(完整版)系统安全设计

它处在应用层，SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议和TCP/IP之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选择的客户机认证。Web应用防护系统（WebApplicationFirewall,简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防什么样的漏洞出现，会为Web应用带来什么样的危害。WAF可以为我作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并），防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。其中防火墙产品从网络层到应用层都实现了自由控制。屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从Internet惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而Intranet内部的客户机，可以受控制地通过屏蔽主机和路由器访对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行；以使得被攻击计算机或网络无法提供正常的服务或者资源，合法用户的请求得不到及时的响应。由于DoS的攻击具有隐蔽性，到目前为止还没有行之有效的防御方法。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DoS攻击。2）建立边界安全界限，确保输入输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。过滤掉所有的可能的伪造数据包。4）关闭不必要的服务，及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息建立和完善备份机制，对一些特权帐号的密码设置要谨慎。5）充分利用网络设备保护网络资源。如路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器是一个漫长的过程。当你发现自己正遭受DoS攻击时，应立即关闭系统，或至少切断与网络的连接，保存入侵的记录，让安全组织来研究分析。嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的：交换机、路由器、网桥。对网络进行分段，比如在交换机上设置VLAN，使得网络隔离不必要的数据传送。采用20个工作站为一组，这是一个比较合理的数字。然后，每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。操作系统安全是信息系统安全的最基本，最基础的安全要素。操作系统的任何安全脆弱性和安全漏洞，必然导致信息系统的整体安全脆弱性。在目前的操作系统中，对安全机制的设计不尽完善，存在较多的安全漏洞隐患。面对黑客的盛行，网络攻击的日益频繁，运用技进行风险评估，并进行升级。应及时安装操作系统安全补丁程序，对扫描或手工检查发现的系统漏洞进行修补，并及时关闭存在漏洞的与承载业务无关的服务；通过访问控制限制对漏洞程序的访问。比如windows操作系统补丁升级在操作系统安装之后立即安全防病毒软件，定期扫描，实时检查和清除计算磁盘引导记录、文件系统和内存，以及电子邮件病毒。目前新的病毒发展很快，需及时更新病毒库。比SymantecEndpointProtect无缝集成了一些基本技术，如防病毒、反间谍软件、防火墙、入侵防御、设备和应用程序控制。能有效阻截恶意软件，如病毒、蠕虫、特洛伊木马、间谍软件、恶意软件、Bo、零日威胁和rootkit。从而防止安全违规事件的发生，从而降低管理通过配置用户帐号与口令安全策略，提高主机系统帐户与口令安全。AdmSnappinvscout制订用户列表进行妥善保存限制系统无用的默认帐号登录标准点（参数）技术要求禁止root远程登录口令中某一字符最多只能重复3次maxrepeats=3minlen=8口令中最少包含4个字母字符minalpha=4口令中最少包含一个非字母数字mindiff=4新口令中最少有4个字符和旧口令不同minage=1histsize=10FTP用户帐号控制标准点（参数）禁止技术要求root远程登录/etc/ftpusersminother=1对系统的日志进行安全控制与管理，保护日志的安全与有效性。计使用日志服务器接受与存储主机修改日志配置文件（syslog.conf）权限为400标准点（参数）failedlogin服务器中文件属性400（管理文件属性400（管理技术要求文件保护数据库系统自身存在很多的漏洞，严重威胁数据库自身的安全，甚至还会威胁到操作系统的安全。oracle、SQLServer等数据库有很多的广为人知的漏洞，恶意的用户很可能利用这些漏洞进行数据库入侵操作。同时在企业内部对数据库权限管理不严格，数据库管理员不正确的管理数据库，使得内部普通员工很容易获取数据库的数据。