【正文】 日志的種類 – 維護日志、應(yīng)用日志 ? 維護日志 – 系統(tǒng)日志 – 應(yīng)用日志 – 安全日志 ? 應(yīng)用訪問日志 – Web日志 – Email日志 – FTP日志等 2022年 2月 5日 服務(wù)器安全規(guī)范 系統(tǒng)日志管理 2 ? 對系統(tǒng)日志的要求 – 服務(wù)器有記錄維護情況的日志 – 與維護有關(guān)的日志要保存 3個月以上 – 定期查看日志，發(fā)異常要及時報告 – 原則上不得隨意刪除系統(tǒng)日志 2022年 2月 5日 服務(wù)器安全規(guī)范 安全隱患通告 ? 網(wǎng)絡(luò)安全部 – 漏洞的跟蹤與分析 – 掃描分析安全隱患 – 發(fā)布安全隱患通告 ? 相應(yīng)部門 – 按照通告要求消除隱患 ? 安全部監(jiān)督與檢查 2022年 2月 5日 服務(wù)器安全規(guī)范 系統(tǒng)安全設(shè)置問題 (1) ? 新裝應(yīng)用要通知安全部進行漏洞跟蹤 ? 不安裝與工作無關(guān)的應(yīng)用 ? 不安裝來歷不明的軟件 ? 不使用盜版軟件 ? 部署游戲程序前要滿足以下要求： – 補丁齊全 – 應(yīng)用配置滿足安全規(guī)范要求 – iptables或 ipsec已啟用 – 已通過安全部的檢查 2022年 2月 5日 服務(wù)器安全規(guī)范 系統(tǒng)安全設(shè)置問題 (2) ? 只能從受信任的網(wǎng)站下載軟件和補丁 ? 原則上只使用 pcanywhere進行遠程控制 ? 數(shù)據(jù)庫的端口應(yīng)進行 IP限制 ? 應(yīng)用程序不能使用 SA連接數(shù)據(jù)庫 ? 去除不安全的擴展存儲過程 (如： xp_cmdshell) 2022年 2月 5日 服務(wù)器安全規(guī)范 模擬試題 3 ? 服務(wù)器的口令應(yīng)在多久修改一次？ A 1個月 B 2個月 C 3個月 D 4個月 2022年 2月 5日 服務(wù)器安全規(guī)范 培訓(xùn)內(nèi)容 ? 服務(wù)器維護安全規(guī)范 ? 補丁管理流程 ? 目前采取的安全措施 ? 典型安全事件 2022年 2月 5日 服務(wù)器安全規(guī)范 補丁管理流程 1 ? 針對 windows環(huán)境的兩套補丁管理系統(tǒng) – Winchk/autoup – Octopod – 安全部補丁服務(wù)器 ? 特點 – Autoup適用于快速分發(fā)安裝補丁，但不能準確檢查補丁安裝的情況 – Octopod適用于有選擇的批量安裝和補丁檢查，檢查準確，可靠性高 – 安全部補丁服務(wù)器用于下載單個補丁和下載補丁光盤 ISO 2022年 2月 5日 服務(wù)器安全規(guī)范 補丁管理流程 2 ? Winchk/Autoup 2022年 2月 5日 服務(wù)器安全規(guī)范 補丁管理流程 3 ? Octopod Https連接 SSH連接 OCTOPOD服務(wù)器 用戶端 被控端服務(wù)器 Https連接 SSH連接 1 OCTOPOD服務(wù)器 被控端服務(wù)器 SSH連接 2 內(nèi)網(wǎng)服務(wù)器 端口轉(zhuǎn)發(fā) Port forwarding 2022年 2月 5日 服務(wù)器安全規(guī)范 補丁管理流程 4 ? 補丁收集 – 登錄微軟網(wǎng)站下載補丁 ? 補丁測試 – Win2022和 win2022中英文版補丁安裝測試 ? 上傳補丁 – 向 Autoup服務(wù)器上傳補丁 – 向 Octopod服務(wù)器上傳補丁 – 向安全部補丁服務(wù)器上傳補丁 – 制作補丁光盤并發(fā)布到安全部補丁服務(wù)器上 2022年 2月 5日 服務(wù)器安全規(guī)范 補丁管理流程 5 ? 補丁的分發(fā)與安裝 – 服務(wù)器定時從 Autoup上下載補丁并安裝 – Octopod可以通過針對部分主機操作，也可通過腳本自動成批的安裝補丁 ? 安全部更新 《 盛大網(wǎng)絡(luò)服務(wù)器維護安全規(guī)范 》 中的內(nèi)容 ? IDC支持部各機房與合作單位下載最新的補丁光盤鏡像刻錄光盤 ? 補丁檢查 – 補丁是否已安裝 – 補丁是否已生效 2022年 2月 5日 服務(wù)器安全規(guī)范 補丁管理流程 6 ? 補丁檢查工具對比 – Winchk 存在不足，檢查結(jié)果不準確 – Octopod 使用微軟的工具，檢查結(jié)果相對準確 2022年 2月 5日 服務(wù)器安全規(guī)范 培訓(xùn)內(nèi)容 ? 