系统和应用安全课件.ppt

1、系统及应用安全系统及应用安全中国信息安全测评中心/课程内容课程内容2操作系统安全操作系统安全系统及应用安系统及应用安全技术全技术Web应用安全应用安全互联网使用安全互联网使用安全/知识体：系统及应用安全技术知识体：系统及应用安全技术v知识域：操作系统安全 了解Windows系统服务器安全安装及配置；了解Windows系统终端安全管理策略。3/v系统安全是信息系统纵深防御中的最后环节vIATF“保护计算环境”的主要内容4系统安全重要性系统安全重要性/系统安全的核心要素系统安全的核心要素v硬件系统安全 硬件：服务器、存储等硬件设施 威胁源（故障、自然灾害等）v软件系统安全 软件：操作系统、系统软件

2、、应用软件等 威胁源：兼容性、入侵、病毒等 5/如何打造安全的如何打造安全的 WindowsWindows系统系统v安全的安装v安全的配置6/打造安全的打造安全的WindowsWindows系统系统-安全安装安全安装v系统选择v分区选择v优化安装v补丁及备份7/系统选择系统选择v正版v合适的版本（以windows2003为例）Windows Server 2003标准版 Windows Server 2003 企业版 Winows Server 数据中心版 Windows server 2003 Web版v单一操作系统8注意不同版注意不同版本之间的差本之间的差异异/分区选择分区选择v分区设置

3、操作系统与数据放在不同的分区 建议三个分区 C盘（操作系统，适当的空间）D盘（数据，足够大的空间）E盘（日志及备份，尽量大的空间）v文件系统 使用NTFS文件系统 安装前格式化为NTFS，不要安装后使用convert命令转换9/WindowsWindows文件系统文件系统vFAT/FAT32 小磁盘和简单的目录结构设计，以簇（Clusters）为单位进行空间分配，容易导致空间浪费 不具备安全特性vNTFS 访问控制 权限管理 容错性 支持压缩及空间利用率高 10/优化安装优化安装v最小化组件安装，仅安装必要的组件 IIS FTP SMTP NNTP v修改默认配置 Windows安装目录(例如

4、：c:winnt)11/补丁及备份补丁及备份v补丁 Service Pack Hotfixv备份 应急修复盘 还原点12/打造安全的打造安全的WindowsWindows系统系统-安全配置安全配置v账户安全配置v共享安全配置v系统服务配置v日志安全配置v安全策略配置v文件安全配置v防火墙安全配置v自动更新配置v安全软件增强13/账号安全配置账号安全配置v账户策略 密码策略 密码必须符合复杂性要求 密码长度最小值 密码最短使用期限 密码最长使用期限 强制密码历史 用可还原的加密来存储密码 账户锁定策略 账户锁定时间 账户锁定阀值 重置账户锁定计数器14/账号安全配置账号安全配置v账户信息修改 更

5、名 管理员账户administrator改名 给管理员账户一个安全的口令 Guest账户改名，给一个安全的口令属性关闭普通账号的终端登录权限v创建审计账户 创建一个新的administrator账户，属于guest组 对此账户进行审计以发现口令攻击行为15/共享安全配置共享安全配置v共享安全风险 IPC$的安全问题（空会话连接导致信息泄露）管理共享风险(远程文件操作)普通共享的风险（远程文件操作）16系统用户列表用户信息共享列表空会话连接/解决解决IPC$IPC$空会话连接空会话连接v系统策略 本地安全策略-安全选项中的相关设置v注册表HKEY_LOCAL_MACHINESYSTEMCurre

6、ntControlSetControlLSA把RestrictAnonymous=DWORD的键值改为：1v端口 139 445端口17/通过控制面板里面的管理工具来取消共享为暂时，重启后恢复。HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters 服务器：创建键值名AutoShareServer，类型DWORD（双字节）并且值为0 客户端：创建键值名为AutoShareWks，类型DWORD（双字节）并且值为0关闭管理共享关闭管理共享18/系统服务安全配置系统服务安全配置v关闭不必要的服务（手工、禁用）M

7、essageTask SchedulerRemote RegistryWindows Timev服务的权限控制 默认服务权限-system 降低部分服务的权限，特别是应用程序服务权限19关注互操作服务/日志安全配置日志安全配置20v默认提供日志 系统日志 应用程序日志 安全日志v安装相应服务后提供 目录服务日志 文件复制日志 DNS服务器日志 开启安全审核！/日志安全配置日志安全配置v日志属性 日志大小上限 100M 日志覆盖时间 30天v日志保存路径修改 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog Application

