信息服务器安全方案维护篇.docx

1、信息服务器安全方案维护篇服务器信息安全维护方案1、设计方案概述1.1、 系统应用背景 随着人们对网络的使用越来越普及，网络给我们带来许多方便的同时，在网络中承担众多功能的服务器也带来了许多风险和挑战，服务器是一种性能较高的计算机，作为网络的节点，存储、处理网络上80的数据、信息，因此也被称为网络的灵魂。 当服务器因各种故障或者受攻击入侵时，它提供的服务会受到严重影响甚至会中断；存储的数据信息也可能会丢失、被盗等等，造成的损失是无法估算的！例如，在1999时被称为“世界头号黑客”的凯文米特尼克曾经的侵入行为就导致包括Sun等高科技公司共受大约2亿9000万美元的损失！服务器系统维护可以让服务器变

2、得更安全、更稳定、更高效！因此，服务器的信息安全维护十分重要。1.2、 方案设计原则 方案设计原则是不改变原有工作网络拓朴，并且本着高质量，高稳定性，高性价比的方针，使服务器信息安全维护工作能够完美地融合到原有网络系统中去，不影响到原有网络的业务流量带宽，也不给网络造成性能上的瓶颈点。 服务器维护要从硬件维护和软件维护两方面入手，硬件是软件的物质基础，只有确保硬件系统的正常，服务器才可以运行；服务器中的软件是服务器的灵魂，因此软件系统维护对服务器的安全稳定高效起着关键性的作用。1.3、 安全维护目标 本项目建设的目标是通过专业的技术人员对处于DMA区的16台服务器进行全面的信息安全维护，进一步

3、加强与完善网络安全体系。主要目标有以下几方面： 1、硬件维护:（除尘,静电,设备的检查等）； 2、基础服务维护:(操作系统、WEB服务、FTP服务、数据库等)； 3、服务器入侵检测：（进程、服务、日志、文件等）； 4、服务器漏洞扫描：（漏洞扫描、漏洞修复、本地策略等）； 5、软件升级维护（杀毒软件、防火墙、程序补丁等）； 6、数据与文件备份：（操作系统、数据库、网页、应用程序备份）；2、硬件维护2.1、机房环境检测温度与湿度：最佳工作温度：20-25摄氏度极限工作温度：10-40摄氏度 湿度: 8-80%(在23摄氏度条件下)2.2、服务器清洁机房应保持服务器清洁，若空气灰尘过多，很容易造成资

4、源读写错误及磁盘机中磁盘或读写磁头毁损。本次维护将对所有服务器进行一次硬件检测和除尘工作。2.3、电源检测电 压: 要求电压稳定, 尖峰电压会损坏设备电压范围: 220V +/- 10%, 即200-240V, 50-60Hz电源功率: 视机器类型和系统配置而定电源线 : 标准的零, 地, 火接线, 其中零地电压不得超过3.0V.电源接驳: 用符合电流要求的空气开关或其他设备和主机电源线接驳,保证计算机系统的可靠工作应使用稳压电源和UPS，对于冗于电源的接入,采用两路单独输入.2.4、硬件检查 检查服务器、磁盘阵列的安装、电源线主机接线符合要求。服务器状态检查： 当服务器处于启动和正常工作状态

5、时，其前面板上的液晶显示屏上应无信息显示。 当液晶显示器上出现带数字和字母的信息时，说明有硬件告警。可以通过查询相关机型的面板报警数字信息查到相应告警原因，情况严重的，则要立即通知服务器厂商进行问题排查。当服务器的状态灯出现橙黄色时，说明有硬件告警，此时要检查磁柜的电源、接线、硬盘等。如果有硬件故障则立即进行更换和更正，如果查不出具体问题，则需要联系相关厂商进一步诊断。 当硬盘工作正常时，与各硬盘对应的硬盘灯会呈绿色，如无读写，则绿灯一直亮，如该硬盘有读写操作，则绿灯会不规则闪烁，当硬盘损坏时或RAID出现问题时，则硬盘状态灯将熄灭，或者呈闪烁状态：以13秒的频率有规律地、不停地闪烁3、基础服

