版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、一系统安全设计1.1 常用安全设备1.1.1 防火墙主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。1.1.2 抗DDOS设备防火墙的补充,专用抗DDOS设备,具备很强的抗攻击能力。1.1.3 IPS以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。1.1.
2、4 SSL VPN它处在应用层,SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议和TCP/IP 之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选择的客户机认证。1.1.5 WAF(WEB应用防火墙)Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容
3、检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。产品特点l 异常检测协议Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。l 增强的输入验证增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。l 及时补丁修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来
4、什么样的危害。WAF可以为我们做这项工作了只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。(附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规范性。)l 基于规则的保护和基于异常的保护基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对
5、用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。l 状态管理WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。l 其他防护技术WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。1.2 网络安全设计1.2.1 访问控制设计防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的
6、隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。其中防火墙产品从网络层到应用层都实现了自由控制。屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访问Internet。1.2.2 拒绝服务攻击防护设计对
7、某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行;以使得被攻击计算机或网络无法提供正常的服务或者资源,合法用户的请求得不到及时的响应。由于DoS的攻击具有隐蔽性,到目前为止还没有行之有效的防御方法。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DoS攻击。1)和ISP协调工作,让他们帮助实施正确的路由访问控制策略以保护带宽和内部网络。2)建立边界安全界限,确保输入输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。3)利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好它们的安全规则,过滤掉所有的可能
8、的伪造数据包。4)关闭不必要的服务,及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一些重要的信息建立和完善备份机制,对一些特权帐号的密码设置要谨慎。5)充分利用网络设备保护网络资源。如路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器是一个漫长的过程。当你发现自己正遭受DoS攻击时,应立即关闭系统,或至少切断与网络的连接,保存入侵的记录,让安全组织来研究分析。6)使用专业DoS防御设备。1.2.3 嗅探(sniffer)
9、防护设计嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。采用20个工作站为一组,这是一个比较合理的数字。然后,每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。1.3 主机安全设计1.3.1 操作系统1.3.2 安全基线配置操作系统安全是信息系统安全的最基本,最基础的安全要素。操作系统的任何安全脆弱性和安全漏洞,必然导致信息系统的整体安全脆弱性。在目前的操
