信息安全應(yīng)急響應(yīng)與風(fēng)險(xiǎn)評(píng)估及加固

1、信息安全應(yīng)急體系信息安全應(yīng)急體系風(fēng)險(xiǎn)評(píng)估方法和實(shí)施流程風(fēng)險(xiǎn)評(píng)估方法和實(shí)施流程安全加固方法和實(shí)施流程安全加固方法和實(shí)施流程應(yīng)急規(guī)劃應(yīng)急規(guī)劃計(jì)計(jì) 劃劃流流 程程技技 術(shù)術(shù)基礎(chǔ)信息網(wǎng)絡(luò)基礎(chǔ)信息網(wǎng)絡(luò)重要信息系統(tǒng)重要信息系統(tǒng)計(jì)計(jì) 劃劃目目 的的范范 圍圍業(yè)務(wù)連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃提供在從嚴(yán)重破壞中恢復(fù)時(shí)提供在從嚴(yán)重破壞中恢復(fù)時(shí)保持必要的業(yè)務(wù)運(yùn)行的流程保持必要的業(yè)務(wù)運(yùn)行的流程涉及到業(yè)務(wù)過程，并由于其涉及到業(yè)務(wù)過程，并由于其對(duì)業(yè)務(wù)過程的支持而涉及到對(duì)業(yè)務(wù)過程的支持而涉及到IT IT業(yè)務(wù)恢復(fù)業(yè)務(wù)恢復(fù)/ /再繼續(xù)計(jì)劃再繼續(xù)計(jì)劃提供災(zāi)難發(fā)生后立即恢復(fù)業(yè)提供災(zāi)難發(fā)生后立即恢復(fù)業(yè)務(wù)運(yùn)行的流程務(wù)運(yùn)行的流程涉及到業(yè)務(wù)過

2、程；并不關(guān)注涉及到業(yè)務(wù)過程；并不關(guān)注IT IT；僅限據(jù)其對(duì)業(yè)務(wù)過程的支持僅限據(jù)其對(duì)業(yè)務(wù)過程的支持而涉及到而涉及到IT IT運(yùn)行連續(xù)性計(jì)劃運(yùn)行連續(xù)性計(jì)劃提供在提供在3030天之內(nèi)在備用站點(diǎn)天之內(nèi)在備用站點(diǎn)保持機(jī)構(gòu)必要的戰(zhàn)略功能的保持機(jī)構(gòu)必要的戰(zhàn)略功能的能力能力涉及到被認(rèn)為是最關(guān)鍵的機(jī)涉及到被認(rèn)為是最關(guān)鍵的機(jī)構(gòu)使命子集；通常在總部級(jí)構(gòu)使命子集；通常在總部級(jí)制定；不關(guān)注制定；不關(guān)注IT IT支持連續(xù)性計(jì)劃支持連續(xù)性計(jì)劃提供恢復(fù)主應(yīng)用或通用支撐提供恢復(fù)主應(yīng)用或通用支撐系統(tǒng)的流程和能力系統(tǒng)的流程和能力同同IT IT應(yīng)急計(jì)劃；涉及到應(yīng)急計(jì)劃；涉及到IT IT系統(tǒng)系統(tǒng)破壞；不關(guān)注業(yè)務(wù)過程破壞；不關(guān)注業(yè)務(wù)過程

3、計(jì)計(jì) 劃劃目目 的的范范 圍圍危機(jī)溝通計(jì)劃危機(jī)溝通計(jì)劃提供將狀態(tài)報(bào)告分發(fā)給員工和提供將狀態(tài)報(bào)告分發(fā)給員工和公眾的流程公眾的流程涉及到和人員及公眾的溝涉及到和人員及公眾的溝通通, ,不關(guān)注不關(guān)注IT IT計(jì)算機(jī)事件響應(yīng)計(jì)劃計(jì)算機(jī)事件響應(yīng)計(jì)劃為檢測(cè)、響應(yīng)惡意計(jì)算機(jī)事件，為檢測(cè)、響應(yīng)惡意計(jì)算機(jī)事件，并限制其后果提供戰(zhàn)略并限制其后果提供戰(zhàn)略關(guān)注于對(duì)影響系統(tǒng)和關(guān)注于對(duì)影響系統(tǒng)和/ /或網(wǎng)或網(wǎng)絡(luò)的事件的信息安全響應(yīng)絡(luò)的事件的信息安全響應(yīng) 災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃為幫助在備用站點(diǎn)實(shí)現(xiàn)能力恢為幫助在備用站點(diǎn)實(shí)現(xiàn)能力恢復(fù)提供詳細(xì)流程復(fù)提供詳細(xì)流程經(jīng)常關(guān)注經(jīng)常關(guān)注IT,IT,限于會(huì)帶來長時(shí)限于會(huì)帶來長時(shí)間破壞影響