因此需通过数据库安全扫描工具，比如安信通数据库漏洞扫描系统DatabaseSecurityScanSystem简称AXT-DBS。口令过于简单、权限控制、系统配置等一系列问题，内置的知识库能够对违背和不遵循安全性策略的做法推荐修正的操作，并提供简单明了的综合报告和详细报告。技术点（参数）技术点（参数）控制默认主机管理员帐号管理员帐号清理帐号，删除无用帐号如SCOTT修改配置参数，禁止SYSDBA禁止远程登录远程登录修改配置参数，禁止SYSDBA禁止自动登录a)密码复杂度8个字符c)禁止使用最近5次使用的连续5次登录失败后锁定用户清理public各种默认权限a)PASSWORD_VERIFY_FUNCTION8b)PASSWORD_LIFE_TIME180(可选）c)PASSWORD_REUSE_MAX5FAILED_LOGIN_ATTEMPTS5优化技术要求数据库主机管理数据库SYSDBA帐号策略administrator作为数据库主机删除无用帐号修改口令默认帐号标准点（参数）标准点（参数）启用数据库审计功能建立日志表，启动触发器建立日志表，启动触发器日志记录在操作系统中设置访问日志文件权限技术要求登录日志记录数据库操作日志日志审计策略标准点（参数）标准点（参数）启用数据字典保护数据字典保护设置监听器口令限制只有SYSDBA权限的用户才能访问数据字典设置监听器口令设置监听器连接超时监听程序加密监听服务连接超技术要求时服务监听端口connect_timeout_listener=10秒在不影响应用的情况下，更改默认端口修改默认端口TCPTomcat中间件安全要求应用安全加固，提高程序安全。标准点（参数）标准点（参数）关闭war自动部署，防止被植入木马等恶意程序unpackWARs="false"autoDeploy="false"技术要求应用程序安全用户帐号与口令安全配置用户帐号与口令安全策略，提高系统帐户与口令安全。标准点（参数）标准点（参数）屏蔽用户权限<?xmlversion='1.0'encoding='utf-8'?><tomcat-users></tomcat-users>enableLookup=”false”<init-param><param-name>listings</param-name><param-value>false</param-value></init-param>用户安全设置注释或删除所有用户权限隐藏tomcat版本信息，编辑server.xml禁止列目录，编辑web.xml技术要求安全策略tomcat_users.xml所有用户权限隐藏tomcat版本信息安全配置对系统的配置进行优化，保护程序的安全与有效性。技术要求技术要求标准点（参数）用普通用户启动Tomcat为了进一步安全，我们不建这边建议使用专用用户tomcat或者nobody用户来优化server.xml启动Tomcat。在启动之前，需要对我们的tomcat安装目录下所有文件的属主和属组都设置为指定用安全防护通过对tomcat系统配置参数调整，提高系统安全稳定。技术要求标准点（参数）设置session过期时间，tomcat默认maxThreads连接数限制压缩传输安装优化(可选)禁用Tomcat管理页面防止已知攻击maxThreads是Tomcat所能接受最大连接数。一般设置不要超过常大可能使用运行多个Tomcat实例的方法，即，在一个服务器上启动多个tomcat然后做负载均衡处理tomcat作为一个应用服务器，也是Connector节点中配置如下参数，来实现对指定资源类型进行压缩。口令创建时必须具有相应规则，如要求，口令不能使用连续数字、必须由大小写字母数字和特殊字符混合组成等。口令验证、修改等操作发生时，传输到服务器端的口令，在传输通道上应采用加密或SSL方式传输。降低口令在网络传输被截取所带来的风险。口令在存储时，应采MD5加密后存储。严禁明文存储，避免口令存储文件暴露时用户网络认证登录时，口令输入控件避免使用游览器自带的口令输入框和键盘直接输入。通过提供口令输入插件、软件盘等方式提高口令输入安全性。限制口令长度不低于8位，降低被猜测的风险，提高口令破解难度。对需要重新设置口令的，管理员重置为初始口令。用户首次使用该口令时，强制要求修改初始口令。增加口令有效期限制，同一口令超出有效期后用户必须更改新口令。自主性访问控制是在确认主体身份及其所属的组的基础上对访问进行控制的一种控制策略。它的基本思想是：允许某个主体显示的指定其他主体对该主体所拥有的信息资源是否可以访自主访问控制有两种实现机制：一是基于主体DAC实现，它通过权限表表明主体对所有客它通过访问控制链表ACL(AccessControlList)来表明客体对所有主体的权限，当删除一个主体时，要检查所有客体的ACL。为了提高效率，系统一般不保存整个访问控制矩阵，是通过基于矩阵的行或列来实现访问控制策略。