网络安全主机安全加固

-.z.网络平安主机平安加固一、平安加固概述网络与应用系统加固和优化效劳是实现客户信息系统平安的关键环节。通过使用该项效劳，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户平安需求的平安状态，并以此作为保证客户信息系统平安的起点。网络与应用系统加固和优化效劳的目的是通过对主机和网络设备所存在平安问题执行以下操作：●

正确的安装；●

安装最新和全部OS和应用软件的平安补丁；●

操作系统和应用软件的平安配置；●

系统平安风险防*；●

提供系统使用和维护建议；●

系统功能测试；●

系统平安风险测试；●

系统完整性备份；●

必要时重建系统等。上述工作的结果断定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为：〔1〕加固目标也就是确定系统在做过加固和优化后，到达的平安级别，通常不同环境下的系统对平安级别的要求不同，由此采用的加固方案也不同。〔2〕明确系统运行状况的内容包括:●

系统的具体用途,即明确系统在工作环境下所必需开放的端口和效劳等。●

系统上运行的应用系统及其正常所必需的效劳。●

我们是从网络扫描及人工评估里来收集系统的运行状况的。〔3〕明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。〔4〕系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。二．加固和优化流程概述网络与应用系统加固和优化的流程主要由以下四个环节构成：1.状态调查对系统的状态调查的过程主要是导入以下效劳的结果：●

系统平安需求分析●

系统平安策略制订●

系统平安风险评估(网络扫描和人工评估)对于新建的系统而言，主要是导入系统平安需求分析和系统平安策略制订这两项效劳的结果。在导入上述效劳的结果后，应确定被加固系统的平安级别，即确定被加固系统所能到达的平安程度。同时，也必须在分析上述效劳结果的根底上确定对网络与应用系统加固和优化的代价。2.制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。3.实施加固对系统实施加固和优化主要内容包含以下两个方面：●

对系统进展加固●

对系统进展测试对系统进展测试的目的是检验在对系统实施平安加固后，系统在平安性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程，即每完成一个加固或优化步骤后就要测试系统的功能性要求和平安性要求是否满足客户需求；如果其中一方面的要求不能满足，该加固步骤就要重新进展。对有些系统会存在加固失败的情况，如果发生加固失败，则根据客户的选择，要么放弃加固，要么重建系统。4.生成加固报告加固报告是向用户提供完成网络与应用系统加固和优化效劳后的最终报告。其中包含以下内容：●