8、 应用程序日志 Security 安全日志 System 系统日志21/本地安全策略设置本地安全策略设置v 用户权限分配 创建文件和目录 从网络访问此计算机 v 安全选项 当登录时间完成自动注销 关机清理虚拟内存页面 不显示上次登陆用户名 超过登录时间后强制注销 用户登录时的消息标题 用户登录时的消息文本 使用空白密码的账号允许控制台登录 22/其他本地安全策略其他本地安全策略v高级安全Windows防火墙v网络列表管理器策略v公钥策略v软件限制策略v应用程序控制策略v高级审核策略配置23/组策略设置组策略设置24v软件设置vWindows设置v管理模板 Windows组件 打印机 控制面板

9、网络 系统 所有设置/文件安全配置文件安全配置v设置系统文件权限（权限最小化原则）给予正常工作所需的最小权限 参考相关文档或标准v数据文件权限设置 仅对需要访问的用户提供权限v日志文件系统安全防护 日志系统设置为仅对system有写权限 Administrator为读权限25/防火墙安全配置防火墙安全配置v出站规则v入站规则v连接安全规则v监视 防火墙 连接安全规则 安全关联26有必要考虑第三方防火墙/自动更新配置自动更新配置v更新方式 自动更新 自动下载，手动安装（推荐）通知更新、手动下载安装 不检查更新v更新时间v其他设置27/远程访问设置远程访问设置v限制对远程终端的访问 尽量不要开放远

10、程终端等远程管理系统 限时 限制访问源(IP)限制管理员从远程终端登录28/安全增强软件安全增强软件v软件防火墙v防病毒软件v安全检测软件v安全还原软件v外部网络29/打造安全计算机终端的十条策略打造安全计算机终端的十条策略v规范的名称v安全的账号及口令v确保共享安全v确保系统补丁更新v防病毒软件及更新v关闭系统自动执行功能v启用系统防火墙v安全策略设置v安装增强软件v重要数据要备份30/策略一：规范的计算机名称策略一：规范的计算机名称为什么要规范计算机名称？方便管理方便管理 出现问题后及时定位出现问题后及时定位31/更改计算机名更改计算机名 我的电脑我的电脑属性属性计算机计算机名名更改，重更

11、改，重启计算机即可。启计算机即可。32/策略二：安全的账号及口令策略二：安全的账号及口令如何保障账号及口令安全？更改管理员更改管理员administrator及访客及访客guest账号名称账号名称 设置强壮的口令设置强壮的口令 设置账户安全策略设置账户安全策略33/开启屏幕保护功能开启屏幕保护功能桌面右键桌面右键属属性性屏幕保护屏幕保护程序程序勾选勾选“在回复时使在回复时使用密码保护用密码保护”34/策略三：确保共享安全策略三：确保共享安全共享的管理关闭管理共享35共享/策略四：确保系统补丁更新策略四：确保系统补丁更新如何确保系统补丁的更新？开启系统的自动更新并安装开启系统的自动更新并安装 手

12、动设置检测系统补丁更新手动设置检测系统补丁更新 第三方软件更新系统补丁第三方软件更新系统补丁36/开启自动更新、安装更新开启自动更新、安装更新控制面板控制面板安安全中心全中心启用启用控制面板控制面板自自动更新动更新 选选择相应选项择相应选项37/安装更新安装更新从弹出的对话从弹出的对话框选择框选择快速快速安装或自定义安装或自定义安装安装安装完成后及安装完成后及时重启计算机时重启计算机38/手工查询更新手工查询更新开始菜单开始菜单所所有程序有程序windows windows UpdateUpdate进入进入微软更新网站，微软更新网站，手工更新手工更新39/使用第三方工具修复系统漏洞使用第三方工

