《CISM培训课件》系统及应用安全.pptx
《《CISM培训课件》系统及应用安全.pptx》由会员分享,可在线阅读,更多相关《《CISM培训课件》系统及应用安全.pptx(102页珍藏版)》请在冰点文库上搜索。
系统及应用安全,中国信息安全测评中心,课程内容,2,操作系统安全,系统及应用安全技术,Web应用安全,互联网使用安全,知识体:
系统及应用安全技术,知识域:
操作系统安全了解Windows系统服务器安全安装及配置;了解Windows系统终端安全管理策略。
3,骨干网络,保护网络边界,保护网络和基础设施,保护计算环境,系统安全是信息系统纵深防御中的最后环节IATF“保护计算环境”的主要内容,4,系统安全重要性,系统安全的核心要素,硬件系统安全硬件:
服务器、存储等硬件设施威胁源(故障、自然灾害等)软件系统安全软件:
操作系统、系统软件、应用软件等威胁源:
兼容性、入侵、病毒等,5,如何打造安全的Windows系统,安全的安装安全的配置,6,打造安全的Windows系统-安全安装,系统选择分区选择优化安装补丁及备份,7,系统选择,正版合适的版本(以windows2003为例)WindowsServer2003标准版WindowsServer2003企业版WinowsServer数据中心版Windowsserver2003Web版单一操作系统,8,注意不同版本之间的差异,分区选择,分区设置操作系统与数据放在不同的分区建议三个分区C盘(操作系统,适当的空间)D盘(数据,足够大的空间)E盘(日志及备份,尽量大的空间)文件系统使用NTFS文件系统安装前格式化为NTFS,不要安装后使用convert命令转换,9,Windows文件系统,FAT/FAT32小磁盘和简单的目录结构设计,以簇(Clusters)为单位进行空间分配,容易导致空间浪费不具备安全特性NTFS访问控制权限管理容错性支持压缩及空间利用率高,10,优化安装,最小化组件安装,仅安装必要的组件IISFTPSMTPNNTP修改默认配置Windows安装目录(例如:
c:
winnt),11,补丁及备份,补丁ServicePackHotfix备份应急修复盘还原点,12,打造安全的Windows系统-安全配置,账户安全配置共享安全配置系统服务配置日志安全配置本地安全策略,组策略配置文件安全配置防火墙安全配置自动更新配置安全软件增强,13,账号安全配置,账户策略密码策略密码必须符合复杂性要求密码长度最小值密码最短使用期限密码最长使用期限强制密码历史用可还原的加密来存储密码账户锁定策略账户锁定时间账户锁定阀值重置账户锁定计数器,14,账号安全配置,账户信息修改更名管理员账户administrator改名给管理员账户一个安全的口令Guest账户改名,给一个安全的口令属性关闭普通账号的终端登录权限创建审计账户创建一个新的administrator账户,属于guest组对此账户进行审计以发现口令攻击行为,15,共享安全配置,共享安全风险IPC$的安全问题(空会话连接导致信息泄露)管理共享风险(远程文件操作)普通共享的风险(远程文件操作),16,解决IPC$空会话连接,系统策略本地安全策略-安全选项中的相关设置注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA把RestrictAnonymous=DWORD的键值改为:
1端口139445端口,17,通过控制面板里面的管理工具来取消共享为暂时,重启后恢复。
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters服务器:
创建键值名AutoShareServer,类型DWORD(双字节)并且值为0客户端:
创建键值名为AutoShareWks,类型DWORD(双字节)并且值为0,关闭管理共享,18,系统服务安全配置,关闭不必要的服务(手工、禁用)MessageTaskSchedulerRemoteRegistryWindowsTime服务的权限控制默认服务权限-system降低部分服务的权限,特别是应用程序服务权限,19,关注互操作服务,日志安全配置,20,默认提供日志系统日志应用程序日志安全日志安装相应服务后提供目录服务日志文件复制日志DNS服务器日志,开启安全审核!
