系统安全设计

1、一系统安全设计1.1 常用安全设备防火墙主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等， 其主要功能实现是限制对 IP:port 的访问。基本上的实现都是默认情况下关闭所 有的通过型访问，只开放允许访问的策略。抗 DDOS 设备防火墙的补充，专用抗 DDOS 设备，具备很强的抗攻击能力。IPS以在线模式为主， 系统提供多个端口， 以透明模式工作。 在一些传统防火墙的新产品中也提供了 类似功能， 其特点是可以分析到数据包的内容， 解决传统防火墙只能工作在 4 层以下的问题。 和 IDS一样， IPS 也要像防病毒系统定义 N 种已知的攻击模式，并主要通过模式匹配去阻断非法访 问

2、。SSL VPN它处在应用层， SSL用公钥加密通过 SSL连接传输的数据来工作。 SSL协议指定了在应用程序 协议和 TCP/IP 之间进行数据交换的安全机制，为 TCP/IP 连接提供数据加密、服务器认证以 及可选择的客户机认证。WAF（ WEB 应用防火墙）Web 应用防护系统 （Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术， 用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。 与传统防火墙不同， WAF 工作在应用层， 因此对 Web 应用防护具有先天的技术优势。 基于对 Web 应用业务和逻辑的 深刻理解， WAF 对来

3、自 Web 应用程序客户端的各类请求进行内容检测和验证，确保其安全 性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。产品特点异常检测协议Web 应用防火墙会对 HTTP 的请求进行异常检测，拒绝不符合HTTP 标准的请求。并且，它也可以只允许 HTTP 协议的部分选项通过，从而减少攻击的影响范围。甚至，一些 Web 应用防火墙 还可以严格限定 HTTP 协议中那些过于松散或未被完全制定的选项。增强的输入验证 增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web 服务器被攻击的可能性。及时补丁修补 Web安全漏洞，是Web 应用开发者最头

4、痛的问题， 没人会知道下一秒有什么样的漏洞出现， 会为 Web 应用带来什么样的危害。 WAF 可以为我们做这项工作了只要有全面的漏洞信息 WAF 能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美 的，并且没有安装对应的补丁本身就是一种安全威胁， 但我们在没有选择的情况下， 任何保护措 施都比没有保护措施更好。（附注：及时补丁的原理可以更好的适用于基于 XML 的应用中，因为这些应用的通信协议都具 规范性。）基于规则的保护和基于异常的保护基于规则的保护可以提供各种 Web 应用的安全规则， WAF 生产商会维护这个规则库，并时时为 其更新。 用户可以按照这些规则对

5、应用进行全方面检测。 还有的产品可以基于合法应用数据建立 模型， 并以此为依据判断应用数据的异常。 但这需要对用户企业的应用具有十分透彻的了解才可 能做到，可现实中这是十分困难的一件事情。状态管理WAF 能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检 测用户的整个操作行为我们可以更容易识别攻击。 状态管理模式还能检测出异常事件 （比如登陆 失败），并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。其他防护技术WAF 还有一些安全增强的功能， 可以用来解决 WEB 程序员过分信任输入数据带来的问题。 比如： 隐藏表单域保护、抗入侵规避技术、响应监视

6、和信息泄露保护。网络安全设计访问控制设计防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。 并 且防火墙可以实现单向或双向控制， 对一些高层协议实现较细粒的访问控制。 其中防火墙产品从 网络层到应用层都实现了自由控制。并使这个单宿堡屏蔽主机网关易于实现， 安全性好， 应用广泛。 它又分为单宿堡垒主机和双宿堡垒主机两种类型。 先来看单宿堡垒主机类型。 一个包过滤路由器连接外部网络， 同时一个堡垒主机安装在内部网络 上。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，垒主机成为从 Internet 惟一可以访问的主机，确保了内部网络不受未被授权的外

7、部用户的攻击。而 Intranet 内部的客户机，可以受控制地通过屏蔽主机和路由器访问 Internet 。拒绝服务攻击防护设计对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行； 以使得被攻击 计算机或网络无法提供正常的服务或者资源，合法用户的请求得不到及时的响应。由于 DoS 的 攻击具有隐蔽性，到目前为止还没有行之有效的防御方法。首先，这种攻击的特点是它利用了TCP/IP 协议的漏洞，除非你不用 TCP/IP，才有可能完全抵御住 DoS攻击。1）和 ISP 协调工作，让他们帮助实施正确的路由访问控制策略以保护带宽和内部网络。2）建立边界安全界限，确保输入输出的包受到正

