系统安全设计.docx
《系统安全设计.docx》由会员分享,可在线阅读,更多相关《系统安全设计.docx(43页珍藏版)》请在冰点文库上搜索。
系统安全设计
一系统安全设计
1.1常用安全设备
1.1.1防火墙
主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:
port的访问。
基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
1.1.2抗DDOS设备
防火墙的补充,专用抗DDOS设备,具备很强的抗攻击能力。
1.1.3IPS
以在线模式为主,系统提供多个端口,以透明模式工作。
在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。
和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
1.1.4SSLVPN
它处在应用层,
SSL
用公钥加密通过
SSL
连接传输的数据来工作。
SSL
协议指定了在
应用程序协议和
TCP/IP
之间进行数据交换的安全机制,为
TCP/IP
连接提供数据加密、服
务器认证以及可选择的客户机认证。
1.1.5WAF(WEB应用防火墙)
Web
应用防护系统(
WebApplication
Firewall,
简称:
WAF)代表了一类新兴的信息
安全技术,用以解决诸如防火墙一类传统设备束手无策的
Web
应用安全问题。
与传统防火
墙不同,
WAF
工作在应用层,因此对
Web
应用防护具有先天的技术优势。
基于对
Web
应
用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验
证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防
护。
产品特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。
并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。
甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。
从而减小Web服务器被攻击的可能性。
及时补丁
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。
WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。
当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。
(附注:
及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规范性。
)
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。
用户可以按照这些规则对应用进行全方面检测。
还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。
但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。
状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并
且记录事件。
通过检测用户的整个操作行为我们可以更容易识别攻击。
状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。
这
对暴力攻击的识别和响应是十分有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据
带来的问题。
比如:
隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。
1.2网络安全设计
1.2.1访问控制设计
防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访
问控制。
并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒的访问控制。
其
中防火墙产品从网络层到应用层都实现了自由控制。
屏蔽主机网关易于实现,安全性好,应用广泛。
它又分为单宿堡垒主机和双宿堡垒主机
两种类型。
先来看单宿堡垒主机类型。
一个包过滤路由器连接外部网络,同时一个堡垒主机
安装在内部网络上。
堡垒主机只有一个网卡,与内部网络连接。
通常在路由器上设立过滤规
则,并使这个单宿堡垒主机成为从Internet惟一可以访问的主机,确保了内部网络不受未被
