网络安全主机安全加固
一、安全加固概述
网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。
网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作:
●正确的安装;
●安装最新和全部OS和应用软件的安全补丁;
●操作系统和应用软件的安全配置;
●系统安全风险防;
●提供系统使用和维护建议;
●系统功能测试;
●系统安全风险测试;
●系统完整性备份;
●必要时重建系统等。
上述工作的结果决定了网络与应用系统加固和优化的流程、实施的容、步骤和复杂程度。具体说,则可以归纳为:
(1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。
(2)明确系统运行状况的容包括:
●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●系统上运行的应用系统及其正常所必需的服务。
●我们是从网络扫描及人工评估里来收集系统的运行状况的。
(3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。
(4)系统备份:备份容包括:文件系统、关键数据、配置信息、口令、用户权限等容;最好做系统全备份以便快速恢复。
二.加固和优化流程概述
网络与应用系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查
对系统的状态调查的过程主要是导入以下服务的结果:
●系统安全需求分析
●系统安全策略制订
●系统安全风险评估(网络扫描和人工评估)
对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。
2. 制订加固方案
制订加固方案的主要容是根据系统状态调查所产生的结果制订对系统实施加固和优化的容、步骤和时间表。
3. 实施加固
对系统实施加固和优化主要容包含以下两个方面:
●对系统进行加固
●对系统进行测试
对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。
对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。
4. 生成加固报告
加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下容:
●加固过程的完整记录
●有关系统安全管理方面的建议或解决方案
●对加固系统安全审计结果
三.安全加固技术
1.网络设备加固
路由器作为网络边界最重要的设备,也是进入网的第一道防线。边界路由器的安全缺陷来源于操作系统,路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐患,主要表现为远程溢出漏洞和默认开放的服务。除了及时下载补丁修复漏洞外,路由器操作系统默认开放的许多服务通常存在着安全风险,加
固的方法是根据最小特权原则关闭不需要的服务,同时对用户和进程赋予完成任务所需的最小权限。一些路由协议,如RIP,对收到的路由信息不进行任何校验和认证,由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证,确保通信对象是可信的。CDP协议(Cisco Discovery Protocal)会造成路由器操作系统版本等信息的泄露,一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机,为此需要进行备份。
加固边界路由器最重要的方法是进行安全配置,建立合适的访问控制表(ACL)。ACL(Access Control List)规定哪些IP地址和协议可以通过边界路由器,而哪些被阻止,由此确保流量安全进出网络。定制访问控制表通常应遵守这样的原则:流量如果不被明确允许,就应该被拒绝。
值得注意的是,某些网络设备可以通过物理的改变设备上的一些硬件开关来重置管理员口令字或恢复出厂设置。从业务的连续性和系统可靠性上讲,物理安全是用户关键业务的重要前提保证。只要从物理上能接近设备,设备的安全性就无从谈起,因为此时我们常提到的安全服务,如访问控制、鉴别服务等就不能起到保护作用。
2.网络结构调整
在网络中我们已部署了防火墙、入侵检测、认证系统等网络安全设备,但是主要是侧重于网络层的攻击检测和防护,并且仅部署于企业公网的网络出口,对于网络的防护有一定的局限性。而近年来随着网络规模的不断扩,应用的不断增多,连续爆发的冲击波、震荡波、CodeRed、Nimda等蠕虫病毒以及最近大量出现的ARP病毒、DDOS分布式网络攻击、大量不请自来的垃圾,已成为网络当中最令管理员头疼的问题。
3.服务器系统加固
服务器系统安全加固是指通过一定的技术手段,提高系统的主机安全性和抗攻击能力,通过对操作系统的安全加固,可以大大减少操作系统存在的安全漏洞,减少可能存在的安全风险,确保服务器的正常运作。
网络中各种服务器,如Web服务器、FTP服务器、E-mail服务器,是黑客攻击的重点目标,其安全性至关重要。虽然通过路由器的包过滤和防火墙的访问控制,大大增强了安全性。但黑客还可以利用服务器的漏洞或配置错误进行攻击,以图获取系统控制权或实现拒绝服务。
