一系统安全设计
1.1 常用安全设备
1.1.1 防火墙
主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,
其主要功能实现是限制对IP:port 的访问。基本上的实现都是默认情况下关闭所
有的通过型访问,只开放允许访问的策略。
1.1.2 抗DDOS设备
防火墙的补充,专用抗DDOS设备,具备很强的抗攻击能力。
1.1.3 IPS
以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在 4 层以下的问题。和IDS一样,IPS 也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
1.1.4 SSL VPN
它处在应用层,SSL 用公钥加密通过SSL 连接传输的数据来工作。SSL 协议指定了在应用程序协议和TCP/IP 之间进行数据交换的安全机制,为TCP/IP 连接提供数据加密、服
务器认证以及可选择的客户机认证。
1.1.5 WAF(WEB应用防火墙)
Web 应用防护系统(Web Application Firewall, 简称:WAF )代表了一类新兴的信息
安全技术,用以解决诸如防火墙一类传统设备束手无策的Web 应用安全问题。与传统防火
墙不同,WAF 工作在应用层,因此对Web 应用防护具有先天的技术优势。基于对Web 应用业务和逻辑的深刻理解,WAF 对来自Web 应用程序客户端的各类请求进行内容检测和验
证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防
护。
产品特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范
围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入
侵行为。从而减小Web服务器被攻击的可能性。
及时补丁
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏
洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本
身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护
措施更好。
(附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规范性。)
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有
的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但
这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困
难的一件事情。
状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并
且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理
模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这
对暴力攻击的识别和响应是十分有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保
护。
1.2网络安全设计
1.2.1访问控制设计
防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访
问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。其中防火墙产品从网络层到应用层都实现了自由控制。
屏蔽主机网关易于实现,安全性好,应用广泛。它又分为单宿堡垒主机和双宿堡垒主机
两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络,同时一个堡垒主机
安装在内部网络上。堡垒主机只有一个网卡,与内部网络连接。通常在路由器上设立过滤规则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被
授权的外部用户的攻击。而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访
问Internet。
1.2.2拒绝服务攻击防护设计
对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行;以使得被攻击计算机或网络无法提供正常的服务或者资源,合法用户的请求得不到及时的响应。
由于DoS的攻击具有隐蔽性,到目前为止还没有行之有效的防御方法。首先,这种攻击的
特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DoS攻击。
1)和ISP协调工作,让他们帮助实施正确的路由访问控制策略以保护带宽和内部网络。
2)建立边界安全界限,确保输入输出的包受到正确限制。经常检测系统配置信息,并
注意查看每天的安全日志。
3)利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好它们的安全规则,
过滤掉所有的可能的伪造数据包。
4)关闭不必要的服务,及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一
些重要的信息建立和完善备份机制,对一些特权帐号的密码设置要谨慎。
5)充分利用网络设备保护网络资源。如路由器、防火墙等负载均衡设备,它们可将网
络有效地保护起来。被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重
启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会
丢失,而且重启服务器是一个漫长的过程。
当你发现自己正遭受DoS攻击时,应立即关闭系统,或至少切断与网络的连接,保存
入侵的记录,让安全组织来研究分析。
6)使用专业DoS防御设备。
1.2.3 嗅探(sniffer )防护设计
嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能
跨过的:交换机、路由器、网桥。对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。采用20 个工作站为一组,这是一个比较合理的数字。然后,每个
月人为地对每段进行检测(也可以每个月采用MD5 随机地对某个段进行检测)。
1.3 主机安全设计
1.3.1 操作系统
1.3.2 安全基线配置
操作系统安全是信息系统安全的最基本,最基础的安全要素。操作系统的任何安全脆弱
性和安全漏洞,必然导致信息系统的整体安全脆弱性。在目前的操作系统中,对安全机制的设计不尽完善,存在较多的安全漏洞隐患。面对黑客的盛行,网络攻击的日益频繁,运用技
术愈加选进,有必要使用安全漏洞扫描工具对计算机操作系统的进行漏洞扫描,对操作系统进行风险评估,并进行升级。
应及时安装操作系统安全补丁程序,对扫描或手工检查发现的系统漏洞进行修补,并及时关闭存在漏洞的与承载业务无关的服务;通过访问控制限制对漏洞程序的访问。比如
windows 操作系统补丁升级
web应用防护系统在操作系统安装之后立即安全防病毒软件,定期扫描,实时检查和清除计算磁盘引导记录、文件系统和内存,以及病毒。目前新的病毒发展很快,需及时更新病毒库。比
如SymantecEndpointProtect (SEP防病毒服务器版)。
SymantecEndpointProtect 无缝集成了一些基本技术,如防病毒、反间谍软件、防火墙、
入侵防御、设备和应用程序控制。能有效阻截恶意软件,如病毒、蠕虫、特洛伊木马、间谍
软件、恶意软件、Bo、零日威胁和rootkit 。从而防止安全违规事件的发生,从而降低管理
开销。
通过配置用户帐号与口令安全策略,提高主机系统帐户与口令安全。
技术要求标准点(参数)说明
Daemon
Bin
Sys
Adm
限制系统无用的默认帐号登录U ucp
Nuucp
Lpd
Imnadm
清理多余用户帐号,限制系统默认
帐号登录,同时,针对需要使用的用户,
制订用户列表进行妥善保存Ldap
Lp
Snapp
invscout
技术要求标准点(参数)说明
root 远程登录禁止禁止root 远程登录
口令中某一字符最多只能重复 3
口令策略
次
maxrepeats=3
口令最短为8 个字符
minlen=8
口令中最少包含 4 个字母字符minalpha=4
minother=1
mindiff=4
口令中最少包含一个非字母数字
字符
新口令中最少有 4 个字符和旧口minage=1
令不同
maxage=25(可选)
histsize=10
口令最小使用寿命 1 周
口令的最大寿命25 周
口令不重复的次数10 次
FTP 用户帐号
/etc/ftpusers 禁止root 用户使用FTP 控制
对系统的日志进行安全控制与管理,保护日志的安全与有效性。
技术要求标准点(参数)说明
日志记录
记录authlog 、
wtmp.log 、sulog 、
failedlogin
计
记录必需的日志信息,以便进行审
日志存储( 可
日志必须存储在日志使用日志服务器接受与存储主机
选)
服务器中日志
日志保存要求 2 个月日志必须保存 2 个月
日志系统配置
文件属性400(管理修改日志配置文件(f)文件保护员帐号只读)
权限为400
日志文件保护
文件属性400(管理
员帐号只读)
修改日志文件authlog 、wtmp.log 、
sulog、failedlogin 的权限为400
1.4 数据库
1.4.1 安全基线配置
数据库系统自身存在很多的漏洞,严重威胁数据库自身的安全,甚至还会威胁到操作系
统的安全。oracle、SQLServer等数据库有很多的广为人知的漏洞,恶意的用户很可能利用这
些漏洞进行数据库入侵操作。同时在企业内部对数据库权限管理不严格,数据库管理员不正
发表评论