13、具修复系统漏洞40/策略五：防病毒软件及更新策略五：防病毒软件及更新41/移动移动存储设备存储设备自动播放的威胁自动播放的威胁v U盘插入，病毒则立刻运行42/策略六：关闭系统自动执行功能策略六：关闭系统自动执行功能43/策略七：开启策略七：开启windowswindows防火墙防火墙控制面板控制面板安安全中心全中心启用启用控制面板控制面板windowswindows防防火墙火墙 选择选择“启用启用”44/配置配置windowswindows防火墙防火墙选择例外选择例外根据需根据需要配置要配置“例外例外”选选项项只有经过允许的应只有经过允许的应用程序才能访问网用程序才能访问网络络45/策略八：

14、安全策略设置策略八：安全策略设置如何设置安全策略 账户策略账户策略 本地策略本地策略 其他策略其他策略 日志管理日志管理46/开启审核功能开启审核功能控制面板控制面板管理管理工具工具本地安全本地安全策略（或者直接策略（或者直接在开始，运行中在开始，运行中输入输入gpedit.mscgpedit.msc）windowswindows设置设置安全设置安全设置本地本地策略策略审核策略审核策略属性属性根据需根据需要选择要选择“成功成功”、“失败失败”选项选项47/配置日志大小和覆盖方式配置日志大小和覆盖方式控制面板控制面板管管理工具理工具事件事件查看器（或者查看器（或者直接在开始，直接在开始，运行中输

15、入运行中输入eventvwr.msceventvwr.msc）选中其中一选中其中一项，属性项，属性调调整日志大小，整日志大小，覆盖策略覆盖策略48/策略九：安全增强软件策略九：安全增强软件安装哪些安全增强软件 软件防火墙软件防火墙 安全防护安全防护 影子系统影子系统 其他安全软件其他安全软件49/v文档v邮件v数据v通讯录备份50策略十：小心重要数据策略十：小心重要数据/知识体：系统及应用安全技术知识体：系统及应用安全技术v知识域：WEB应用安全 了解IIS等常用Web软件安全配置管理方法；了解SQL等数据库系统安全配置管理方法。v知识域：互联网使用安全 了解互联网浏览安全基本常识；了解数据安

16、全基本概念；51/WebWeb应用面临的安全风险应用面临的安全风险v篡改v挂马v数据丢失v拒绝服务v钓鱼攻击vSQL注入v52/WebWeb应用架构应用架构53Web服务器数据库数据库Web应用Web浏览器Web应用Web 应用Web 应用URL请求 请求响应 IISApacheAspPhpJspPerlSql serverOracleDb2mysql/如何构建安全应用环境如何构建安全应用环境v运行环境的安全vWeb服务软件安全配置v数据库安全管理v安全脚本开发54/构建安全应用环境构建安全应用环境-IIS-IIS安全设置安全设置v主目录及目录安全性（目录权限）v性能设置（端口、连接数等）v日

17、志安全v文档和错误消息55/虚拟目录虚拟目录v默认虚拟目录带来的安全风险v默认文件带来的安全风险56不需要请删除/主目录及目录安全性主目录及目录安全性57Web文件存放位置（不宜使用默认目录）严格控制权限1、严禁写入！2、慎用目录浏览/性能设置性能设置58v并发连接数设置v带宽限制vCpu限制/WebWeb站点设置站点设置vIP地址v端口v主机头名称v连接控制v日志59/日志安全性日志安全性v日志记录内容v日志的路径 非系统盘 足够大的空间 单独的日志分区v日志的访问权限v System可以写入，不可读v Administrator可读不可修改v 其他用户无权限60/构建安全应用环境构建安全应

18、用环境-SQL Server-SQL Server安全管理安全管理v账户安全问题v扩展存储过程v默认端口、通讯加密v日志监控、审计v备份、恢复61/账户安全问题账户安全问题默认的SA用户为空口令62/扩展存储过程扩展存储过程vSql Server存在扩展存储过程能够对系统进行调用。vxp_cmdshell(实现cmd的调用)vxp_regwrite(实现注册表的调用)v其他与系统交互的存储过程63/默认端口默认端口v Sql Server 默认采用的通讯端口为1433，可以将该端口进行修改提高安全性。64/通讯加密通讯加密v 可以选择强制协议加密来保证通讯安全。65/日志监控、审计日志监控、审