8、确限制。经常检测系统配置信息，并注意查看 每天的安全日志。3）利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉 所有的可能的伪造数据包。4）关闭不必要的服务，及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的 信息建立和完善备份机制，对一些特权帐号的密码设置要谨慎。5）充分利用网络设备保护网络资源。如路由器、防火墙等负载均衡设备，它们可将网络有效地 保护起来。 被攻击时最先死掉的是路由器， 但其他机器没有死。 死掉的路由器经重启后会恢复正 常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服 务器是一 个漫长的过程。当

9、你发现自己正遭受 DoS 攻击时，应立即关闭系统，或至少切断与网络的连接，保存入侵的记 录，让安全组织来研究分析。6）使用专业 DoS 防御设备。嗅探（ sniffer ）防护设计嗅探器只能在当前网络段上进行数据捕获。 这就意味着， 将网络分段工作进行得越细， 嗅探器能 够收集的信息就越少。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的： 交换机、路由器、网桥。对网络进行分段，比如在交换机上设置VLAN，使得网络隔离不必要的数据传送。采用 20 个工作站为一组，这是一个比较合理的数字。然后，每个月人为地对每段进 行检测 （也可以每个月采用 MD5 随机地对某个段进行检测 ）。主

10、机安全设计操作系统安全基线配置操作系统安全是信息系统安全的最基本， 最基础的安全要素。 操作系统的任何安全脆弱性和安全 漏洞，必然导致信息系统的整体安全脆弱性。 在目前的操作系统中， 对安全机制的设计不尽完善， 存在较多的安全漏洞隐患。面对黑客的盛行，网络攻击的日益频繁，运用技术愈加选进，有必要 使用安全漏洞扫描工具对计算机操作系统的进行漏洞扫描， 对操作系统进行风险评估， 并进行升 级。应及时安装操作系统安全补丁程序， 对扫描或手工检查发现的系统漏洞进行修补， 并及时关闭存 在漏洞的与承载业务无关的服务；通过访问控制限制对漏洞程序的访问。比如 windows 操作系 统补丁升级在操作系统安装

11、之后立即安全防病毒软件， 定期扫描， 实时检查和清除计算磁盘引导记录、 文件 系统和内存，以及电子邮件病毒。目前新的病毒发展很快，需及时更新病毒库。比如 SymantecEndpointProtect （ SEP防病毒服务器版）。SymantecEndpointProtect 无缝集成了一些基本技术， 如防病毒、 反间谍软件、 防火墙、 入侵防御、 设备和应用程序控制。 能有效阻截恶意软件， 如病毒、 蠕虫、 特洛伊木马、 间谍软件、 恶意软件、 Bo、零日威胁和 rootkit 。从而防止安全违规事件的发生，从而降低管理开销。通过配置用户帐号与口令安全策略，提高主机系统帐户与口令安全。技术要

12、求标准点（参数）说明限制系统无用的默 认帐号登录DaemonBinSysAdmUucpNuucpLpdImnadmLdapLpSnapp invscout清理多余用户帐号，限制系统默认帐号 登录，同时，针对需要使用的用户，制 订用户列表进行妥善保存技术要求标准点（参数）说明root 远程登录禁止禁止 root 远程登录maxrepeats=3口令中某一字符最多只能重复 3 次minlen=8口令最短为 8 个字符minalpha=4口令中最少包含 4 个字母字符minother=1口令中最少包含一个非字母数字字符口令策略mindiff=4新口令中最少有 4 个字符和旧口令不同minage=1口

13、令最小使用寿命 1 周maxage=25（可选）口令的最大寿命 25 周histsize=10口令不重复的次数 10 次FTP用户帐号控制/etc/ftpusers禁止 root 用户使用 FTP对系统的日志进行安全控制与管理，保护日志的安全与有效性。技术要求标准点（参数）说明日志记录记录 authlog 、 sulog、 failedlogin记录必需的日志信息，以便进行审计日志存储 （可选 ）日志必须存储在日志服务器中使用日志服务器接受与存储主机日志日志保存要求2 个月日志必须保存 2 个月日志系统配置文件保护文件属性 400（管理员帐号 只读）修改日志配置文件（）权限为 400日志文件保

14、护文件属性 400（管理员帐号 只读）修改日志文件 authlog 、 sulog、failedlogin 的权限为 400数据库 安全基线配置 数据库系统自身存在很多的漏洞， 严重威胁数据库自身的安全， 甚至还会威胁到操作系统的安全。 oracle 、SQLServer 等数据库有很多的广为人知的漏洞， 恶意的用户很可能利用这些漏洞进行数据 库入侵操作。 同时在企业内部对数据库权限管理不严格， 数据库管理员不正确的管理数据库， 使 得内部普通员工很容易获取数据库的数据。 因此需通过数据库安全扫描工具， 比如安信通数据库 漏洞扫描系统 DatabaseSecurityScanSystem 简称

