第一篇:2003系统安全设置
Windows Server 2003(企业版32位)系统安全设置
系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。其他的无关软件也一律不要安装,甚至不用装office。多一个就会多一份漏洞和不安全隐患。开启系统自带防火墙是正确有效的防护,请相信微软的智商。通过以下基本安全设置后,加上服务器管理员规范的操作,服务器一般不会出现什么意外了,毕竟我们的服务器不是用来架设多个WEB网站的,造成漏洞的可能性大大降低。当然,没有绝对的事,做好服务器系统和OA数据备份是必须的。
如果对以下操作不太熟悉,建议先在本地机器练练,不要拿用户服务器测试,以免造成其他问题。
另赠送32位和64位的系统解释:windows server 200332位和64位操作系统的区别 问:
1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上
答:
1、32位和64位的差别在于如果你的CPU是64位的,64位的OS能够完全发挥CPU的性能,而不需要使CPU运行在32位兼容模式下。
2、32位windows server 2003可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上,通过PAE模式也可以支持4G以上内存。
另外补充一下,Windows Server 2003的硬件支持特性并不是由32位或64位来决定的,而是由OS本身的版本来决定的。
以Windows Server 2003为例,标准版可以支持的最大CPU数为4路,最大内存数为4G,而企业版则可以支持最大CPU数8路,最大内存数32G。
回正题:
(一)禁用不需要的服务
Alerter通知选定的用户和计算机管理警报。
Computer Browser维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序崩溃。
Help and Support启用在此计算机上运行帮助和支持中心。
Print Spooler管理所有本地和网络打印队列及控制所有打印工作。
Remote Registry使远程用户能修改此计算机上的注册表设置。
Remote Desktop Help Session Manager 管理并控制远程协助。
Server支持此计算机通过网络的文件、打印、和命名管道共享。
Task Scheduler使用户能在此计算机上配置和计划自动任务。(如果不需要可以禁用)可能需要
TCP/IP NetBIOS Helper 提供 TCP/IP(NetBT)服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。
Workstation创建和维护到远程服务的客户端网络连接。
禁用以上列出的服务,系统默认已经禁用的服务如果特殊需要请不要开启。
(二)本地安全策略设置
打开【控制面版】,找到【管理工具】,打开【本地安全策略】
帐户策略—>帐户锁定策略 1)
2)
3)
4)将帐户锁定阈值,由默认值0改为5,即5次无效登录,帐户将被锁定30分钟。可根据实际情况进行修改。帐户锁定时间默认为30分钟,可以根据需要改成更长或更短的时间。本地策略—>审核策略 审核策略更改成功 失败 审核登录事件成功 失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功 失败 审核账户登录事件 成功 失败 审核账户管理成功 失败 本地策略—>用户权限分配 关闭系统只留Administrators组、其它全部删除。允许通过终端服务登录 只留Administrators,Remote Desktop Users组,其他全部删除。本地策略—>安全选项
交互式登陆: 不显示上次的用户名启用
(Interactive logon: Do not display last user name启用)
网络访问: 不允许 SAM 帐户和共享的匿名枚举启用
(Network access: Do not allow anonymous enumeration of SAM accounts and shares 启用)
网络访问: 不允许存储网络身份验证的凭据或.NET Passports启用
(Network access: Do not allow storage of credentials or.NET Passports for network authentication 启
用)
网络访问: 可匿名访问的共享全部删除
(Network access: Shares that can be accessed anonymously 全部删除)
网络访问: 可匿名访问的命名管道全部删除
(Network access: Named Pipes that can be accessed anonymously 全部删除)
网络访问: 可远程访问的注册表路径全部删除
(Network access: Remotely accessible registry paths 全部删除)
网络访问: 可远程访问的注册表路径和子路径全部删除
(Network access: Remotely accessible registry paths and sub-paths 全部删除)
帐户:重命名来宾帐户输入一个新的帐户
帐户:重命名系统管理员帐户输入一个新的帐户
(三)改名或卸载最不安全的组件,防止ASP网马运行,(没有架设ASP运行环境,这一步可以不做)
1)卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.bat文件,然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器就可以了。
regsvr32/u C:WINDOWSSystem32wshom.ocx
