服务器安全防范体系.ppt

服务器安全防范体系,2011年11月,2019年5月10日,服务器安全培训索引,Pages:2,培训目录,第一讲：安全基础知识 第二讲：服务器安全规范 第三讲：操作系统安全 第四讲：常见应用安全 第五讲：操作实践,2019年5月10日,服务器安全培训索引,Pages:3,安全基础知识主要内容(1),信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 扫描：扫描目的、使用工具获取信息 网络监听：监听原理与作用 拒绝服务：Syn Flood、udp Flood、Icmp Flood 木马：木马的概念、入侵途径、隐藏方式、特洛依木马简介 SQL注入：讲解SQL注入的思路与过程，防范SQL注入的方法,2019年5月10日,服务器安全培训索引,Pages:4,安全基础知识主要内容(2),主要安全技术 防火墙技术简介： 包过滤、应用层网关、状态检测、优缺点 入侵检测技术简介 主机入侵检测、网络入侵检测 扫描技术简介 扫描器分类、工作原理、端口扫描,2019年5月10日,服务器安全培训索引,Pages:5,服务器安全规范主要内容(1),服务器维护安全规范 口令安全 访问控制 安全责任的划分 安全检查 服务器上禁止操作行为 系统日志管理 安全隐患通告 系统安全设置的问题 补丁管理流程 Autoup/Octopod简介、对比 补丁的下载、测试、上传、分发过程 补丁光盘的制作,2019年5月10日,服务器安全培训索引,Pages:6,服务器安全规范主要内容(2),目前采取的安全措施简介 日常监控、补丁管理、访问控制 主机安全配置、安全检查 漏洞扫描、漏洞跟踪与分析、安全通告 安全控管(octopod)、HIDS、防病毒 备份、日志集中 典型安全事件 介绍两个公司发生过的安全事件,2019年5月10日,服务器安全培训索引,Pages:7,操作系统安全主要内容(1),Windows系统安全 Windows安全特性 内建帐号，内建组、SAM 、SID NTFS、用户权利、权限、共享权限 Windows系统服务与进程、日志系统 Windows安装配置过程（介绍安全原则性的内容）,2019年5月10日,服务器安全培训索引,Pages:8,操作系统安全主要内容(2),Linux系统安全 Linux帐号安全、口令安全 用户与UID、用户组与GID 文件类型、文件的权限 加强Linux安全的几点建议 关闭不必要的服务、远程维护openssh 启用syslog、升级主要应用 查看登录情况、网络连接、进程、系统资源 iptables策略,2019年5月10日,服务器安全培训索引,Pages:9,常见应用安全主要内容(1),Web安全（IIS) 概述、漏洞、IIS组件的安装 IIS安全加固 删除：默认站点、示例文件、默认脚本、无用脚本映射 IIS工作目录修改、启用web日志、更改日志路径 Web站点权限设置、http 500错误重定向 禁用WebDav、启用ipsec保护,2019年5月10日,服务器安全培训索引,Pages:10,常见应用安全主要内容(2),数据库安全(SQL Server 2000) 补丁管理 新装数据库服务器的补丁要求 老数据库服务器的补丁要求 口令策略 数据库日志 去除部分危险扩展存储过程 数据库的端口保护,2019年5月10日,服务器安全培训索引,Pages:11,操作实践主要内容,讲解、演示以下内容： 服务器安全配置过程（依据服务器安全规范要求） 更改、删除帐号 启用安全日志 网络安全设置 Winchk/autoup配置安装 Octopod功能介绍、基本操作 NetView功能介绍、基本操作 Syslog与Hids初始化操作 在命令行下配置IPSEC,安全基础知识,网络安全部 2008年11月,2019年5月10日,安全基础知识,主要内容,信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 主要的安全技术,2019年5月10日,安全基础知识,信息安全概念,信息安全的含义 保证信息内容在传储、传输和处理各环节的机密性、完整性和可用性 对信息的传播及内容具有控制能力 不受偶然的或者恶意的原因而遭到破坏、更改、泄露 保证信息系统连续可靠的运行 网络服务不中断,2019年5月10日,安全基础知识,安全问题产生的根源,网络建设之初忽略了安全问题 TCP/IP协议本身缺乏安全性 操作系统及应用自身存在的漏洞 操作系统及应用不安全的配置 来自内网用户的安全威胁 缺乏有效的手段监视、评估网络的安全性 邮件病毒、Web页面中中恶意Java/ActiveX控件 代码中存在安全漏洞 管理中存在的安全问题,2019年5月10日,安全基础知识,安全漏洞,漏洞的概念 在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统 可能存在于 网络设备：交换机、路由器的IOS存在的漏洞、配置错误 操作系统：Windows、Unix/Linux存在的漏洞 应用服务：IIS、Apache、Serv_u存在的漏洞 网络协议：TCP/IP存在的缺陷 应用程序：用C、C+、ASP、PHP代码中 ,2019年5月10日,安全基础知识,漏洞带来的威胁,如果攻击者获得了一般用户的访问权限，那他就很有可能再通过利用本地漏洞把自己提升为管理员权限：,远程管理员权限 本地管理员权限 普通用户访问权限 权限提升 读取受限文件 远程拒绝服务,本地拒绝服务 远程非授权文件存取 口令恢复 欺骗 服务器信息泄露 其它,2019年5月10日,安全基础知识,黑客攻击典型步骤,漏洞分析,实施攻击 exploit,消除证据 留下后门,收集信息 扫描,2019年5月10日,安全基础知识,常见的攻击方式,扫描 网络监听 DoS与DDoS攻击 特洛依木马 SQL 注入,2019年5月10日,安全基础知识,通过扫描获取信息,收集目标服务器的信息 开放的端口和应用 操作系统类型 用户帐号信息 系统的漏洞 应用的漏洞 ,2019年5月10日,安全基础知识,网络监听,监听的目的是截获通信的内容 监听的手段是对协议进行分析 常用的工具 Sniffer pro、Wireshark都是网络监听、协议分析的工具。 Tcpdump 在共享网络中，可以监听所有流量 在交换环境中，必须设置端口镜像 通过协议分析，可获取敏感的明文信息 Telnet、smtp、pop3、ftp、http等应用层协议都是明文传输,2019年5月10日,安全基础知识,共享和交换环境下的监听,共享式网络 通过网络的所有数据包发往每一个主机 通过HUB连接起来的子网 可以直接监听 交换式网络 通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 可以通过配置“端口镜像”来实现监听,2019年5月10日,安全基础知识,利用监听获取邮件密码,截获用户邮件口令,2019年5月10日,安全基础知识,冒险岛抓包分析案例,设置抓包服务器 配置端口镜像 7x24小时抓包 进行协议分析 判断攻击类型,2019年5月10日,安全基础知识,拒绝服务DoS,定义 通过某些手段使得目标系统或者网络不能提供正常的服务 是针对可用性发起的攻击 原理 主要是利用了TCP/IP协议中存在的设计缺陷、操作系统或网络设备的网络协议栈存在的缺陷 特点 难于防范,2019年5月10日,安全基础知识,拒绝服务的形式,资源耗尽和资源过载 网络连接 带宽资源 其他资源，例如：磁盘空间被日志撑满 错误的配置 不当的配置造成某些服务无法访问 物理部件故障,2019年5月10日,安全基础知识,拒绝服务攻击分类,拒绝服务攻击 Syn Flood Udp Flood Icmp Flood Ping of death Teardrop Smurf Land 主要介绍Syn flood、UDP Flood、ICMP Flood攻击,2019年5月10日,安全基础知识,Syn Flood攻击(1),TCP协议 提供可靠的连接服务，采用三次握手建立一个TCP连接 TCP连接三次握手过程,SYN,SYN +ACK,ACK,Client,Server,SYN_SEND,SYN_RECV,ESTABLISHED,ESTABLISHED,2019年5月10日,安全基础知识,SYN Flood攻击(2),原理： 利用TCP协议缺陷发送大量TCP半连接请求，使得目标机器不能进一步接受TCP连接 对TCP而言，半连接是指一个没有完成三次握手过程的会话 配合IP欺骗,短时间内不断发送SYN包，使服务器回复SYN/ACK,并不断重发直至超时 伪造的SYN包长时间占用未连接队列，达到上限后，服务器将拒绝响应SYN请求，正常的SYN请求被丢弃,2019年5月10日,安全基础知识,SYN Flood攻击(3),攻击者 ,目标 ,欺骗性的 IP 包 源地址是伪造的 目标地址是 TCP Open,SYN,2019年5月10日,安全基础知识,SYN Flood攻击(4),攻击者 ,目标 ,SYN+ACK,同步应答响应 源地址 目标地址不存在 TCP ACK,2019年5月10日,安全基础知识,SYN Flood攻击案例,外高桥机房下载系统DLC服务器29遭到Syn-Flood攻击,2019年5月10日,安全基础知识,UDP Flood攻击,原理： UDP协议是无连接的协议，提供不可靠的传输服务 不需要用任何程序建立连接来传输数据 攻击者向目标机端口发送了足够多的 UDP 数据包的时候，整个系统就会瘫痪。 使用目标机忙于处理UDP报文，无法处理其它的正常报文，从而形成拒绝服务,2019年5月10日,安全基础知识,ICMP Flood,原理 利用ping对网络进行诊断，发出ICMP 响应请求报文 计算机收到ICMP echo后会回应一个ICMP echo reply报文 攻击者向目标机发送大量的ICMP echo报文 目标机忙于处理这些报文，无法处理其它网络报文，从而形成拒绝服务,2019年5月10日,安全基础知识,UDP Flood攻击案例,冒险岛三区服务器受到DDOS攻击事件 异常：发现大量发往UDP 8585端器的UDP包 影响：端口流出流量95.29M 上层交换机上联端口流量639.27M 处理方法：在6509上配置ACL过滤攻击报文,2019年5月10日,安全基础知识,DDOS攻击介绍(1),分布式拒绝服务（DDOS） Distributed Denial of Service 传统的拒绝服务是一台机器向受害者发起攻击 DDOS攻击是多台主机合作，同时向一个目标发起攻击,2019年5月10日,安全基础知识,DDOS攻击介绍(2),主控端,代理端,2019年5月10日,安全基础知识,模拟试题1,下面哪项不是Syn flood攻击的特征？ A 网络流量异常增大 B 服务器80端口建立了大量的TCP连接 C 服务器收到大量的SYN请求 D 未连接队列超过上限,2019年5月10日,安全基础知识,特洛依木马,木马的由来 古希腊人围攻特洛伊城时使用的木马计 计算机中的特洛伊木马的名字就是由此得来 定义 隐藏在正常程序中的一段具有特殊功能的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络攻击手段 木马的组成 server端：安装在目标机器上的软件 client端：用于控制目标机器的软件,2019年5月10日,安全基础知识,木马入侵的途径,捆绑欺骗 如把木马服务端和某个游戏捆绑成一个文件后中发给别人 危险下载点 攻破下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载 ； 直接将木马改名上载到FTP网站上，等待别人下载 网站挂马 在网站的网页中植入木马或插入下载木马的连接 主要是利用IE浏览器的漏洞 利用系统漏洞入侵后安装木马,2019年5月10日,安全基础知识,木马的特征,隐蔽性 包含在正常程序中，当用户执行正常程序启动 在用户难以察觉的情况下，完成一些危害用户的操作 没有图标,在任务管理器中隐藏 自动运行 增加一个服务 注册表启动项run 功能的特殊性 除了文件操作、设置口令、进行键盘记录、远程注册表操作 上传、下载以及锁定鼠标等功能,2019年5月10日,安全基础知识,木马的隐藏方式,隐藏进程、端口 隐藏文件、目录 被控端反向连接控制端 端口复用 有些木马在使用80HTTP端口后，收到正常的HTTP请求仍然把它交给Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序 隐身技术 采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤 文件加壳 通过加壳隐藏特征，躲避杀毒软件的查杀,2019年5月10日,安全基础知识,典型木马-灰鸽子,灰鸽子是国内著名的木马 远程控制、文件操作 运用 “反弹端口”突破防火墙 服务端上线通知 远程音频通讯，音视频监控,2019年5月10日,安全基础知识,风云项目服务器中木马案例,HIDS监测到异常文件 病毒或木马 2008-03-16 01:16:10 999021372 感染文件=/?/C:/WINDOWS/LocalService.exe 风云测试区测试组loginserver 使用杀毒软件扫描 文件加壳 木马以webclient服务启动,2019年5月10日,安全基础知识,SQL注入,利用SQL的语法，针对的是应用程序开发设计中的漏洞 当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入就发生了 攻击目标：控制服务器/获取敏感数据,2019年5月10日,安全基础知识,SQL 注入的步骤,判断SQL注入漏洞 查找SQL注入点 判断后台数据库类型 确定XP_CMDSHELL可执行情况 获得后台管理的权限,2019年5月10日,安全基础知识,判断SQL注入漏洞,语句 /list.asp?id=49 select * from 表名 where 字段=49（list.asp运行异常） 返回 Microsoft OLE DB Provider for SQL Server 错误 80040e14 字符串 Order By Id DESC 之前有未闭合的引号。 /list.asp，行290 获取信息 初步确定可能存在SQL INJECTION漏洞,2019年5月10日,安全基础知识,查找注入点（1）,测试方法 /list.asp?id=49 /list.asp?id=49 and 1=1 /list.asp?id=49 and 1=2 经典的1=1 ，1=2测试法 可以注入 正常显示（必然结果） 正常显示，内容基本与相同 提示错误,2019年5月10日,安全基础知识,查找注入点（2）,使用工扫描注入点,2019年5月10日,安全基础知识,判断数据库类型,语句 /list.asp?id=49 and 0(select version) 返回 Microsoft OLE DB Provider for SQL Server 错误 80040e07 将 nvarchar 值 Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14：22：05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195： Service Pack 4) 转换为数据类型为 int 的列时发生语法错误。 /list.asp，行290 判断 从MS SQL SERVER 后面的8.00.760可看出打了SP3,2019年5月10日,安全基础知识,查询连接DB的权限,语句 /list.asp?id=49 and 0(select user_name() 返回 Microsoft OLE DB Provider for SQL Server 错误 80040e07 将 nvarchar 值 dbo 转换为数据类型为 int 的列时发生语法错误。 /list.asp，行290 判断 权限很高，可以确定是服务器角色组中的成员,2019年5月10日,安全基础知识,执行XP_CMDSHELL,条件 当前连接数据的帐号具有SA权限 master.dbo.xp_cmdshell扩展存储过程能够正确执行 语句 HTTP:/xxx.xxx.xxx/list.asp?id=49；exec masterxp_cmdshell “net user aaa bbb /add”- HTTP:/xxx.xxx.xxx/list.asp?id=49; exec masterxp_cmdshell “net localgroup aaa administrators /add”- 结果 在操作系统中添加帐户aaa,密码为bbb 将新建的帐户aaa加入管理员组,2019年5月10日,安全基础知识,获得web后台管理的权限,后台管理的认证页面一般有以下语句： select * from admin where username=XXX and password=YYY 绕过登录认证 语句变形为 select * from admin where username=abc or 1=1 - and password=123 轻易骗过系统，获取合法身份,2019年5月10日,安全基础知识,如何防范SQL注入,对用户的输入进行严格的过滤 对变量类型进行检查 执行统一的代码规范 养成良好的习惯 ,2019年5月10日,安全基础知识,模拟试题2,SQL注入漏洞与下列哪一项有关？ A 服务器的安全配置问题 B 操作系统的安全漏洞 C 数据库的安全漏洞 D 代码安全问题,2019年5月10日,安全基础知识,主要安全技术,防火墙技术 入侵检测技术 扫描技术 ,2019年5月10日,安全基础知识,防火墙的概念,防火墙定义： 防火墙是位于两个(或多个)网络间，实施网间的隔离和访问控制的一组组件的集合，它满足以下条件： 内部和外部之间的所有网络数据流必须经过防火墙 只有符合安全政策的数据流才能通过防火墙,2019年5月10日,安全基础知识,防火墙的作用,部署在网络边界处 实现网络的隔离与访问控制 阻止未经授权的访问流量 对网络实施保护，以避免各种IP欺骗和路由攻击 在防火墙可以监视一些安全事件的发生情况 在防火墙也可以实现NAT地址转换，Internet日志、审计，甚至计费等功能,2019年5月10日,安全基础知识,防火墙的局限性,不能防止内部的攻击 针对应用层的攻击防御效果不佳 容易成为网络的瓶颈和单点故障,2019年5月10日,安全基础知识,防火墙的类型,包过滤防火墙 应用层网关（代理服务器） 状态检测防火墙,2019年5月10日,安全基础知识,包过滤防火墙(1),是一种基于网络层的安全技术 基本的思想 过滤器建立一组规则，根据IP包是否匹配规则中指定的条件进行判断 如果匹配到一条规则，则根据此规则决定转发或者丢弃 如果所有规则都不匹配，则根据缺省策略 过滤规则包括源和目标IP地址、协议、源和目标端口号,2019年5月10日,安全基础知识,包过滤防火墙(2),在网络层上进行监测 并没有考虑连接状态信息 通常在路由器上实现 优点： 实现简单 对用户透明 缺点： 无法识别基于应用层的攻击,2019年5月10日,安全基础知识,应用层网关(1),也称为代理服务器(proxy) 位于客户机与服务器之间,完全阻挡了二者间的数据交流 外部系统与内部之间没有直接的数据通道,客,户,网,关,服务器,2019年5月10日,安全基础知识,应用层网关(2),优点 在应用层上实现 可以针对应用层进行侦测和扫描 可实现基于用户的认证 可提供理想的日志功能 比较安全,缺点 有些服务要求建立直接连接，无法使用代理 对系统的整体性能有影响,2019年5月10日,安全基础知识,状态检测防火墙,建立状态连接表，将进出网络的数据当成一个个的会话，利用状态表跟踪每个会话状态 对每个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态 提供了完整的对传输层的控制能力,2019年5月10日,安全基础知识,入侵检测技术,什么是IDS？ Intrusion Detection System 入侵检测系统 作用 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 分类 主机入侵检测（HIDS） 网络入侵检测（NIDS）,2019年5月10日,安全基础知识,主机主侵检测HIDS,安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源,2019年5月10日,安全基础知识,网络入侵检测NIDS,安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载,Switch,Monitored Servers,Console,通过端口镜像实现 （SPAN / Port Monitor）,2019年5月10日,安全基础知识,IDS检测技术,基于特征（Signature-based） 建立并维护一个已知攻击知识库 判别当前行为活动是否符合已知的攻击模式 基于异常（Anomaly-based） 首先建立起用户的正常使用模式，即知识库 标识出不符合正常模式的行为活动,2019年5月10日,安全基础知识,扫描技术,什么是扫描器？ 