【正文】 2. 關(guān)閉不必要的端口 ? tel ? Netbios ? FTP ? Web 3. 打開審計策略 4. 重要文件安全存放 5. 登錄時不顯示上次登錄名 6. 禁止建立空連接 7. 關(guān)閉默認(rèn)共享 使用 MBSA 查看系統(tǒng)漏洞 Linux 安全 Linux 面臨的威脅 ? DoS 攻擊 ? 本地用戶獲取非授權(quán)的文件的讀寫權(quán)限 ? 遠(yuǎn)程用戶獲得特權(quán)文件的讀寫權(quán)限 ? 遠(yuǎn)程用戶獲得 root 權(quán)限 Linux 安全設(shè)置 使用 GRUB 口令 ? 編輯 /boot/grub/，加入以下語句 password 12345 刪除所有的特殊帳戶 包括 lp， shutdown， halt， news， uucp， operator， games， gopher 等 [rootredhat root] userdel lp [rootredhat root] groupdel lp 修改默認(rèn) root 密碼長度 ? 默認(rèn) root 密碼長度是 5位，建議修改為 8位 ? 編輯 /etc/，修改 PASS_MIN_LEN 5 為 PASS_MIN_LEN 8 打開密碼 shadow 支持功能 ? 利用 md5 算法加密 ? 為 shadow 文件添加不可更改屬性 [rootredhat root] chattr +i /etc/shadow 取消所有不需要的服務(wù) ? tel、 等默認(rèn)啟動的服務(wù) ? 關(guān)閉 tel，編輯 /etc/，修改 disable = no 為 disable = yes ? 更改 /etc/ 的權(quán)限為 600，只允許 root 來讀寫該文件 [rootredhat root] chmod 600 /etc/ 屏蔽系統(tǒng)信息 ? 登錄信息包括 Linux 發(fā)行版、內(nèi)核版本名和服務(wù)器主機(jī)名等 [rootredhat root] rm /etc/issue [rootredhat root] rm /etc/ 禁止按 Ctrl+Alt+Del 鍵關(guān)閉系統(tǒng) ? 編輯 /etc/inittab，將 ca::ctrlaltdel:/sbin/shutdown t3 r now 改為 ＃ ca::ctrlaltdel:/sbin/shutdown t3 r now 不允許 root 從不同的控制臺進(jìn)行登錄 ? 編輯 /etc/securetty，在不需要登錄的 TTY 設(shè)備前添加 ，禁止從該 TTY 設(shè)備進(jìn)行 root 登錄 使用 SSH 進(jìn)行遠(yuǎn)程連接 ? 通過 SSH 客戶端軟件連接 Linux ? 在 Linux 下利用以下命令連接其他 Linux [rootredhat root] ssh – l root 禁止隨意通過 su命令將普通用戶變?yōu)?root 用戶 ? 編輯 /etc/，加入以下內(nèi)容 auth sufficient /lib/security/ debug auth required /lib/security/ group=wheel (wheel 為系統(tǒng)中隱含的組，只有 wheel 組的成員才能用 su命令成為 root） 配置防火墻 ? 利用 iptables 防火墻 保持最新的系統(tǒng)內(nèi)核 ? 隨時關(guān)注 Linux 網(wǎng)站上內(nèi)核更新 應(yīng)用程序安全設(shè)置 Web 安全 1. 隨時下載安全補(bǔ)丁 2. 只開放 80 端口 3. 放置在專門的區(qū)域中 4. 利用 SSL 安全訪問 5. 將 IIS 的安裝目錄和數(shù)據(jù)與系統(tǒng)磁 盤分開 6. 設(shè)置 WWW 目錄的訪問權(quán)限 SQL Server 的安全 1. 安裝 SQL Server 的最新補(bǔ)丁程序 2. 使用安全的帳號策略 3. 選擇正確的身份驗證模式 4. 加強(qiáng)數(shù)據(jù)庫日志記錄 5. 除去不需要的網(wǎng)絡(luò)協(xié)議 計算機(jī)病毒防治 ? 全面部署防病毒系統(tǒng) ? 及時更新病毒庫和產(chǎn)品 ? 預(yù)防為主 ? 加強(qiáng)培訓(xùn)、提高防毒意識 部署防火墻 防火墻的概念 現(xiàn)在通常所說的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它是指隔離在內(nèi)部（本地）網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。 （ 1）拒絕服務(wù)的攻擊 （ 2）非授權(quán)訪問網(wǎng)絡(luò)資源 （ 3）網(wǎng)絡(luò)病毒 、運行管理上的不完善帶來的威脅 網(wǎng)絡(luò)設(shè)備面臨的威脅 路 由器是內(nèi)部網(wǎng)絡(luò)與外界通信出口。按照OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)的定義，網(wǎng)絡(luò)安全服務(wù)所需的網(wǎng)絡(luò)安全機(jī)制包括以下 8類： （ l）加密機(jī)制 （ 2）數(shù)字簽名機(jī)制 （ 3）訪問控制機(jī)制 （ 4）數(shù)據(jù)完整性機(jī)制 （ 5）鑒別交換機(jī)制 （ 6）業(yè)務(wù)流填充機(jī)制 （ 7）路由控制機(jī)制 （ 8）公證機(jī)制 網(wǎng)絡(luò)安全結(jié)構(gòu) 企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu) ? 