del C:WINDOWSSystem32wshom.ocx
regsvr32/u C:WINDOWSsystem32shell32.dll
del C:WINDOWSsystem32shell32.dll
2)改名不安全组件(这一步可以不做)
a)Scripting.FileSystemObject可以对文件和文件夹进行常规操作
禁用该组件并不是最理想的安全措施,禁用后会导致大部ASP网站无法运行
定位到HKEY_CLASSES_ROOTScripting.FileSystemObject将其重命名
定位到HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID删除其右侧的默认值
禁止Guests组用户调用此组件,运行中输入“cacls C:WINDOWSsystem32scrrun.dll /e /d guests” b)WScript.Shell可以调用系统内核运行DOS基本命令,非常危险
定位到HKEY_CLASSES_ROOTWScript.Shell将其重命名
定位到HKEY_CLASSES_ROOTWScript.ShellCLSID删除其右侧的默认值
定位到HKEY_CLASSES_ROOTWScript.Shell.1将其重命名
定位到HKEY_CLASSES_ROOTWScript.Shell.1CLSID删除其右侧的默认值
c)Shell.Application可以调用系统内核运行DOS基本命令,非常危险
定位到HKEY_CLASSES_ROOTShell.Application将其重命名
定位到HKEY_CLASSES_ROOTShell.ApplicationCLSID删除其右侧的默认值
定位到HKEY_CLASSES_ROOTShell.Application.1将其重命名
定位到HKEY_CLASSES_ROOTShell.Application.1CLSID删除其右侧的默认值
禁止Guests组用户调用此组件,运行中输入“cacls C:WINDOWSsystem32shell32.dll /e /d guests”
d)WScript.Network为ASP程序罗列和创建系统用户(組)提供了可能
定位到HKEY_CLASSES_ROOTWScript.Network将其重命名
定位到HKEY_CLASSES_ROOTWScript.NetworkCLSID删除其右侧的默认值
定位到HKEY_CLASSES_ROOTWScript.Network.1将其重命名
定位到HKEY_CLASSES_ROOTWScript.Network.1CLSID删除其右侧的默认值0
注:以上操作需要重新启动服务后才会生效。
(四)组策略设置(运行中输入“gpedit.msc”打开)
1)关闭自动播放
有两处需要修改分别是:
1、计算机配置—>管理模板—>系统(System)
2、用户配置—>管理模板—>系统(System)
将两处的“关闭自动播放(Turn off Autoplay)”设置成“已启用”同时选择“所有驱动器(All drives)”
(五)禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。
1)右击【我的电脑】选择【属性】打开【系统属性】,点击【启动和故障恢复】的【设置】,将【写入调试信息】由“完全内存转储”改为“(无)”,并删除C:WINDOWS下的MEMORY.DMP(如果存在这个文件)
2)关闭华医生Dr.Watson,在运行中输入“drwtsn32”调出系统里的华医生Dr.Watson,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。同时删除C:Documents and SettingsAdministratorLocal SettingsApplication DataMicrosoftDr Watson下的user.dmp(如果存在这个文件)
(六)网络连接设置
1)打开网络连接的属性,去掉“Microsoft网络客户端(Client for Microsoft Networkd)”和“Microsoft网络的文件和打印机共享(File and Printer Sharing for Microsoft Netwoks)”前的勾
2)打开“Internet 协议(TCP/IP)(Internet Protocol(TCP/IP))”的属性,点击【高级】再点击【WINS】选项卡,选择“禁用TCP/IP上的NetBIOS”,这样可以关闭139端口。
3)开启Windwos自带的防火墙
打开本地连接属性,点击【高级】再点击【设置】,会提示你防火墙没有运行,点击【是】开启防火墙,在防火墙设置对话框【常规】选项卡中点击“启用”(不要勾选“不允许例外”),然后在【例外】选项卡中点击【添加端口】,添加需要的端口如21,25,80,110,1433,3306,3389
等,在【高级】选项卡中点击ICMP的【设置】勾选“允许传入回显请求”
OA系统一般开启的端口是80,精灵1188和视频会议1935,现在的高百特不知是什么端口了(UDP协议),远程桌面3389,其他不要开。
(七)本地用户和组设置
1)禁用Guest(如果之前已经重命名了来宾帐户,则禁用重命名后的帐户),SUPPORT_388945a0,SQLDebugger(安装了SQL Server 2000后会出现这个帐户)
2)创建Administrator陷阱帐户(前题需要已经重命名了系统管理员帐户)并设置一个超过10位的超级复杂密码
3)重命名Administrators组,在组里面右击Administrators选择重命名(Rename),然后输入一个新的名字。这样即使系统出现了溢出漏洞,想通过“net localgroup administraots xxx /add”来提权是根本不可能的了,除非知道重命名后的管理员组的名字。
(八)防止Serv-U权限提升,(一般OA服务器中不会架设这个FTP,可不用设置)