4、的主要破壞間破壞影響的主要破壞 擁有者應(yīng)急計(jì)劃擁有者應(yīng)急計(jì)劃提供經(jīng)過協(xié)調(diào)的流程，從而在提供經(jīng)過協(xié)調(diào)的流程，從而在應(yīng)對(duì)物理威脅時(shí)應(yīng)對(duì)物理威脅時(shí), ,將生命損失將生命損失和傷害降到最低，并保護(hù)財(cái)產(chǎn)和傷害降到最低，并保護(hù)財(cái)產(chǎn)免遭損害免遭損害 關(guān)注針對(duì)特定設(shè)施的特殊關(guān)注針對(duì)特定設(shè)施的特殊人員和財(cái)產(chǎn)；而不是基于人員和財(cái)產(chǎn)；而不是基于業(yè)務(wù)過程或業(yè)務(wù)過程或IT IT 系統(tǒng)功能系統(tǒng)功能數(shù)據(jù)、應(yīng)用和操作系統(tǒng)的備份與異地存儲(chǔ)數(shù)據(jù)、應(yīng)用和操作系統(tǒng)的備份與異地存儲(chǔ)關(guān)鍵系統(tǒng)組建或能力的冗余關(guān)鍵系統(tǒng)組建或能力的冗余系統(tǒng)配置和要求文檔系統(tǒng)配置和要求文檔在系統(tǒng)組件間以及主備點(diǎn)間互操作，以加快系在系統(tǒng)組件間以及主備點(diǎn)間互操作，

5、以加快系統(tǒng)恢復(fù)統(tǒng)恢復(fù)適當(dāng)規(guī)模的電源管理系統(tǒng)和環(huán)境控制適當(dāng)規(guī)模的電源管理系統(tǒng)和環(huán)境控制人員隊(duì)伍保障人員隊(duì)伍保障信息安全應(yīng)急體系信息安全應(yīng)急體系風(fēng)險(xiǎn)評(píng)估方法和實(shí)施流程風(fēng)險(xiǎn)評(píng)估方法和實(shí)施流程安全加固方法和實(shí)施流程安全加固方法和實(shí)施流程資產(chǎn)價(jià)值威脅脆弱性網(wǎng)御神州風(fēng)險(xiǎn)評(píng)估網(wǎng)御神州安全加固弱點(diǎn)/脆弱性威脅信息資產(chǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)價(jià)值發(fā)生的可能性嚴(yán)重程度風(fēng)險(xiǎn)值的高低屬性屬性屬性屬性13推進(jìn)推進(jìn)網(wǎng)絡(luò)與信息安全體系指導(dǎo)指導(dǎo)DO:DO:實(shí)施安全技術(shù)要求實(shí)施安全技術(shù)要求 實(shí)施安全管理要求實(shí)施安全管理要求CHECK:CHECK:安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)評(píng)估 ACTION:ACTION:安全實(shí)施安全實(shí)施 安全建設(shè)安全建