授权的外部用户的攻击。
而Intranet内部的客户机,可以受控制地通过屏蔽主机和路由器访
问Internet。
1.2.2拒绝服务攻击防护设计
对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行;以使
得被攻击计算机或网络无法提供正常的服务或者资源,合法用户的请求得不到及时的响应。
由于DoS的攻击具有隐蔽性,到目前为止还没有行之有效的防御方法。
首先,这种攻击的
特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DoS攻击。
1)和ISP协调工作,让他们帮助实施正确的路由访问控制策略以保护带宽和内部网络。
2)建立边界安全界限,确保输入输出的包受到正确限制。
经常检测系统配置信息,并注意查看每天的安全日志。
3)利用网络安全设备(例如:
防火墙)来加固网络的安全性,配置好它们的安全规则,过滤掉所有的可能的伪造数据包。
4)关闭不必要的服务,及早发现系统存在的攻击漏洞,及时安装系统补丁程序。
对一些重要的信息建立和完善备份机制,对一些特权帐号的密码设置要谨慎。
5)充分利用网络设备保护网络资源。
如路由器、防火墙等负载均衡设备,它们可将网
络有效地保护起来。
被攻击时最先死掉的是路由器,但其他机器没有死。
死掉的路由器经重
启后会恢复正常,而且启动起来还很快,没有什么损失。
若其他服务器死掉,其中的数据会丢失,而且重启服务器是一个漫长的过程。
当你发现自己正遭受DoS攻击时,应立即关闭系统,或至少切断与网络的连接,保存入侵的记录,让安全组织来研究分析。
6)使用专业DoS防御设备。
1.2.3嗅探(
sniffer
)防护设计
嗅探器只能在当前网络段上进行数据捕获。
这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。
网络分段需要昂贵的硬件设备。
有三种网络设备是嗅探器不可能跨过的:
交换机、路由器、网桥。
对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。
采用20个工作站为一组,这是一个比较合理的数字。
然后,每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。
1.3主机安全设计
1.3.1操作系统
1.3.2安全基线配置
操作系统安全是信息系统安全的最基本,最基础的安全要素。
操作系统的任何安全脆弱
性和安全漏洞,必然导致信息系统的整体安全脆弱性。
在目前的操作系统中,对安全机制的
设计不尽完善,存在较多的安全漏洞隐患。
面对黑客的盛行,网络攻击的日益频繁,运用技
术愈加选进,有必要使用安全漏洞扫描工具对计算机操作系统的进行漏洞扫描,对操作系统
进行风险评估,并进行升级。
应及时安装操作系统安全补丁程序,对扫描或手工检查发现的系统漏洞进行修补,并及
时关闭存在漏洞的与承载业务无关的服务;通过访问控制限制对漏洞程序的访问。
比如
windows操作系统补丁升级
在操作系统安装之后立即安全防病毒软件,定期扫描,实时检查和清除计算磁盘引导记
录、文件系统和内存,以及电子邮件病毒。
目前新的病毒发展很快,需及时更新病毒库。
比
如SymantecEndpointProtect(SEP防病毒服务器版)。
SymantecEndpointProtect无缝集成了一些基本技术,如防病毒、反间谍软件、防火墙、入侵防御、设备和应用程序控制。
能有效阻截恶意软件,如病毒、蠕虫、特洛伊木马、间谍
软件、恶意软件、
Bo、零日威胁和rootkit。
从而防止安全违规事件的发生,从而降低管理
开销。
通过配置用户帐号与口令安全策略,提高主机系统帐户与口令安全。
技术要求
标准点(参数)
说明
Daemon
Bin
Sys
Adm
Uucp
清理多余用户帐号,限制系统默认
限制系统无用
Nuucp
帐号登录,同时,针对需要使用的用户,
的默认帐号登录
Lpd
制订用户列表进行妥善保存
Imnadm
Ldap
Lp
Snapp
invscout
技术要求
标准点(参数)
说明
root远程登录
禁止
禁止root远程登录
口令中某一字符最多只能重复3
maxrepeats=3
次
口令最短为8个字符
minlen=8
口令中最少包含
4个字母字符
minalpha=4
口令中最少包含一个非字母数字
minother=1
口令策略
字符
mindiff=4
新口令中最少有
4个字符和旧口
minage=1
令不同
maxage=25(可选)
口令最小使用寿命
1周
histsize=10
口令的最大寿命
25周
口令不重复的次数
10次
FTP用户帐号
/etc/ftpusers
禁止root用户使用FTP
控制
对系统的日志进行安全控制与管理,保护日志的安全与有效性。
技术要求