6、务的维护3.1、 操作系统Windows系统安装在NTFS分区安装系统补丁、扫描漏洞全面杀毒删除Windows Server默认共享禁用IPC连接删除和关闭不需要的协议和服务启用windows连接防火墙，只开放相应功能的服务端口3.2、 WEB服务iis配置（在应用程序设置中执行权限设为无，在需要的目录里再更改)，目录不在系统盘 注：为支持,将系统盘Inetpubwwwroot中的aspnet_client文件夹复制到web根目录下，并给web根目录加上users权限。 删掉系统盘inetpub目录 删除不用的映射在应用程序配置里，只给必要的脚本执行权限：ASP、ASPX。4、服务器入侵检测作

7、为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查，也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么这个木桶的最大容量不取决于长的木板，而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常的安全检测的重点所在。安全检测主要针对系统的安全性，工作主要按照以下步骤进行：4.1、 查看服务器状态： 打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU

8、和内存占用过高等异常情况。4.2、 检查当前进程情况 切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如svch0st.exe，此时要仔细辨别通常迷惑手段是变字母o为数字0，变字母l为数字14.3、 检查系统帐号 打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆帐号。4.4、 查看当前端口开放情况 使用act

9、iveport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理=软件环境=正在运行任务在此处可以查看进程管理器中看不到的隐藏进程，查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。4.5、 检查系统服务 运行services.msc，检查处于已启动状态的服务，查看是否有

10、新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，通过查看各服务的名称、对应的执

11、行文件来确定是否是后门、木马程序等。4.6、 查看相关日志 运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，如果无解决办法则记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的办法。4.7、 检查系统文件 主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir *.exe /s 1.txt将C盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令

12、生成一份当时的列表，用fc比较两个文件，同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。4.8、 检查安全策略是否更改 打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP协议”，打开“TCP/IP”协议设置，点“高级”=“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=“本地安全策略”，查看目前使用的IP安全策略是否发生更改。4.9、 检查目录权限重点查看系统目录

13、和重要的应用程序权限是否被更改。如;c:/winnt;C:/winnt/system32;c:/winnt/system32/inetsrv;c:/winnt/system32/inetsrv/data;c:/documents and Settings;然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。4.10、 检查启动项 主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。4.11、 发现入侵时的应对措施 对于即时发现的入侵事件，以下情况

14、针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法察觉到破坏，先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施： 视情况严重决定处理的方式，是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理，在发现入侵的第一时间通知机房关闭服务器，待处理人员赶到机房时断开网线，再进入系统进行检查。如采用远程处理，如情况严重第一时间停止所有应用服务，更改IP策略为只允许远程管理端口进行连接然后重新启动服务器，重新启动之后再远程连接上去进行处理，重启前先用AReporter检查开机自启动的程序。然后再进行安全检查。系统配置记忆非法账号登录信息和

15、自动跟踪恶意攻击记录，这样我们就可以针对我们网络中存在的各种问题有针对性的部署我们的管理策略。 如果只是WEB站点被入侵但未危及系统的情况，需要加固WEB站点的安全： 站点根目录-只给administrator读取权限，权限继承下去。 wwwroot -给web用户读取、写入权限。高级里面有删除子文件夹和文件权限 logfiles-给system写入权限。 database-给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限 如需要进一步修改，可针对站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限，对asp等 脚本文件给予上表中的权限。另外查看该用户站点对应的

16、安全日志，找出漏洞原因，修补程序漏洞。5、漏洞扫描5.1、漏洞的概念在计算机网络安全领域，“漏洞”是指硬件、软件或策略上的缺陷，这种缺陷导致非法用户XX而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。其实，每个平台无论是硬件还是软件都存在漏洞。各种操作系统存在安全漏洞；Internet/Intranet使用的TCP/IP协议以及FTP、E-mail、RPC和NFS等都包含许多不安全的因素，也存在安全漏洞；数据库管理系统存在安全漏洞等等。总而言之，绝对安全的事物是没有的，计算机网络领域要达到绝对安全也是不可能的，但是，可以努力使其安全漏洞