例如UNIX、Windows NT、Linux都只能达到美国国防部提出可信计算机系统评测标准TCSEC的C2级。但对于开放源代码的Linux操作系统,可以很好的通过采取B级系统代替传统的C级系统等措施来解决安全加固的问题。可以首先在最敏感的服务器和网络隔离设备上及要害信息系统的服务器中采用B级操作系统,并配备B级数据库管理系统。将应用、服务都建设在B级的基础上,这样整个信息系统的安全性能才有根本性的保障。SELinux是由NSA(美国国家安全局)和SCC(Secure Computing Corporation)开发的Linux的一个扩强制访问控制安全模块。2000年以GNU GPL发布。经过SELinux保护的Linux 安全级别则可以达到B1级。
另外,国在安全Linux核技术方面的相关研究主要是LIDS项目,LIDS是一个在开放源码的Linux Kernel上进行安全加固的工程。目前已经得到了国外的广泛认同。LIDS项目在标准Linux核源码基础上,采用强制性访问控制技术、类型保证和执行域等技术,对标准核进行以安全增强为目的的修改,并提供了一个管理工具lidsadm。
4. 数据库加固
主流数据库系统(包括Oracle、SQL Server、Sybase、MySQL、Informix)的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。
安全加固主要方式是补丁安装及安全配置的调整,并不是所有的补丁包都可以随便安装、配置随意调整,有些补丁包的安装可能会影响到某些正常应用的工作,而某些配置的调整则也可能导致系统的不稳定。安全加固之前需要对安全补丁包及调整的配置进行测试,确保补丁安装、配置调整后不会对系统正常工作带来影响。
数据库通过自己特定的安全机制来保证数据库系统的信息安全。下表是对各种安全机制主要针对的目标进行的简单分类。
5.安全产品优化
(1)防火墙
首先我们要决定是否需要防火墙。需要什么样的防火墙。防火墙在网络中的位置是什么。
防火墙并不是专用于提供接入访问和对基于因特网资源的保护,它只在你有资源需要被保护的时候才会实施。防火墙仅仅是一个访问控制的策略强制执行点。因此它只是根据所配置的防火墙安全策略(这和企业的安全策略不同)去确定如何有效的使用它。
构建一个好的安全策略的首要前提是实施一个风险分析去决定被保护的系统会有哪些威胁,之后,根据那些威胁在防火墙上为你所要保护的系统制定一个适合的策略。
现在的防火墙产品,主要分为三种:基于软件的、基于应用的和集成综合的。
软件防火墙是安装在所有有必要的通用操作系统桌面之上的。软件防火墙包括SUN的SunScreen防火墙、IPF、微软的ISA、Linux的IPTables和FreeBSD 等。软件防火墙最主要优势在于可以在日常使用的硬件上运行,最大的缺点是软件防火墙制造商和操作系统制造商在某问题导致防火墙软件或操作系统故障时可能会相互指责。当然,如果防火墙制造商和操作系统制造商是同一厂商,这种问题就不会发生。
应用类防火墙是把防火墙建在专门制定的硬件上,用来对网络提供服务。在很多情况下,应用防火墙相对软件防火墙来说能提供更好的实施性,因为他们基于可自定义的操作系统,并且使用专用的处理器和专用集成电路来处理数据和接收/发送的请求。
综合类防火墙是一种多用途设备,它在传统的防火墙中集成了其他特性,如远程接入VPN、LAN到LAN的VPN、入侵检测或防护、过滤和反病毒过滤。综合集成的防火墙的好处在于通过减少网络设备的数量来简化网络设计,同时也提供了单一系统的管理,减少了网络部门的管理负担。另一方面也潜在的减少了设备成本。但是实施这样设备的最大问题就是如果出现故障的话,会导致很多方面隐患。
和设计需要哪一种防火墙一样重要的就是决定防火墙在网络中的位置,这取决于我们要保护什么资源。了解哪种类型的防火墙设计能够最好地保护其需要保
护的资源非常重要。尽管单一的防火墙已经可以很好的保护大部分资源了,但是在安全要求相对较高的环境中可能需要是使用双重防火墙的架构来将风险降到最低。
(2)入侵检测系统
入侵检测(Intrusion Detection)是保障网络系统安全的关键部件,它通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)和异常检测(Anomaly Detection)的方式,发现非授权的或恶意的系统及网络行为,为防入侵行为提供有效的手段。在体系结构上,入侵检测由事件提取、入侵分析、入侵相应和远程管理四个主要部分组成。可执行的检测任务有:监视、分析用户及系统活动、系统构造和弱点的审计、识别分析知名攻击的行为特征并告警、异常行为特征的统计分析、评估重要的系统和数据文件的完整性,以及操作系统的审计跟踪管理,并识别用户违反安全策略的行为等。
入侵检测系统(IDS)按照功能大致划分为三类:主机IDS(HIDS)、网络IDS(NIDS)、和分布式IDS(DIDS)。虽然IDS是一种检测计算机系统恶意行为的重要技术,但它还有改进空间。精明的销售商向你推销新型的IDS时,承诺它的功能是多么的强大,但IDS不能做到检测出所有的入侵事件。
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)
文档信息 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■变更记录 时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方
XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,IT系统已经成为XXX整合、共享内部资源的核心平台,同时,随着XXX经营理念的不断深化,利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多,因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要,更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展,也产生了各种各样的安全风险和威胁,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见、WEB应用安全事件层出不穷、,黑客攻击行为几乎每时每刻都在发生,而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化,所有这些风险防范及安全审查工作极大的困扰着XXX运维人员,能否及时发现网络黑客的入侵,有效地检测出网络中的异常流量,并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范,已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,从安全技术体系建设的角度给出详细的产品及服务解决方案。
二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统,(因涉及客户信息,整体网络架构详述略)业务平台内部根据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患: 1.随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯XX的已经 无法满足信息安全防护的需要,部署了×XX的安全保障体系仍需要进一步完善, 防火墙系统的不足主要有以下几个方面(略) 2.当前网络不具备针对X攻击专项的检测及防护能力。(略) 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用
网络系统安全加固方案北京*****有限公司 2018年3月
目录 1.1项目背景 ..................................... 1.2项目目标 ..................................... 1.3参考标准 ..................................... 1.4方案设计原则 ................................. 1.5网络系统现状 ................................. 2网络系统升级改造方案............................... 2.1网络系统建设要求 ............................. 2.2网络系统升级改造方案 ......................... 2.3网络设备部署及用途 ........................... 2.4核心交换及安全设备UPS电源保证 ............... 2.5网络系统升级改造方案总结 ..................... 3网络系统安全加固技术方案........................... 3.1网络系统安全加固建设要求 ..................... 3.2网络系统安全加固技术方案 ..................... 3.3安全设备部署及用途 ........................... 3.4安全加固方案总结 ............................. 4产品清单...........................................
《网络安全防护技术》课程标准一、课程基本信息 课程名称网络安全防护技术先修课计算机组网技术、网络操作系统、网络管理 学分 4 学时建议68学时 授课对象网络专业三年级学生后续课攻防对抗、网络安全检 测与评估 课程性质专业核心课 二、课程定位 计算机网络技术专业从“组网、管网、用网”三个方向分别设置课程,《网络安全防护技术》则是其中承上启下,为这三个专业方向提供支撑,是计算机网络技术专业的核心课程。 《网络安全防护技术》课程通过三大应用情境的12个典型工作任务的学习,帮助学生学会正确使用各娄安全技术:加密、身份认证、资源权限管理、操作系统加固、病毒防范、链路加密、漏洞修补、安全检测等,能实施包括防水墙、入侵检测等安全产品配置,更能根据不同应用网络环境规划安全方案及应急响应策略。从内容上看,它涵盖了个人主机、办公网络和企业网络在安全防范中最常用的技术,也是网络安全工程师NCSE一、二级职业资格考试的重要内容,在整个课程体系中具有重要的作用。 学生学习了这门课程,既有助于学生深化前导的《网络操作系统》、《网络管理》、《计算机组网技术》等专业课程,又能辅助学生学习后续的《攻防对抗》、《网络安全检测与评估》的理解,提高学生的网络安全管理能力,培养更适应计算机网络相关岗位的合格从业人员。 三、课程设计(参照信息产业部NCSE一、二级证书的考试大纲) 1、课程目标设计 (1)能力目标 能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的安全应用型人才。能正确配置网络安全产品、实施应用安全技术、熟练掌握各类安全工具的使用方法,并能规划不同应用网络环境中的安全方案及应急响应策略。 (2)知识目标 掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类防护技术原理有正确的认识。 (3)态度目标 遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动;正确认识攻击事件,有应急处理维护和恢复信息系统的意识。 (4)终极目标 培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