15、 AXT-DBS。AXT-DBS数据库安全扫描系统能够自动地鉴别在数据库系统中存在的安全隐患，能够扫描从口令过于简单、 权限控制、 系统配置等一系列问题， 内置的知识库能够对违背和不遵循安全性策略的 做法推荐修正的操作，并提供简单明了的综合报告和详细报告。配置用户帐号与口令安全策略，提高数据库系统帐户与口令安全。技术要求技术点（参数）说明数据库主机管理员帐号控制默认主机管理员帐号禁止使用 oracle 或 administrator 作为数据库主机管理员帐号oracle 帐号删除无用帐号清理帐号，删除无用帐号如默认帐号修改口令DBSNMPSCOTT数据库 SYSDBA帐禁止远程登录修改配置参数

16、，禁止 SYSDBA远 程登录号禁止自动登录修改配置参数，禁止 SYSDBA自 动登录PASSWORD_VERIFY_FUNCTION8密码复杂度 8 个字符口令策略PASSWORD_LIFE_TIME180可（ 选）口令有效期 180 天PASSWORD_REUSE_MAX5禁止使用最近 5 次使用的口令帐号策略FAILED_LOGIN_ATTEMPTS5连续 5 次登录失败后锁定用户public 权限优化清理 public 各种默认权限对系统的日志进行安全控制与管理，保护日志的安全与有效性。技术要求标准点（参数）说明技术要求标准点（参数）说明日志审核启用启用数据库审计功能登录日志记录启动建

17、立日志表，启动触发器数据库操作日志（可选）启动建立日志表，启动触发器日志审计策略 （可选）OS日志记录在操作系统中日志保存要求2 个月日志必须保存 2 个月日志文件保护启用设置访问日志文件权限对系统配置参数进行调整，提高数据库系统安全技术要求标准点（参数）说明数据字典保护启用数据字典保护限制只有 SYSDBA权限的用户才 能访问数据字典监听程序加密设置监听器口令设置监听器口令监听服务连接超 时编辑文件 connect_timeout_listener=10 秒设置监听器连接超时服务监听端口 （可选）在不影响应用的情况下，更改默认端口修改默认端口 TCP1521中间件Tomcat 中间件安全要求

18、应用安全加固，提高程序安全技术要求标准点（参数）说明应用程序安全关闭 war 自动部署，防止被植入木马等 恶意程序unpackWARs="false"autoDeploy="false"用户帐号与口令安全配置用户帐号与口令安全策略，提高系统帐户与口令安全技术要求标准点（参数）说明安全策略屏蔽用户权限用户安全设置注释或删除所有 用户权限<xml version='' encoding='utf-8'><tomcat-users></tomcat-users>注释或删除所有用户权限隐藏 to

19、mcat 版本 信息enableLookup= ” false ”隐藏 tomcat 版本信息，编辑<init-param><param-name>listings</param-name>安全配置<param-value>false</param-value>禁止列目录，编辑</init-param>对系统的配置进行优化，保护程序的安全与有效性。技术要求标准点（参数）说明优化用普通用户启动 Tomcat为了进一步安全， 我们不建议使 用 root 来启动 Tomcat 。这边 建议使用专用用户 tomcat 或 者 no

20、body 用户来启动 Tomcat 。在启动之前，需要对我们的 tomcat 安装目录下所有文件的 属主和属组都设置为指定用户。安全防护通过对 tomcat 系统配置参数调整，提高系统安全稳定技术要求标准点（参数）说明安装优化 （可选 ）设置 session 过期时间， tomcat 默认是防止已知攻击30 分钟技术要求标准点（参数）说明maxThreads 连接数限制maxThreads 是 Tomcat 所能接受最大连接数。一般设置不要超过 8000以上，如果你的网站访问量非常大可能使用运行多个 Tomcat 实例的方法， 即，在一个服务器上启动多个tomcat 然后做负载均衡处理tomc

21、at 作为一个应用服务器， 也是支持 gzip 压缩功能的。 我们可以在 配压缩传输置文件中的 Connector 节点中配置如下参数，来实现对指定资源类型进行压缩。禁用 Tomcat 管理页面线上是不使用 Tomcat 默认提供的 管理页面的，因此都会在初始化的时 候就把这些页面删掉。这些页面是存 放在 Tomcat 安装目录下的 webapps 目录下的。我们只需要删除该目录下的所有文 件即可。应用安全设计身份鉴别防护设计口令创建口令创建时必须具有相应规则， 如要求， 口令不能使用连续数字、 必须由大小写字母数字和特殊 字符混合组成等。口令传输口令验证、修改等操作发生时，传输到服务器端的口