17、减少到最小的程度，提高其安全等级。5.2、漏洞的类型安全漏洞存在不同的类型，包括：允许拒绝服务的漏洞；允许有限权限的本地用户XX提高其权限的漏洞；允许外来团体（在远程主机上）XX访问网络的漏洞。（1）允许拒绝服务的漏洞“拒绝服务”是一种常见的恶作剧式的攻击方式，它使服务器忙于处理一些乱七八糟的任务，消耗大量的处理时间，以至于服务器无暇顾及用户的请求。允许拒绝服务的漏洞则可能导致拒绝服务发生。该类漏洞的等级：允许拒绝访问的漏洞属于类，是不太重要的漏洞。 该类漏洞存在的原因：这些漏洞存在于操作系统网络传送本身，是操作系统软件本身存在的漏洞。该类漏洞弥补的方法：当存在这种漏洞时，必须通过软件开发者或

18、销售商的弥补予以纠正。该类漏洞产生的影响：对于大的网络或站点，拒绝服务或攻击只是有限的影响，最多不过是使人心烦而已。然而对于小的站点，可能会受到拒绝服务的重创。特别对于站点只是一台单独的机器（单独的邮件或新闻服务器）更是如此。该类漏洞受到的攻击：拒绝服务攻击是一类人或多人利用Internet协议组的某些方面拒绝其他用户对系统或信息进行合法的访问的攻击。在TCP SYN攻击中，连接请求大量的传给服务器，导致其请求信息被淹没。结果是服务器反应很慢或不可到达，从而使用户不知所措。还有其他形式的拒绝服务的攻击。某些拒绝服务攻击的实现可以针对个人而不是针对网络用户的。这种类型的攻击不涉及任何bug或漏洞

19、，而是利用了WWW的基本设计。并非每个拒绝服务攻击都需要在Internet发起。有许多在本地机甚至在没有网络环境的情况下发生的拒绝服务攻击。（2）允许有限权限的本地用户XX提高其权限的漏洞该类漏洞的等级：这类漏洞是允许本地用户非法访问的漏洞，属类。这类漏洞危险性很大。 该类漏洞存在的原因：允许本地用户非法访问的漏洞一般在多种平台的应用程序中发现，由应用程序中的一些缺陷引起。有些常见的编程错误导致这种漏洞的产生。例如：众所周知的Sendmail问题。Sendmail可能是世界上发送电子邮件最盛行的方法，是Internet的E-mail系统的中心。这个程序一般在启动时作为例程初始化并且只要机器可用

20、它也可用。在活动可用状态下，Sendmail(在端口25)侦听网络空间上的发送和请求。当Sendmail启动时，它一般要求检验用户的身份，因为只有root有权启动和维护Sendmail程序。其他有相同权限的用户也可这样做，但也只是这些内容。然而，根据CERT咨询处的“ Sendmail Daemon Mode Vulnerability”:“很遗憾，由于一个代码错误，Sendmail在例程模式下可以以一种绕过潜入的方式激活。当绕过检查后，任何本地用户都可以在例程下启动Sendmail。另外，在8.7版本中，Sendmail收到一个SIGHUP信号时会重启。它通过使用exec(2)系统调用重新执

21、行自己来重新开始操作。重新执行作为root用户实现。通过控制Sendmail环境，用户可以用root权限让Sendmail运行任意的程序。”因此，本地用户获得一种形式的root访问。这些漏洞是很常见的，差不多每月都有一次。Sendmail以这些漏洞而出名，但却不是唯一的现象（也不是UNIX自身的问题）。该类漏洞补救的方法：允许本地用户非法访问的漏洞很可能检查出入侵者，特别是在入侵者没有经验的情况下更是如此。系统管理员通过运行强有力的登录工具，可使入侵者很难逃避检查，除非入侵者有较多的专业知识。该类漏洞产生的影响：允许本地用户非法访问的漏洞所产生的影响是很大的。像Sendmail这样的程序中的漏