1)用Ultraedit打开ServUDaemon.exe查找“Ascii:LocalAdministrator”和“#l@$ak#.lk;0@P”修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
2)另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
3)
(九)IIS设置(一般OA服务器中不会架设这个IIS,可不用设置)
1)
2)
3)修改默认FTP站点的主目录路径为C:ftproot 删除或停用网站目录下的默认网站 在Web服务扩展里面将Active Server Pages设置为允许
(十)windows2003修改远程登陆端口号
现在利用终端服务(3389漏洞)结合输入法漏洞攻击Win 2003 Server的案例越来越多,作为一条安全措施,可以修改一下终端服务所提供的端口,使常规的扫描器扫描不到。但这个方法说到底仍然是一个治标不治本的办法,如果攻击者知道修改了的端口所提供的服务后,仍然会连接上你的终端服务器的(不过几率微小)。
具体操作如下:
在服务器上做如下修改: 开始/运行/Regedt32.exe,找到:
KEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcpHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下都有一个PortNumber值,通常为3389,将其修改为自己的值,如9833(可自己指定端口,但最好不要设为低端端口,以免冲突).0xd3d,是16进制,也就是10进制的3389,也就是RDP协议的端口,改成你欲设的端口。
完成这两步操作后,我们就可以使用远程桌面通过ip地址加端口号的方式连接。
注:如果您更改了远程登陆的端口请记得在系统或者您自己安装的防火墙上打开这个例外端口。
(十一)检查2003系统是否被建立了隐藏的管理员账号:
超级用户建立以后,就不能再改密码了,如果用net user命令来改密码的话,那么在帐户管理器中将又会看这个隐藏的超级用户了,而且不能删除。
经过实践,这个隐藏帐号是可以删除的,“开始”→“运行”并输入“regedit.exe” 回车,启动注册表编辑器regedit.exe。打开键:HKEY_LOCAL_MAICHINESAMSAMDomainsaccountusernames这里删除你想要删除的用户,前提是你需要有这个注册项的权限!
通达OA——马利民
第二篇:操作系统安全设置文档
操作系统安全设置
作者
班级
摘要:本文主要从***几个方面阐述了个人计算机的安全设置,通过这些设置,可以提高个人操作系统的安全性。
关键词:
Abstract:
Keywords:
正文:
1.我的操作系统简介
操作系统版本:
存在的用户:
2. 设置了哪些安全防护措施
例如:密码安全、防火墙的设置、注册表的设置等
3. 应该如何改进安全防护措施
参考文献:
[1]网址
[2]
第三篇:linux系统安全设置总结
linux系统安全设置总结
众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配置出现的机会也就越多,出现安全问题的可能性就越大。对此,下面将介绍一些增强Linux/Unix服务器系统安全性的知识。
一、系统安全记录文件
操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行“#more /var/log/secure | grep refused”来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。
二、启动和登录安全性
静夜书学习论坛http://www.xiexiebang.com 1.BIOS安全
设置BIOS密码且修改引导次序禁止从软盘启动系统。
2.用户口令
用户口令是Linux安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能破解的用户口令,但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符,并且绝对不要在任何地方写出来。
3.默认账号
应该禁止所有默认的被操作系统本身启动的并且不必要的账号,当您第一次安装系统时就应该这么做,Linux提供了很多默认账号,而账号越多,系统就越容易受到攻击。
可以用下面的命令删除账号。
# userdel用户名
或者用以下的命令删除组用户账号。
# groupdel username
4.口令文件
chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
# chattr +i /etc/passwd
# chattr +i /etc/shadow
静夜书学习论坛http://www.xiexiebang.com
# chattr +i /etc/group
# chattr +i /etc/gshadow
5.禁止Ctrl+Alt+Delete重新启动机器命令
修改/etc/inittab文件,将“ca::ctrlaltdel:/sbin/shutdown-t3-r now”一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令:
# chmod-R 700 /etc/rc.d/init.d/*
这样便仅有root可以读、写或执行上述所有脚本文件。
6.限制su命令
如果您不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:
# usermod-G10 admin
7.删减登录信息
默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