日志安全配置,日志属性日志大小上限100M日志覆盖时间30天日志保存路径修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication应用程序日志Security安全日志System系统日志,21,本地安全策略设置,用户权限分配创建文件和目录从网络访问此计算机安全选项当登录时间完成自动注销关机清理虚拟内存页面不显示上次登陆用户名超过登录时间后强制注销用户登录时的消息标题用户登录时的消息文本使用空白密码的账号允许控制台登录,22,其他本地安全策略,高级安全Windows防火墙网络列表管理器策略公钥策略软件限制策略应用程序控制策略高级审核策略配置,23,组策略设置,24,软件设置Windows设置管理模板Windows组件打印机控制面板网络系统所有设置,文件安全配置,设置系统文件权限(权限最小化原则)给予正常工作所需的最小权限参考相关文档或标准数据文件权限设置仅对需要访问的用户提供权限日志文件系统安全防护日志系统设置为仅对system有写权限Administrator为读权限,25,防火墙安全配置,出站规则入站规则连接安全规则监视防火墙连接安全规则安全关联,26,有必要考虑第三方防火墙,自动更新配置,更新方式自动更新自动下载,手动安装(推荐)通知更新、手动下载安装不检查更新更新时间其他设置,27,远程访问设置,限制对远程终端的访问尽量不要开放远程终端等远程管理系统限时限制访问源(IP)限制管理员从远程终端登录,28,安全增强软件,软件防火墙防病毒软件安全检测软件安全还原软件,外部网络,29,打造安全计算机终端的十条策略,规范的名称安全的账号及口令确保共享安全确保系统补丁更新防病毒软件及更新关闭系统自动执行功能启用系统防火墙安全策略设置安装增强软件重要数据要备份,30,策略一:
规范的计算机名称,31,更改计算机名,我的电脑属性计算机名更改,重启计算机即可。
32,策略二:
安全的账号及口令,33,开启屏幕保护功能,桌面右键属性屏幕保护程序勾选“在回复时使用密码保护”,34,策略三:
确保共享安全,共享的管理关闭管理共享,35,共享,策略四:
确保系统补丁更新,36,开启自动更新、安装更新,控制面板安全中心启用控制面板自动更新选择相应选项,37,安装更新,从弹出的对话框选择快速安装或自定义安装安装完成后及时重启计算机,38,手工查询更新,开始菜单所有程序windowsUpdate进入微软更新网站,手工更新,39,使用第三方工具修复系统漏洞,40,策略五:
防病毒软件及更新,41,移动存储设备自动播放的威胁,U盘插入,病毒则立刻运行,42,策略六:
关闭系统自动执行功能,43,策略七:
开启windows防火墙,控制面板安全中心启用控制面板windows防火墙选择“启用”,44,配置windows防火墙,选择例外根据需要配置“例外”选项只有经过允许的应用程序才能访问网络,45,策略八:
安全策略设置,46,开启审核功能,控制面板管理工具本地安全策略(或者直接在开始,运行中输入gpedit.msc)windows设置安全设置本地策略审核策略属性根据需要选择“成功”、“失败”选项,47,配置日志大小和覆盖方式,控制面板管理工具事件查看器(或者直接在开始,运行中输入eventvwr.msc)选中其中一项,属性调整日志大小,覆盖策略,48,策略九:
安全增强软件,49,文档邮件数据通讯录,备份,50,策略十:
小心重要数据,知识体:
系统及应用安全技术,知识域:
WEB应用安全了解IIS等常用Web软件安全配置管理方法;了解SQL等数据库系统安全配置管理方法。
知识域:
互联网使用安全了解互联网浏览安全基本常识;了解数据安全基本概念;,51,Web应用面临的安全风险,篡改挂马数据丢失拒绝服务钓鱼攻击SQL注入,52,Web应用架构,53,IISApache,AspPhpJspPerl,SqlserverOracleDb2mysql,如何构建安全应用环境,运行环境的安全Web服务软件安全配置数据库安全管理安全脚本开发,54,构建安全应用环境-IIS安全设置,主目录及目录安全性(目录权限)性能设置(端口、连接数等)日志安全文档和错误消息,55,虚拟目录,默认虚拟目录带来的安全风险默认文件带来的安全风险,56,不需要请删除,主目录及目录安全性,57,性能设置,58,并发连接数设置带宽限制Cpu限制,Web站点设置,IP地址端口主机头名称连接控制日志,59,日志安全性,日志记录内容日志的路径非系统盘足够大的空间单独的日志分区日志的访问权限System可以写入,不可读Administrator可读不可修改其他用户无权限,60,构建安全应用环境-SQLServer安全管理,账户安全问题扩展存储过程默认端口、通讯加密日志监控、审计备份、恢复,61,账户安全问题,默认的SA用户为空口令,62,扩展存储过程,SqlServer存在扩展存储过程能够对系统进行调用。
xp_cmdshell(实现cmd的调用)xp_regwrite(实现注册表的调用)其他与系统交互的存储过程,63,默认端口,SqlServer默认采用的通讯端口为1433,可以将该端口进行修改提高安全性。
64,通讯加密,可以选择强制协议加密来保证通讯安全。
65,日志监控、审计,经常需要查看SqlServer的运行日志打开SqlServer的审计功能,66,备份、恢复,添加备份任务增量备份全备份做系统崩溃恢复测试(测试数据库),67,互联网使用安全,即时聊天,网页浏览,文件下载,邮件、办公,网络游戏,网上购物,68,网页浏览安全问题,69,网页挂马恶意脚本隐私泄露网络钓鱼网页欺诈,网页挂马的技术实现,70,利用浏览器及系统漏洞实现利用脚本实现利用activeX控件实现,网页挂马技术实现,将木马伪装为页面元素利用脚本运行的漏洞伪装为缺失的组件通过脚本运行调用某些com组件在渲染页面内容的过程中利用格式溢出释放或下载木马(例如:
ani格式溢出漏洞及flash9.0.115的播放漏洞),71,恶意脚本,72,恶意脚本的实现脚本强大的交互功能可以被攻击者利用,编写具备破坏性的脚本恶意脚本类型广告(修改首页、弹出广告等)破坏(破坏系统、浏览器设置)窃取(窃取信息、放置木马),隐私泄露,73,随意注册大量网站要求注册访问,用户注册导致信息泄露密码找回密码找回方式(邮件、手机短信)导致用户信息泄露未来实名制导致的信息泄露风险增大,网络钓鱼与网页欺诈,网络钓鱼事件的发生情况,2009年网络钓鱼网站举报情况,74,钓鱼邮件,75,钓鱼网站,76,Web浏览安全,使用安全的浏览器IE安全配置良好的安全意识,77,浏览器安全,使用非IE浏览器FirefoxOperaChrome搜狗浏览器360浏览器,78,IE安全配置-浏览级别,79,以IE8为例,在安全选项中,建议勾选“该区域的安全等级”下的“该区域的允许级别”为高,IE安全配置-隐私保护,以IE8为例,在常规选项中,建议勾选“退出时删除浏览历史记录”,防止信息泄漏单击“删除”,配置删除内容,建议全选。
80,IE安全配置-隐私保护,在隐私选项中,建议勾选“阻止显示大多数弹出窗口”,避免广告窗口打扰以及被感染病毒、木马的弹出窗口运行病毒程序。
对于经常访问的网站,可以单击“设置”,添加该网站即可不阻止该网站的弹出窗口。
81,浏览安全-网页欺诈,伪造金融网站、电子邮件守株待兔网上“垂钓”http:
/http:
/孰真孰假?