10、作系统中,对安全机制的设计不尽完善,存在较多的安全漏洞隐患。面对黑客的盛行,网络攻击的日益频繁,运用技术愈加选进,有必要使用安全漏洞扫描工具对计算机操作系统的进行漏洞扫描,对操作系统进行风险评估,并进行升级。应及时安装操作系统安全补丁程序,对扫描或手工检查发现的系统漏洞进行修补,并及时关闭存在漏洞的与承载业务无关的服务;通过访问控制限制对漏洞程序的访问。比如windows操作系统补丁升级在操作系统安装之后立即安全防病毒软件,定期扫描,实时检查和清除计算磁盘引导记录、文件系统和内存,以及电子邮件病毒。目前新的病毒发展很快,需及时更新病毒库。比如SymantecEndpointProtect(SE
11、P防病毒服务器版)。SymantecEndpointProtect无缝集成了一些基本技术,如防病毒、反间谍软件、防火墙、入侵防御、设备和应用程序控制。能有效阻截恶意软件,如病毒、蠕虫、特洛伊木马、间谍软件、恶意软件、Bo、零日威胁和rootkit。从而防止安全违规事件的发生,从而降低管理开销。通过配置用户帐号与口令安全策略,提高主机系统帐户与口令安全。技术要求标准点(参数)说明限制系统无用的默认帐号登录DaemonBinSysAdmUucpNuucpLpdImnadmLdapLpSnappinvscout清理多余用户帐号,限制系统默认帐号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存
12、root远程登录禁止禁止root远程登录口令策略maxrepeats=3minlen=8minalpha=4minother=1mindiff=4minage=1maxage=25(可选)histsize=10口令中某一字符最多只能重复3次口令最短为8个字符口令中最少包含4个字母字符口令中最少包含一个非字母数字字符新口令中最少有4个字符和旧口令不同口令最小使用寿命1周口令的最大寿命25周口令不重复的次数10次FTP用户帐号控制/etc/ftpusers禁止root用户使用FTP对系统的日志进行安全控制与管理,保护日志的安全与有效性。技术要求标准点(参数)说明日志记录记录authlog、wtmp
13、.log、sulog、failedlogin记录必需的日志信息,以便进行审计日志存储(可选)日志必须存储在日志服务器中使用日志服务器接受与存储主机日志日志保存要求2个月日志必须保存2个月日志系统配置文件保护文件属性400(管理员帐号只读)修改日志配置文件(syslog.conf)权限为400日志文件保护文件属性400(管理员帐号只读)修改日志文件authlog、wtmp.log、sulog、failedlogin的权限为4001.4 数据库1.4.1 安全基线配置数据库系统自身存在很多的漏洞,严重威胁数据库自身的安全,甚至还会威胁到操作系统的安全。oracle、SQLServer等数据库有很多
14、的广为人知的漏洞,恶意的用户很可能利用这些漏洞进行数据库入侵操作。同时在企业内部对数据库权限管理不严格,数据库管理员不正确的管理数据库,使得内部普通员工很容易获取数据库的数据。因此需通过数据库安全扫描工具,比如安信通数据库漏洞扫描系统DatabaseSecurityScanSystem简称AXT-DBS。AXT-DBS数据库安全扫描系统能够自动地鉴别在数据库系统中存在的安全隐患,能够扫描从口令过于简单、权限控制、系统配置等一系列问题,内置的知识库能够对违背和不遵循安全性策略的做法推荐修正的操作,并提供简单明了的综合报告和详细报告。配置用户帐号与口令安全策略,提高数据库系统帐户与口令安全。技术要
15、求技术点(参数)说明数据库主机管理员帐号控制默认主机管理员帐号禁止使用oracle或administrator作为数据库主机管理员帐号oracle帐号删除无用帐号清理帐号,删除无用帐号默认帐号修改口令如DBSNMPSCOTT数据库SYSDBA帐号禁止远程登录修改配置参数,禁止SYSDBA远程登录禁止自动登录修改配置参数,禁止SYSDBA自动登录口令策略a) PASSWORD_VERIFY_FUNCTION8b) PASSWORD_LIFE_TIME180(可选)c) PASSWORD_REUSE_MAX5a) 密码复杂度8个字符b) 口令有效期180天c) 禁止使用最近5次使用的口令帐号策略F
16、AILED_LOGIN_ATTEMPTS5连续5次登录失败后锁定用户public权限优化清理public各种默认权限对系统的日志进行安全控制与管理,保护日志的安全与有效性。技术要求标准点(参数)说明日志审核启用启用数据库审计功能登录日志记录启动建立日志表,启动触发器数据库操作日志(可选)启动建立日志表,启动触发器日志审计策略(可选)OS日志记录在操作系统中日志保存要求2个月日志必须保存2个月日志文件保护启用设置访问日志文件权限对系统配置参数进行调整,提高数据库系统安全。技术要求标准点(参数)说明数据字典保护启用数据字典保护限制只有SYSDBA权限的用户才能访问数据字典监听程序加密设置监听器口令
17、设置监听器口令监听服务连接超时编辑listener.ora文件connect_timeout_listener=10秒设置监听器连接超时服务监听端口(可选)在不影响应用的情况下,更改默认端口修改默认端口TCP15211.4.2 中间件Tomcat中间件安全要求应用安全加固,提高程序安全。技术要求标准点(参数)说明应用程序安全关闭war自动部署,防止被植入木马等恶意程序unpackWARs=false autoDeploy=false用户帐号与口令安全配置用户帐号与口令安全策略,提高系统帐户与口令安全。技术要求标准点(参数)说明安全策略屏蔽用户权限用户安全设置注释或删除tomcat_users.
