人员

5、访问。当前紧迫问题是如何最好地实现这一点？怎样配置访 问控制，如何加密以实现严格的安全策略，而不影响到日常的数据库操作？加密/解密可以配置在应用程序，或数据库 中，或文件系统上。所以浪潮建议客户在数据安全建设上要抓住关键，即安 全的服务器和安全的操作系统。面临的安全风险来自内部的攻击威胁隐患某些内部员工有攻击所在公司的目的或动机并且他 们熟知资源的访问控制；内部网物理窃听容易，有很多的网络工具可以监听局 域网传输的任何信息；一般的内部服务应用所传输的敏感信息都是明文，如telnet 时输入的帐号和口令，网页登录页面输入的用户名和口令；内部员工所连接的电脑在物理上直接与服务器相连， 来自用户的请

6、求未经任何过滤，直接连到服务器，而相比之下，Internet 上的服务器一般都有防火墙的保护。这些原因导致了内部网存在的安全 威胁相比Internet 更值得关注。内部网Intranet 指的是一个基于TCP/IP 通讯协议的内部信息系统，为用户提供网络服务。随着网络应用的发展，很多企业以 及政府部门经常在自己内部的 Intranet 中集成了多种应用，包括基于浏览器方式的 WWW应用以及基于数据库的 Client-Server 方式应用。使用者凭用户名和口令进入每个应用，应用也根据用户名和口令识别用户身 份，判断用户的权限。这样应用的增加给内部网络带来了两方面的问题。 对用户而言，将拥有多个

7、用户名和口令，用户如何有效的管理自己在 各个应用中对应的用户名和口令？如何保护自己的身份信息不被别人 窃取呢？如果用户遗忘了某个用户名或口令时将会影响他的工作，可能 给自己造成很大的损失；如果用户为了方便记忆在各个应用中都使用同 一个用户名和口令或把自己的各个用户名、口令记录在纸上，就会带来 很大的口令泄露的风险。对整个内部网而言，如何在多个应用中统一管 理用户的权限？如何提供保护用户身份信息的安全机制？如何有效地 确保合法用户在自己拥有的权限内安全地、方便地使用 Intranet，同时防止内部人员非法越权访问？又如何防止网上传输的机密信息泄露呢？ 大多数的 WWW 服务都使用明文来传输用户名

8、和口令，这很容易被他人从 网上截获。即使是相当好的口令，由于口令的长度很有限，也抵御不了 类似字典攻击这样的穷举攻击。来自外部网络的攻击随着 Internet 网络上计算机的不断增长，所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵，它就 有可能成为入侵者的栖息地和跳板，作为进一步攻击的工具。 对于网络基础架构如 DNS 系统、路由器的攻击也越来越成为严重的安全威胁。以下是网络攻击的几大主要趋势。趋势一：攻击过程的自动化；攻击工具的快速更新攻击工具的自动化程度继续不断增强。自动化攻击涉及 到的四个阶段都发生了变化。扫描潜在的受害者从 1997 年起大量的扫描活动就开始了。目前，新的扫描

9、工具利用了更先进的扫描技术，变得更加有威力，并且提 高了速度。入侵具有漏洞的系统以前，对具有漏洞的系统的攻击是发生在大范围的扫描 之后的。现在，攻击工具已经将对漏洞的入侵设计成为了扫 描活动的一部分，这样大大加快了入侵的速度。攻击扩散2000 年之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda 病毒这些工具就在 18 个小时之内传遍了全球。攻击工具的协同管理自从 1999 年起，随着分布式攻击工具的产生，攻击者能够管理大量分布在 Internet 之上的攻击工具发起攻击。现在，攻击者能够更加有效地发起一个分布式拒绝服务攻击。 协同功

10、能利用了大量大众化的协议如 IRC （Internet Relay Chat）、IR（Instant Message）等的功能。趋势二：攻击工具的不断复杂化攻击工具的编写者采用了比以前更加先进的技术。攻击 工具的特征码越来越难以通过分析来发现，并且越来越难以 通过基于特征码的系统发现，例如防病毒软件和入侵检测系统。其中三个重要的特点是反检测功能，动态行为特点以及 攻击工具的模块化。反检测攻击者采用了能够隐藏攻击工具的技术。这使得安全专 家想要通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。动态行为以前的攻击工具按照预定的单一步骤发起进攻。现在的 自动攻击工具能够按照不同的方法更改它们的

11、特征，如随机 选择、预定的决策路径或者通过入侵者直接的控制。攻击工具的模块化和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且， 攻击工具能够在越来越多的平台上运行。例如，许多攻击工具采用了标准的协议如 IRC 和HTTP 进行数据和命令的传输， 这样，想要从正常的网络流量中分析出攻击特征就更加困难了。趋势三：漏洞发现得更快每一年报告给 CERT/CC 的漏洞数量都成倍增长。对于管理员来说想要跟上补丁的步伐是很困难的。另外，每年都会 发现新的类型的漏洞。对于新的漏洞类型的代码实例分析常 常导致数以百计的其它不同软件漏洞的发现。而且，入侵者往往能够

12、在软件厂商更正这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具的自动化趋势，留给用户打补丁的时间越来越短。趋势四：渗透防火墙我们常常依赖防火墙提供一个安全的主要边界保护。但 是目前已经存在一些绕过典型防火墙配置的技术，如 IPP（the Internet Printing Protocol）和 WebDAV （Web-based Distributed Authoring and Versioning ），另外，一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置。特定特征的“移动代码”（如 ActiveX 控件， Java 和 JavaScript）使得保护存在漏洞的系统以及发现恶意的软件更加困难。当前常用的网络安全技术与工具的局限性当前常用的网络安全技术与工具主要有：防火墙技术、 入侵检测系统技术(IDS)、Scanner 技术、VPN 技术和防病毒技术等，但每种技术都存在其局限性。防火墙号称“一夫当关，万夫莫开”的关口 ,一定程度上简化了网络的安全管理，但入侵者可寻找防火墙背后可能敞开的 后门,对于这种入侵者可能就在防火墙内的网络内部攻击基本无法防范。入侵检测 IDS很难跟踪新的