自动检测远程或本地主机安全性弱点的程序 可以发现远程服务器开放的TCP端口、提供的服务和软件版本 间接地或直观地了解到远程主机所存在的安全问题,2019年5月10日,安全基础知识,扫描器的分类,主机扫描器 在系统本地运行检测系统漏洞的程序 网络扫描器 基于网络可远程检测目标网络和主机系统漏洞的程序 系统扫描器 数据库扫描器 Web扫描器 商业的 非商业的 .,2019年5月10日,安全基础知识,扫描工作原理,主动模拟对系统进行攻击的行为 记录、分析系统的反应，发现其中的漏洞和脆弱性 典型步骤是： 发送信息探测数据包 等待目的主机或设备的响应 分析回来的数据包的特征 判断是否具有该漏洞或脆弱性 有时不能单靠一次过程就能完成，而是要分析一系列过程情况,2019年5月10日,安全基础知识,端口扫描,Port scanning: 找出网络中开放的服务 基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用 端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器 Nmap Nessus FoundStone ,2019年5月10日,安全基础知识,小结,信息安全的概念 安全问题产生的根源 安全漏洞的威胁 常见的攻击方式 扫描、监听、DoS&DDoS、木马、SQL注入 主要的安全技术 防火墙、入侵检测、漏洞扫描,服务器安全规范,网络安全部 2008年11月,2019年5月10日,服务器安全规范,培训内容,服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件,2019年5月10日,服务器安全规范,服务器维护安全规范,口令安全 访问控制 安全责任的划分 安全检查 服务器上禁止操作行为 系统日志管理 安全隐患通告 系统安全设置的问题,2019年5月10日,服务器安全规范,口令安全,适用范围 操作系统口令（administrator、root） FTP口令 数据库口令（SA 、root） 后台管理口令 口令强度 口令最小位数要求（12位） 口令复杂性要求（大小写字母+数字+字符） 口令不能与用户名相同 严禁出现空口令、弱口令 电话号码、单词、生日等有意义的字母或数字不能作为口令,2019年5月10日,服务器安全规范,口令安全(2),口令的保管与使用 不在不安全的地方记录口令 口令更改 原则上每三个月更改一次 服务器被入侵必须立即更改口令 岗位调整、离职必须立即更改口令,2019年5月10日,服务器安全规范,服务器的维护,服务器维护的环境要求 不允许在家直接登录服务器，可申请Openvpn跳板机权限 不允许从他人电脑上登录服务器 任何情况下严禁在公共环境(如：网吧)登录服务器 日常维护流程的制定 游戏的安装、撤消、并区、变更等操作 依据规范的要求制定标准操作流程,2019年5月10日,服务器安全规范,访问控制(1),访问控制策略 网络访问控制 主机访问控制 网络访问控制 部署硬件防火墙 Netscreen 主机访问控制 Windows环境使用ipsec Linux环境使用iptables,2019年5月10日,服务器安全规范,访问控制(2),访问控制策略的制定 最小化授权原则 不被允许的就是被禁止的 游戏服务器上线前必须确保： iptables已配置且启用 ipsec已配置且启用,2019年5月10日,服务器安全规范,安全职责的划分(1),网络安全部职责 服务器安全的整体规划 安全规范的制定与修改 漏洞跟踪、发现隐患、发布安全通告 协助相关部门落实安全规范 协助相关部门排除安全隐患 履行安全规范落实的监督与检查职责 履行安全隐患排除的监督与检查职责 安全事件的处理,2019年5月10日,服务器安全规范,安全职责的划分(2),服务器维护部门职责 根据安全规范，负责具体安全工作的开展和落实 操作流程的制定 具体管理规定的制定 根据网络安全部的建议进行安全改进 负责排除安全隐患 协助网络安全部进行安全事件处理,2019年5月10日,服务器安全规范,安全检查(1),安全检查的范围 新装服务器：漏洞、补丁、端口、进程、配置 新发布游戏客户端：病毒扫描 新安装的应用 网站代码的安全检查 出现异常的服务器 ,2019年5月10日,服务器安全规范,安全检查(2),重装系统的条件 服务器被入侵 感染蠕虫、病毒、中木马 关机时间超过6周 关机期间外界公布了重大安全漏洞 新装服务器不满足安全规范要求 服务器曾出现严重漏洞且存在被利用可能性,2019年5月10日,服务器安全规范,安全检查(3),通过安全检查的条件 操作系统及应用满足安全设置要求 转移出项目的服务器 删除所有软件与数据 应用程序 Winchk Octopod,2019年5月10日,服务器安全规范,服务器上禁止的操作行为,服务器上禁止以下操作 收发邮件 使用浏览器上网查阅资料 使用浏览器进行与工作无关的访问 程序开发与调试 玩游戏 非工作用途的操作 