19、计v经常需要查看Sql Server的运行日志v打开Sql Server的审计功能66/备份、恢复备份、恢复v添加备份任务 增量备份 全备份v做系统崩溃恢复测试（测试数据库）67/互联网使用安全互联网使用安全即时聊天即时聊天网页浏览网页浏览文件下载文件下载邮件、办公邮件、办公网络游戏网络游戏网上购物网上购物68/网页浏览安全问题网页浏览安全问题69v网页挂马v恶意脚本v隐私泄露v网络钓鱼v网页欺诈v/网页挂马的技术实现网页挂马的技术实现70v利用浏览器及系统漏洞实现v利用脚本实现v利用activeX控件实现/网页挂马技术实现网页挂马技术实现v将木马伪装为页面元素v利用脚本运行的漏洞v伪装为缺失

20、的组件v通过脚本运行调用某些com组件v在渲染页面内容的过程中利用格式溢出释放或下载木马（例如：ani格式溢出漏洞及flash9.0.115的播放漏洞）71/恶意脚本恶意脚本72v恶意脚本的实现 脚本强大的交互功能可以被攻击者利用，编写具备破坏性的脚本v恶意脚本类型 广告（修改首页、弹出广告等）破坏（破坏系统、浏览器设置）窃取（窃取信息、放置木马）/隐私泄露隐私泄露73v随意注册 大量网站要求注册访问，用户注册导致信息泄露v密码找回 密码找回方式（邮件、手机短信）导致用户信息泄露v未来 实名制导致的信息泄露风险增大/网络钓鱼与网页欺诈网络钓鱼与网页欺诈网络钓鱼事件的发生情况网络钓鱼事件的发生情

21、况20092009年网络钓鱼网站举报情况年网络钓鱼网站举报情况74/钓鱼邮件钓鱼邮件75/钓鱼网站钓鱼网站76/WebWeb浏览安全浏览安全v使用安全的浏览器vIE安全配置v良好的安全意识v77/浏览器安全浏览器安全v使用非IE浏览器 Firefox Opera Chrome 搜狗浏览器 360浏览器 78/IEIE安全配置安全配置-浏览级别浏览级别79以以IE8IE8为例，在安全为例，在安全选项中，建议勾选选项中，建议勾选“该区域的安全等级该区域的安全等级”下的下的“该区域的允许该区域的允许级别级别”为高为高/IEIE安全配置安全配置-隐私保护隐私保护以以IE8IE8为例，在常规为例，在常规

22、选项中，建议勾选选项中，建议勾选“退出时删除浏览历退出时删除浏览历史记录史记录”，防止信息，防止信息泄漏泄漏单击单击“删除删除”，配置删除内容，建议配置删除内容，建议全选。全选。80/IEIE安全配置安全配置-隐私保护隐私保护在隐私选项中，建议在隐私选项中，建议勾选勾选“阻止显示大多阻止显示大多数弹出窗口数弹出窗口”，避免，避免广告窗口打扰以及被广告窗口打扰以及被感染病毒、木马的弹感染病毒、木马的弹出窗口运行病毒程序。出窗口运行病毒程序。对于经常访问的网站，对于经常访问的网站，可以单击可以单击“设置设置”，添加该网站即可不阻添加该网站即可不阻止该网站的弹出窗口。止该网站的弹出窗口。81/浏览安

23、全浏览安全-网页欺诈网页欺诈伪造金融网站、电子邮件伪造金融网站、电子邮件 守株待兔网上守株待兔网上“垂钓垂钓”http:/http:/http:/ http:/ 孰真孰假？孰真孰假？伪造网站的域名和真正的银行网站差别很小，可伪造网站的域名和真正的银行网站差别很小，可能仅仅是一个字母的差别，仅是能仅仅是一个字母的差别，仅是“i”i”和和“1”1”的的差别。差别。82/浏览安全浏览安全-网银安全网银安全以以IE8IE8浏览网银为例（不同版本浏览网银为例（不同版本IEIE显示可显示可能不同）：注意左侧是否是以能不同）：注意左侧是否是以httpshttps开头，开头，右侧是否有锁的图标，右侧是否有锁的

24、图标，另外另外,浏览器栏的浏览器栏的底色是不是绿色。底色是不是绿色。83/邮件安全邮件安全垃圾邮件垃圾邮件钓鱼邮件钓鱼邮件84/邮件客户端安全使用邮件客户端安全使用85v使用非微软邮件客户端等 thunderbird/foxmail/kmail等v尽量使用纯文本格式阅读v备份/即时通讯安全即时通讯安全86/即时通讯安全即时通讯安全即时通讯工具散布中奖信息即时通讯工具散布中奖信息 诈骗高额钱财诈骗高额钱财诈骗者冒充客服人员，发送大量的中奖通知，骗取网友的银行卡及个人身诈骗者冒充客服人员，发送大量的中奖通知，骗取网友的银行卡及个人身份信息，达到盗取银行存款的目的，或以个税等各类名义要求汇款，收到份