22、令，在传输通道上应采用加密或SSL方式传输。降低口令在网络传输被截取所带来的风险。口令存储口令在存储时， 应采 MD5 加密后存储。 严禁明文存储， 避免口令存储文件暴露时用户口令泄密。口令输入 网络认证登录时， 口令输入控件避免使用游览器自带的口令输入框和键盘直接输入。 通过提供口 令输入插件、软件盘等方式提高口令输入安全性。口令猜测限制口令长度不低于 8 位，降低被猜测的风险，提高口令破解难度。口令维护对需要重新设置口令的， 管理员重置为初始口令。 用户首次使用该口令时， 强制要求修改初始口 令。增加口令有效期限制，同一口令超出有效期后用户必须更改新口令。访问控制防护设计 自主性访问控制是

23、在确认主体身份及其所属的组的基础上对访问进行控制的一种控制策略。 它的 基本思想是： 允许某个主体显示的指定其他主体对该主体所拥有的信息资源是否可以访问以及执 行。自主访问控制有两种实现机制：一是基于主体 DAC 实现，它通过权限表表明主体对所有客体的 权限，当删除一个客体时，需遍历主体所有的权限表；另一种是基于客体的DAC 实现，它通过访问控制链表 ACL（Access Control List）来表明客体对所有主体的权限， 当删除一个主体时， 要检查 所有客体的 ACL。为了提高效率，系统一般不保存整个访问控制矩阵，是通过基于矩阵的行或列 来实现访问控制策略。自身安全防护设计注入攻击防护设

24、计对数据进行正确地转义处理：以保证它们不会被解释为 HTML 代码（对浏览器而言）或者 XML 代码（对 Flash 而言）。过滤参 数中符合 <html></html> 标签和 <script></script> 的特殊字符，对“ <”替换为“ &lt; ”，“ >”替换 为“ &gt; ”，“ （”替换为“ & #40; ”，“ ）”替换为“ & #40; ”，“ '”替换为“ & #39; ”，“ ” 替换“ &#34 ”。2）删除会被恶意使用的字符串或者字符：一般情况下，

25、删除一些字符会对用户体验造成影响，举例来说，如果开发人员删除了上撇号（ '，）那么对某些人来说就会带来不便，如姓氏中带有撇号的人，他们的姓氏就无法正常显示。对所有用户提供的又被发回给 Web 浏览器的数据都进行转义处理， 包括 AJAX 调用、移动式应用、 Web 页面、重定向等内的数据。过滤用户输入要保护应用程序免遭跨站点脚本编制的攻击，请 通过将敏感字符转换为其对应的字符实体来清理HTML。这些是 HTML 敏感字符： < > " ' % ; ） （ &漏洞利用防护设计 使用安装在目标计算系统上的安全组件在传输层(例如传输通信协议() 套接层)

26、监控网 络流量。 当接收到以所述计算系统为目的的消息时， 将被包括在所述消息中的数据与用于识别恶 意代码的利用证据进行比较。 所述利用证据通过收集关于所述恶意代码的信息的安全服务提供给 所述安全组件。 基于所述消息中的数据与所述利用证据的所述比较， 识别规则， 所述规则指示所 述安全组件对所接收的消息采取适当的行动。防篡改设计当判断出现篡改后，系统进入紧急处理程序。紧急程序首先做的是恢复被篡改文件。将“样本” 文件覆盖到 Web Service的指定目录中去， 使 WEB服务正常； 然后发送报警信息， 同时，缩短轮 询时间为每 50 毫秒一次。当继续检测到异常时，首先停止WEB服务，然后发送报

27、警信息。应用审计设计系统提供日志功能，将用户登录、退出系统，以及重要的模块所有的操作都记录在日志中， 并且 重要的数据系统采用回收站的方式保留， 系统管理员能够恢复被删除的数据， 有效追踪非法入侵 和维护系统数据安全。操作系统日志是操作系统为系统应用提供的一项审计服务， 这项服务在系统应用提供的文本串形 式的信息前面添加应用运行的系统名、时戳、事件 ID 及用户等信息，然后进行本地或远程归档 处理。操作系统日志很容易使用，许多安全类工具都使用它作为自己的日志数据。如， Window 操作系统日志记录系统运行的状态，通过分析操作系统日志，可以实现对操作系统的实时监拄， 达到入侵防范的目的。操作系