存放与工作无关的文件,2019年5月10日,服务器安全规范,系统日志管理1,日志是进行事后追查与分析的重要手段 日志的种类 维护日志、应用日志 维护日志 系统日志 应用日志 安全日志 应用访问日志 Web日志 Email日志 FTP日志等,2019年5月10日,服务器安全规范,系统日志管理2,对系统日志的要求 服务器有记录维护情况的日志 与维护有关的日志要保存3个月以上 定期查看日志，发异常要及时报告 原则上不得随意删除系统日志,2019年5月10日,服务器安全规范,安全隐患通告,网络安全部 漏洞的跟踪与分析 扫描分析安全隐患 发布安全隐患通告 相应部门 按照通告要求消除隐患 安全部监督与检查,2019年5月10日,服务器安全规范,系统安全设置问题(1),新装应用要通知安全部进行漏洞跟踪 不安装与工作无关的应用 不安装来历不明的软件 不使用盗版软件 部署游戏程序前要满足以下要求： 补丁齐全 应用配置满足安全规范要求 iptables或ipsec已启用 已通过安全部的检查,2019年5月10日,服务器安全规范,系统安全设置问题(2),只能从受信任的网站下载软件和补丁 原则上只使用pcanywhere进行远程控制 数据库的端口应进行IP限制 应用程序不能使用SA连接数据库 去除不安全的扩展存储过程 (如：xp_cmdshell),2019年5月10日,服务器安全规范,模拟试题3,服务器的口令应在多久修改一次？ A 1个月 B 2个月 C 3个月 D 4个月,2019年5月10日,服务器安全规范,培训内容,服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件,2019年5月10日,服务器安全规范,补丁管理流程1,针对windows环境的两套补丁管理系统 Winchk/autoup Octopod 安全部补丁服务器 特点 Autoup适用于快速分发安装补丁，但不能准确检查补丁安装的情况 Octopod适用于有选择的批量安装和补丁检查，检查准确，可靠性高 安全部补丁服务器用于下载单个补丁和下载补丁光盘ISO,2019年5月10日,服务器安全规范,补丁管理流程2,Winchk/Autoup,2019年5月10日,服务器安全规范,补丁管理流程3,Octopod,Https连接,SSH连接,OCTOPOD服务器,用户端,被控端服务器,Https连接,SSH连接1,OCTOPOD服务器,被控端服务器,SSH连接2,内网服务器,端口转发 Port forwarding,2019年5月10日,服务器安全规范,补丁管理流程4,补丁收集 登录微软网站下载补丁 补丁测试 Win2000和win2003中英文版补丁安装测试 上传补丁 向Autoup服务器上传补丁 向Octopod服务器上传补丁 向安全部补丁服务器上传补丁 制作补丁光盘并发布到安全部补丁服务器上,2019年5月10日,服务器安全规范,补丁管理流程5,补丁的分发与安装 服务器定时从Autoup上下载补丁并安装 Octopod可以通过针对部分主机操作，也可通过脚本自动成批的安装补丁 安全部更新盛大网络服务器维护安全规范中的内容 IDC支持部各机房与合作单位下载最新的补丁光盘镜像刻录光盘 补丁检查 补丁是否已安装 补丁是否已生效,2019年5月10日,服务器安全规范,补丁管理流程6,补丁检查工具对比 Winchk 存在不足，检查结果不准确 Octopod 使用微软的工具，检查结果相对准确,2019年5月10日,服务器安全规范,培训内容,安全概念 服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件,2019年5月10日,服务器安全规范,目前采取的安全措施(1),日常监控 监控部7x24小时监控 Winchk HIDS 补丁管理 Autoup Octopod 访问控制 Ipsec（Windows) Iptables(Linux),2019年5月10日,服务器安全规范,目前采取的安全措施(2),主机安全加固 新装服务器安全配置 安全检查 新装服务器安全检查 游戏客户端新版本病毒检查 网站代码安全检查 漏洞扫描 新装机的漏洞扫描 每周定期漏洞扫描 漏洞跟踪与分析 新应用的漏洞查询与分析 每天的漏洞跟踪,2019年5月10日,服务器安全规范,目前采取的安全措施(3),服务器操作平台 Octopod 身份认证 Gina认证 PAM认证 密宝认证 Web登录验证码 备份 磁带备份 Web备份 后台db备份,2019年5月10日,服务器安全规范,目前采取的安全措施(4),主机HIDS 关键点的完整性检查等 病毒扫描情况检查 防病毒 江民防病毒模块 通过Octopod和HIDS调用 90%以上的项目都已部署 日志审计 SYSLOG日志收集 对游戏服务器的日志集中收集与管理 网络流量监控 通过NetView查看流量 交换机端口、网卡的流入与流出,2019年5月10日,服务器安全规范,培训内容,安全概念 服务器维护安全规范 补丁管理流程 目前采取的安全措施 典型安全事件,2019年5月10日,服务器安全规范,典型安全事件(1),事件1：子公司吉盛服务器网页中被植入木马 时间：2004.7.29 IP地址：28 发现问题： 首页index.asp被修改 d:sicentsicentbbs下，有两个文件exe.htm和exe.chm 事件原因：使用了有漏洞的动网论坛代码 事件结果：重装服务器、删除动网代码、检查所有代码,2019年5月10日,服务器安全规范,典型安全事件(2),事件2：一台测试机被植入r_server 时间：2005.3.3 IP地址：8 发现问题： 8 r_server tcp 4000 c:winntsystem32r_server.exe 原因： SQL Server 2000 的SA口令为空 结果： 重装服务器、修改口令,2019年5月10日,服务器安全规范,小结,造成安全问题的因素很多 绝对安全是不存在的 减少安全问题的途径： 人：员工专业能力的提高、责任心的增强、经验的积累 技术：技术的进步 管理：安全制度不断完善，并得到有效执行,2019年5月10日,服务器安全规范,课间休息,操作系统安全,网络安全部 2008年11月,操作系统安全,2019年5月10日,主要内容,Windows系统安全 Windows安全特性 Windows安全配置与管理 Linux系统安全 Linux安全 加强Linux安全的几点建议,操作系统安全,2019年5月10日,Windows的安全特性,Windows的安全机制是建立在对象的基础之上的，它是构成Windows操作系统的基本元素 Windows 中首要的对象类型有： 文件、目录、存储器、驱动器或系统程序等 所有对象的操作必须事先得到授权并由操作系统来执行，防止外部程序直接访问网络数据 Windows 正是通过控制程序对对象的访问来获得高的安全级别,操作系统安全,2019年5月10日,系统内建帐户,操作系统安全,2019年5月10日,系统内建组,Windows 2000具有一些内建的组，将帐户放到一个组中的所有账户都会继承这些权限。 最简单的一个例子是本地的Administrators组，放到该组中的用户账户具有本地计算机的全部权限,操作系统安全,2019年5月10日,SAM (Security Accounts Manager),在独立的Windows 2000计算机上，安全账户管理器负责保存用户账户名和口令的信息 SAM组成了注册表的5个配置单元之一，它在文件%systemroot%system32configsam中实现 在Windows 2000域控制器上，用户账户和散列的数据保存在活动目录中(默认为%systemroot%ntdsntds.dit)。,操作系统安全,2019年5月10日,安全标识符SID,Win NT/2K内部对安全主体的操作是通过一个称为安全标识符(Security Identifier，SID)的全局惟一的48位数字来进行的 SID是对每一个用户和工作组分配的唯一的标志号 内部进程引用帐户的SID而不是用户名和帐号 同一台机器上，删除一个帐号，再建立同用户名的帐号，其SID也不同，不能继承前用户的访问权限,操作系统安全,2019年5月10日,SID的格式,S-1-5-21-1507001333-1204550764-1011284298-500 SID带有前缀S，它的各个部分之间用连字符隔开 第一个数字(本例中的1)是修订版本编号 第二个数字是标识符颁发机构代码(对Win2K来说总是为5) 后面是4个子颁发机构代码(本例中是21和后续的3个长数字串) 最后一个是相对标识符(Relative Identifier，RID，本例中是500),操作系统安全,2019年5月10日,RID,RID对所有的计算机和域来说都是一个常数。 带有RID 500的SID总是代表本地计算机的Administrator账户。 RID 501是Guest账户 Windows 2000总是将具有RID 500的帐户识别为管理员,操作系统安全,2019年5月10日,NTFS文件系统,微软推荐采用NTFS文件系统 (服务器安全规范也要求采用NTFS) NTFS支持文件和目录级访问权限控制，并可以加密和压缩数据 文件和目录有两种访问许可权限： 共享访问许可权 用于用户与共享文件系统远程连接 用户试图通过共享方式访问文件时，系统检查共享许可权限； 文件许可权 是直接分配给文件或目录的访问权，以任何方式访问文件系统时，都要受文件许可权限的限制。,操作系统安全,2019年5月10日,用户权利、权限和共享权限,网络安全性依赖于给用户或组授予的能力 权利:在系统上完成特定动作的授权，由系统指定给内置组也可以由管理员将其扩大到组和用户上。 权限:可以授予用户或组的文件系统能力。 共享:用户可以通过网络使用的文件夹。,操作系统安全,2019年5月10日,Windows系统的用户权利,权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。 当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。,操作系统安全,2019年5月10日,Windows系统的用户权限,权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作 指定允许哪些用户可以使用这些对象，以及如何使用 权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力 这些任务是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O),操作系统安全,2019年5月10日,Windows系统的目录权限,如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目。