从实际运作的层面来看,IT安全问题围绕三个基本事实:其一,IT系统不可能绝对可靠地识别用户的身份。其二,授权用户可能会被利用;其三,如果黑客获得了对主机的访问权,那么该主机就可能被闯入。后者,即为主机加固安全,是极其重要的一道防线。 方面,主机等高价值目标往往吸引的是黑客中的高手;另一方面,如果保存在主机上的数据越重要,用户对它的安全投入就越大,正所谓是“魔高一尺,道高一丈”的较量。 在过去的几年间,现实世界的一些犯罪组织一直在积极招揽黑客,从事针对某些目标的犯罪活动,比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪活动结合了对IT系统获得物理访问权和黑客行为,这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。 如今,黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。由于众多黑客工具在网上能够免费获得,加上USB存储设备随手可得,只要闲置的USB端口能够实际访问公共场所(比如接待处),就有可能利用网络上的任何PC发动攻击。为此,你要开始考虑对主机进行加固,以防直接从网络内部发动的攻击。 断开网络连接要加强主机安全,最明显的一个办法就是,把主机与不需要连接的部分断开。如果黑客无法碰到主机,非法闯入也就无从谈起。 关闭端口提高主机安全的第二个办法就是,真正使用主机内置的安全特性。比如,默认配置的Windows服务器允许任何用户完全可以访问任何目录下的任何文件。对这种配置进行修改非常容易,但取很少有网络管理员去修改。如果用户对某个文件没有拥有权,就不应该享有自动访问该文件的权限。如果你改了配置,那么即便黑客闯入了某个账户,他也未必能够访问该主机上的所有文件。 另外,对外开的端口越少,黑客用来危及系统安全的办法也就越少。进入Windows MMC管理器禁用不需要的服务,主机上运行的进程越少,意味着黑客可以利用的潜在故障以及安全漏洞就越少。 限制访问你可以采取的另一个措施就是切断主机验证和应用管理的联系。拥有管理主机的权限,并不意味着有权可以管理其他功能,比如主机运行的数据库引擎或者其他应用。这可能会给需要全局管理权限的用户带来不便,但它却使非法闯入数据库的难度加大了一倍,因为黑客必须攻破两个用户身份和口令。同样,你可以把其他管理任务授权给特定的用户组,但不授予主机(或者网络)的全局管理权限。比如说,你可以允许用户管理打印机,但不授予控制打印机的主机的全部管理权限。你还可以禁止没要求加班的员工下班后登录主机。其实,大多数操作系统都内置了所有这些特性,你根本用不着投入资金,需要的
【最新整理,下载后即可编辑】 网络系统安全加固方案 北京*****有限公司 2018年3月 【最新整理,下载后即可编辑】
目录 1 项目介绍 (3) 1.1 项目背景 (3) 1.2 项目目标 (3) 1.3 参考标准 (4) 1.4 方案设计原则 (4) 1.5 网络系统现状 (7) 2 网络系统升级改造方案 (8) 2.1 网络系统建设要求 (8) 2.2 网络系统升级改造方案 (8) 2.3 网络设备部署及用途 (12) 2.4 核心交换及安全设备UPS电源保证 (12) 2.5 网络系统升级改造方案总结 (13) 3 网络系统安全加固技术方案 (13) 3.1 网络系统安全加固建设要求 (13) 3.2 网络系统安全加固技术方案 (14) 3.3 安全设备部署及用途 (30) 3.4 安全加固方案总结 (31) 4 产品清单................................................................ 错误!未定义书签。【最新整理,下载后即可编辑】
1 项目介绍 1.1 项目背景 随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。 同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。 通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。 1.2 项目目标 满足对外网对网络系统等基础设施的需求,降低基础设施对
网络安全主机安全加固 网络安全主机安全加固 、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ?正确的安装; ?安装最新和全部OS和应用软件的安全补丁; ?操作系统和应用软件的安全配置; ?系统安全风险防范; ?提供系统使用和维护建议; ?系统功能测试; ?系统安全风险测试; ?系统完整性备份;
?必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,贝U可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2 )明确系统运行状况的内容包括: ?系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ?系统上运行的应用系统及其正常所必需的服务。 ?我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4 )系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二?加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ?系统安全需求分析 ?系统安全策略制订