安全概念 ? 服務(wù)器維護安全規(guī)范 ? 補丁管理流程 ? 目前采取的安全措施 ? 典型安全事件 2022年 2月 5日 服務(wù)器安全規(guī)范 目前采取的安全措施 (1) ? 日常監(jiān)控 – 監(jiān)控部 7x24小時監(jiān)控 – Winchk – HIDS ? 補丁管理 – Autoup – Octopod ? 訪問控制 – Ipsec（ Windows) – Iptables(Linux) 2022年 2月 5日 服務(wù)器安全規(guī)范 目前采取的安全措施 (2) ? 主機安全加固 – 新裝服務(wù)器安全配置 ? 安全檢查 – 新裝服務(wù)器安全檢查 – 游戲客戶端新版本病毒檢查 – 網(wǎng)站代碼安全檢查 ? 漏洞掃描 – 新裝機的漏洞掃描 – 每周定期漏洞掃描 ? 漏洞跟蹤與分析 – 新應(yīng)用的漏洞查詢與分析 – 每天的漏洞跟蹤 2022年 2月 5日 服務(wù)器安全規(guī)范 目前采取的安全措施 (3) ? 服務(wù)器操作平臺 – Octopod ? 身份認證 – Gina認證 – PAM認證 – 密寶認證 – Web登錄驗證碼 ? 備份 – 磁帶備份 – Web備份 – 后臺 db備份 2022年 2月 5日 服務(wù)器安全規(guī)范 目前采取的安全措施 (4) ? 主機 HIDS – 關(guān)鍵點的完整性檢查等 – 病毒掃描情況檢查 ? 防病毒 – 江民防病毒模塊 – 通過 Octopod和 HIDS調(diào)用 – 90%以上的項目都已部署 ? 日志審計 – SYSLOG日志收集 – 對游戲服務(wù)器的日志集中收集與管理 ? 網(wǎng)絡(luò)流量監(jiān)控 – 通過 NetView查看流量 – 交換機端口、網(wǎng)卡的流入與流出 2022年 2月 5日 服務(wù)器安全規(guī)范 培訓(xùn)內(nèi)容 ? 安全概念 ? 服務(wù)器維護安全規(guī)范 ? 補丁管理流程 ? 目前采取的安全措施 ? 典型安全事件 2022年 2月 5日 服務(wù)器安全規(guī)范 典型安全事件 (1) ? 事件 1：子公司吉盛服務(wù)器網(wǎng)頁中被植入木馬 ? 時間： ? IP地址： ? 發(fā)現(xiàn)問題： – 首頁 – iframe src= width=0 height=0 frameborder=0/iframe – d:\sicent\sicentbbs\下，有兩個文件 ? 事件原因： 使用了有漏洞的動網(wǎng)論壇代碼 ? 事件結(jié)果：重裝服務(wù)器、刪除動網(wǎng)代碼、檢查所有代碼 2022年 2月 5日 服務(wù)器安全規(guī)范 典型安全事件 (2) ? 事件 2：一臺測試機被植入 r_server ? 時間： ? IP地址： ? 發(fā)現(xiàn)問題： – r_server tcp 4000 c:\winnt\system32\ ? 原因： – SQL Server 2022 的 SA口令為空 ? 結(jié)果： – 重裝服務(wù)器、修改口令 2022年 2月 5日 服務(wù)器安全規(guī)范 小結(jié) ? 造成安全問題的因素很多 ? 絕對安全是不存在的 ? 減少安全問題的途徑： – 人：員工專業(yè)能力的提高、責(zé)任心的增強、經(jīng)驗的積累 – 技術(shù)：技術(shù)的進步 – 管理：安全制度不斷完善，并得到有效執(zhí)行 2022年 2月 5日 服務(wù)器安全規(guī)范 課間休息 操作系統(tǒng)安全 網(wǎng)絡(luò)安全部 2022年 11月 操作系統(tǒng)安全 2022年 2月 5日 主要內(nèi)容 ? Windows系統(tǒng)安全 – Windows安全特性 – Windows安全配置與管理 ? Linux系統(tǒng)安全 – Linux安全 – 加強 Linux安全的幾點建議 操作系統(tǒng)安全 2022年 2月 5日 Windows的安全特性 ? Windows的安全機制是建立在對象的基礎(chǔ)之上的，它是構(gòu)成 Windows操作系統(tǒng)的基本元素 ? Windows 中首要的對象類型有： – 文件、目錄、存儲器、驅(qū)動器或系統(tǒng)程序等 ? 