28、统日志分析需要将大量的系统日志信息经过提取并处理得到能够让管理员识别的可疑行 为记录，然后分析日志可以对操作系统内的可疑行为做出判断和响应。为了保证日志分析的正常判断， 系统日志的安全就变得异常重要， 这就需要从各方面去保证日志 的安全性，系统日志安全通常与三个方面相关，简称为“CIA”：1保密性 (Confidentiality) ：使信息不泄露给非授权的个人、实体或进程，不为其所用。2完整性 (Integrity) ：数据没有遭受以非授权方式所作的篡改或破坏。3确认性 (Accountability) ：确保一个实体的作用可以被独一无二地跟踪到该实体。通信完整性防护设计数据完整性要求防止非

29、授权实体对数据进行非法修改。 用户在跟应用系统进行交互时， 其输入设 备如键盘、 鼠标等有可能被木马程序侦听， 输入的数据遭到截取修改后被提交到应用系统中。 另 外存储在应用系统数据库中的数据也有可能遭到非法修改。 通过摘要算法，获得数据的摘要。接收方在收到数据时，使用相同的算法获取该数据摘要， 与发 送的发送的原数据摘要比对。相同，则证明数据完整未经过修改。 不同时，则证明该数据不是原 始数据。通信保密 性防护设计除 HTTPS 通信外，将数据在输出之前进行加密。加密完成后，可以将密文通过不安全渠道送给 数据接收人， 只有拥有解密密钥的数据接收人才可以对密文进行解密， 即反变换得到明文。 密

30、钥 的传递必须通过安全渠道。目前通用的加密算法主要分为对称和非对称算法。 对称算法采用相同的密钥进行加密和解密。 常 用的对称加密算法有 AES、IDEA、RC2RC4、DES 等，其最大的困难是密钥分发问题，必须通过 当面或在公共传送系统中使用安全的方法交换密钥。对称加密由于加密速度快、硬件容易实现、 安全强度高， 因此仍被广泛用来加密各种信息。 但对称加密也存在着固有的缺点： 密钥更换困难， 经常使用同一密钥进行数据加密， 给攻击者提供了攻击密钥的信息和时间。 非对称算法， 采用公 钥进行加密而利用私钥进行解密。 公钥是可以公开的， 任何人都可以获得， 数据发送人用公钥将 数据加密后再传给

31、数据接收人， 接收人用自己的私钥解密。 非对称加密的安全性主要依赖难解的 数学问题，密钥的长度比对称加密大得多， 因此加密效率较低， 主要使用在身份认证、 数字签名 等领域。 非对称加密的加密速度慢， 对于大量数据的加密传输是不适合的。 非对称加密算法包括 RSA、DH、 EC、DSS等。系统交互安全设计系统交互安全性设计系统间的交互采用接口方式，基本的安全要求有身份认证、数据的机密性与完整性、信息的不 可抵赖性。主要通过以下途径来保证安全基本的身份验证。每次业务请求服务时要提交用户名及口令 （双方约定的用户名及口令）。 业务 受理方每次接受请求时先验证这对用户名及口令，再对请求进行响应。系统

32、安全监控和检测设计基于网络的入侵检测产品（ NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。 对每一个数据包或可疑的数据包进行特征分析。 如果数据包与产品内置的某些规则吻合， 入侵检 测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。数据及备份安全设计数据的保密性设计存储系统作为数据的保存空间，是数据保护的最后一道防线；随着存储系统由本地直连向着 网络化和分布式的方向发展， 并被网络上的众多计算机共享， 使存储系统变得更易受到攻击， 相 对静态的存储系统往往成为攻击者的首选目标，达到窃取、篡改或破坏数据的目的。对称加密的加密密钥和解密密钥相同， 而非

33、对称加密的加密密钥和解密密钥不同， 加密密钥可以 公开而解密密钥需要保密。 由于对称加密算法和非对称加密算法各有优缺点， 即非对称加密算法 要比对称加密算法处理速度慢，但密钥管理简单， 因而在当前新推出的许多新的安全协议中， 都同时应用了这两种加密技术。一种常用的方法是利用非对称加密的公开密钥技术传递对称密 码，而用对称密钥技术来对实际传输的数据进行加密和解密， 例如，由发送者先产生一个随机数， 此即对称密钥， 用它来对欲传送的数据进行加密；然后再由接收者的公开密钥对对称密钥进行 加密。 接收者收到数据后， 先用私用密钥对对称密钥进行解密， 然后再用对称密钥对所收到的数 据进行解密。数据的完整性设计数据完整性要求防止非授权实体对数据进行非法修改。 用户在跟应用系统