6、設(shè)PLANPLAN: :安全方針、目標(biāo)安全方針、目標(biāo) 安全要求安全要求業(yè)務(wù)業(yè)務(wù)目標(biāo)目標(biāo)業(yè)務(wù)業(yè)務(wù)安全安全14建立核心安全體系建立核心安全體系識(shí)別風(fēng)險(xiǎn)和確定安全需求識(shí)別風(fēng)險(xiǎn)和確定安全需求安全意識(shí)和知識(shí)培訓(xùn)安全意識(shí)和知識(shí)培訓(xùn)實(shí)施適合的安全策實(shí)施適合的安全策略和控制措施略和控制措施監(jiān)督并審查安全策略和監(jiān)督并審查安全策略和措施的有效性措施的有效性15安全措施抗擊脆弱性威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)擁有暴露降低增加增加增加導(dǎo)出未被滿足未控制可能誘發(fā)安全措施抗擊業(yè)務(wù)戰(zhàn)略弱點(diǎn)安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴降低增加增加增加導(dǎo)出未被滿足未控制可能誘發(fā)資產(chǎn)資產(chǎn)價(jià)值成本利用演變殘留被滿足16風(fēng)險(xiǎn)風(fēng)險(xiǎn)安全措施安全措施信息資產(chǎn)信

7、息資產(chǎn)威脅威脅弱點(diǎn)弱點(diǎn)安全需求安全需求降低降低增加增加增加增加利用利用暴露暴露價(jià)值價(jià)值擁有擁有抗擊抗擊增加增加引出引出被滿足被滿足17所所 有有 者者攻攻 擊擊 者者 對(duì)對(duì) 策策 弱點(diǎn)弱點(diǎn) 風(fēng)風(fēng) 險(xiǎn)險(xiǎn) 威威 脅脅 資資 產(chǎn)產(chǎn)對(duì)抗性、動(dòng)態(tài)性對(duì)抗性、動(dòng)態(tài)性18框架框架主要參照標(biāo)準(zhǔn)主要參照標(biāo)準(zhǔn)強(qiáng)度描述強(qiáng)度描述第一級(jí)第一級(jí)第二級(jí)第二級(jí)第三級(jí)第三級(jí)安全策略框架安全策略框架安全組織框架安全組織框架安全運(yùn)作框架安全運(yùn)作框架ISO17799ISO17799，ISO15408ISO15408， SP800SP8005353ITILITIL、COBITCOBIT滿足安全管理需要的基滿足安全管理需要的基本要求本要求

8、通過良好定義過程來提通過良好定義過程來提高安全管理能力高安全管理能力對(duì)安全管理能力進(jìn)行計(jì)對(duì)安全管理能力進(jìn)行計(jì)劃和跟蹤劃和跟蹤安安全全技技術(shù)術(shù)框框架架物理安全物理安全GA/T 390 GA/T 390 等級(jí)保護(hù)等級(jí)保護(hù)通用技術(shù)要求通用技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)與通訊安全安全為保證網(wǎng)絡(luò)對(duì)業(yè)務(wù)的支為保證網(wǎng)絡(luò)對(duì)業(yè)務(wù)的支撐能力應(yīng)采取的基本措撐能力應(yīng)采取的基本措施施通過良好定義過程來提通過良好定義過程來提高網(wǎng)絡(luò)的安全管理能力高網(wǎng)絡(luò)的安全管理能力對(duì)網(wǎng)絡(luò)安全管理能力進(jìn)對(duì)網(wǎng)絡(luò)安全管理能力進(jìn)行計(jì)劃和

9、跟蹤行計(jì)劃和跟蹤主機(jī)與平臺(tái)主機(jī)與平臺(tái)安全安全GA T 388 GA T 388 等級(jí)保護(hù)操等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求作系統(tǒng)技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)審核保護(hù)級(jí)審核保護(hù)級(jí)相當(dāng)于該標(biāo)準(zhǔn)中安全標(biāo)相當(dāng)于該標(biāo)準(zhǔn)中安全標(biāo)記保護(hù)級(jí)記保護(hù)級(jí)相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)化保護(hù)級(jí)化保護(hù)級(jí)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)安全安全TCSECTCSEC中的中的可信數(shù)據(jù)可信數(shù)據(jù)庫安全要求庫安全要求相當(dāng)于該標(biāo)準(zhǔn)相當(dāng)于該標(biāo)準(zhǔn)C1C1相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中C2C2相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中B1B1應(yīng)用系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全數(shù)據(jù)安全I(xiàn)SO15408(CC)ISO15408(CC)在內(nèi)部管理環(huán)境下的安

10、在內(nèi)部管理環(huán)境下的安全保障要求全保障要求在復(fù)雜管理環(huán)境下的安在復(fù)雜管理環(huán)境下的安全保障要求全保障要求在強(qiáng)對(duì)抗環(huán)境下的安全在強(qiáng)對(duì)抗環(huán)境下的安全保障要求保障要求整體框架整體框架IATF IATF 信息保障技術(shù)框架；信息保障技術(shù)框架； GB 18336 GB 18336 框架框架主要參照標(biāo)準(zhǔn)主要參照標(biāo)準(zhǔn)強(qiáng)度描述強(qiáng)度描述第一級(jí)第一級(jí)第二級(jí)第二級(jí)第三級(jí)第三級(jí)安全策略框架安全策略框架安全組織框架安全組織框架安全運(yùn)作框架安全運(yùn)作框架ISO17799ISO17799，ISO15408ISO15408， SP800SP8005353ITILITIL、COBITCOBIT滿足安全管理需要的基滿足安全管理需要的基本

11、要求本要求通過良好定義過程來提通過良好定義過程來提高安全管理能力高安全管理能力對(duì)安全管理能力進(jìn)行計(jì)對(duì)安全管理能力進(jìn)行計(jì)劃和跟蹤劃和跟蹤安安全全技技術(shù)術(shù)框框架架物理安全物理安全GA/T 390 GA/T 390 等級(jí)保護(hù)等級(jí)保護(hù)通用技術(shù)要求通用技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)與通訊安全安全為保證網(wǎng)絡(luò)對(duì)業(yè)務(wù)的支為保證網(wǎng)絡(luò)對(duì)業(yè)務(wù)的支撐能力應(yīng)采取的基本措撐能力應(yīng)采取的基本措施施通過良好定義過程來提通過良好定義過程來提高網(wǎng)絡(luò)的安全管理能力高網(wǎng)絡(luò)的安全管理能力對(duì)網(wǎng)絡(luò)安全管理能力進(jìn)對(duì)網(wǎng)絡(luò)安全管理能力

12、進(jìn)行計(jì)劃和跟蹤行計(jì)劃和跟蹤主機(jī)與平臺(tái)主機(jī)與平臺(tái)安全安全GA T 388 GA T 388 等級(jí)保護(hù)操等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求作系統(tǒng)技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)審核保護(hù)級(jí)審核保護(hù)級(jí)相當(dāng)于該標(biāo)準(zhǔn)中安全標(biāo)相當(dāng)于該標(biāo)準(zhǔn)中安全標(biāo)記保護(hù)級(jí)記保護(hù)級(jí)相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)化保護(hù)級(jí)化保護(hù)級(jí)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)安全安全TCSECTCSEC中的中的可信數(shù)據(jù)可信數(shù)據(jù)庫安全要求庫安全要求相當(dāng)于該標(biāo)準(zhǔn)相當(dāng)于該標(biāo)準(zhǔn)C1C1相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中C2C2相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中B1B1應(yīng)用系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全數(shù)據(jù)安全I(xiàn)SO15408(CC)ISO15408(CC)在內(nèi)部管理

13、環(huán)境下的安在內(nèi)部管理環(huán)境下的安全保障要求全保障要求在復(fù)雜管理環(huán)境下的安在復(fù)雜管理環(huán)境下的安全保障要求全保障要求在強(qiáng)對(duì)抗環(huán)境下的安全在強(qiáng)對(duì)抗環(huán)境下的安全保障要求保障要求整體框架整體框架IATF IATF 信息保障技術(shù)框架；信息保障技術(shù)框架； GB 18336 GB 18336 19資產(chǎn)調(diào)查資產(chǎn)調(diào)查IT設(shè)備弱點(diǎn)評(píng)估設(shè)備弱點(diǎn)評(píng)估安安全全威威脅脅評(píng)評(píng)估估工具掃描弱點(diǎn)工具掃描弱點(diǎn)網(wǎng)絡(luò)架構(gòu)安全評(píng)估網(wǎng)絡(luò)架構(gòu)安全評(píng)估業(yè)務(wù)系統(tǒng)安全評(píng)估業(yè)務(wù)系統(tǒng)安全評(píng)估滲透測(cè)試滲透測(cè)試主機(jī)弱點(diǎn)人工評(píng)估主機(jī)弱點(diǎn)人工評(píng)估操作系統(tǒng)弱點(diǎn)評(píng)估操作系統(tǒng)弱點(diǎn)評(píng)估數(shù)據(jù)庫弱點(diǎn)評(píng)估數(shù)據(jù)庫弱點(diǎn)評(píng)估網(wǎng)絡(luò)配置弱點(diǎn)評(píng)估網(wǎng)絡(luò)配置弱點(diǎn)評(píng)估安全設(shè)備弱點(diǎn)評(píng)估安全設(shè)備

14、弱點(diǎn)評(píng)估業(yè)業(yè)務(wù)務(wù)分分析析安全管理評(píng)估安全管理評(píng)估風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析20信息資產(chǎn)調(diào)查信息資產(chǎn)調(diào)查/業(yè)務(wù)分析業(yè)務(wù)分析弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估威脅評(píng)估威脅評(píng)估現(xiàn)有安全措施評(píng)估現(xiàn)有安全措施評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估安全需求安全需求網(wǎng)絡(luò)掃描手工檢查顧問訪談?dòng)涗泴彶樾畔踩珣?yīng)急體系信息安全應(yīng)急體系風(fēng)險(xiǎn)評(píng)估方法和實(shí)施流程風(fēng)險(xiǎn)評(píng)估方法和實(shí)施流程安全加固方法和實(shí)施流程安全加固方法和實(shí)施流程27安裝安全補(bǔ)丁安裝安全補(bǔ)丁安全配置安全配置安全機(jī)制安全機(jī)制文件系統(tǒng)文件系統(tǒng)用戶管理用戶管理網(wǎng)絡(luò)及服務(wù)網(wǎng)絡(luò)及服務(wù)其它配置文件其它配置文件加密通信加密通信數(shù)字簽名數(shù)字簽名日志日志/ /備份備份訪問控制訪問控制安全設(shè)備策略定制安全設(shè)備策略定制資料

15、文檔資料文檔現(xiàn)狀記錄及備份現(xiàn)狀記錄及備份28加固對(duì)象加固對(duì)象操作系統(tǒng)操作系統(tǒng)加固項(xiàng)目加固項(xiàng)目說明說明UNIX系統(tǒng)及類UNIX系統(tǒng)Solaris HP-UX AIX linuxFreeBSDOpenBSDSCO補(bǔ)丁從廠家網(wǎng)站或者可信任站點(diǎn)下載系統(tǒng)的補(bǔ)丁包，不同的操作系統(tǒng)版本以及運(yùn)行不同的服務(wù)，都可能造成需要安裝的補(bǔ)丁包不同，所以必須選擇適合本機(jī)的補(bǔ)丁包安裝。文件系統(tǒng)UNIX文件系統(tǒng)的權(quán)限配置項(xiàng)目繁多，要求也很嚴(yán)格，不適當(dāng)?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級(jí)用戶的控制權(quán)，從而完全控制操作系統(tǒng)。配置文件UNIX配置文件功能有點(diǎn)類似微軟的注冊(cè)表，UNIX對(duì)操作系統(tǒng)配置基本上都是通過各種配置文件來完成

16、，不合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級(jí)用戶的控制權(quán)，從而完全控制操作系統(tǒng)。例如：/etc/inittab文件是系統(tǒng)加載時(shí)首先自動(dòng)執(zhí)行的文件，/etc/hosts。equiv是限制主機(jī)信任關(guān)系的文件等。 帳號(hào)管理帳號(hào)口令是從網(wǎng)絡(luò)訪問UNIX系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是因?yàn)閹ぬ?hào)管理不善，設(shè)置超級(jí)用戶密碼強(qiáng)度，密碼的缺省配置策略(例如：密碼長度，更換時(shí)間，帳號(hào)所在組，帳號(hào)鎖定等多方面)。有些系統(tǒng)可以配置使用更強(qiáng)的加密算法。網(wǎng)絡(luò)及服務(wù)UNIX有很多缺省打開的服務(wù)，這些服務(wù)都可能泄露本機(jī)信息，或存在未被發(fā)現(xiàn)的安全漏洞，關(guān)閉不必要的服務(wù)，能盡量降低被入侵的可能性。例如r系列服務(wù)和rp

17、c的rstatd都出過不止一次遠(yuǎn)程安全漏洞。UNIX缺省的網(wǎng)絡(luò)配置參數(shù)也不盡合理，例如TCP序列號(hào)隨機(jī)強(qiáng)度，對(duì)D。o。S攻擊的抵抗能力等，合理配置網(wǎng)絡(luò)參數(shù)，能優(yōu)化操作系統(tǒng)性能，提高安全性。 NFS系統(tǒng)網(wǎng)絡(luò)文件系統(tǒng)協(xié)議最早是SUN公司開發(fā)出來的，以實(shí)現(xiàn)文件系統(tǒng)共享。NFS使用RPC服務(wù)，其驗(yàn)證方式存在缺陷，NFS服務(wù)的缺省配置也很不安全，如果必須使用NFS系統(tǒng)，一定進(jìn)行安全的配置。 應(yīng)用軟件我們建議操作系統(tǒng)安裝最小軟件包，例如不安裝開發(fā)包，不安裝不必要的庫，不安裝編繹器等，但很多情況下必須安裝一些軟件包。 APACHE或NETSCAPE ENTERPRISE SERVER是一般UNIX首選的WE

18、B服務(wù)器，其配置本身就是一項(xiàng)獨(dú)立的服務(wù)郵件和域名服務(wù)等都需要進(jìn)行合理的配置。審計(jì)，日志做好系統(tǒng)的審計(jì)和日志工作，對(duì)于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息。例如，打開帳號(hào)審計(jì)功能，記錄所有用戶執(zhí)行過的命令。例如實(shí)現(xiàn)日志集中管理，避免被入侵主機(jī)日志被刪除等。 其它不同的UNIX系統(tǒng)有一些特別的安全配置，例如solaris有ASET，HP的高級(jí)別安全， FreeBSD的jail等。 最后工作建議用戶做系統(tǒng)完全備份，并對(duì)關(guān)鍵部份做數(shù)字簽名。29微軟操作系統(tǒng)NT 4.0 / W2K /WIN2003 ( workstation ， server ， professional ， advanc

19、ed server )補(bǔ)丁微軟操作系統(tǒng)對(duì)新發(fā)現(xiàn)的漏洞修補(bǔ)是使用Service Pack 及 hotfix，另外，還需要安裝C2級(jí)安全配置。文件系統(tǒng)配置NTFS文件系統(tǒng)，NTFS可以支持更多更強(qiáng)大的的安全配置，設(shè)置需要特殊保護(hù)的目錄和文件，設(shè)置不同目錄和文件的權(quán)限，移動(dòng)或刪除特別的系統(tǒng)命令文件，增加入侵者操作的難度。帳號(hào)管理帳號(hào)口令是從網(wǎng)絡(luò)訪問NT/2K系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是因?yàn)閹ぬ?hào)管理不善，設(shè)置超級(jí)用戶密碼強(qiáng)度，密碼的缺省配置策略(例如：密碼長度，更換時(shí)間，帳號(hào)所在組，帳號(hào)可訪問資源，帳號(hào)鎖定等多方面)，GUEST帳號(hào)以及加強(qiáng)的密碼管理(SYSKEY)等。網(wǎng)絡(luò)及服務(wù)網(wǎng)絡(luò)和服務(wù)是

20、互聯(lián)網(wǎng)上用戶與此服務(wù)器接口的部分，網(wǎng)絡(luò)協(xié)議的配置不當(dāng)，服務(wù)進(jìn)程設(shè)置不當(dāng)，都可能為入侵系統(tǒng)打開方便之門。合理地配置網(wǎng)絡(luò)及服務(wù)將能阻擋80%的普通入侵。注冊(cè)表微軟操作系統(tǒng)缺省的安裝是為了能兼容各種運(yùn)行環(huán)境，因此很多權(quán)限設(shè)置都很寬，這不符合最小權(quán)限的基本原則，我們需要根據(jù)不同的環(huán)境，備份注冊(cè)表，再人為地更改注冊(cè)表內(nèi)容，配置最小權(quán)限的穩(wěn)定運(yùn)行的系統(tǒng)。例如：不允許遠(yuǎn)程注冊(cè)表配置，設(shè)置LSA盡量減少遠(yuǎn)程用戶可以獲取的信息，設(shè)置注冊(cè)表本身的訪問控制，禁止空連接，對(duì)其它操作系統(tǒng)和POSIX的支持，對(duì)登錄信息的緩存等。也有很多選項(xiàng)需要根據(jù)不同用戶需求來制定，例如：當(dāng)安全策略因?yàn)槟承┮蛩?磁盤滿)而不能運(yùn)作時(shí)，是

21、否強(qiáng)制系統(tǒng)停止運(yùn)行。共享共享是向網(wǎng)絡(luò)上的用戶開放對(duì)本機(jī)的資源訪問權(quán)限，不合理的配置以及系統(tǒng)的缺省共享配置，都可能造成遠(yuǎn)程用戶對(duì)系統(tǒng)的文件，打印機(jī)等資源的非法訪問和操作。我們需要?jiǎng)h除不必要的共享，合理配置共享的訪問控制列表。應(yīng)用軟件安裝最小的軟件包，不安裝不必要的應(yīng)用軟件。但是很多情況應(yīng)用軟件提供不可缺少的服務(wù)，這時(shí)我們就必須安全地配置它們。 IE被微軟綁定為操作系統(tǒng)的一部分，IE的安全直接影響到系統(tǒng)的安全。我們需要升級(jí)IE的版本，安裝IE的補(bǔ)丁，設(shè)置IE的安全級(jí)別，及各項(xiàng)安全相關(guān)配置outlook，powerpoint及其它等多種軟件都可能存在安全問題，需要安裝補(bǔ)丁程序。 IIS提供WWW的服

22、務(wù)，IIS的缺省配置，目錄設(shè)置，權(quán)限設(shè)置，安全設(shè)置等多方面配置不當(dāng)也是系統(tǒng)安全的巨大隱患。IIS的加固本身就可以成為一項(xiàng)獨(dú)立的服務(wù)內(nèi)容。審計(jì)，日志做好系統(tǒng)的審計(jì)和日志工作，對(duì)于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息其它其它方面視不同環(huán)境而定，例如需要?jiǎng)h除多余的系統(tǒng)安裝包，安裝主機(jī)防病毒軟件，等多項(xiàng)操作。最后工作重新制作新的系統(tǒng)緊急恢復(fù)盤(ERD)，建議用戶做系統(tǒng)完全備份，并對(duì)關(guān)鍵部份做數(shù)字簽名。加固對(duì)象加固對(duì)象操作系統(tǒng)操作系統(tǒng)加固項(xiàng)目加固項(xiàng)目說明說明IIS服務(wù)MicrosoftWindows系統(tǒng)默認(rèn)站點(diǎn)關(guān)閉并刪除 默認(rèn)站點(diǎn).默認(rèn)FTP站點(diǎn)默認(rèn)Web站點(diǎn)管理Web站點(diǎn).目錄配置建立自己

23、的站點(diǎn)，與系統(tǒng)不在一個(gè)分區(qū)如：D:ABDE建立E:Logfiles 目錄，以后建立站點(diǎn)時(shí)的日志文件均位于此目錄，確保此目錄上的訪問控制權(quán)限是： Administrators（完全控制）System（完全控制）默認(rèn)IIS目錄IISHelp,C:winnthelpiishelp ,IISAdmin C:system32inetsrviisadmin ,MSADC C:Program FilesCommon FilesSystemmsadc ,刪除 C:inetpub映射和擴(kuò)展 IIS被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型 的文件請(qǐng)求時(shí)，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，虛擬目錄權(quán)限設(shè)置 在iis里把所有的目錄,不包括asp等文件的目錄 ,比如img,image,pic,upload等等這些目錄,里面一般是沒有asp文件的目錄的執(zhí)行許可設(shè)置為無,這樣就算你用的程序被發(fā)現(xiàn)了新的漏洞,傳了馬上來了,它也執(zhí)行不了,!日志審計(jì)用 W3C 擴(kuò)展日志記錄格式，啟用操作系統(tǒng)組策略中的審核