25、信息，达到盗取银行存款的目的，或以个税等各类名义要求汇款，收到汇款后拖延时间要求再次汇款，直至销声匿迹。汇款后拖延时间要求再次汇款，直至销声匿迹。即使是亲朋好友的汇款请求，也注意确认87/即时聊天保护工具即时聊天保护工具QQQQ医生：医生：1.1.查杀查杀QQQQ病毒病毒2.2.诊断诊断QQQQ程序程序异常异常3.3.网页防火墙网页防火墙等功能等功能MSNMSN保护盾：保护盾：1.1.聊天内容加密聊天内容加密（双方必须同时安（双方必须同时安装相同软件）装相同软件）2.2.开启多账户功能开启多账户功能MSNshellMSNshell：1.1.聊天内容加聊天内容加密（密（双方必须双方必须同时安装）

26、同时安装）2.2.头像、多账头像、多账户等强化功能户等强化功能88/数据安全防护数据安全防护银行卡号身银行卡号身份证号份证号通讯录通讯录社会关系社会关系敏感内容敏感内容电子日记，电子日记，空间空间家庭住址家庭住址工作邮件、工作邮件、文件文件89/数据安全数据安全v存储设备中的数据面临的信息安全威胁v存储设备丢失v存储设备物理损坏、数据丢失或被破坏v数据被窃取、恶意恢复90/设备丢失设备丢失v 设备被盗或遗失导致数据丢失不可用，同时机密数据、隐私泄露应对办法：做好数据备份及数据加密应对办法：做好数据备份及数据加密91/数据丢失数据丢失v设备保存、使用不当，设备损坏 导致数据丢失、不可用v数据被误

27、删除 导致数据丢失、被破坏、不可用应对办法：使用数据恢复软件应对办法：使用数据恢复软件抢救抢救数据、数据、重要数据请专业机构处理重要数据请专业机构处理92/数据被窃取、恶意恢复数据被窃取、恶意恢复v 数据在移动设备使用过程中被直接窃取病毒及木马v 设备在维修/借用给他人之后，数据被恶意恢复应对办法：个人终端使用安全应对办法：个人终端使用安全/文件加密文件加密/文文件粉碎件粉碎93/防止数据被非法窃取防止数据被非法窃取v文件加密vPGP加密94/文件加密文件加密95/PGPPGP96vPGP（Pretty Good Privacy）一个基于RSA公钥&私钥及AES等加密算法的加密软件系列功能：邮

28、件加密与身份确认，资料公钥&私钥加密，硬盘及移动盘全盘密码保护，网络共享资料加密，PGP自解压文档创建，资料安全擦除等/文件粉碎文件粉碎v 彻底粉碎被删除数据使用“安全删除软件”（如文件粉碎机）擦除或粉碎数据没有安全删除软件怎么办？！使用数据反复覆盖反复往U盘、移动硬盘中写入非隐私文件数码相机在删除隐私相片之后继续多拍几张照片来覆盖数据97/文件粉碎文件粉碎98删除文件后，并向文件所在磁盘位置反复多次写入数据，导致文件彻底无法恢复/1次擦除：为安全强度较低的数据擦除，但其擦除速度最快，适用于对安全性要求不高，但对擦除速度有较高要求的场合；3次擦除：依据美军DOD-5220.22标准，适用于对擦除速度及擦除效果有要求的场合；6次擦除：依据国家保密局标准擦除算法，适用于对擦除效果有较高要求的场合；7次擦除：安全强度最高的数据擦除方案，安全擦除序列是针对不同磁盘编码规则设计的，适用于对擦除效果有高要求的场合。数据擦除数据擦除99/数据安全防护四注意数据安全防护四注意v U盘分类分级v U盘交换完数据后进行删除、重要数据粉碎操作v 损坏设备维修要小心v 敏感数据存储解决消磁处理100/总结总结v信息安全技术是基础v信息安全意识是关键101/谢谢，请提问题！谢谢，请提问题！/