加固过程的完整记录●

有关系统平安管理方面的建议或解决方案●

对加固系统平安审计结果三．平安加固技术1.网络设备加固路由器作为网络边界最重要的设备，也是进入内网的第一道防线。边界路由器的平安缺陷来源于操作系统，路由协议、硬件、配置。路由器上运行的操作系统通常存在平安隐患，主要表现为远程溢出漏洞和默认开放的效劳。除了及时下载补丁修复漏洞外，路由器操作系统默认开放的许多效劳通常存在着平安风险，加固的方法是根据最小特权原则关闭不需要的效劳，同时对用户和进程赋予完成任务所需的最小权限。一些路由协议，如RIP，对收到的路由信息不进展任何校验和认证，由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证，确保通信对象是可信的。CDP协议(CiscoDiscoveryProtocal)会造成路由器操作系统版本等信息的泄露，一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机，为此需要进展备份。加固边界路由器最重要的方法是进展平安配置，建立适宜的访问控制表(ACL)。ACL(AccessControlList)规定哪些IP地址和协议可以通过边界路由器，而哪些被阻止，由此确保流量平安进出网络。定制访问控制表通常应遵守这样的原则：流量如果不被明确允许，就应该被拒绝。值得注意的是，*些网络设备可以通过物理的改变设备上的一些硬件开关来重置管理员口令字或恢复出厂设置。从业务的连续性和系统可靠性上讲，物理平安是用户关键业务的重要前提保证。只要从物理上能接近设备，设备的平安性就无从谈起，因为此时我们常提到的平安效劳，如访问控制、鉴别效劳等就不能起到保护作用。2.网络构造调整在网络中我们已部署了防火墙、入侵检测、认证系统等网络平安设备，但是主要是侧重于网络层的攻击检测和防护，并且仅部署于企业公网的网络出口，对于网络的防护有一定的局限性。而近年来随着网络规模的不断扩*，应用的不断增多，连续爆发的冲击波、震荡波、CodeRed、Nimda等蠕虫病毒以及最近大量出现的ARP病毒、DDOS分布式网络攻击、大量不请自来的垃圾，已成为网络当中最令管理员头疼的问题。3.效劳器系统加固效劳器系统平安加固是指通过一定的技术手段，提高系统的主机平安性和抗攻击能力，通过对操作系统的平安加固，可以大大减少操作系统存在的平安漏洞，减少可能存在的平安风险，确保效劳器的正常运作。网络中各种效劳器，如Web效劳器、FTP效劳器、效劳器，是黑客攻击的重点目标，其平安性至关重要。虽然通过路由器的包过滤和防火墙的访问控制，大大增强了平安性。但黑客还可以利用效劳器的漏洞或配置错误进展攻击，以图获取系统控制权或实现拒绝效劳。例如UNI*、WindowsNT、Linu*都只能到达美国国防部提出可信计算机系统评测标准TCSEC的C2级。但对于开放源代码的Linu*操作系统，可以很好的通过采取B级系统代替传统的C级系统等措施来解决平安加固的问题。可以首先在最敏感的效劳器和网络隔离设备上及要害信息系统的效劳器中采用B级操作系统，并配备B级数据库管理系统。将应用、效劳都建立在B级的根底上，这样整个信息系统的平安性能才有根本性的保障。SELinu*是由NSA〔美国国家平安局〕和SCC〔SecureputingCorporation〕开发的Linu*的一个扩*强制访问控制平安模块。2000年以GNUGPL发布。经过SELinu*保护的Linu*平安级别则可以到达B1级。另外，国内在平安Linu*内核技术方面的相关研究主要是LIDS工程，LIDS是一个在开放源码的Linu*Kernel上进展平安加固的工程。目前已经得到了国内外的广泛认同。LIDS工程在标准Linu*内核源码根底上，采用强制性访问控制技术、类型保证和执行域等技术，对标准内核进展以平安增强为目的的修改，并提供了一个管理工具lidsadm。4.数据库加固主流数据库系统〔包括Oracle、SQLServer、Sybase、MySQL、Informi*〕的补丁、账号管理、口令强度和有效期检查、远程登陆和远程效劳、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。平安加固主要方式是补丁安装及平安配置的调整，并不是所有的补丁包都可以随便安装、配置随意调整，有些补丁包的安装可能会影响到*些正常应用的工作，而*些配置的调整则也可能导致系统的不稳定。平安加固之前需要对平安补丁包及调整的配置进展测试，确保补丁安装、配置调整后不会对系统正常工作带来影响。数据库通过自己特定的平安机制来保证数据库系统的信息平安。下表是对各种平安机制主要针对的目标进展的简单分类。5.平安产品优化〔1〕防火墙首先我们要决定是否需要防火墙。需要什么样的防火墙。防火墙在网络中的位置是什么。防火墙并不是专用于提供接入访问和对基于因特网资源的保护，它只在你有资源需要被保护的时候才会实施。防火墙仅仅是一个访问控制的策略强制执行点。因此它只是根据所配置的防火墙平安策略〔这和企业的平安策略不同〕去确定如何有效的使用它。构建一个好的平安策略的首要前提是实施一个风险分析去决定被保护的系统会有哪些威胁，之后，根据那些威胁在防火墙上为你所要保护的系统制定一个适合的策略。现在的防火墙产品，主要分为三种：基于软件的、基于应用的和集成综合的。软件防火墙是安装在所有有必要的通用操作系统桌面之上的。软件防火墙包括SUN的SunScreen防火墙、IPF、微软的ISA、Linu*的IPTables和FreeBSD等。软件防火墙最主要优势在于可以在日常使用的硬件上运行，最大的缺点是软件防火墙制造商和操作系统制造商在*问题导致防火墙软件或操作系统故障时可能会相互指责。当然，如果防火墙制造商和操作系统制造商是同一厂商，这种问题就不会发生。应用类防火墙是把防火墙建在专门制定的硬件上，用来对网络提供效劳。在很多情况下，应用防火墙相对软件防火墙来说能提供更好的实施性，因为他们基于可自定义的操作系统，并且使用专用的处理器和专用集成电路来处理数据和接收/发送的请求。综合类防火墙是一种多用途设备，它在传统的防火墙中集成了其他特性，如远程接入VPN、LAN到LAN的VPN、入侵检测或防护、过滤和反病毒过滤。综合集成的防火墙的好处在于通过减少网络设备的数量来简化网络设计，同时也提供了单一系统的管理，减少了网络部门的管理负担。另一方面也潜在的减少了设备本钱。但是实施这样设备的最大问题就是如果出现故障的话，会导致很多方面隐患。和设计需要哪一种防火墙一样重要的就是决定防火墙在网络中的位置，这取决于我们要保护什么资源。了解哪种类型的防火墙设计能够最好地保护其需要保护的资源非常重要。尽管单一的防火墙已经可以很好的保护大局部资源了，但是在平安要求相对较高的环境中可能需要是使用双重防火墙的架构来将风险降到最低。〔2〕入侵检测系统入侵检测〔IntrusionDetection〕是保障网络系统平安的关键部件，它通过监视受保护系统的状态和活动，采用误用检测〔MisuseDetection〕和异常检测〔AnomalyDetection〕的方式，发现非授权的或恶意的系统及网络行为，为防*入侵行为提供有效的手段。在体系构造上，入侵检测由事件提取、入侵分析、入侵相应和远程管理四个主要局部组成。可执行的检测任务有：监视、分析用户及系统活动、