伪造网站的域名和真正的银行网站差别很小,可能仅仅是一个字母的差别,仅是“i”和“1”的差别。
82,浏览安全-网银安全,以IE8浏览网银为例(不同版本IE显示可能不同):
注意左侧是否是以https开头,右侧是否有锁的图标,另外,浏览器栏的底色是不是绿色。
83,邮件安全,垃圾邮件,钓鱼邮件,84,邮件客户端安全使用,85,使用非微软邮件客户端等thunderbird/foxmail/kmail等尽量使用纯文本格式阅读备份,即时通讯安全,86,即时通讯安全,即时通讯工具散布中奖信息诈骗高额钱财诈骗者冒充客服人员,发送大量的中奖通知,骗取网友的银行卡及个人身份信息,达到盗取银行存款的目的,或以个税等各类名义要求汇款,收到汇款后拖延时间要求再次汇款,直至销声匿迹。
即使是亲朋好友的汇款请求,也注意确认,87,即时聊天保护工具,QQ医生:
1.查杀QQ病毒2.诊断QQ程序异常3.网页防火墙等功能,MSN保护盾:
1.聊天内容加密(双方必须同时安装相同软件)2.开启多账户功能,MSNshell:
1.聊天内容加密(双方必须同时安装)2.头像、多账户等强化功能,88,数据安全防护,银行卡号身份证号,通讯录社会关系,敏感内容,电子日记,空间,家庭住址,工作邮件、文件,89,数据安全,存储设备中的数据面临的信息安全威胁存储设备丢失存储设备物理损坏、数据丢失或被破坏数据被窃取、恶意恢复,90,设备丢失,设备被盗或遗失导致数据丢失不可用,同时机密数据、隐私泄露,应对办法:
做好数据备份及数据加密,91,数据丢失,设备保存、使用不当,设备损坏导致数据丢失、不可用数据被误删除导致数据丢失、被破坏、不可用,应对办法:
使用数据恢复软件抢救数据、重要数据请专业机构处理,92,数据被窃取、恶意恢复,数据在移动设备使用过程中被直接窃取病毒及木马设备在维修/借用给他人之后,数据被恶意恢复,应对办法:
个人终端使用安全/文件加密/文件粉碎,93,防止数据被非法窃取,文件加密PGP加密,94,文件加密,95,PGP,96,PGP(PrettyGoodPrivacy)一个基于RSA公钥&私钥及AES等加密算法的加密软件系列功能:
邮件加密与身份确认,资料公钥&私钥加密,硬盘及移动盘全盘密码保护,网络共享资料加密,PGP自解压文档创建,资料安全擦除等,文件粉碎,彻底粉碎被删除数据使用“安全删除软件”(如文件粉碎机)擦除或粉碎数据没有安全删除软件怎么办?
!
使用数据反复覆盖反复往U盘、移动硬盘中写入非隐私文件数码相机在删除隐私相片之后继续多拍几张照片来覆盖数据,97,文件粉碎,98,删除文件后,并向文件所在磁盘位置反复多次写入数据,导致文件彻底无法恢复,1次擦除:
为安全强度较低的数据擦除,但其擦除速度最快,适用于对安全性要求不高,但对擦除速度有较高要求的场合;3次擦除:
依据美军DOD-5220.22标准,适用于对擦除速度及擦除效果有要求的场合;6次擦除:
依据国家保密局标准擦除算法,适用于对擦除效果有较高要求的场合;7次擦除:
安全强度最高的数据擦除方案,安全擦除序列是针对不同磁盘编码规则设计的,适用于对擦除效果有高要求的场合。
数据擦除,99,数据安全防护四注意,U盘分类分级U盘交换完数据后进行删除、重要数据粉碎操作损坏设备维修要小心敏感数据存储介质消磁处理,100,总结,系统安全安全安装安全配置终端安全策略应用安全IIS安全SQLSERVER数据库安全互联网使用安全浏览安全数据安全,101,谢谢,请提问题!
升级会员 