網(wǎng)絡(luò)設(shè)備 ? 操作系統(tǒng) ? 應(yīng)用程序 企業(yè)網(wǎng)絡(luò)安全面臨的主要威脅 根據(jù)各種網(wǎng)絡(luò)威脅產(chǎn)生的原因，可以 把網(wǎng)絡(luò)威脅歸納為以下 4 類： （ 1）操作系統(tǒng)和應(yīng)用軟件自身存在著安全漏洞。 OSI 安全體系結(jié)構(gòu)的 5個安全服務(wù)項目分別是： （ 1）鑒別服務(wù) （ 2）訪問控制 （ 3）機(jī)密性服務(wù) （ 4）數(shù)據(jù)完整性 （ 5）抗抵賴服 務(wù) 2．安全機(jī)制 網(wǎng)絡(luò)安全機(jī)制定義了實現(xiàn)網(wǎng)絡(luò)安全服務(wù)所使用的可能方法。 國際標(biāo)準(zhǔn)化組織在 ISO7498－ 2 中描述的開放系統(tǒng)互連 OSI 安全體系結(jié)構(gòu)確立了 5 種基本安全服務(wù)和 8 種安全機(jī)制。實際應(yīng)用中，主要有實時監(jiān)控、提供安全策略改變的能力以及對安全系統(tǒng)實施審計、管理和漏洞檢查等措施。 一個完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三個層次 這三個層次是： （ 1）法律政策，包括規(guī)章制度、安全標(biāo)準(zhǔn)、安全策略以及網(wǎng)絡(luò)安全教育。 網(wǎng)絡(luò)安全并不只是簡單的網(wǎng)絡(luò)安全防護(hù)設(shè)施的疊加，而是一個涉及到法律法規(guī)、安全管理制度和標(biāo)準(zhǔn)、安全策略、安全服務(wù)、安全技術(shù)手段以及具體安全防護(hù)設(shè)備的一個極其復(fù)雜的系統(tǒng)，尤其對于越來越龐大的互聯(lián)網(wǎng)絡(luò)來說更是如此。廣泛存在著重應(yīng)用輕安全，安全意識淡薄的普遍現(xiàn)象。為了確保網(wǎng)絡(luò)中各類數(shù)據(jù)信息的安全，顯然就離不開一套完善的網(wǎng)絡(luò)安全防范體系的支持。 2．利用網(wǎng)絡(luò)環(huán)境處理各類數(shù)據(jù)信息是信息化時代的發(fā)展趨勢，這其中包括個人郵件資料和隱私，一些部門、機(jī)構(gòu)、企業(yè)的機(jī)密文件和商業(yè)信息，甚至是有關(guān)國家發(fā)展和安全的政治、經(jīng)濟(jì)、軍事以及國防的重要數(shù)據(jù)，這些數(shù)據(jù)信息不僅涉及到個人和團(tuán)體的利益，更主要的是可能關(guān)系一個國家的安全與穩(wěn)定。 企業(yè)網(wǎng)絡(luò)安全解決方案 長沙實力北大青鳥 S2T41 2021年 9 月 目錄 1 前言 ????????????????????????? 2 網(wǎng)絡(luò)安全的重要性 就目前網(wǎng)絡(luò)應(yīng)用和發(fā)展情況來看，計算機(jī)網(wǎng)絡(luò)安全的重要性具體表現(xiàn)在以下幾個方面。 1．隨著計算機(jī)系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜、系統(tǒng)規(guī)模越來越大，特別是 Inter 的迅速發(fā)展，存取控制、邏輯連接數(shù)量的不斷增加，軟件規(guī)模的空前膨脹，任何隱含的缺陷、失誤、人為的破壞都會造成巨大的損失 。而正是這些數(shù)據(jù)信息是不法分子和敵對勢力攻擊的目標(biāo)。 3．當(dāng)前，仍有大量網(wǎng)絡(luò)用戶只關(guān)注網(wǎng)絡(luò)系統(tǒng)的功能，而忽視網(wǎng)絡(luò)的安全，往往在碰到網(wǎng)絡(luò)安全事件后，才被動地從發(fā) 生的現(xiàn)象中注意系統(tǒng)應(yīng)用的安全問題。因此，加強(qiáng)網(wǎng)絡(luò)安全知識的宣傳和教育，學(xué)習(xí)有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和一定的防范技術(shù)，也是保護(hù)網(wǎng)絡(luò)安全的一項重要工作。 什么是網(wǎng)絡(luò)安全系統(tǒng)？ 網(wǎng)絡(luò)安全系統(tǒng)實際上是在一定的法律法規(guī)、安全標(biāo)準(zhǔn)的規(guī)范下，根據(jù)具體應(yīng)用需求和規(guī)定的安全策 略的指導(dǎo)下，使用有關(guān)安全技術(shù)手段和措施所組成的用以控制網(wǎng)絡(luò)之間信息流動的部件的集合，是一個準(zhǔn)許或拒絕網(wǎng)絡(luò)通信的具有保障網(wǎng)絡(luò)安全功能的系統(tǒng)。它是安全的基石，是建立安全管理的標(biāo)準(zhǔn)和方法； （ 2）技術(shù)方面的措施，如防火墻技術(shù)、防病毒、信息加密、身份驗證以及訪問控制等； （ 3）審計與管理措施，包括技術(shù)措施與社會措施。當(dāng)系統(tǒng)一旦出現(xiàn)了問題，審計與監(jiān)控可以提供問題的再現(xiàn)、責(zé)任追查和重要數(shù)據(jù)恢復(fù)等保障。 1．