过滤参数中符合<html></html>标签和<script></script>的特殊字符，对“<”替换为“<”，2）删除会被恶意使用的字符串或者字符：一般情况下，删除一些字符会对用户体验造成影响，举例来说，如果开发人员删除了上撇号(’)，那么对某些人来说就会带来不便，如姓氏中带有撇号的人，他们的姓氏就无法正常对所有用户提供的又被发回给Web浏览器的数据都进行转义处理，包括AJAX调用、移动式应用、Web页面、重定向等内的数据。过滤用户输入要保护应用程序免遭跨站点脚本编制的攻击，请通过将敏感字符转换为其对应的字符实体来清理HTML。这些是HTML敏感字使用安装在目标计算系统上的安全组件在传输层（例如传输通信协议(TCP)套接层）监控网络流量。当接收到以所述计算系统为目的的消息时，将被包括在所述消息中的数据与用于识别恶意代码的利用证据进行比较。所述利用证据通过收集关于所述恶意代码的信息的安所述规则指示所述安全组件对所接收的消息采取适当的行动。当判断出现篡改后，系统进入紧急处理程序。紧急程序首先做的是恢复被篡改文件。将“样缩短轮询时间为每50毫秒一次。当继续检测到异常时，首先停止WEB服务，然后发送报警系统提供日志功能，将用户登录、退出系统，以及重要的模块所有的操作都记录在日志中，并且重要的数据系统采用回收站的方式保留，系统管理员能够恢复被删除的数据，有效追踪非法入侵和维护系统数据安全。操作系统日志是操作系统为系统应用提供的一项审计服务，这项服务在系统应用提供的文本串形式的信息前面添加应用运行的系统名、时戳、事件ID及用户等信息，然后进行本地或远程归档处理。操作系统日志很容易使用，许多安全类工具都使用它作为自己的日志数据。如，Window操作系统日志记录系统运行的状态，通过分析操作系统日志，可以实现对操作系统的实时监拄，达到入侵防范的目的。操作系统日志分析需要将大量的系统日志信息经过提取并处理得到能够让管理员识别的可疑行为记录，然后分析日志可以对操作系统内的可疑行为做出判断和响应。为了保证日志分析的正常判断，系统日志的安全就变得异常重要，这就需要从各方面去保证日志的安全性，系统日志安全通常与三个方面相关，简称为“CIA”：1．保密性(Confidentialit2．完整性(Integrity)：数据没有遭受以非授权方式所作的篡改或破坏。3．确认性(Accountability)：确保一个实体的作用可以被独一无二地跟踪到该实体。数据完整性要求防止非授权实体对数据进行非法修改。用户在跟应用系统进行交互时，其输入设备如键盘、鼠标等有可能被木马程序侦听，输入的数据遭到截取修改后被提交到应用系统中。另外存储在应用系统数据库中的数据也有可能遭到非法修改。通过摘要算法，获得数据的摘要。接收方在收到数据时，使用相同的算法获取该数据摘要，与发送的发送的原数据摘要比对。相同，则证明数据完整未经过修改。不同时，则证明该数除HTTPS通信外，将数据在输出之前进行加密。加密完成后，可以将密文通过不安全渠道送给数据接收人，只有拥有解密密钥的数据接收人才可以对密文进行解密，即反变换得到明文。密钥的传递必须通过安全渠道。目前通用的加密算法主要分为对称和非对称算法。常用的对称加密算法有AES、IDEA、RC2／RC4、DES等，其最大的困难是密钥分发问题，必密钥更换困难，经常使用同一密钥进行数据加密，给攻击者提供了攻击密钥的信息和时间。非对称算法，采用公钥进行加密而利用私钥进行解密。公钥是可以公开的，任何人都可以获得，数据发送人用公钥将数据加密后再传给数据接收人，接收人用主要使用在身份认证、数字签名等领域。非对称加密的加密速度慢，对于大量数据的加密传输是不适合的。非对称加密算法包括RSA、DH、EC、DSS等。系统间的交互采用接口方式，基本的安全要求有身份认证、数据的机密性与完整性、信息的不可抵赖性。主要通过以下途径来保证安全基本的身份验证。每次业务请求服务时要提交用户名及口令（双方约定的用户名及口令）。业务受理方每次接受请求时先验证这对用户名及口令，再对请求进行响应。基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据存储系统作为数据的保存空间，是数据保护的最后一道防线；随着存储系统由本地直连向着网络化和分布式的方向发展，并被网络上的众多计算机共享，使存储系统变得更易受到攻击，相对静态的存储系统往往成为攻击者的首选目标，达到窃取、篡改或破坏数据的目的。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。由于对称加密算法和非对称加密算法各有优缺点，即非对称加密算法要比对称加密算法处理速度慢，但密钥管理简单，因而在当前新推出的许多新的安全协议中，都同时应用了这两种加密技术。一种常用的方法是利用非对称加密的公开密钥者先产生一个随机数，此即对称密钥，用它来对欲传送的数据进行加密；然后再由接收者的公开密钥对对称密钥进行加密。接收者收到数据后，先用私用密钥对对称密钥进行解密，然后再用对称密钥对所收到的数据进行解密。数据完整性要求防止非授权实体对数据进行非法修改。用户在跟应用系统进行交互时，其输入设备如键盘、鼠标等有可能被木马程序侦听，输入的数据遭到截取修改后被提交到应用系统中。另外存储在应用系统数据库中的数据也有可能遭到非法修改。可以同过摘要算法，获得数据的摘要。接收方在收到数据时，使用相同的算法获取该数据摘要，与发送的发送的原