L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
网络安全加固最新 解决方案
网络系统安全加固方案 北京*****有限公司 3月
目录 1 项目介绍 .............................................................. 错误!未定义书签。 1.1 项目背景................................................... 错误!未定义书签。 1.2 项目目标................................................... 错误!未定义书签。 1.3 参考标准................................................... 错误!未定义书签。 1.4 方案设计原则 ........................................... 错误!未定义书签。 1.5 网络系统现状 ........................................... 错误!未定义书签。 2 网络系统升级改造方案....................................... 错误!未定义书签。 2.1 网络系统建设要求 ................................... 错误!未定义书签。 2.2 网络系统升级改造方案 ........................... 错误!未定义书签。 2.3 网络设备部署及用途 ............................... 错误!未定义书签。 2.4 核心交换及安全设备UPS电源保证 ....... 错误!未定义书签。 2.5 网络系统升级改造方案总结.................... 错误!未定义书签。 3 网络系统安全加固技术方案............................... 错误!未定义书签。 3.1 网络系统安全加固建设要求.................... 错误!未定义书签。 3.2 网络系统安全加固技术方案.................... 错误!未定义书签。 3.3 安全设备部署及用途 ............................... 错误!未定义书签。 3.4 安全加固方案总结 ................................... 错误!未定义书签。 4 产品清单 .............................................................. 错误!未定义书签。
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
H3C防火墙安全加固之设备篇(一) 防火墙作为保障网络安全的基础设备,往往部署在网络的边界位置,起到隔离不同安全区域的作用,这使得防火墙成为保护内部网络的一道屏障,此时防火墙作为重要的网络节点,自身一旦被攻破,用户的内部网络便暴露在攻击者面前,所以防火墙自身的安全需要引起我们的重视。今天我们就来了解一下H3C 防火墙的常用安全加固手段。 对于网络维护人员而言,最常接触并最应该重视的就是防火墙的口令。H3C防火墙的缺省用户名密码通常为h3c/h3c或者admin/admin, 由于缺省密码的安全级别非常低,在完成初始化部署后,必须修改缺省账户的密码或者禁用缺省账号。这里通常建议密码的长度至少为8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类,每类多于4个,账户口令的生存期要低于90天,并实效前提前7天发出告警。例如在设备上可以通过以下方式设定口令规范:
选择题 部分: 第一章: (1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。A.保密性 (2)网络安全的实质和关键是保护网络的安全。C.信息 (3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。D.网络的系统安全 (4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。C.可用性 (5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。B.非授权访问 (6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。A.信息安全学科 (7)实体安全包括。B.环境安全、设备安全和媒体安全 (8)在网络安全中,常用的关键技术可以归纳为三大类。D.预防保护、检测跟踪、响应 恢复 第二章: (1)加密安全机制提供了数据的______.D.保密性和完整性 (2)SSI.协议是______之间实现加密传输协议。A.传输层和应用层 (3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。B.非对称对称 (4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。 B.数据保密性服务 (5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。D.数据保密性及以上各项 (6)VPN的实现技术包括。D.身份认证及以上技术 第三章: (1)网络安全保障包括信息安全策略和。D.上述三点 (2)网络安全保障体系框架的外围是。D.上述三点 (3)名字服务、事务服务、时间服务和安全性服务是提供的服务。C.CORBA网络安全 管理技术 (4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。A.持续改进模式的信息安全运作模式 (5)我国网络安全立法体系框架分为。B.法律、行政法规和地方性法规、规章、规范性 文档 (6)网络安全管理规范是为保障实现信息安全政策的各项目标制定的一系列管理规定和规程,具有。C.强制效力 第四章: (1)在黑客攻击技术中,是黑客发现获得主机信息的一种最佳途径。A.端口扫描 (2)一般情况下,大多数监听工具不能够分析的协议是。D.IPX和DECNet
