1、服務(wù)器安全防范體系,2011年11月,2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:2,培訓(xùn)目錄,第一講：安全基礎(chǔ)知識 第二講：服務(wù)器安全規(guī)范 第三講：操作系統(tǒng)安全 第四講：常見應(yīng)用安全 第五講：操作實(shí)踐,2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:3,安全基礎(chǔ)知識主要內(nèi)容(1),信息安全的概念 安全問題產(chǎn)生的根源 安全漏洞的威脅 常見的攻擊方式 掃描：掃描目的、使用工具獲取信息 網(wǎng)絡(luò)監(jiān)聽：監(jiān)聽原理與作用 拒絕服務(wù)：Syn Flood、udp Flood、Icmp Flood 木馬：木馬的概念、入侵途徑、隱藏方式、特洛依木馬簡介 SQL注入：講解SQL注入的思路與過程，防范SQL

2、注入的方法,2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:4,安全基礎(chǔ)知識主要內(nèi)容(2),主要安全技術(shù) 防火墻技術(shù)簡介： 包過濾、應(yīng)用層網(wǎng)關(guān)、狀態(tài)檢測、優(yōu)缺點(diǎn) 入侵檢測技術(shù)簡介 主機(jī)入侵檢測、網(wǎng)絡(luò)入侵檢測 掃描技術(shù)簡介 掃描器分類、工作原理、端口掃描,2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:5,服務(wù)器安全規(guī)范主要內(nèi)容(1),服務(wù)器維護(hù)安全規(guī)范 口令安全 訪問控制 安全責(zé)任的劃分 安全檢查 服務(wù)器上禁止操作行為 系統(tǒng)日志管理 安全隱患通告 系統(tǒng)安全設(shè)置的問題 補(bǔ)丁管理流程 Autoup/Octopod簡介、對比 補(bǔ)丁的下載、測試、上傳、分發(fā)過程 補(bǔ)丁光盤的制作,2020年9月1

3、日,服務(wù)器安全培訓(xùn)索引,Pages:6,服務(wù)器安全規(guī)范主要內(nèi)容(2),目前采取的安全措施簡介 日常監(jiān)控、補(bǔ)丁管理、訪問控制 主機(jī)安全配置、安全檢查 漏洞掃描、漏洞跟蹤與分析、安全通告 安全控管(octopod)、HIDS、防病毒 備份、日志集中 典型安全事件 介紹兩個公司發(fā)生過的安全事件,2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:7,操作系統(tǒng)安全主要內(nèi)容(1),Windows系統(tǒng)安全 Windows安全特性 內(nèi)建帳號，內(nèi)建組、SAM 、SID NTFS、用戶權(quán)利、權(quán)限、共享權(quán)限 Windows系統(tǒng)服務(wù)與進(jìn)程、日志系統(tǒng) Windows安裝配置過程（介紹安全原則性的內(nèi)容）,2020年9月

4、1日,服務(wù)器安全培訓(xùn)索引,Pages:8,操作系統(tǒng)安全主要內(nèi)容(2),Linux系統(tǒng)安全 Linux帳號安全、口令安全 用戶與UID、用戶組與GID 文件類型、文件的權(quán)限 加強(qiáng)Linux安全的幾點(diǎn)建議 關(guān)閉不必要的服務(wù)、遠(yuǎn)程維護(hù)openssh 啟用syslog、升級主要應(yīng)用 查看登錄情況、網(wǎng)絡(luò)連接、進(jìn)程、系統(tǒng)資源 iptables策略,2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:9,常見應(yīng)用安全主要內(nèi)容(1),Web安全（IIS) 概述、漏洞、IIS組件的安裝 IIS安全加固 刪除：默認(rèn)站點(diǎn)、示例文件、默認(rèn)腳本、無用腳本映射 IIS工作目錄修改、啟用web日志、更改日志路徑 Web站點(diǎn)

5、權(quán)限設(shè)置、http 500錯誤重定向 禁用WebDav、啟用ipsec保護(hù),2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:10,常見應(yīng)用安全主要內(nèi)容(2),數(shù)據(jù)庫安全(SQL Server 2000) 補(bǔ)丁管理 新裝數(shù)據(jù)庫服務(wù)器的補(bǔ)丁要求 老數(shù)據(jù)庫服務(wù)器的補(bǔ)丁要求 口令策略 數(shù)據(jù)庫日志 去除部分危險(xiǎn)擴(kuò)展存儲過程 數(shù)據(jù)庫的端口保護(hù),2020年9月1日,服務(wù)器安全培訓(xùn)索引,Pages:11,操作實(shí)踐主要內(nèi)容,講解、演示以下內(nèi)容： 服務(wù)器安全配置過程（依據(jù)服務(wù)器安全規(guī)范要求） 更改、刪除帳號 啟用安全日志 網(wǎng)絡(luò)安全設(shè)置 Winchk/autoup配置安裝 Octopod功能介紹、基本操作 Ne

6、tView功能介紹、基本操作 Syslog與Hids初始化操作 在命令行下配置IPSEC,安全基礎(chǔ)知識,網(wǎng)絡(luò)安全部 2008年11月,2020年9月1日,安全基礎(chǔ)知識,主要內(nèi)容,信息安全的概念 安全問題產(chǎn)生的根源 安全漏洞的威脅 常見的攻擊方式 主要的安全技術(shù),2020年9月1日,安全基礎(chǔ)知識,信息安全概念,信息安全的含義 保證信息內(nèi)容在傳儲、傳輸和處理各環(huán)節(jié)的機(jī)密性、完整性和可用性 對信息的傳播及內(nèi)容具有控制能力 不受偶然的或者惡意的原因而遭到破壞、更改、泄露 保證信息系統(tǒng)連續(xù)可靠的運(yùn)行 網(wǎng)絡(luò)服務(wù)不中斷,2020年9月1日,安全基礎(chǔ)知識,安全問題產(chǎn)生的根源,網(wǎng)絡(luò)建設(shè)之初忽略了安全問題 TCP

7、/IP協(xié)議本身缺乏安全性 操作系統(tǒng)及應(yīng)用自身存在的漏洞 操作系統(tǒng)及應(yīng)用不安全的配置 來自內(nèi)網(wǎng)用戶的安全威脅 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性 郵件病毒、Web頁面中中惡意Java/ActiveX控件 代碼中存在安全漏洞 管理中存在的安全問題,2020年9月1日,安全基礎(chǔ)知識,安全漏洞,漏洞的概念 在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng) 可能存在于 網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器的IOS存在的漏洞、配置錯誤 操作系統(tǒng)：Windows、Unix/Linux存在的漏洞 應(yīng)用服務(wù)：IIS、Apache、Serv_u存在的漏洞 網(wǎng)絡(luò)協(xié)議：TCP/