18、xml所有用户权限注释或删除所有用户权限隐藏tomcat版本信息enableLookup=”false”隐藏tomcat版本信息,编辑server.xml安全配置listingsfalse禁止列目录,编辑web.xml对系统的配置进行优化,保护程序的安全与有效性。技术要求标准点(参数)说明优化server.xml用普通用户启动 Tomcat为了进一步安全,我们不建议使用 root 来启动 Tomcat。这边建议使用专用用户 tomcat 或者 nobody 用户来启动 Tomcat。在启动之前,需要对我们的tomcat 安装目录下所有文件的属主和属组都设置为指定用户。安全防护通过对tomcat
19、系统配置参数调整,提高系统安全稳定。技术要求标准点(参数)说明安装优化(可选)设置session过期时间,tomcat默认是30分钟防止已知攻击maxThreads 连接数限制maxThreads 是 Tomcat 所能接受最大连接数。一般设置不要超过8000以上,如果你的网站访问量非常大可能使用运行多个Tomcat实例的方法,即,在一个服务器上启动多个tomcat然后做负载均衡处理压缩传输tomcat作为一个应用服务器,也是支持gzip 压缩功能的。我们可以在 server.xml 配置文件中的 Connector 节点中配置如下参数,来实现对指定资源类型进行压缩。禁用 Tomcat 管理页
20、面线上是不使用 Tomcat 默认提供的管理页面的,因此都会在初始化的时候就把这些页面删掉。这些页面是存放在 Tomcat 安装目录下的webapps目录下的。我们只需要删除该目录下的所有文件即可。1.5 应用安全设计1.5.1 身份鉴别防护设计1) 口令创建口令创建时必须具有相应规则,如要求,口令不能使用连续数字、必须由大小写字母数字和特殊字符混合组成等。2) 口令传输口令验证、修改等操作发生时,传输到服务器端的口令,在传输通道上应采用加密或SSL方式传输。降低口令在网络传输被截取所带来的风险。3) 口令存储口令在存储时,应采MD5加密后存储。严禁明文存储,避免口令存储文件暴露时用户口令泄密
21、。4) 口令输入网络认证登录时,口令输入控件避免使用游览器自带的口令输入框和键盘直接输入。通过提供口令输入插件、软件盘等方式提高口令输入安全性。5) 口令猜测限制口令长度不低于8位,降低被猜测的风险,提高口令破解难度。6) 口令维护对需要重新设置口令的,管理员重置为初始口令。用户首次使用该口令时,强制要求修改初始口令。增加口令有效期限制,同一口令超出有效期后用户必须更改新口令。1.5.2 访问控制防护设计自主性访问控制是在确认主体身份及其所属的组的基础上对访问进行控制的一种控制策略。它的基本思想是:允许某个主体显示的指定其他主体对该主体所拥有的信息资源是否可以访问以及执行。自主访问控制有两种实
22、现机制:一是基于主体DAC实现,它通过权限表表明主体对所有客体的权限,当删除一个客体时,需遍历主体所有的权限表;另一种是基于客体的DAC实现,它通过访问控制链表ACL(Access Control List)来表明客体对所有主体的权限,当删除一个主体时,要检查所有客体的ACL。为了提高效率,系统一般不保存整个访问控制矩阵,是通过基于矩阵的行或列来实现访问控制策略。1.6 自身安全防护设计1.6.1 注入攻击防护设计1) 对数据进行正确地转义处理:以保证它们不会被解释为HTML代码(对浏览器而言)或者XML代码(对Flash而言)。过滤参数中符合标签和的特殊字符,对“”替换为“>”,“(”
23、替换为“& #40;”,“)”替换为“& #40;”,“”替换为“& #39;”,“”替换“ ) ( & +。1.6.2 漏洞利用防护设计使用安装在目标计算系统上的安全组件在传输层(例如传输通信协议()套接层)监控网络流量。当接收到以所述计算系统为目的的消息时,将被包括在所述消息中的数据与用于识别恶意代码的利用证据进行比较。所述利用证据通过收集关于所述恶意代码的信息的安全服务提供给所述安全组件。基于所述消息中的数据与所述利用证据的所述比较,识别规则,所述规则指示所述安全组件对所接收的消息采取适当的行动。1.6.3 防篡改设计当判断出现篡改后,系统进入紧急处理程序。紧急程序首先做的是恢复被篡改文
24、件。将“样本”文件覆盖到Web Service的指定目录中去,使WEB服务正常;然后发送报警信息,同时,缩短轮询时间为每50毫秒一次。当继续检测到异常时,首先停止WEB服务,然后发送报警信息。1.6.4 应用审计设计系统提供日志功能,将用户登录、退出系统,以及重要的模块所有的操作都记录在日志中,并且重要的数据系统采用回收站的方式保留,系统管理员能够恢复被删除的数据,有效追踪非法入侵和维护系统数据安全。操作系统日志是操作系统为系统应用提供的一项审计服务,这项服务在系统应用提供的文本串形式的信息前面添加应用运行的系统名、时戳、事件ID及用户等信息,然后进行本地或远程归档处理。操作系统日志很容易使用
25、,许多安全类工具都使用它作为自己的日志数据。如,Window操作系统日志记录系统运行的状态,通过分析操作系统日志,可以实现对操作系统的实时监拄,达到入侵防范的目的。操作系统日志分析需要将大量的系统日志信息经过提取并处理得到能够让管理员识别的可疑行为记录,然后分析日志可以对操作系统内的可疑行为做出判断和响应。为了保证日志分析的正常判断,系统日志的安全就变得异常重要,这就需要从各方面去保证日志的安全性,系统日志安全通常与三个方面相关,简称为“CIA”:1保密性(Confidentiality):使信息不泄露给非授权的个人、实体或进程,不为其所用。2完整性(Integrity):数据没有遭受以非授权