h主机安全 一、身份鉴别(S3) 本项要求包括: a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;设置登陆密码 b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的情况:1)复杂性要求-启用、2)长度最小值-大于8、3)最长存留期-不为0、4)最短存留期-不为0、5)强制密码历史-大于3。 c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略]; d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;如果是本地管理或KVM等硬件管理方式,此要求默认满足; 如果采用远程管理,则需采用带加密管理的远程管理方式,如启用了加密功能的3389(RDP 客户端使用ssl加密)远程管理桌面或修改远程登录端口。
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。Windows Server 2003默认不存在相同用户名的用户,但应防止多人使用同一个账号。(访谈时无多人共用一个账号) f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 动态口令、数字证书、生物信息识别等 二、访问控制(S3) 本项要求包括: a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; 制定用户权限表,管理员账号仅由系统管理员登陆删除默认共享? b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; 系统管理员、安全管理员、安全审计员由不同的人员和用户担当 c) 应实现操作系统和数据库系统特权用户的权限分离; 应保证操作系统管理员和审计员不为同一个账号,且不为同一个人访谈时候注意 d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;重命名系统默认账户,禁用guest、SUPPORT_388945a0这些用户名 e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。 清理已离职员工的账户确保木有多余账号,确保木有多人共享账号 f) 应对重要信息资源设置敏感标记; Server2003无法做到 g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作; Server2003无法做到 三、安全审计(G3) 本项要求包括: a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; 依次展开[开始]->([控制面板] ->) [管理工具]->[本地安全策略]->[本地策略]->[审核策略];全部开启
一实验名称 系统主机加固 二实验目的 熟悉windows操作系统的漏洞扫描工具 了解Linux操作系统的安全操作三实验步骤 Windows主机加固 一.漏洞扫描及测试 2.漏洞测试 (1)主机A建立ipc$空连接 net use \\100.10.1.2\ipc$“” /user:”” (2)主机A通过NetBIOS获得主机B信息 主机A在命令行下执行如下命令:nbtstat –A 100.10.1.2 获得主机B的信息包括:主机名:HOST7D MAC地址:00-0C-29-31-8D-8F (3)主机A通过telnet远程登录主机B 主机A在命令行下执行如下命令:telnet 100.10.1.2 输入“n”|“Enter”,利用扫描到的弱口令用户,登录主机B。 在主机B的D盘下新建名称为“jlcss”的文件夹,命令为d: 和mkdir jlcss 主机B查看D盘出现了名为“jlcss”的文件夹,文件夹创建时间为2016-5-16 9:30 (4)主机A通过ftp访问主机B 主机A打开IE浏览器,在地址栏中输入“ftp://主机B的IP地址”,可以访问二.安全加固实施 1.分析检测报告 2.关闭ipc$空连接 主机A建立ipc$空连接,命令如下:net use \\100.10.1.2\ipc$“” /user:”” 出现提示:命令成功完成 3.禁用NetBIOS