,操作系统安全,2019年5月10日,Windows系统的文件权限,操作系统安全,2019年5月10日,Windows系统的共享权限(1),共享只适用于文件夹（目录） 如果文件夹不是共享的，那么在网 络上就不会有用户看到它，也就更不能访问。 要使网络用户可以访问 服务器上的文件和目录，必须首先对它建立共享。,操作系统安全,2019年5月10日,Windows系统的共享权限(2),操作系统安全,2019年5月10日,Windows的系统服务(1),服务包括三种启动类型 自动 - Windows 2000启动的时候自动加载服务 手动 - Windows 2000启动的时候不自动加载服务，在需要的时候手动开启 已禁用 - Windows 2000启动的时候不自动加载服务,操作系统安全,2019年5月10日,Windows的系统服务(2),在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 下每一 服务项目子项都有一个 Start 数值 Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 Start 内容的定义 0、1、2、3、4 等五种状态 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义 3 代表让使用 者以手动的方式载入 4， 则是代表禁用的状态,操作系统安全,2019年5月10日,Windows的系统进程(1),基本的系统进程 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序 svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印 explorer.exe 资源管理器 internat.exe 输入法,操作系统安全,2019年5月10日,Windows的系统进程(2),附加的系统进程（不是必要的） mstask.exe 允许程序在指定时间运行 regsvc.exe 允许远程注册表操作 winmgmt.exe 提供系统管理信息 inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理 tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序 termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 桌面会话以及运行在服务器上的基于 Windows 的程序 dns.exe 应答对域名系统(DNS)名称的查询和更新请求 ,操作系统安全,2019年5月10日,Windows的Log系统(1),三种类型的事件日志： 系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。 安全日志 跟踪事件如登录、注销、改变访问权限以及系统启动和关闭。 注意：安全日志的默认状态是关闭的。,操作系统安全,2019年5月10日,Windows的Log系统(2),日志在系统的位置是： %SYSTEMROOT%system32configSysEvent.Evt %SYSTEMROOT%system32configSecEvent.Evt %SYSTEMROOT%system32configAppEvent.Evt 日志文件在注册表的位置是： HKEY_LOCAL_MACHINESystemCurrent Control SetServicesEventlog,操作系统安全,2019年5月10日,Windows安全配置与管理,安装 访问控制 用户和组的权限管理 账号安全策略 网络服务 文件系统安全 打开安全日志 其它的安全设置,操作系统安全,2019年5月10日,安装,使用正版可靠安装盘 将系统安装在NTFS分区上 系统和数据要分开存放在不同的磁盘 最小化安装服务（不需要IIS等组件请不要安装） 只安装必需的协议 安装最新的Service Pack 与hotfix 安装系统和为系统打补丁时不能连接网络,操作系统安全,2019年5月10日,访问控制,对Windows 服务器的访问应该只允许授权访问，以及可靠用户。 使用ipsec策略实现访问控制 在pcanywhere中做IP限制 系统资源应该限制只允许授权用户或是那些日常维护服务器的人员访问。 尽量将访问来源控制在最小范围内。,操作系统安全,2019年5月10日,用户和组的权限管理,控制好服务器上用户的权限，应小心地设置目录和文件的访问权限。 访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。 默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的