8、IP存在的缺陷 應(yīng)用程序：用C、C+、ASP、PHP代碼中 ,2020年9月1日,安全基礎(chǔ)知識,漏洞帶來的威脅,如果攻擊者獲得了一般用戶的訪問權(quán)限，那他就很有可能再通過利用本地漏洞把自己提升為管理員權(quán)限：,遠(yuǎn)程管理員權(quán)限 本地管理員權(quán)限 普通用戶訪問權(quán)限 權(quán)限提升 讀取受限文件 遠(yuǎn)程拒絕服務(wù),本地拒絕服務(wù) 遠(yuǎn)程非授權(quán)文件存取 口令恢復(fù) 欺騙 服務(wù)器信息泄露 其它,2020年9月1日,安全基礎(chǔ)知識,黑客攻擊典型步驟,漏洞分析,實(shí)施攻擊 exploit,消除證據(jù) 留下后門,收集信息 掃描,2020年9月1日,安全基礎(chǔ)知識,常見的攻擊方式,掃描 網(wǎng)絡(luò)監(jiān)聽 DoS與DDoS攻擊 特洛依木馬 SQL 注

9、入,2020年9月1日,安全基礎(chǔ)知識,通過掃描獲取信息,收集目標(biāo)服務(wù)器的信息 開放的端口和應(yīng)用 操作系統(tǒng)類型 用戶帳號信息 系統(tǒng)的漏洞 應(yīng)用的漏洞 ,2020年9月1日,安全基礎(chǔ)知識,網(wǎng)絡(luò)監(jiān)聽,監(jiān)聽的目的是截獲通信的內(nèi)容 監(jiān)聽的手段是對協(xié)議進(jìn)行分析 常用的工具 Sniffer pro、Wireshark都是網(wǎng)絡(luò)監(jiān)聽、協(xié)議分析的工具。 Tcpdump 在共享網(wǎng)絡(luò)中，可以監(jiān)聽所有流量 在交換環(huán)境中，必須設(shè)置端口鏡像 通過協(xié)議分析，可獲取敏感的明文信息 Telnet、smtp、pop3、ftp、http等應(yīng)用層協(xié)議都是明文傳輸,2020年9月1日,安全基礎(chǔ)知識,共享和交換環(huán)境下的監(jiān)聽,共享式網(wǎng)絡(luò) 通

10、過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個主機(jī) 通過HUB連接起來的子網(wǎng) 可以直接監(jiān)聽 交換式網(wǎng)絡(luò) 通過交換機(jī)連接網(wǎng)絡(luò) 由交換機(jī)構(gòu)造一個“MAC地址-端口”映射表 發(fā)送包的時(shí)候，只發(fā)到特定的端口上 可以通過配置“端口鏡像”來實(shí)現(xiàn)監(jiān)聽,2020年9月1日,安全基礎(chǔ)知識,利用監(jiān)聽獲取郵件密碼,截獲用戶郵件口令,2020年9月1日,安全基礎(chǔ)知識,冒險(xiǎn)島抓包分析案例,設(shè)置抓包服務(wù)器 配置端口鏡像 7x24小時(shí)抓包 進(jìn)行協(xié)議分析 判斷攻擊類型,2020年9月1日,安全基礎(chǔ)知識,拒絕服務(wù)DoS,定義 通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù) 是針對可用性發(fā)起的攻擊 原理 主要是利用了TCP/IP協(xié)議中存在的設(shè)

11、計(jì)缺陷、操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的缺陷 特點(diǎn) 難于防范,2020年9月1日,安全基礎(chǔ)知識,拒絕服務(wù)的形式,資源耗盡和資源過載 網(wǎng)絡(luò)連接 帶寬資源 其他資源，例如：磁盤空間被日志撐滿 錯誤的配置 不當(dāng)?shù)呐渲迷斐赡承┓?wù)無法訪問 物理部件故障,2020年9月1日,安全基礎(chǔ)知識,拒絕服務(wù)攻擊分類,拒絕服務(wù)攻擊 Syn Flood Udp Flood Icmp Flood Ping of death Teardrop Smurf Land 主要介紹Syn flood、UDP Flood、ICMP Flood攻擊,2020年9月1日,安全基礎(chǔ)知識,Syn Flood攻擊(1),TCP協(xié)議 提供

12、可靠的連接服務(wù)，采用三次握手建立一個TCP連接 TCP連接三次握手過程,SYN,SYN +ACK,ACK,Client,Server,SYN_SEND,SYN_RECV,ESTABLISHED,ESTABLISHED,2020年9月1日,安全基礎(chǔ)知識,SYN Flood攻擊(2),原理： 利用TCP協(xié)議缺陷發(fā)送大量TCP半連接請求，使得目標(biāo)機(jī)器不能進(jìn)一步接受TCP連接 對TCP而言，半連接是指一個沒有完成三次握手過程的會話 配合IP欺騙,短時(shí)間內(nèi)不斷發(fā)送SYN包，使服務(wù)器回復(fù)SYN/ACK,并不斷重發(fā)直至超時(shí) 偽造的SYN包長時(shí)間占用未連接隊(duì)列，達(dá)到上限后，服務(wù)器將拒絕響應(yīng)SYN請求，正常的S

13、YN請求被丟棄,2020年9月1日,安全基礎(chǔ)知識,SYN Flood攻擊(3),攻擊者 ,目標(biāo) ,欺騙性的 IP 包 源地址是偽造的 目標(biāo)地址是 TCP Open,SYN,2020年9月1日,安全基礎(chǔ)知識,SYN Flood攻擊(4),攻擊者 ,目標(biāo) ,SYN+ACK,同步應(yīng)答響應(yīng) 源地址 目標(biāo)地址不存在 TCP ACK,2020年9月1日,安全基礎(chǔ)知識,SYN Flood攻擊案例,外高橋機(jī)房下載系統(tǒng)DLC服務(wù)器29遭到Syn-Flood攻擊,2020年9

14、月1日,安全基礎(chǔ)知識,UDP Flood攻擊,原理： UDP協(xié)議是無連接的協(xié)議，提供不可靠的傳輸服務(wù) 不需要用任何程序建立連接來傳輸數(shù)據(jù) 攻擊者向目標(biāo)機(jī)端口發(fā)送了足夠多的 UDP 數(shù)據(jù)包的時(shí)候，整個系統(tǒng)就會癱瘓。 使用目標(biāo)機(jī)忙于處理UDP報(bào)文，無法處理其它的正常報(bào)文，從而形成拒絕服務(wù),2020年9月1日,安全基礎(chǔ)知識,ICMP Flood,原理 利用ping對網(wǎng)絡(luò)進(jìn)行診斷，發(fā)出ICMP 響應(yīng)請求報(bào)文 計(jì)算機(jī)收到ICMP echo后會回應(yīng)一個ICMP echo reply報(bào)文 攻擊者向目標(biāo)機(jī)發(fā)送大量的ICMP echo報(bào)文 目標(biāo)機(jī)忙于處理這些報(bào)文，無法處理其它網(wǎng)絡(luò)報(bào)文，從而形成拒絕服務(wù),2020