主机A通过NetBIOS获取主机B信息,在命令行下执行如下命令: nbtstat –A 100.10.1.2 出现提示:Host not found 4.关闭445端口 (1)验证445端口是否开启 主机B在命令行中输入如下命令:netstat -an 查看到445端口处于Listening: (2)若主机不需要文件共享服务,可以通过修改注册表来屏蔽445端口 主机B执行如下命令:netstat -an 此时445端口未开启 5.禁止Telnet服务。 主机A重新telnet 主机B,出现提示 6.禁止ftp服务 主机B查看21端口是否关闭,在命令行下执行如下命令: netstat –an 主机B的21端口已关闭 主机A通过ftp访问主机B 提示无法与服务器建立连接 7.修改存在弱口令账号:net user test jlcssadmin 三.加固测试 (1)主机A使用X-Scan再次对主机B进行扫描,根据本次检测报告,对比第一次生成的检测报告,完成下表: Linux主机加固 一.使用xinetd实施主机访问控制 1.telnet服务的参数配置 (1)telnet远程登录同组主机(用户名guest,口令guestpass),确定登录成功。 (2)查看本机网络监听状态,输入命令netstat -natp。回答下列问题: telnet监听端口:23 telnet服务守护进程名:xinetd
网络系统安全加固方案 北京*****有限公司 2018年3月
目录 1项目介绍 (3) 1.1项目背景 (3) 1.2项目目标 (3) 1.3参考标准 (3) 1.4方案设计原则 (4) 1.5网络系统现状 (5) 2网络系统升级改造方案 (6) 2.1网络系统建设要求 (6) 2.2网络系统升级改造方案 (7) 2.3网络设备部署及用途 (9) 2.4核心交换及安全设备UPS电源保证 (10) 2.5网络系统升级改造方案总结 (10) 3网络系统安全加固技术方案 (10) 3.1网络系统安全加固建设要求 (10) 3.2网络系统安全加固技术方案 (11) 3.3安全设备部署及用途 (22) 3.4安全加固方案总结 (22) 4产品清单 ..................................................................... 错误!未定义书签。
1 项目介绍 1.1 项目背景 随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。 同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。 通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。 1.2 项目目标 满足对外网对网络系统等基础设施的需求,降低基础设施对对外网信息化发展的制约,顺利完成业务系统、网络系统与信息安全系统的整合,促进对外网信息化可持续发展。本次改造工作的主要内容:通过网络系统改造及安全加固,满足对外网日常办公需要,保障重要网络及业务系统的安全运行。 1.3 参考标准 本方案重点参考的政策和标准包括: ●《中华人民共和国政府信息公开条例》(中华人民共和国国务院令第 492号) ●《中华人民共和国计算机信息网络国际联网管理暂行规定》
操作系统安全与信息安全 信息安全体系相当于整个信息系统的免疫系统,免疫系统不健全,信息系统不仅是低效的,甚至是危险的。党和国家领导人多次指示:信息安全是个大问题,必须把安全问题放到至关重要的位置上,信息安全问题解决不好,后果不堪设想。 国家计算机信息系统安全保护条例要求,信息安全等级保护要实现五个安全层面(即物理层、网络层、系统层、应用层和管理层)的整体防护。其中系统层面所要求的安全操作系统是全部安全策略中的重要一环,也是国内外安全专家提倡的建立可信计算环境的核心。操作系统的安全是网络系统信息安全的基础。所有的信息化应用和安全措施都依赖操作系统提供底层支持。操作系统的漏洞或配置不当有可能导致整个安全体系的崩溃。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统的应用软件的安全性都是不可能的。目前,普遍采用的国际主流C级操作系统其安全性远远不够,访问控制粒度粗、超级用户的存在以及不断被发现的安全漏洞,是操作系统存在的几个致命性问题。中共中央办公厅、国务院办公厅近期印发的《2006-2020年国家信息化发展战略》中明确指出: “我国信息技术领域存在着自主创新技术不足,核心技术和关键设备主要依赖进口。”长期以来,我国广泛应用的主流操作系统都是进口产品,无安全性可言。如不从根本上解决,长此以往,就无法保障国家安全与经济社会安全。我们国家计算机信息系统中的主流操作系统基本采用的是国外进口的C级操作系统,即商用操作系统。商用操作系统不是安全的操作系统,它在为我们计算机信息系统带来无限便捷的同时,也为我们的信息安全、通信保密乃至国家安全带来了非常令人担忧的隐患!操作系统是计算机系统软硬件资源和数据的“总管”,担负着计算机系统庞大的资源管理,频繁的输入输出控制以及不可间断的用户与操作系统之间的通信等重要功能。 一般来讲,包括病毒在内的各种网络安全问题的根源和症结,主要是由于商用操作系统的安全脆弱性。当今的信息系统产生安全问题的基本原因是操作系统的结构和机制不安全。这样就导致:资源配置可以被篡改、恶意程序被植入执行、利用缓冲区(栈)溢出攻击非法接管系统管理员权限等安全事故。病毒在世界范围内传播泛滥,黑客利用各种漏洞攻击入侵,
L i n u x系统主机安全加 固 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进 行修改: /etc/profile/etc/profile .bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgd mdo
usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak