網(wǎng)絡(luò)安全主機安全加固

1、網(wǎng)絡(luò)安全主機安全加固一、安全加固概述并以此網(wǎng)絡(luò)與應(yīng)用系統(tǒng)加固和優(yōu)化服務(wù)是實現(xiàn)客戶信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)。通過使用該項服務(wù)， 將在客戶信息系統(tǒng)的網(wǎng)絡(luò)層、主機層和應(yīng)用層等層次建立符合客戶安全需求的安全狀態(tài)， 作為保證客戶信息系統(tǒng)安全的起點。網(wǎng)絡(luò)與應(yīng)用系統(tǒng)加固和優(yōu)化服務(wù)的目的是通過對主機和網(wǎng)絡(luò)設(shè)備所存在安全問題執(zhí)行以下 操作： ?正確的安裝； ?安裝最新和全部 OS和應(yīng)用軟件的安全補??；?操作系統(tǒng)和應(yīng)用軟件的安全配置； ?系統(tǒng)安全風(fēng)險防范；?提供系統(tǒng)使用和維護建議； ?系統(tǒng)功能測試；?系統(tǒng)安全風(fēng)險測試； ?系統(tǒng)完整性備份； ?必要時重建系統(tǒng)等。上述工作的結(jié)果決定了網(wǎng)絡(luò)與應(yīng)用系統(tǒng)加固和優(yōu)化的流程、實施

2、的內(nèi)容、步驟和復(fù)雜程度。 具體說，則可以歸納為：（1）加固目標(biāo)也就是確定系統(tǒng)在做過加固和優(yōu)化后，達(dá)到的安全級別，通常不同環(huán)境下的 系統(tǒng)對安全級別的要求不同，由此采用的加固方案也不同。（2）明確系統(tǒng)運行狀況的內(nèi)容包括 ： ?系統(tǒng)的具體用途，即明確系統(tǒng)在工作環(huán)境下所必需開放的端口和服務(wù)等。 ?系統(tǒng)上運行的應(yīng)用系統(tǒng)及其正常所必需的服務(wù)。 ?我們是從網(wǎng)絡(luò)掃描及人工評估里來收集系統(tǒng)的運行狀況的。（3）明確加固風(fēng)險：網(wǎng)絡(luò)與應(yīng)用系統(tǒng)加固是有一定風(fēng)險的，一般可能的風(fēng)險包括停機、應(yīng)用程序不能正常使用、最嚴(yán)重的情況是系統(tǒng)被破壞無法使用。 這些風(fēng)險一般是由于系統(tǒng)運行狀況 調(diào)查不清導(dǎo)致，也有因為加固方案的代價分析不準(zhǔn)

3、確， 誤操作引起。因此在加固前做好系統(tǒng)備份 是非常重要的。（4）系統(tǒng)備份：備份內(nèi)容包括：文件系統(tǒng)、關(guān)鍵數(shù)據(jù)、配置信息、口令、用戶權(quán)限等內(nèi)容; 最好做系統(tǒng)全備份以便快速恢復(fù)。二加固和優(yōu)化流程概述網(wǎng)絡(luò)與應(yīng)用系統(tǒng)加固和優(yōu)化的流程主要由以下四個環(huán)節(jié)構(gòu)成：1. 狀態(tài)調(diào)查對系統(tǒng)的狀態(tài)調(diào)查的過程主要是導(dǎo)入以下服務(wù)的結(jié)果： ?系統(tǒng)安全需求分析 ?系統(tǒng)安全策略制訂 ?系統(tǒng)安全風(fēng)險評估（網(wǎng)絡(luò)掃描和人工評估）對于新建的系統(tǒng)而言，主要是導(dǎo)入系統(tǒng)安全需求分析和系統(tǒng)安全策略制訂這兩項服務(wù)的結(jié)果。在導(dǎo)入上述服務(wù)的結(jié)果后，應(yīng)確定被加固系統(tǒng)的安全級別，即確定被加固系統(tǒng)所能達(dá)到的安全程度。同時，也必須在分析上述服務(wù)結(jié)果的基礎(chǔ)上確

4、定對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)加固和優(yōu)化的代價。2. 制訂加固方案制訂加固方案的主要內(nèi)容是根據(jù)系統(tǒng)狀態(tài)調(diào)查所產(chǎn)生的結(jié)果制訂對系統(tǒng)實施加固和優(yōu)化的內(nèi)容、步驟和時間表。3. 實施加固對系統(tǒng)實施加固和優(yōu)化主要內(nèi)容包含以下兩個方面： ?對系統(tǒng)進行加固 ?對系統(tǒng)進行測試系統(tǒng)在安全性和功能性上是否能夠?qū)ο到y(tǒng)進行測試的目的是檢驗在對系統(tǒng)實施安全加固后,滿足客戶的需求。上述兩個方面的工作是一個反復(fù)的過程，即每完成一個加固或優(yōu)化步驟后就要測試系統(tǒng)的功能性要求和安全性要求是否滿足客戶需求；如果其中一方面的要求不能滿足，該加固步驟就要重新進行。對有些系統(tǒng)會存在加固失敗的情況，如果發(fā)生加固失敗，則根據(jù)客戶的選擇，要么放棄加固，要

5、么重建系統(tǒng)。4. 生成加固報告加固報告是向用戶提供完成網(wǎng)絡(luò)與應(yīng)用系統(tǒng)加固和優(yōu)化服務(wù)后的最終報告。其中包含以下內(nèi)容： ?加固過程的完整記錄 ?有關(guān)系統(tǒng)安全管理方面的建議或解決方案 ?對加固系統(tǒng)安全審計結(jié)果三安全加固技術(shù)1. 網(wǎng)絡(luò)設(shè)備加固路由器作為網(wǎng)絡(luò)邊界最重要的設(shè)備，也是進入內(nèi)網(wǎng)的第一道防線。邊界路由器的安全缺陷來源于操作系統(tǒng)，路由協(xié)議、硬件、配置。路由器上運行的操作系統(tǒng)通常存在安全隱患，主要表現(xiàn) 為遠(yuǎn)程溢出漏洞和默認(rèn)開放的服務(wù)。除了及時下載補丁修復(fù)漏洞外，路由器操作系統(tǒng)默認(rèn)開放的許多服務(wù)通常存在著安全風(fēng)險，加固的方法是根據(jù)最小特權(quán)原則關(guān)閉不需要的服務(wù)，同時對用戶和進程賦予完成任務(wù)所需的最小權(quán)限

6、。一些路由協(xié)議，如RIP，對收到的路由信息不進行任何校驗和認(rèn)證，由此能造成網(wǎng)絡(luò)拓?fù)湫畔⑿孤痘蛞蚴盏綈阂饴酚啥鴮?dǎo)致網(wǎng)絡(luò)癱瘓。對此需要添加認(rèn)證，確保通信對象是可信的。CDP協(xié)議(Cisco Discovery Protocal)會造成路由器操作系統(tǒng)版本等信息的泄露，一般應(yīng)予以關(guān)閉。 路由器硬件可能因發(fā)生故障或受到惡意攻擊而停機，為此需要進行備份。(ACL)。ACL(Access加固邊界路由器最重要的方法是進行安全配置，建立合適的訪問控制表Control List）規(guī)定哪些IP地址和協(xié)議可以通過邊界路由器，而哪些被阻止，由此確保流量安全 進出網(wǎng)絡(luò)。定制訪問控制表通常應(yīng)遵守這樣的原則：流量如果不被明確

7、允許，就應(yīng)該被拒絕。值得注意的是，某些網(wǎng)絡(luò)設(shè)備可以通過物理的改變設(shè)備上的一些硬件開關(guān)來重置管理員口令字或恢復(fù)出廠設(shè)置。從業(yè)務(wù)的連續(xù)性和系統(tǒng)可靠性上講，物理安全是用戶關(guān)鍵業(yè)務(wù)的重要前提保證。只要從物理上能接近設(shè)備，設(shè)備的安全性就無從談起，因為此時我們常提到的安全服務(wù)，女口 訪問控制、鑒別服務(wù)等就不能起到保護作用。2. 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整在網(wǎng)絡(luò)中我們已部署了防火墻、入侵檢測、認(rèn)證系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備，但是主要是側(cè)重于網(wǎng)絡(luò)層的攻擊檢測和防護，并且僅部署于企業(yè)公網(wǎng)的網(wǎng)絡(luò)出口，對于網(wǎng)絡(luò)的防護有一定的局限性。而近年來隨著網(wǎng)絡(luò)規(guī)模的不斷擴張，應(yīng)用的不斷增多，連續(xù)爆發(fā)的沖擊波、震蕩波、CodeRedNimda等蠕蟲病

8、毒以及最近大量出現(xiàn)的 ARP病毒、DDOS布式網(wǎng)絡(luò)攻擊、 大量不請自來的垃圾郵 件，已成為網(wǎng)絡(luò)當(dāng)中最令管理員頭疼的問題。3. 服務(wù)器系統(tǒng)加固服務(wù)器系統(tǒng)安全加固是指通過一定的技術(shù)手段，提高系統(tǒng)的主機安全性和抗攻擊能力， 通過對操作系統(tǒng)的安全加固，可以大大減少操作系統(tǒng)存在的安全漏洞，減少可能存在的安全風(fēng)險，確保服務(wù)器的正常運作。網(wǎng)絡(luò)中各種服務(wù)器，如 Web服務(wù)器、FTP服務(wù)器、E-mail服務(wù)器，是攻擊的重點目標(biāo)，其安 全性至關(guān)重要。雖然通過路由器的包過濾和防火墻的訪問控制，大大增強了安全性。 但黑客還可以利用服務(wù)器的或配置錯誤進行攻擊，以圖獲取系統(tǒng)控制權(quán)或?qū)崿F(xiàn)拒絕服務(wù)。例如UNIX、Window

9、s NT、Linux都只能達(dá)到美國國防部提出可信計算機系統(tǒng)評測標(biāo)準(zhǔn)TCSEC的C2級。但對于開放源代碼的Linux操作系統(tǒng)，可以很好的通過采取B級系統(tǒng)代替?zhèn)鹘y(tǒng)的 C級系統(tǒng)等措施來解決安全加固的問題?？梢允紫仍谧蠲舾械姆?wù)器和網(wǎng)絡(luò)隔離設(shè)備上及要害信息系 統(tǒng)的服務(wù)器中采用 B級操作系統(tǒng)，并配備B級數(shù)據(jù)庫管理系統(tǒng)。將應(yīng)用、服務(wù)都建設(shè)在B級的基SELinux是由NSA（美國國家安全局）礎(chǔ)上，這樣整個信息系統(tǒng)的安全性能才有根本性的保障。和SC（ Secure Computing Corporation ）開發(fā)的Linux的一個擴張強制訪問控制安全模塊。2000年以GNU GPI發(fā)布。經(jīng)過 SELinux

10、保護的Linux安全級別則可以達(dá)到 B1級。另外，國內(nèi)在安全 Linux內(nèi)核技術(shù)方面的相關(guān)研究主要是LIDS項目，LIDS是一個在開放的Linux Kernel上進行安全加固的工程。目前已經(jīng)得到了國內(nèi)外的廣泛認(rèn)同。LIDS項目在標(biāo)準(zhǔn)Linux內(nèi)核源碼基礎(chǔ)上，采用強制性訪問控制技術(shù)、類型保證和執(zhí)行域等技術(shù)，對標(biāo)準(zhǔn)內(nèi)核進行 以安全增強為目的的修改，并提供了一個管理工具lidsadm。4. ?加固主流數(shù)據(jù)庫系統(tǒng)（包括Oracle、SQLServer、Sybase、MySQL Informix ）的補丁、賬號管理、口令強度和有效期檢查、遠(yuǎn)程登陸和遠(yuǎn)程服務(wù)、存儲過程、審核層次、備份過程、角色和權(quán) 限審核

11、、并發(fā)事件資源限制、訪問時間限制、審核跟蹤、特洛依木馬等。安全加固主要方式是補丁安裝及安全配置的調(diào)整，并不是所有的補丁包都可以隨便安裝、配置隨意調(diào)整，有些補丁包的安裝可能會影響到某些正常應(yīng)用的工作，而某些配置的調(diào)整則也可能導(dǎo)致系統(tǒng)的不穩(wěn)定。安全加固之前需要對安全補丁包及調(diào)整的配置進行測試，確保補丁安裝、配置調(diào)整后不會對系統(tǒng)正常工作帶來影響。數(shù)據(jù)庫通過自己特定的安全機制來保證數(shù)據(jù)庫系統(tǒng)的信息安全。下表是對各種安全機制主要針對的目標(biāo)進行的簡單分類。5. 安全產(chǎn)品優(yōu)化（1）防火墻首先我們要決定是否需要防火墻。需要什么樣的防火墻。防火墻在網(wǎng)絡(luò)中的位置是什么。防火墻并不是專用于提供接入訪問和對基于因特網(wǎng)

12、資源的保護，它只在你有資源需要被保護的時候才會實施。防火墻僅僅是一個訪問控制的策略強制執(zhí)行點。因此它只是根據(jù)所配置的防火墻安全策略（這和企業(yè)的安全策略不同）去確定如何有效的使用它。構(gòu)建一個好的安全策略的首要前提是實施一個風(fēng)險分析去決定被保護的系統(tǒng)會有哪些威脅, 之后，根據(jù)那些威脅在防火墻上為你所要保護的系統(tǒng)制定一個適合的策略。現(xiàn)在的防火墻產(chǎn)品，主要分為三種：基于軟件的、基于應(yīng)用的和集成綜合的。軟件防火墻是安裝在所有有必要的通用操作系統(tǒng)桌面之上的。軟件防火墻包括SUN的SunScreen防火墻、IPF、微軟的ISA、Linux的IPTables和FreeBSD等。軟件防火墻最主要優(yōu)勢在于可以在日

13、常使用的硬件上運行，最大的缺點是軟件防火墻制造商和操作系統(tǒng)制造商在某問題導(dǎo)致防火墻軟件或操作系統(tǒng)故障時可能會相互指責(zé)。 商是同一廠商，這種問題就不會發(fā)生。應(yīng)用類防火墻是把防火墻建在專門制定的硬件上, 用防火墻相對軟件防火墻來說能提供更好的實施性， 用專用的處理器和專用集成電路來處理數(shù)據(jù)和接收當(dāng)然，如果防火墻制造商和操作系統(tǒng)制造用來對網(wǎng)絡(luò)提供服務(wù)。 在很多情況下，應(yīng)因為他們基于可自定義的操作系統(tǒng)，并且使/發(fā)送的請求。綜合類防火墻是一種多用途設(shè)備，它在傳統(tǒng)的防火墻中集成了其他特性，如遠(yuǎn)程接入VPNLAN到LAN的VPN入侵檢測或防護、郵件過濾和反病毒過濾。綜合集成的防火墻的好處在于通過減少網(wǎng)絡(luò)設(shè)備

14、的數(shù)量來簡化網(wǎng)絡(luò)設(shè)計，同時也提供了單一系統(tǒng)的管理，減少了網(wǎng)絡(luò)部門的管理負(fù)擔(dān)。另一方面也潛在的減少了設(shè)備成本。但是實施這樣設(shè)備的最大問題就是如果出現(xiàn)故障的話， 會導(dǎo)致很多方面隱患。和設(shè)計需要哪一種防火墻一樣重要的就是決定防火墻在網(wǎng)絡(luò)中的位置，這取決于我們要保護什么資源。了解哪種類型的防火墻設(shè)計能夠最好地保護其需要保護的資源非常重要。盡管單一的防火墻已經(jīng)可以很好的保護大部分資源了，但是在安全要求相對較高的環(huán)境中可能需要是使用雙重防火墻的架構(gòu)來將風(fēng)險降到最低。(2)入侵檢測系統(tǒng)入侵檢測(Intrusion Detection)是保障網(wǎng)絡(luò)的關(guān)鍵部件，它通過監(jiān)視受保護的狀態(tài)和活動，采用誤用檢測(Misuse Detection )和異常檢測(Anomaly Detection )的方式，發(fā)現(xiàn)非授 件提取、入侵分析、入侵相應(yīng)和遠(yuǎn)程管理四個主要部分組成?？蓤?zhí)行的檢測任務(wù)有：監(jiān)視、分析用戶及系統(tǒng)活動、系統(tǒng)構(gòu)造和弱點的審計、識