安全服務(wù) 網(wǎng)絡(luò)的安全服務(wù)定義了網(wǎng)絡(luò)的各層可以提供的安全功能，這些功能可以在幾層同時提供，也可由某一層提供。一種安全服務(wù)可由一種或數(shù)種安全機(jī)制支持，一種安全機(jī)制也可支持多種安全服務(wù)。 （ 2）網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞。一旦黑客攻陷路由器，那么就掌握了控制內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的權(quán)力 ? 弱口令 ? IOS 自身漏洞 ? 非授權(quán)用戶可以管理設(shè)備 ? CDP 協(xié)議造成信息的泄漏 操作系統(tǒng)面臨的威脅 ? Windows 系統(tǒng) ? 未及時安裝補(bǔ)丁 ? 開啟不必要的服務(wù) ? 管理員口令設(shè)置不正確 ? 默認(rèn)共享漏洞 ? Linux 系統(tǒng) ? 帳號與口令安全 ? NFS 文件系統(tǒng)漏洞 ? 作為 root 運行的程序安全 應(yīng)用程序面臨的威脅 ? Web 服務(wù) ? %c1%1c 漏洞遠(yuǎn)程執(zhí)行任意命令 ? 超長文件名請求存在漏洞 ? 郵件服務(wù) ? 垃圾郵件的騷擾 ? 郵件附件中的病 毒 ? 數(shù)據(jù)庫 ? Sa 賬號為空 企業(yè)網(wǎng)絡(luò)面臨的其他威脅 ? 病毒 ? 蠕蟲 ? 木馬 ? 冰河 ? 灰鴿子 ? 來自內(nèi)部的攻擊 ? 對企業(yè)不滿的員工 ? 對安全不了解的員工 黑客對網(wǎng)絡(luò)的常見攻擊手段 黑客對網(wǎng)絡(luò)的攻擊手段可以說多種多樣，下面介紹幾種常見攻擊手段。 通過它可以隔離風(fēng)險區(qū)域（如 Inter 或有一定風(fēng)險的網(wǎng)絡(luò)）與安全區(qū)域（如局域網(wǎng)，也就是內(nèi)部網(wǎng)絡(luò)）的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問。一般由計算機(jī)硬件和軟件組成的一個或一組系統(tǒng)，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)之間的訪問控制。 具體來說主要包括：簡單包過濾防火墻、狀態(tài)檢測包過濾防火墻、應(yīng)用代理防火墻和復(fù)合型防火墻。它對所收到的 IP 數(shù)據(jù)包的源地址、目的地址、 TCP數(shù)據(jù)分組或 UDP報文的源端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)置的訪問控制表進(jìn)行比較，確定是否符合預(yù)定義的安全策略，并決定數(shù)據(jù)包的通過或丟棄。 2．應(yīng)用代理防火墻 應(yīng)用代理防火墻，也叫應(yīng)用代理網(wǎng)關(guān)防火墻。 這種防火墻能 徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，外網(wǎng)的訪問應(yīng)答先由防火墻處理，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。 由于代理型防火墻利用操作系統(tǒng)本身的 socket接口傳遞數(shù)據(jù)，從而導(dǎo)致性能比較差，不能支持大規(guī)模的并發(fā)連接；并且要求防火墻核心預(yù)先內(nèi)置一些已知應(yīng)用程序的代理后防火墻才能正常工作，這樣的后果是一些新出現(xiàn)的應(yīng)用在代理型防火墻上往往不能使用 ，出現(xiàn)了防火墻不支持很多新型應(yīng)用的局面。 狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會 話所處的狀態(tài)。同時由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。 可以這樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。 4．復(fù)合型防火墻 復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代防火墻，它基于專用集成電路（ ASIC， Application Specific Integrated Circuit）架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括 VPN、 IDS功能，多單元融為一體，是一種新突破。復(fù)合型防火墻在網(wǎng)絡(luò)邊界實 施 OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施，體現(xiàn)出網(wǎng)絡(luò)與信息安全的新思路。硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，基本上可以達(dá)到線性。由于用戶平臺的多樣性，使得軟件防火墻需支持多操作系統(tǒng)，如： Unix、 Linux、 SCOUnix、 Windows等，代碼龐大、安裝維護(hù)成本高、效率低，同時還受到操作系統(tǒng)平臺穩(wěn)定性的影響。 防火墻的選購 需注意的問題 下面從幾個方面探討選購防火墻時應(yīng)該注意的問題。 入侵檢測是指： “ 通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入