标准点(参数)
说明
记
录
authlog
、
记录必需的日志信息,以便进行审
日志记录
wtmp.log
、
sulog
、
计
failedlogin
日志存储(可
日志必须存储在日志
使用日志服务器接受与存储主机
选)
服务器中
日志
日志保存要求
2个月
日志必须保存
2个月
日志系统配置
文件属性
400(管理
修改日志配置文件(syslog.conf)
文件保护
员帐号只读)
权限为400
日志文件保护
文件属性
400(管理
修改日志文件
authlog、wtmp.log、
员帐号只读)
sulog、failedlogin的权限为400
1.4数据库
1.4.1安全基线配置
数据库系统自身存在很多的漏洞,严重威胁数据库自身的安全,甚至还会威胁到操作系统的安全。
oracle、SQLServer等数据库有很多的广为人知的漏洞,恶意的用户很可能利用这
些漏洞进行数据库入侵操作。
同时在企业内部对数据库权限管理不严格,数据库管理员不正
确的管理数据库,使得内部普通员工很容易获取数据库的数据。
因此需通过数据库安全扫描
工具,比如安信通数据库漏洞扫描系统DatabaseSecurityScanSystem简称AXT-DBS。
AXT-DBS数据库安全扫描系统能够自动地鉴别在数据库系统中存在的安全隐患,能够扫描从
口令过于简单、权限控制、系统配置等一系列问题,内置的知识库能够对违背和不遵循安全性策略的做法推荐修正的操作,并提供简单明了的综合报告和详细报告。
配置用户帐号与口令安全策略,提高数据库系统帐户与口令安全。
技术要求技术点(参数)
说明
禁止使用oracle或
数据库主机管理
员帐号
oracle帐号
默认帐号
数据库SYSDBA帐号
口令策略
控制默认主机管理员帐号
删除无用帐号
修改口令
禁止远程登录
禁止自动登录
a)PASSWORD_VERIFY_FUNCTION8
b)PASSWORD_LIFE_TIME180(可选)
c)PASSWORD_REUSE_MAX5
administrator作为数据库主机
管理员帐号
清理帐号,删除无用帐号
如
DBSNMP
SCOTT
修改配置参数,禁止SYSDBA
远程登录
修改配置参数,禁止SYSDBA
自动登录
a)密码复杂度8个字符
b)口令有效期180天
c)禁止使用最近5次使用的口令
帐号策略FAILED_LOGIN_ATTEMPTS5
public权限优化
连续5次登录失败后锁定用户
清理public各种默认权限
对系统的日志进行安全控制与管理,保护日志的安全与有效性。
技术要求
标准点(参数)
说明
日志审核
启用
启用数据库审计功能
登录日志记录
启动
建立日志表,启动触发器
数据库操作日志
启动
建立日志表,启动触发器
(可选)
日志审计策略
OS
(可选)
日志记录在操作系统中
日志保存要求
2个月
日志必须保存2个月
日志文件保护
启用
设置访问日志文件权限
对系统配置参数进行调整,提高数据库系统安全。
技术要求
标准点(参数)
说明
数据字典保护
启用数据字典保护
限制只有SYSDBA权限的用户
才能访问数据字典
监听程序加密
设置监听器口令
设置监听器口令
监听服务连接超
编
辑listener.ora
文
件
设置监听器连接超时
时connect_timeout_listener=10秒
服务监听端口
在不影响应用的情况下,更改默认端口修改默认端口TCP1521
(可选)
1.4.2中间件
Tomcat中间件安全要求
应用安全加固,提高程序安全。
技术要求标准点(参数)
关闭war自动部署,防止被植入木马
应用程序安全
等恶意程序
用户帐号与口令安全
配置用户帐号与口令安全策略,提高系统帐户与口令安全。
技术要求
标准点(参数)
安全策略
屏蔽用户权限
注释或删除
xmlversion='1.0'encoding='utf-8'?
>
tomcat_users.xm
l所有用户权限
隐藏tomcat版本
enableLookup=”false”
信息
listings
安全配置
false
对系统的配置进行优化,保护程序的安全与有效性。
技术要求标准点(参数)
用普通用户启动Tomcat
优化server.xml
安全防护
说明
unpackWARs="false"
autoDeploy="false"
说明
用户安全设置
注释或删除所有用户权限
隐藏tomcat版本信息,编辑
server.xml
禁止列目录,编辑web.xml
说明
为了进一步安全,我们不建
议使用root来启动Tomcat。
这边建议使用专用用户
tomcat或者nobody用户来
启动Tomcat。
在启动之前,需要对我们的
tomcat安装目录下所有文件
的属主和属组都设置为指定用
户。
通过对tomcat系统配置参数调整,提高系统安全稳定。
技术要求
标准点(参数)
说明
设置session