22、洞特别重要，因为这些程序对网上所有的用户都是可用的。所有用户都至少有使用Sendmail程序的基本权限。如果没有的话，他们没法发送邮件。因此Sendmail中的任何bug或漏洞都是十分危险的。该类漏洞受到的攻击：权限有限的本地用户在XX的情况下，通过各种手段提高其访问权限。这种攻击对系统安全威胁很大。（3）允许外来团体XX访问网络的漏洞该类漏洞的等级：这类漏洞即允许过程用户XX访问的漏洞，属于A类。类漏洞是威胁性最大的一种漏洞。该类漏洞存在的原因：大多数的类漏洞是由于较差的系统管理或设置有误造成的。典型的设置错误（或设置失败）是任何存放在驱动器上的例子脚本。这种漏洞在网络上重现过无数次，包括那

23、些在Web服务器版本中的文件。这些脚本有时会为来自网络空间的侵入者提供有限的访问权限甚至root的访问权限。如，test_cgi文件的缺陷是允许来自网络空间的侵入者读取CGI目录下的文件。该类漏洞补救的方法：建议删掉这些脚本。例如，Novell平台的一种HTTP服务器含有一个称作Convert.bas的例子脚本。这个用BASIC编写的脚本，允许远程用户读取系统上的任何文件。删除该脚本，即可避免远程用户读取系统上的任何文件。该类漏洞产生的影响：这类漏洞从外界对系统造成严重的威胁。在许多情况下，如果系统管理员只运行了很少的日志的话，这些攻击可能会不被记录，使捉获更为困难。搜索器的重要目的即为检查这

24、些漏洞。因此，尽管安全性程序员把这些漏洞包含进他们的程序中作为检查的选择，但他们经常是在攻击者几个月之后才这样做（某些漏洞，比如说允许拒绝服务的synflooding漏洞不容易弥补。系统管理员目前必须得学会在这些不尽人意的漏洞下工作）。使形势更为困难的是非UNIX平台的漏洞要花更多的时间才会表现出来。许多NT的系统管理员不运行重日志文件。为报告漏洞，他们必须首先有漏洞存在的证据。另外，新的系统管理员（在IBM兼容机中，这样的管理员占很大比例）没有对文档和报告安全性事故做好准备。这意味着漏洞出现后，被测试、重建测试环境及最后加入到搜索器前的时间浪费了。该类漏洞受到的攻击：入侵者利用脚本获取访问权

25、，例如，Microsoft的Internet信息服务器(IIS)包含一个允许任何远程用户执行任意命令的漏洞。问题是IIS HTTP将所有.bat或.cmd后缀的文件与cmd.exe程序联系起来，入侵者如果能够执行cmd.exe文件，那么他就可以执行任何命令，读取任意分区的任意文件（认为IIS_user可以读取并执行此文件等等。Netscape通信和Netscape商业服务器也都有相类似的bug。对干Netscape服务使用BAT或CMD文件作为CGI脚本则会发生类似的事情。5.3、漏洞对网络安全的影响（1）漏洞影响Internet的可靠性和可用性Internet网络的脆弱性也是一种漏洞。Int

26、ernet是逐步发展和演变而来的，其可靠性和可用性存在很多弱点，特别是在网络规模迅速扩大，用户数目猛增，业务类型多样化的情况下，系统资源的不足成为一个瓶颈，而系统和应用工具可靠性的弱点也逐渐暴露出来。随着经济和管理活动对网络依赖程度的加深，网络的故障和瘫痪将会给国家、组织和企业造成巨大的损失。（2）漏洞导致Internet上黑客入侵和计算机犯罪黑客攻击早在主机终端时代就已经出现，随着Internet的发展，现代黑客则从以系统为主的攻击转变到以网络为主的攻击。形形色色的黑客和攻击者利用网络上的任何漏洞和缺陷进行攻击，例如：通过网络监听获取网上用户的账号和密码；监听密钥分配过程，攻击密钥管理服务器