15、年9月1日,安全基礎(chǔ)知識,UDP Flood攻擊案例,冒險(xiǎn)島三區(qū)服務(wù)器受到DDOS攻擊事件 異常：發(fā)現(xiàn)大量發(fā)往UDP 8585端器的UDP包 影響：端口流出流量95.29M 上層交換機(jī)上聯(lián)端口流量639.27M 處理方法：在6509上配置ACL過濾攻擊報(bào)文,2020年9月1日,安全基礎(chǔ)知識,DDOS攻擊介紹(1),分布式拒絕服務(wù)（DDOS） Distributed Denial of Service 傳統(tǒng)的拒絕服務(wù)是一臺機(jī)器向受害者發(fā)起攻擊 DDOS攻擊是多臺主機(jī)合作，同時(shí)向一個目標(biāo)發(fā)起攻擊,2020年9月1日,安全基礎(chǔ)知識,DDOS攻擊介紹(2),主控端,代理端,2020年9月1日,安全基礎(chǔ)

16、知識,模擬試題1,下面哪項(xiàng)不是Syn flood攻擊的特征？ A 網(wǎng)絡(luò)流量異常增大 B 服務(wù)器80端口建立了大量的TCP連接 C 服務(wù)器收到大量的SYN請求 D 未連接隊(duì)列超過上限,2020年9月1日,安全基礎(chǔ)知識,特洛依木馬,木馬的由來 古希臘人圍攻特洛伊城時(shí)使用的木馬計(jì) 計(jì)算機(jī)中的特洛伊木馬的名字就是由此得來 定義 隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性極好，不易察覺，是一種極為危險(xiǎn)的網(wǎng)絡(luò)攻擊手段 木馬的組成 server端：安裝在目標(biāo)機(jī)器上的軟件 client端：用于控制目標(biāo)機(jī)器的軟件,2020年9月1日,安全基礎(chǔ)知識,木馬入侵的途徑,捆綁欺騙 如把木馬服務(wù)端和某個游戲捆綁成

17、一個文件后中發(fā)給別人 危險(xiǎn)下載點(diǎn) 攻破下載站點(diǎn)后，下載幾個下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載 ； 直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載 網(wǎng)站掛馬 在網(wǎng)站的網(wǎng)頁中植入木馬或插入下載木馬的連接 主要是利用IE瀏覽器的漏洞 利用系統(tǒng)漏洞入侵后安裝木馬,2020年9月1日,安全基礎(chǔ)知識,木馬的特征,隱蔽性 包含在正常程序中，當(dāng)用戶執(zhí)行正常程序啟動 在用戶難以察覺的情況下，完成一些危害用戶的操作 沒有圖標(biāo),在任務(wù)管理器中隱藏 自動運(yùn)行 增加一個服務(wù) 注冊表啟動項(xiàng)run 功能的特殊性 除了文件操作、設(shè)置口令、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊表操作 上傳、下載以及鎖定鼠標(biāo)等功能,2020年9

18、月1日,安全基礎(chǔ)知識,木馬的隱藏方式,隱藏進(jìn)程、端口 隱藏文件、目錄 被控端反向連接控制端 端口復(fù)用 有些木馬在使用80HTTP端口后，收到正常的HTTP請求仍然把它交給Web服務(wù)器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序 隱身技術(shù) 采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件)，木馬會將修改后的DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進(jìn)行過濾 文件加殼 通過加殼隱藏特征，躲避殺毒軟件的查殺,2020年9月1日,安全基礎(chǔ)知識,典型木馬-灰鴿子,灰鴿子是國內(nèi)著名的木馬 遠(yuǎn)程控制、文件操作 運(yùn)用 “反彈端口”突破防火墻 服務(wù)端上線通知 遠(yuǎn)程音頻通訊，音視頻監(jiān)控,2020年9月1

19、日,安全基礎(chǔ)知識,風(fēng)云項(xiàng)目服務(wù)器中木馬案例,HIDS監(jiān)測到異常文件 病毒或木馬 2008-03-16 01:16:10 999021372 感染文件=/?/C:/WINDOWS/LocalService.exe 風(fēng)云測試區(qū)測試組loginserver 使用殺毒軟件掃描 文件加殼 木馬以webclient服務(wù)啟動,2020年9月1日,安全基礎(chǔ)知識,SQL注入,利用SQL的語法，針對的是應(yīng)用程序開發(fā)設(shè)計(jì)中的漏洞 當(dāng)攻擊者能夠操作數(shù)據(jù)，往應(yīng)用程序中插入一些SQL語句時(shí)，SQL注入就發(fā)生了 攻擊目標(biāo)：控制服務(wù)器/獲取敏感數(shù)據(jù),2020年9月1日,安全基

20、礎(chǔ)知識,SQL 注入的步驟,判斷SQL注入漏洞 查找SQL注入點(diǎn) 判斷后臺數(shù)據(jù)庫類型 確定XP_CMDSHELL可執(zhí)行情況 獲得后臺管理的權(quán)限,2020年9月1日,安全基礎(chǔ)知識,判斷SQL注入漏洞,語句 select * from 表名 where 字段=49（list.asp運(yùn)行異常） 返回 Microsoft OLE DB Provider for SQL Server 錯誤 80040e14 字符串 Order By Id DESC 之前有未閉合的引號。 /list.asp，行290 獲取信息 初步確定可能存在SQL INJECTION漏洞,2020年9月1日,安全基礎(chǔ)知識,查找注入點(diǎn)（

21、1）,測試方法 and 1=1 and 1=2 經(jīng)典的1=1 ，1=2測試法 可以注入 正常顯示（必然結(jié)果） 正常顯示，內(nèi)容基本與相同 提示錯誤,2020年9月1日,安全基礎(chǔ)知識,查找注入點(diǎn)（2）,使用工掃描注入點(diǎn),2020年9月1日,安全基礎(chǔ)知識,判斷數(shù)據(jù)庫類型,語句 and 0(select version) 返回 Microsoft OLE DB Provider for SQL Server 錯誤 80040e07 將 nvarchar 值 Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14：22：05 Cop

22、yright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195： Service Pack 4) 轉(zhuǎn)換為數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語法錯誤。 /list.asp，行290 判斷 從MS SQL SERVER 后面的8.00.760可看出打了SP3,2020年9月1日,安全基礎(chǔ)知識,查詢連接DB的權(quán)限,語句 and 0(select user_name() 返回 Microsoft OLE DB Provider for SQL Server 錯誤 80040e07 將 nva

23、rchar 值 dbo 轉(zhuǎn)換為數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語法錯誤。 /list.asp，行290 判斷 權(quán)限很高，可以確定是服務(wù)器角色組中的成員,2020年9月1日,安全基礎(chǔ)知識,執(zhí)行XP_CMDSHELL,條件 當(dāng)前連接數(shù)據(jù)的帳號具有SA權(quán)限 master.dbo.xp_cmdshell擴(kuò)展存儲過程能夠正確執(zhí)行 語句 HTTP:/xxx.xxx.xxx/list.asp?id=49；exec master.xp_cmdshell “net user aaa bbb /add”- HTTP:/xxx.xxx.xxx/list.asp?id=49; exec master.xp_cmdshe

24、ll “net localgroup aaa administrators /add”- 結(jié)果 在操作系統(tǒng)中添加帳戶aaa,密碼為bbb 將新建的帳戶aaa加入管理員組,2020年9月1日,安全基礎(chǔ)知識,獲得web后臺管理的權(quán)限,后臺管理的認(rèn)證頁面一般有以下語句： select * from admin where username=XXX and password=YYY 繞過登錄認(rèn)證 語句變形為 select * from admin where username=abc or 1=1 - and password=123 輕易騙過系統(tǒng)，獲取合法身份,2020年9月1日,安全基礎(chǔ)知識,如何

25、防范SQL注入,對用戶的輸入進(jìn)行嚴(yán)格的過濾 對變量類型進(jìn)行檢查 執(zhí)行統(tǒng)一的代碼規(guī)范 養(yǎng)成良好的習(xí)慣 ,2020年9月1日,安全基礎(chǔ)知識,模擬試題2,SQL注入漏洞與下列哪一項(xiàng)有關(guān)？ A 服務(wù)器的安全配置問題 B 操作系統(tǒng)的安全漏洞 C 數(shù)據(jù)庫的安全漏洞 D 代碼安全問題,2020年9月1日,安全基礎(chǔ)知識,主要安全技術(shù),防火墻技術(shù) 入侵檢測技術(shù) 掃描技術(shù) ,2020年9月1日,安全基礎(chǔ)知識,防火墻的概念,防火墻定義： 防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實(shí)施網(wǎng)間的隔離和訪問控制的一組組件的集合，它滿足以下條件： 內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻 只有符合安全政策的數(shù)據(jù)流才能通過防火墻,

26、2020年9月1日,安全基礎(chǔ)知識,防火墻的作用,部署在網(wǎng)絡(luò)邊界處 實(shí)現(xiàn)網(wǎng)絡(luò)的隔離與訪問控制 阻止未經(jīng)授權(quán)的訪問流量 對網(wǎng)絡(luò)實(shí)施保護(hù)，以避免各種IP欺騙和路由攻擊 在防火墻可以監(jiān)視一些安全事件的發(fā)生情況 在防火墻也可以實(shí)現(xiàn)NAT地址轉(zhuǎn)換，Internet日志、審計(jì)，甚至計(jì)費(fèi)等功能,2020年9月1日,安全基礎(chǔ)知識,防火墻的局限性,不能防止內(nèi)部的攻擊 針對應(yīng)用層的攻擊防御效果不佳 容易成為網(wǎng)絡(luò)的瓶頸和單點(diǎn)故障,2020年9月1日,安全基礎(chǔ)知識,防火墻的類型,包過濾防火墻 應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器） 狀態(tài)檢測防火墻,2020年9月1日,安全基礎(chǔ)知識,包過濾防火墻(1),是一種基于網(wǎng)絡(luò)層的安全技術(shù) 基本

27、的思想 過濾器建立一組規(guī)則，根據(jù)IP包是否匹配規(guī)則中指定的條件進(jìn)行判斷 如果匹配到一條規(guī)則，則根據(jù)此規(guī)則決定轉(zhuǎn)發(fā)或者丟棄 如果所有規(guī)則都不匹配，則根據(jù)缺省策略 過濾規(guī)則包括源和目標(biāo)IP地址、協(xié)議、源和目標(biāo)端口號,2020年9月1日,安全基礎(chǔ)知識,包過濾防火墻(2),在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測 并沒有考慮連接狀態(tài)信息 通常在路由器上實(shí)現(xiàn) 優(yōu)點(diǎn)： 實(shí)現(xiàn)簡單 對用戶透明 缺點(diǎn)： 無法識別基于應(yīng)用層的攻擊,2020年9月1日,安全基礎(chǔ)知識,應(yīng)用層網(wǎng)關(guān)(1),也稱為代理服務(wù)器(proxy) 位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流 外部系統(tǒng)與內(nèi)部之間沒有直接的數(shù)據(jù)通道,客,戶,網(wǎng),關(guān),服務(wù)器,2020

28、年9月1日,安全基礎(chǔ)知識,應(yīng)用層網(wǎng)關(guān)(2),優(yōu)點(diǎn) 在應(yīng)用層上實(shí)現(xiàn) 可以針對應(yīng)用層進(jìn)行偵測和掃描 可實(shí)現(xiàn)基于用戶的認(rèn)證 可提供理想的日志功能 比較安全,缺點(diǎn) 有些服務(wù)要求建立直接連接，無法使用代理 對系統(tǒng)的整體性能有影響,2020年9月1日,安全基礎(chǔ)知識,狀態(tài)檢測防火墻,建立狀態(tài)連接表，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的會話，利用狀態(tài)表跟蹤每個會話狀態(tài) 對每個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài) 提供了完整的對傳輸層的控制能力,2020年9月1日,安全基礎(chǔ)知識,入侵檢測技術(shù),什么是IDS？ Intrusion Detection System 入侵檢測系統(tǒng) 作用 監(jiān)控網(wǎng)絡(luò)和系統(tǒng)

29、 發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象 實(shí)時(shí)報(bào)警 主動響應(yīng) 分類 主機(jī)入侵檢測（HIDS） 網(wǎng)絡(luò)入侵檢測（NIDS）,2020年9月1日,安全基礎(chǔ)知識,主機(jī)主侵檢測HIDS,安裝于被保護(hù)的主機(jī)中 主要分析主機(jī)內(nèi)部活動 系統(tǒng)日志 系統(tǒng)調(diào)用 文件完整性檢查 占用一定的系統(tǒng)資源,2020年9月1日,安全基礎(chǔ)知識,網(wǎng)絡(luò)入侵檢測NIDS,安裝在被保護(hù)的網(wǎng)段中 混雜模式監(jiān)聽 分析網(wǎng)段中所有的數(shù)據(jù)包 實(shí)時(shí)檢測和響應(yīng) 操作系統(tǒng)無關(guān)性 不會增加網(wǎng)絡(luò)中主機(jī)的負(fù)載,Switch,Monitored Servers,Console,通過端口鏡像實(shí)現(xiàn) （SPAN / Port Monitor）,2020年9月1日,安全基礎(chǔ)知識,ID

30、S檢測技術(shù),基于特征（Signature-based） 建立并維護(hù)一個已知攻擊知識庫 判別當(dāng)前行為活動是否符合已知的攻擊模式 基于異常（Anomaly-based） 首先建立起用戶的正常使用模式，即知識庫 標(biāo)識出不符合正常模式的行為活動,2020年9月1日,安全基礎(chǔ)知識,掃描技術(shù),什么是掃描器？ 自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序 可以發(fā)現(xiàn)遠(yuǎn)程服務(wù)器開放的TCP端口、提供的服務(wù)和軟件版本 間接地或直觀地了解到遠(yuǎn)程主機(jī)所存在的安全問題,2020年9月1日,安全基礎(chǔ)知識,掃描器的分類,主機(jī)掃描器 在系統(tǒng)本地運(yùn)行檢測系統(tǒng)漏洞的程序 網(wǎng)絡(luò)掃描器 基于網(wǎng)絡(luò)可遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)漏洞的程序 系統(tǒng)