26、方式所作的篡改或破坏。3确认性(Accountability):确保一个实体的作用可以被独一无二地跟踪到该实体。1.6.5 通信完整性防护设计数据完整性要求防止非授权实体对数据进行非法修改。用户在跟应用系统进行交互时,其输入设备如键盘、鼠标等有可能被木马程序侦听,输入的数据遭到截取修改后被提交到应用系统中。另外存储在应用系统数据库中的数据也有可能遭到非法修改。通过摘要算法,获得数据的摘要。接收方在收到数据时,使用相同的算法获取该数据摘要,与发送的发送的原数据摘要比对。相同,则证明数据完整未经过修改。不同时,则证明该数据不是原始数据。1.6.6 通信保密性防护设计除HTTPS通信外,将数据在输出
27、之前进行加密。加密完成后,可以将密文通过不安全渠道送给数据接收人,只有拥有解密密钥的数据接收人才可以对密文进行解密,即反变换得到明文。密钥的传递必须通过安全渠道。目前通用的加密算法主要分为对称和非对称算法。对称算法采用相同的密钥进行加密和解密。常用的对称加密算法有AES、IDEA、RC2RC4、DES 等,其最大的困难是密钥分发问题,必须通过当面或在公共传送系统中使用安全的方法交换密钥。对称加密由于加密速度快、硬件容易实现、安全强度高,因此仍被广泛用来加密各种信息。但对称加密也存在着固有的缺点:密钥更换困难,经常使用同一密钥进行数据加密,给攻击者提供了攻击密钥的信息和时间。非对称算法,采用公钥
28、进行加密而利用私钥进行解密。公钥是可以公开的,任何人都可以获得,数据发送人用公钥将数据加密后再传给数据接收人,接收人用自己的私钥解密。非对称加密的安全性主要依赖难解的数学问题,密钥的长度比对称加密大得多,因此加密效率较低,主要使用在身份认证、数字签名等领域。非对称加密的加密速度慢,对于大量数据的加密传输是不适合的。非对称加密算法包括RSA、DH、EC、DSS等。1.7 系统交互安全设计1.7.1 系统交互安全性设计 系统间的交互采用接口方式,基本的安全要求有身份认证、数据的机密性与完整性、信息的不可抵赖性。主要通过以下途径来保证安全基本的身份验证。每次业务请求服务时要提交用户名及口令(双方约定
29、的用户名及口令)。业务受理方每次接受请求时先验证这对用户名及口令,再对请求进行响应。1.7.2 系统安全监控和检测设计基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。1.8 数据及备份安全设计1.8.1 数据的保密性设计 存储系统作为数据的保存空间,是数据保护的最后一道防线;随着存储系统由本地直连向着网络化和分布式的方向发展,并被网络上的众多计算机共享,使存储系统变得更易受到攻击,相对静态的存储
30、系统往往成为攻击者的首选目标,达到窃取、篡改或破坏数据的目的。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。由于对称加密算法和非对称加密算法各有优缺点,即非对称加密算法要比对称加密算法处理速度慢,但密钥管理简单, 因而在当前新推出的许多新的安全协议中,都同时应用了这两种加密技术。一种常用的方法是利用非对称加密的公开密钥技术传递对称密码,而用对称密钥技术来对实际传输的数据进行加密和解密,例如,由发送者先产生一个随机数,此即对称密钥, 用它来对欲传送的数据进行加密;然后再由接收者的公开密钥对对称密钥进行加密。接收者收到数据后,先用私用密钥对对称密钥进行解密,然后再用对称密钥对所收到的数据进行解密。1.8.2 数据的完整性设计数据完整性要求防止非授权实体对数据进行非法修改。用户在跟应用系统进行交互时,其输入设备如键盘、鼠标等有可能被木马程序侦听,输入的数据遭到截取修改后被提交到应用系统中。另外存储在应用系统数据库中的数据也有可能遭到非
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 劳务合同纠纷起诉状3篇
- 美容院与美甲店合同协议书
- 农村全包建房简单合同范本
- 全新大米供货协议合同范本 范本下载
- 二零二四年综合物流服务合同标的详述
- 个人车位租赁合同协议书范文 3篇
- 2024年度动迁房买卖合同及物业服务合同3篇
- 煤炭代发合同范本
- 美容院2024年度供应商管理合同
- 冷库转让合同模板
- 3.2工业区位因素及其变化课件高中地理人教版(2019)必修二
- Unit 2 More than fun说课稿2024-2025学年外研版英语七年级上册
- 中国心力衰竭诊断和治疗指南2024解读(完整版)
- 【百强校联考】【黑吉辽卷】东北三省三校2025届高三11月期中联考(11.7-11.8)语文试卷+答案
- 2024年中国二轮普通摩托车市场调查研究报告
- 养老护理员考试练习模拟理论知识题库
- 2024-2025 学年三年级语文上册期中素养测评基础卷
- 2023年国家电网有限公司招聘考试真题
- 风的成因课件
- 2024版成人术中非计划低体温预防与护理TCNAS 44─20242
- 艺术哲学:美是如何诞生的学习通超星期末考试答案章节答案2024年
评论
0/150
提交评论