27、，得到密钥或认证码，从而取得合法资格；利用UNIX操作系统提供的守护进程的缺省账户进行攻击，如Telnet Daemon、FTP Daemon和RPC Daemon等；利用Finger等命令收集信息，提高自己的攻击能力；利用SendMail，采用debug、wizard和pipe等进行攻击；利用FTP，采用匿名用户访问进行攻击；利用NFS进行攻击；通过隐蔽通道进行非法活动；突破防火墙等等。显然黑客入侵和计算机犯罪给Internet的安全造成了严重的威胁。（3）漏洞致使Internet遭受网络病毒和其它软件的攻击计算机病毒被发现十多年来，其种类正在以几何级数增长，而且病毒的机理和变种不断演变，为

28、检测和消除带来了更大的难度，成为计算机和网络发展的一大公害。它破坏计算机的正常工作以及信息的正常存储。严重时，可以使计算机系统陷于瘫痪。特洛伊木马也是一种极常用的攻击方法，这种攻击常常在程序中声称做某件事，而实际上做另一种用户不想做的事情。简单的特洛伊木马只是窃取口令，获得非法的访问，严重的甚至会完全删除磁盘上的文件。总之，漏洞对于Internet安全性的影响是非常严重的。不对漏洞进行补救，将严重的制约Internet的健康发展。5.4、漏洞与后门的区别漏洞与后门是不同的，漏洞是难以预知的，后门则是人为故意设置的。后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令，这些口令无

29、论是被攻破，还是只掌握在制造者手中，都对使用者的系统安全构成严重的威胁。早期的报道中就有怀疑微软的操作系统藏有后门的文章，为此，微软也一再宣称要公布其源代码，以使公众放心。为了防止后门对系统构成安全威胁，国家也专门制定了法律，禁止进口安全产品。5.5、漏洞扫描器（1）扫描器简介扫描器是自动检测远程或本地主机安全性漏洞的程序包。使用扫描器，不仅可以很快地发现本地主机系统配置和软件上存在的安全隐患，而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性漏洞，这种自动检测功能快速而准确。扫描器和监听工具一样，不同的人使用会有不同的结果：如果系统管理员使用了扫描器，它将直接有助于加强系统安全性；而对

30、于黑客来说，扫描器是他们进行攻击入手点，不过，由于扫描器不能直接攻击网络漏洞，所以黑客使用扫描器找出目标主机上各种各样的安全漏洞后，利用其他方法进行恶意攻击。扫描器的运行对系统有一定的要求：系统要求取决于扫描器、操作系统以及与Internet的连接。比如，某些扫描器都是专为UNIX编写的，所以需要UNIX系统；有些扫描器只能在Linux上运行；扫描器能够很好地运行，需要主机有较快的速度；对RAM要求足够大容量，这主要与使用的扫描器有关。一般行命令扫描器不大占用内存，而基于窗口的扫描器会需要大量内存。目前流行的扫描器有：NSS网络安全扫描器、stroke超级优化TCP端口检测程序（可记录指定机器

31、的所有开放端口）、SATAN安全管理员的网络分析工具、JAKAL、XSCAN等。（2）端口扫描 如果利用端口扫描程序扫描网络上的一台主机，这台主机运行的是什么操作系统，该主机提供了那些服务，便一目了然。在一般情况下在Windows NT和Windows 2003中，只在几个非常有限的端口提供服务。服务FTPSMTPTelnetSQL数据库远程桌面HTTP端口2125231433338980公共端口及其对应服务或应用程序端口扫描程序对于系统管理人员，是一个非常简便实用的工具。端口扫描程序可以帮助系统管理员更好地管理系统与外界的交互。当系统管理员扫描到Finger服务所在的端口号（79/tcp）时，便应想到这项服务是否关闭。假如原来是关闭的，现在又被扫描到，则说明有人非法取得了系统管理员的权限，改变了inetd.conf文件中的内容。因为这个文件只有系统管理员可以修改，这说明系统的安全正在受到侵犯。 如果扫描到一些标准端口之外的端口，系统管理员必须清楚这些端口提供了一些什么服务，是不是允许的。许多系统就常常将WWW服务的端口放在8000端口，或另一个通常不用的端口上。系统管理员必须知道8000或另一个端口被WWW服务使用了。不过，端口扫描有时也会忽略一些不常用的端口。例如，许多黑客将为自己开的后门设在一个非常高的端口上，使用了一些不常用的端口，就容