31、掃描器 數(shù)據(jù)庫掃描器 Web掃描器 商業(yè)的 非商業(yè)的 .,2020年9月1日,安全基礎(chǔ)知識,掃描工作原理,主動模擬對系統(tǒng)進(jìn)行攻擊的行為 記錄、分析系統(tǒng)的反應(yīng)，發(fā)現(xiàn)其中的漏洞和脆弱性 典型步驟是： 發(fā)送信息探測數(shù)據(jù)包 等待目的主機(jī)或設(shè)備的響應(yīng) 分析回來的數(shù)據(jù)包的特征 判斷是否具有該漏洞或脆弱性 有時(shí)不能單靠一次過程就能完成，而是要分析一系列過程情況,2020年9月1日,安全基礎(chǔ)知識,端口掃描,Port scanning: 找出網(wǎng)絡(luò)中開放的服務(wù) 基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機(jī)或者防火墻、路由器都適用 端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器 Nmap Ness

32、us FoundStone ,2020年9月1日,安全基礎(chǔ)知識,小結(jié),信息安全的概念 安全問題產(chǎn)生的根源 安全漏洞的威脅 常見的攻擊方式 掃描、監(jiān)聽、DoS&DDoS、木馬、SQL注入 主要的安全技術(shù) 防火墻、入侵檢測、漏洞掃描,服務(wù)器安全規(guī)范,網(wǎng)絡(luò)安全部 2008年11月,2020年9月1日,服務(wù)器安全規(guī)范,培訓(xùn)內(nèi)容,服務(wù)器維護(hù)安全規(guī)范 補(bǔ)丁管理流程 目前采取的安全措施 典型安全事件,2020年9月1日,服務(wù)器安全規(guī)范,服務(wù)器維護(hù)安全規(guī)范,口令安全 訪問控制 安全責(zé)任的劃分 安全檢查 服務(wù)器上禁止操作行為 系統(tǒng)日志管理 安全隱患通告 系統(tǒng)安全設(shè)置的問題,2020年9月1日,服務(wù)器安全規(guī)范,口

33、令安全,適用范圍 操作系統(tǒng)口令（administrator、root） FTP口令 數(shù)據(jù)庫口令（SA 、root） 后臺管理口令 口令強(qiáng)度 口令最小位數(shù)要求（12位） 口令復(fù)雜性要求（大小寫字母+數(shù)字+字符） 口令不能與用戶名相同 嚴(yán)禁出現(xiàn)空口令、弱口令 電話號碼、單詞、生日等有意義的字母或數(shù)字不能作為口令,2020年9月1日,服務(wù)器安全規(guī)范,口令安全(2),口令的保管與使用 不在不安全的地方記錄口令 口令更改 原則上每三個月更改一次 服務(wù)器被入侵必須立即更改口令 崗位調(diào)整、離職必須立即更改口令,2020年9月1日,服務(wù)器安全規(guī)范,服務(wù)器的維護(hù),服務(wù)器維護(hù)的環(huán)境要求 不允許在家直接登錄服務(wù)器，

34、可申請Openvpn跳板機(jī)權(quán)限 不允許從他人電腦上登錄服務(wù)器 任何情況下嚴(yán)禁在公共環(huán)境(如：網(wǎng)吧)登錄服務(wù)器 日常維護(hù)流程的制定 游戲的安裝、撤消、并區(qū)、變更等操作 依據(jù)規(guī)范的要求制定標(biāo)準(zhǔn)操作流程,2020年9月1日,服務(wù)器安全規(guī)范,訪問控制(1),訪問控制策略 網(wǎng)絡(luò)訪問控制 主機(jī)訪問控制 網(wǎng)絡(luò)訪問控制 部署硬件防火墻 Netscreen 主機(jī)訪問控制 Windows環(huán)境使用ipsec Linux環(huán)境使用iptables,2020年9月1日,服務(wù)器安全規(guī)范,訪問控制(2),訪問控制策略的制定 最小化授權(quán)原則 不被允許的就是被禁止的 游戲服務(wù)器上線前必須確保： iptables已配置且啟用 ip

35、sec已配置且啟用,2020年9月1日,服務(wù)器安全規(guī)范,安全職責(zé)的劃分(1),網(wǎng)絡(luò)安全部職責(zé) 服務(wù)器安全的整體規(guī)劃 安全規(guī)范的制定與修改 漏洞跟蹤、發(fā)現(xiàn)隱患、發(fā)布安全通告 協(xié)助相關(guān)部門落實(shí)安全規(guī)范 協(xié)助相關(guān)部門排除安全隱患 履行安全規(guī)范落實(shí)的監(jiān)督與檢查職責(zé) 履行安全隱患排除的監(jiān)督與檢查職責(zé) 安全事件的處理,2020年9月1日,服務(wù)器安全規(guī)范,安全職責(zé)的劃分(2),服務(wù)器維護(hù)部門職責(zé) 根據(jù)安全規(guī)范，負(fù)責(zé)具體安全工作的開展和落實(shí) 操作流程的制定 具體管理規(guī)定的制定 根據(jù)網(wǎng)絡(luò)安全部的建議進(jìn)行安全改進(jìn) 負(fù)責(zé)排除安全隱患 協(xié)助網(wǎng)絡(luò)安全部進(jìn)行安全事件處理,2020年9月1日,服務(wù)器安全規(guī)范,安全檢查(1)

36、,安全檢查的范圍 新裝服務(wù)器：漏洞、補(bǔ)丁、端口、進(jìn)程、配置 新發(fā)布游戲客戶端：病毒掃描 新安裝的應(yīng)用 網(wǎng)站代碼的安全檢查 出現(xiàn)異常的服務(wù)器 ,2020年9月1日,服務(wù)器安全規(guī)范,安全檢查(2),重裝系統(tǒng)的條件 服務(wù)器被入侵 感染蠕蟲、病毒、中木馬 關(guān)機(jī)時(shí)間超過6周 關(guān)機(jī)期間外界公布了重大安全漏洞 新裝服務(wù)器不滿足安全規(guī)范要求 服務(wù)器曾出現(xiàn)嚴(yán)重漏洞且存在被利用可能性,2020年9月1日,服務(wù)器安全規(guī)范,安全檢查(3),通過安全檢查的條件 操作系統(tǒng)及應(yīng)用滿足安全設(shè)置要求 轉(zhuǎn)移出項(xiàng)目的服務(wù)器 刪除所有軟件與數(shù)據(jù) 應(yīng)用程序 Winchk Octopod,2020年9月1日,服務(wù)器安全規(guī)范,服務(wù)器上禁止

37、的操作行為,服務(wù)器上禁止以下操作 收發(fā)郵件 使用瀏覽器上網(wǎng)查閱資料 使用瀏覽器進(jìn)行與工作無關(guān)的訪問 程序開發(fā)與調(diào)試 玩游戲 非工作用途的操作 存放與工作無關(guān)的文件,2020年9月1日,服務(wù)器安全規(guī)范,系統(tǒng)日志管理1,日志是進(jìn)行事后追查與分析的重要手段 日志的種類 維護(hù)日志、應(yīng)用日志 維護(hù)日志 系統(tǒng)日志 應(yīng)用日志 安全日志 應(yīng)用訪問日志 Web日志 Email日志 FTP日志等,2020年9月1日,服務(wù)器安全規(guī)范,系統(tǒng)日志管理2,對系統(tǒng)日志的要求 服務(wù)器有記錄維護(hù)情況的日志 與維護(hù)有關(guān)的日志要保存3個月以上 定期查看日志，發(fā)異常要及時(shí)報(bào)告 原則上不得隨意刪除系統(tǒng)日志,2020年9月1日,服務(wù)器安

38、全規(guī)范,安全隱患通告,網(wǎng)絡(luò)安全部 漏洞的跟蹤與分析 掃描分析安全隱患 發(fā)布安全隱患通告 相應(yīng)部門 按照通告要求消除隱患 安全部監(jiān)督與檢查,2020年9月1日,服務(wù)器安全規(guī)范,系統(tǒng)安全設(shè)置問題(1),新裝應(yīng)用要通知安全部進(jìn)行漏洞跟蹤 不安裝與工作無關(guān)的應(yīng)用 不安裝來歷不明的軟件 不使用盜版軟件 部署游戲程序前要滿足以下要求： 補(bǔ)丁齊全 應(yīng)用配置滿足安全規(guī)范要求 iptables或ipsec已啟用 已通過安全部的檢查,2020年9月1日,服務(wù)器安全規(guī)范,系統(tǒng)安全設(shè)置問題(2),只能從受信任的網(wǎng)站下載軟件和補(bǔ)丁 原則上只使用pcanywhere進(jìn)行遠(yuǎn)程控制 數(shù)據(jù)庫的端口應(yīng)進(jìn)行IP限制 應(yīng)用程序不能使

39、用SA連接數(shù)據(jù)庫 去除不安全的擴(kuò)展存儲過程 (如：xp_cmdshell),2020年9月1日,服務(wù)器安全規(guī)范,模擬試題3,服務(wù)器的口令應(yīng)在多久修改一次？ A 1個月 B 2個月 C 3個月 D 4個月,2020年9月1日,服務(wù)器安全規(guī)范,培訓(xùn)內(nèi)容,服務(wù)器維護(hù)安全規(guī)范 補(bǔ)丁管理流程 目前采取的安全措施 典型安全事件,2020年9月1日,服務(wù)器安全規(guī)范,補(bǔ)丁管理流程1,針對windows環(huán)境的兩套補(bǔ)丁管理系統(tǒng) Winchk/autoup Octopod 安全部補(bǔ)丁服務(wù)器 特點(diǎn) Autoup適用于快速分發(fā)安裝補(bǔ)丁，但不能準(zhǔn)確檢查補(bǔ)丁安裝的情況 Octopod適用于有選擇的批量安裝和補(bǔ)丁檢查，檢查準(zhǔn)

40、確，可靠性高 安全部補(bǔ)丁服務(wù)器用于下載單個補(bǔ)丁和下載補(bǔ)丁光盤ISO,2020年9月1日,服務(wù)器安全規(guī)范,補(bǔ)丁管理流程2,Winchk/Autoup,2020年9月1日,服務(wù)器安全規(guī)范,補(bǔ)丁管理流程3,Octopod,Https連接,SSH連接,OCTOPOD服務(wù)器,用戶端,被控端服務(wù)器,Https連接,SSH連接1,OCTOPOD服務(wù)器,被控端服務(wù)器,SSH連接2,內(nèi)網(wǎng)服務(wù)器,端口轉(zhuǎn)發(fā) Port forwarding,2020年9月1日,服務(wù)器安全規(guī)范,補(bǔ)丁管理流程4,補(bǔ)丁收集 登錄微軟網(wǎng)站下載補(bǔ)丁 補(bǔ)丁測試 Win2000和win2003中英文版補(bǔ)丁安裝測試 上傳補(bǔ)丁 向Autoup服務(wù)器上

41、傳補(bǔ)丁 向Octopod服務(wù)器上傳補(bǔ)丁 向安全部補(bǔ)丁服務(wù)器上傳補(bǔ)丁 制作補(bǔ)丁光盤并發(fā)布到安全部補(bǔ)丁服務(wù)器上,2020年9月1日,服務(wù)器安全規(guī)范,補(bǔ)丁管理流程5,補(bǔ)丁的分發(fā)與安裝 服務(wù)器定時(shí)從Autoup上下載補(bǔ)丁并安裝 Octopod可以通過針對部分主機(jī)操作，也可通過腳本自動成批的安裝補(bǔ)丁 安全部更新盛大網(wǎng)絡(luò)服務(wù)器維護(hù)安全規(guī)范中的內(nèi)容 IDC支持部各機(jī)房與合作單位下載最新的補(bǔ)丁光盤鏡像刻錄光盤 補(bǔ)丁檢查 補(bǔ)丁是否已安裝 補(bǔ)丁是否已生效,2020年9月1日,服務(wù)器安全規(guī)范,補(bǔ)丁管理流程6,補(bǔ)丁檢查工具對比 Winchk 存在不足，檢查結(jié)果不準(zhǔn)確 Octopod 使用微軟的工具，檢查結(jié)果相對準(zhǔn)確,

42、2020年9月1日,服務(wù)器安全規(guī)范,培訓(xùn)內(nèi)容,安全概念 服務(wù)器維護(hù)安全規(guī)范 補(bǔ)丁管理流程 目前采取的安全措施 典型安全事件,2020年9月1日,服務(wù)器安全規(guī)范,目前采取的安全措施(1),日常監(jiān)控 監(jiān)控部7x24小時(shí)監(jiān)控 Winchk HIDS 補(bǔ)丁管理 Autoup Octopod 訪問控制 Ipsec（Windows) Iptables(Linux),2020年9月1日,服務(wù)器安全規(guī)范,目前采取的安全措施(2),主機(jī)安全加固 新裝服務(wù)器安全配置 安全檢查 新裝服務(wù)器安全檢查 游戲客戶端新版本病毒檢查 網(wǎng)站代碼安全檢查 漏洞掃描 新裝機(jī)的漏洞掃描 每周定期漏洞掃描 漏洞跟蹤與分析 新應(yīng)用的漏洞

43、查詢與分析 每天的漏洞跟蹤,2020年9月1日,服務(wù)器安全規(guī)范,目前采取的安全措施(3),服務(wù)器操作平臺 Octopod 身份認(rèn)證 Gina認(rèn)證 PAM認(rèn)證 密寶認(rèn)證 Web登錄驗(yàn)證碼 備份 磁帶備份 Web備份 后臺db備份,2020年9月1日,服務(wù)器安全規(guī)范,目前采取的安全措施(4),主機(jī)HIDS 關(guān)鍵點(diǎn)的完整性檢查等 病毒掃描情況檢查 防病毒 江民防病毒模塊 通過Octopod和HIDS調(diào)用 90%以上的項(xiàng)目都已部署 日志審計(jì) SYSLOG日志收集 對游戲服務(wù)器的日志集中收集與管理 網(wǎng)絡(luò)流量監(jiān)控 通過NetView查看流量 交換機(jī)端口、網(wǎng)卡的流入與流出,2020年9月1日,服務(wù)器安全規(guī)范

44、,培訓(xùn)內(nèi)容,安全概念 服務(wù)器維護(hù)安全規(guī)范 補(bǔ)丁管理流程 目前采取的安全措施 典型安全事件,2020年9月1日,服務(wù)器安全規(guī)范,典型安全事件(1),事件1：子公司吉盛服務(wù)器網(wǎng)頁中被植入木馬 時(shí)間：2004.7.29 IP地址：28 發(fā)現(xiàn)問題： 首頁index.asp被修改 d:sicentsicentbbs下，有兩個文件exe.htm和exe.chm 事件原因：使用了有漏洞的動網(wǎng)論壇代碼 事件結(jié)果：重裝服務(wù)器、刪除動網(wǎng)代碼、檢查所有代碼,2020年9月1日,服務(wù)器安全規(guī)范,典型安全事件(2),事件2：一臺測試機(jī)被植入r_server 時(shí)間：2005.3.3 IP地址：61

45、.172.247.28 發(fā)現(xiàn)問題： 8 r_server tcp 4000 c:winntsystem32r_server.exe 原因： SQL Server 2000 的SA口令為空 結(jié)果： 重裝服務(wù)器、修改口令,2020年9月1日,服務(wù)器安全規(guī)范,小結(jié),造成安全問題的因素很多 絕對安全是不存在的 減少安全問題的途徑： 人：員工專業(yè)能力的提高、責(zé)任心的增強(qiáng)、經(jīng)驗(yàn)的積累 技術(shù)：技術(shù)的進(jìn)步 管理：安全制度不斷完善，并得到有效執(zhí)行,2020年9月1日,服務(wù)器安全規(guī)范,課間休息,操作系統(tǒng)安全,網(wǎng)絡(luò)安全部 2008年11月,操作系統(tǒng)安全,2020年9月1日,主要內(nèi)容,Wind

46、ows系統(tǒng)安全 Windows安全特性 Windows安全配置與管理 Linux系統(tǒng)安全 Linux安全 加強(qiáng)Linux安全的幾點(diǎn)建議,操作系統(tǒng)安全,2020年9月1日,Windows的安全特性,Windows的安全機(jī)制是建立在對象的基礎(chǔ)之上的，它是構(gòu)成Windows操作系統(tǒng)的基本元素 Windows 中首要的對象類型有： 文件、目錄、存儲器、驅(qū)動器或系統(tǒng)程序等 所有對象的操作必須事先得到授權(quán)并由操作系統(tǒng)來執(zhí)行，防止外部程序直接訪問網(wǎng)絡(luò)數(shù)據(jù) Windows 正是通過控制程序?qū)ο蟮脑L問來獲得高的安全級別,操作系統(tǒng)安全,2020年9月1日,系統(tǒng)內(nèi)建帳戶,操作系統(tǒng)安全,2020年9月1日,系統(tǒng)內(nèi)建

47、組,Windows 2000具有一些內(nèi)建的組，將帳戶放到一個組中的所有賬戶都會繼承這些權(quán)限。 最簡單的一個例子是本地的Administrators組，放到該組中的用戶賬戶具有本地計(jì)算機(jī)的全部權(quán)限,操作系統(tǒng)安全,2020年9月1日,SAM (Security Accounts Manager),在獨(dú)立的Windows 2000計(jì)算機(jī)上，安全賬戶管理器負(fù)責(zé)保存用戶賬戶名和口令的信息 SAM組成了注冊表的5個配置單元之一，它在文件%systemroot%system32configsam中實(shí)現(xiàn) 在Windows 2000域控制器上，用戶賬戶和散列的數(shù)據(jù)保存在活動目錄中(默認(rèn)為%systemroot%

48、ntdsntds.dit)。,操作系統(tǒng)安全,2020年9月1日,安全標(biāo)識符SID,Win NT/2K內(nèi)部對安全主體的操作是通過一個稱為安全標(biāo)識符(Security Identifier，SID)的全局惟一的48位數(shù)字來進(jìn)行的 SID是對每一個用戶和工作組分配的唯一的標(biāo)志號 內(nèi)部進(jìn)程引用帳戶的SID而不是用戶名和帳號 同一臺機(jī)器上，刪除一個帳號，再建立同用戶名的帳號，其SID也不同，不能繼承前用戶的訪問權(quán)限,操作系統(tǒng)安全,2020年9月1日,SID的格式,S-1-5-21-1507001333-1204550764-1011284298-500 SID帶有前綴S，它的各個部分之間用連字符隔開 第

49、一個數(shù)字(本例中的1)是修訂版本編號 第二個數(shù)字是標(biāo)識符頒發(fā)機(jī)構(gòu)代碼(對Win2K來說總是為5) 后面是4個子頒發(fā)機(jī)構(gòu)代碼(本例中是21和后續(xù)的3個長數(shù)字串) 最后一個是相對標(biāo)識符(Relative Identifier，RID，本例中是500),操作系統(tǒng)安全,2020年9月1日,RID,RID對所有的計(jì)算機(jī)和域來說都是一個常數(shù)。 帶有RID 500的SID總是代表本地計(jì)算機(jī)的Administrator賬戶。 RID 501是Guest賬戶 Windows 2000總是將具有RID 500的帳戶識別為管理員,操作系統(tǒng)安全,2020年9月1日,NTFS文件系統(tǒng),微軟推薦采用NTFS文件系統(tǒng) (服

50、務(wù)器安全規(guī)范也要求采用NTFS) NTFS支持文件和目錄級訪問權(quán)限控制，并可以加密和壓縮數(shù)據(jù) 文件和目錄有兩種訪問許可權(quán)限： 共享訪問許可權(quán) 用于用戶與共享文件系統(tǒng)遠(yuǎn)程連接 用戶試圖通過共享方式訪問文件時(shí)，系統(tǒng)檢查共享許可權(quán)限； 文件許可權(quán) 是直接分配給文件或目錄的訪問權(quán)，以任何方式訪問文件系統(tǒng)時(shí)，都要受文件許可權(quán)限的限制。,操作系統(tǒng)安全,2020年9月1日,用戶權(quán)利、權(quán)限和共享權(quán)限,網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力 權(quán)利:在系統(tǒng)上完成特定動作的授權(quán)，由系統(tǒng)指定給內(nèi)置組也可以由管理員將其擴(kuò)大到組和用戶上。 權(quán)限:可以授予用戶或組的文件系統(tǒng)能力。 共享:用戶可以通過網(wǎng)絡(luò)使用的文件夾。,操作系

51、統(tǒng)安全,2020年9月1日,Windows系統(tǒng)的用戶權(quán)利,權(quán)利適用于對整個系統(tǒng)范圍內(nèi)的對象和任務(wù)的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。 當(dāng)用戶登錄到一個具有某種權(quán)利的帳號時(shí)，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。,操作系統(tǒng)安全,2020年9月1日,Windows系統(tǒng)的用戶權(quán)限,權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作 指定允許哪些用戶可以使用這些對象，以及如何使用 權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個權(quán)級別都確定了一個執(zhí)行特定的任務(wù)組合的能力 這些任務(wù)是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 T

52、ake Ownership(O),操作系統(tǒng)安全,2020年9月1日,Windows系統(tǒng)的目錄權(quán)限,如果對目錄有Execute(X)權(quán)限，表示可以穿越目錄，進(jìn)入其子目。,操作系統(tǒng)安全,2020年9月1日,Windows系統(tǒng)的文件權(quán)限,操作系統(tǒng)安全,2020年9月1日,Windows系統(tǒng)的共享權(quán)限(1),共享只適用于文件夾（目錄） 如果文件夾不是共享的，那么在網(wǎng) 絡(luò)上就不會有用戶看到它，也就更不能訪問。 要使網(wǎng)絡(luò)用戶可以訪問 服務(wù)器上的文件和目錄，必須首先對它建立共享。,操作系統(tǒng)安全,2020年9月1日,Windows系統(tǒng)的共享權(quán)限(2),操作系統(tǒng)安全,2020年9月1日,Windows的系統(tǒng)服務(wù)

53、(1),服務(wù)包括三種啟動類型 自動 - Windows 2000啟動的時(shí)候自動加載服務(wù) 手動 - Windows 2000啟動的時(shí)候不自動加載服務(wù)，在需要的時(shí)候手動開啟 已禁用 - Windows 2000啟動的時(shí)候不自動加載服務(wù),操作系統(tǒng)安全,2020年9月1日,Windows的系統(tǒng)服務(wù)(2),在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 下每一 服務(wù)項(xiàng)目子項(xiàng)都有一個 Start 數(shù)值 Start 數(shù)值內(nèi)容所記錄的就是服務(wù)項(xiàng)目驅(qū)動程式該在何時(shí)被加載。 Start 內(nèi)容的定義 0、1、2、3、4 等五種狀態(tài) 0、1、2 分別代表 Boot、

54、 System、Auto Load 等叁種意義 3 代表讓使用 者以手動的方式載入 4， 則是代表禁用的狀態(tài),操作系統(tǒng)安全,2020年9月1日,Windows的系統(tǒng)進(jìn)程(1),基本的系統(tǒng)進(jìn)程 smss.exe Session Manager csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統(tǒng)服務(wù) lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序 svchost.exe 包含很多系統(tǒng)服務(wù) spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印 explorer.exe

55、 資源管理器 internat.exe 輸入法,操作系統(tǒng)安全,2020年9月1日,Windows的系統(tǒng)進(jìn)程(2),附加的系統(tǒng)進(jìn)程（不是必要的） mstask.exe 允許程序在指定時(shí)間運(yùn)行 regsvc.exe 允許遠(yuǎn)程注冊表操作 winmgmt.exe 提供系統(tǒng)管理信息 inetinfo.exe 通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理 tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序 termsrv.exe 提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的 Windows 2000 桌面會話以及運(yùn)行在服務(wù)器上的基于 Windows 的程序 dns.

56、exe 應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求 ,操作系統(tǒng)安全,2020年9月1日,Windows的Log系統(tǒng)(1),三種類型的事件日志： 系統(tǒng)日志 跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。 應(yīng)用程序日志 跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載DLL（動態(tài)鏈接庫）失敗的信息將出現(xiàn)在日志中。 安全日志 跟蹤事件如登錄、注銷、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。 注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。,操作系統(tǒng)安全,2020年9月1日,Windows的Log系統(tǒng)(2),日志在系統(tǒng)的位置是： %SYSTEMROOT%system32configSysEve

57、nt.Evt %SYSTEMROOT%system32configSecEvent.Evt %SYSTEMROOT%system32configAppEvent.Evt 日志文件在注冊表的位置是： HKEY_LOCAL_MACHINESystemCurrent Control SetServicesEventlog,操作系統(tǒng)安全,2020年9月1日,Windows安全配置與管理,安裝 訪問控制 用戶和組的權(quán)限管理 賬號安全策略 網(wǎng)絡(luò)服務(wù) 文件系統(tǒng)安全 打開安全日志 其它的安全設(shè)置,操作系統(tǒng)安全,2020年9月1日,安裝,使用正版可靠安裝盤 將系統(tǒng)安裝在NTFS分區(qū)上 系統(tǒng)和數(shù)據(jù)要分開存放在不同

58、的磁盤 最小化安裝服務(wù)（不需要IIS等組件請不要安裝） 只安裝必需的協(xié)議 安裝最新的Service Pack 與hotfix 安裝系統(tǒng)和為系統(tǒng)打補(bǔ)丁時(shí)不能連接網(wǎng)絡(luò),操作系統(tǒng)安全,2020年9月1日,訪問控制,對Windows 服務(wù)器的訪問應(yīng)該只允許授權(quán)訪問，以及可靠用戶。 使用ipsec策略實(shí)現(xiàn)訪問控制 在pcanywhere中做IP限制 系統(tǒng)資源應(yīng)該限制只允許授權(quán)用戶或是那些日常維護(hù)服務(wù)器的人員訪問。 盡量將訪問來源控制在最小范圍內(nèi)。,操作系統(tǒng)安全,2020年9月1日,用戶和組的權(quán)限管理,控制好服務(wù)器上用戶的權(quán)限，應(yīng)小心地設(shè)置目錄和文件的訪問權(quán)限。 訪問權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改

59、、列目錄、完全控制。 默認(rèn)的情況下，大多數(shù)的文件夾對所有用戶（Everyone這個組）是完全敞開的（Full Control），應(yīng)根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。,操作系統(tǒng)安全,2020年9月1日,權(quán)限控制時(shí)的原則,權(quán)限是累計(jì)的 如果一個用戶同時(shí)屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限； 拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行） 若用戶屬于一個被拒絕訪問某個資源的組 不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個資源。 應(yīng)非常小心地使用拒絕 文件權(quán)限比文件夾權(quán)限高 利用用戶組來進(jìn)行權(quán)限控制 僅給用戶真正需要的權(quán)限，權(quán)限最小化原則是安全的重要保障,操作系統(tǒng)安全,2020年9月1日,帳戶安全策略(1),重命名管理員帳號 Administrator 設(shè)置帳號規(guī)則保證帳號安全 帳戶鎖定閥值設(shè)為30次 帳戶鎖定時(shí)間設(shè)為30分鐘 復(fù)位帳戶鎖定計(jì)數(shù)器設(shè)為30分鐘之后 確認(rèn)密碼強(qiáng)度足夠 密碼的位數(shù)要符合安全規(guī)范的要求,操作系統(tǒng)安全,2020年9月1日,網(wǎng)絡(luò)服務(wù),限制對外開放的端口 只允許開放特定端口 公司目前使用IPSEC進(jìn)行windows主機(jī)的保護(hù) 禁用snmp服務(wù) 原則上應(yīng)禁用