所有對象的操作必須事先得到授權(quán)并由操作系統(tǒng)來執(zhí)行，防止外部程序直接訪問網(wǎng)絡(luò)數(shù)據(jù) ? Windows 正是通過控制程序?qū)ο蟮脑L問來獲得高的安全級別 操作系統(tǒng)安全 2022年 2月 5日 系統(tǒng)內(nèi)建帳戶 操作系統(tǒng)安全 2022年 2月 5日 系統(tǒng)內(nèi)建組 ? Windows 2022具有一些內(nèi)建的組，將帳戶放到一個組中的所有賬戶都會繼承這些權(quán)限。 or 1=1 and password=39。YYY? ? 繞過登錄認證 ? 語句變形為 select * from admin where username=39。XXX39。 轉(zhuǎn)換為數(shù)據(jù)類型為 int 的列時發(fā)生語法錯誤。 將 nvarchar 值 39。 /，行 290 ? 判斷 – 從 MS SQL SERVER 后面的 SP3 2022年 2月 5日 安全基礎(chǔ)知識 查詢連接 DB的權(quán)限 ? 語句 and 0(select user_name()) ? 返回 Microsoft OLE DB Provider for SQL Server 錯誤 39。Microsoft SQL Server 2022 (Intel X86) Dec 17 2022 14： 22： 05 Copyright (c) 19882022 Microsoft Corporation Standard Edition on Windows NT (Build 2195： Service Pack 4) 39。80040e0739。 之前有未閉合的引號。 字符串 39。 – 使用目標(biāo)機忙于處理 UDP報文，無法處理其它的正常報文，從而形成拒絕服務(wù) 2022年 2月 5日 安全基礎(chǔ)知識 ICMP Flood ? 原理 – 利用 ping對網(wǎng)絡(luò)進行診斷，發(fā)出 ICMP 響應(yīng)請求報文 – 計算機收到 ICMP echo后會回應(yīng)一個 ICMP echo reply報文 – 攻擊者向目標(biāo)機發(fā)送大量的 ICMP echo報文 – 目標(biāo)機忙于處理這些報文，無法處理其它網(wǎng)絡(luò)報文，從而形成拒絕服務(wù) 2022年 2月 5日 安全基礎(chǔ)知識 UDP Flood攻擊案例 ? 冒險島三區(qū)服務(wù)器受到 DDOS攻擊事件 – 異常：發(fā)現(xiàn)大量發(fā)往 UDP 8585端器的 UDP包 – 影響：端口流出流量 上層交換機上聯(lián)端口流量 – 處理方法：在 6509上配置 ACL過濾攻擊報文 2022年 2月 5日 安全基礎(chǔ)知識 DDOS攻擊介紹 (1) ? 分布式拒絕服務(wù)（ DDOS） – Distributed Denial of Service – 傳統(tǒng)的拒絕服務(wù)是一臺機器向受害者發(fā)起攻擊 – DDOS攻擊是多臺主機合作，同時向一個目標(biāo)發(fā)起攻擊 2022年 2月 5日 安全基礎(chǔ)知識 DDOS攻擊介紹 (2) 主控端 代理端 2022年 2月 5日 安全基礎(chǔ)知識 模擬試題 1 ? 下面哪項不是 Syn flood攻擊的特征？ A 網(wǎng)絡(luò)流量異常增大 B 服務(wù)器 80端口建立了大量的 TCP連接 C 服務(wù)器收到大量的 SYN請求 D 未連接隊列超過上限 2022年 2月 5日 安全基礎(chǔ)知識 特洛依木馬 ? 木馬的由來 – 古希臘人圍攻特洛伊城時使用的木馬計 – 計算機中的特洛伊木馬的名字就是由此得來 ? 定義 – 隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性極好，不易察覺，是一種極為危險的網(wǎng)絡(luò)攻擊手段 ? 木馬的組成 – server端：安裝在目標(biāo)機器上的軟件 – client端：用于控制目標(biāo)機器的軟件 2022年 2月 5日 安全基礎(chǔ)知識 木馬入侵的途徑 ? 捆綁欺騙 – 如把木馬服務(wù)端和某個游戲捆綁成一個文件后中發(fā)給別人 ? 危險下載點 – 攻破下載站點后，下載幾個下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載 ； – 直接將木馬改名上載到 FTP網(wǎng)站上，等待別人下載 ? 網(wǎng)站掛馬 – 在網(wǎng)站的網(wǎng)頁中植入木馬或插入下載木馬的連接 – 主要是利用 IE瀏覽器的漏洞 ? 利用系統(tǒng)漏洞入侵后安裝木馬 2022年 2月 5日 安全基礎(chǔ)知識 木馬的特征 ? 隱