过期时间,tomcat
默认
是30分钟
防止已知攻击
maxThreads
连接数限制
maxThreads是Tomcat所能接
受最大连接数。
一般设置不要超过
8000以上,如果你的网站访问量非
常大可能使用运行多个Tomcat
实
例的方法,即,在一个服务器上启
动多个
tomcat然后做负载均衡处
理
tomcat
作为一个应用服务器,也是
支持gzip
压缩功能的。
我们可以在
压缩传输
server.xml
配置文件中的
安装优化(可选)
Connector
节点中配置如下参数,
来实现对指定资源类型进行压缩。
禁用Tomcat管理页面
线上是不使用Tomcat默
认提供的管理页面的,因此都
会在初始化的时候就把这些页
面删掉。
这些页面是存放在
Tomcat安装目录下的
webapps目录下的。
我们只需要删除该目录下的
所有文件即可。
1.5应用安全设计
1.5.1身份鉴别防护设计
1)口令创建
口令创建时必须具有相应规则,如要求,口令不能使用连续数字、必须由大小写字母数字和特殊字符混合组成等。
2)口令传输
口令验证、修改等操作发生时,传输到服务器端的口令,在传输通道上应采用加密或
SSL方式传输。
降低口令在网络传输被截取所带来的风险。
3)口令存储
口令在存储时,应采MD5加密后存储。
严禁明文存储,避免口令存储文件暴露时用户口令泄密。
4)口令输入
网络认证登录时,口令输入控件避免使用游览器自带的口令输入框和键盘直接输入。
过提供口令输入插件、软件盘等方式提高口令输入安全性。
通
5)口令猜测
限制口令长度不低于
6)口令维护
8位,降低被猜测的风险,提高口令破解难度。
对需要重新设置口令的,管理员重置为初始口令。
用户首次使用该口令时,强制要求修改初始口令。
增加口令有效期限制,同一口令超出有效期后用户必须更改新口令。
1.5.2访问控制防护设计
自主性访问控制是在确认主体身份及其所属的组的基础上对访问进行控制的一种控制策略。
它的基本思想是:
允许某个主体显示的指定其他主体对该主体所拥有的信息资源是否可以访问以及执行。
自主访问控制有两种实现机制:
一是基于主体DAC实现,它通过权限表表明主体对所有客
体的权限,当删除一个客体时,需遍历主体所有的权限表;另一种是基于客体的DAC实现,它通过访问控制链表ACL(AccessControlList)来表明客体对所有主体的权限,当删除一个主体时,要检查所有客体的ACL。
为了提高效率,系统一般不保存整个访问控制矩阵,是通过基
于矩阵的行或列来实现访问控制策略。
1.6自身安全防护设计
1.6.1注入攻击防护设计
1)对数据进行正确地转义处理:
以保证它们不会被解释为HTML代码(对浏览器而言)或者XML代码(对Flash而言)。
过滤参数中符合标签和的特殊字符,对“<”替换为“<”,
“>”替换为“>”,“(”替换为“(”,“)”替换为“(”,“'”替换为“'”,“””替换“"”。
2)删除会被恶意使用的字符串或者字符:
一般情况下,删除一些字符会对用户体验造成影响,举例来说,如果开发人员删除了上
撇号(’),那么对某些人来说就会带来不便,如姓氏中带有撇号的人,他们的姓氏就无法正常
显示。
对所有用户提供的又被发回给Web浏览器的数据都进行转义处理,包括AJAX调用、移动式
应用、Web页面、重定向等内的数据。
过滤用户输入要保护应用程序免遭跨站点脚本编制
的攻击,请通过将敏感字符转换为其对应的字符实体来清理HTML。
这些是HTML敏感字
符:
<>"'%;)(&+。
1.6.2漏洞利用防护设计
使用安装在目标计算系统上的安全组件在传输层(例如传输通信协议(TCP)套接层)监
控网络流量。
当接收到以所述计算系统为目的的消息时,将被包括在所述消息中的数据与用于识别恶意代码的利用证据进行比较。
所述利用证据通过收集关于所述恶意代码的信息的安
全服务提供给所述安全组件。
基于所述消息中的数据与所述利用证据的所述比较,识别规则,
所述规则指示所述安全组件对所接收的消息采取适当的行动。
1.6.3防篡改设计
当判断出现篡改后,系统进入紧急处理程序。
紧急程序首先做的是恢复被篡改文件。
将“样本”文件覆盖到WebService的指定目录中去,使WEB服务正常;然后发送报警信息,同时,缩短轮询时间为每50毫秒一次。
当继续检测到异常时,首先停止WEB服务,然后发送报警信息。
1.6.4应用审计设计
系统提供日志功能,将用户登录、退出系统,以及重要的模块所有的操作都记录在日志中,
并且重要的数据系统采用回收站的方式保留,系统管理员能够恢复被删除的数据,有效追踪
非法入侵和维护系统数据安全。
操作系统日志是操作系统为系统应用提供的一项审计服务,这项服务在系统应用提供的
文本串形式的信息前面添加应用运行的系统名、时戳、事件ID及用户等信息,然后进行本
地或远程归档处理。
操
升级会员 