# This will overwrite /etc/issue at every boot.So,make
静夜书学习论坛http://www.xiexiebang.com any changes you
# want to make to /etc/issue here or you will lose them when you reboot.# echo “" > /etc/issue
# echo ”$R“ >> /etc/issue
# echo ”Kernel $(uname-r)on $a $(uname-m)“ >> /etc/issue
# cp-f /etc/issue /etc/issue.net
# echo >> /etc/issue
然后,进行如下操作:
# rm-f /etc/issue
# rm-f /etc/issue.net
# touch /etc/issue
# touch /etc/issue.net
三、限制网络访问
1.NFS访问
如果你使用NFS网络文件系统服务,应该确保您的/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
/dir/to/export host1.mydomain.com(ro,root_squash)
静夜书学习论坛http://www.xiexiebang.com
/dir/to/export host2.mydomain.com(ro,root_squash)
/dir/to/export 是您想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。
# /usr/sbin/exportfs-a
2.Inetd设置
首先要确认/etc/inetd.conf的所有者是root,且文件权限设置为600。设置完成后,可以使用”stat“命令进行检查。
# chmod 600 /etc/inetd.conf
然后,编辑/etc/inetd.conf禁止以下服务。
ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth
如果您安装了ssh/scp,也可以禁止掉Telnet/FTP。为了使改变生效,运行如下命令:
#killall-HUP inetd
默认情况下,多数Linux系统允许所有的请求,而用TCP_WRAPPERS增强系统安全性是举手之劳,您可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如,将/etc/hosts.deny设为”ALL: ALL“可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。例如,”sshd: 192.168.1.10/255.255.255.0 gate.openarch.com“表示允许
静夜书学习论坛http://www.xiexiebang.com IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接。
配置完成后,可以用tcpdchk检查:
# tcpdchk
tcpchk是TCP_Wrapper配置检查工具,它检查您的tcp wrapper配置并报告所有发现的潜在/存在的问题。
3.登录终端设置
/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。
#tty1
# tty2
# tty3
# tty4
# tty5
# tty6
这时,root仅可在tty1终端登录。
4.避免显示系统和版本信息。
如果您希望远程登录用户看不到系统和版本信息,可以通过一下操作改变/etc/inetd.conf文件:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd-h
静夜书学习论坛http://www.xiexiebang.com
加-h表示telnet不显示系统信息,而仅仅显示”login:"
四、防止攻击
1.阻止ping 如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2.防止IP欺骗
编辑host.conf文件并增加如下几行来防止IP欺骗攻击。
order bind,hosts
multi off
nospoof on
3.防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以在/etc/security/limits.conf中添加如下几行:
* hard core 0
* hard rss 5000
* hard nproc 20
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
静夜书学习论坛http://www.xiexiebang.com
session required /lib/security/pam_limits.so
上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。
经过以上的设置,你的Linux服务器已经可以对绝大多数已知的安全问题和网络攻击具有免疫能力,但一名优秀的系统管理员仍然要时刻注意网络安全动态,随时对已经暴露出的和潜在安全漏洞进行修补。
静夜书学习论坛http://www.xiexiebang.com
第四篇:系统安全
系统安全.txt我退化了,到现在我还不会游泳,要知道在我出生之前,我绝对是游的最快的那个转自小木虫论坛http://emuch.net/bbs/viewthread.php?tid=178421&fpage=7别再使用使用电脑公司GHOST版系统了我的朋友告诉我有天晚上他在下载东西,睡不着,又闲着无聊,就拿出了扫描工具[s.exe,这个扫描工具的速度我认为是非常快的],扫描了
[***.***.1.1 ***.***.254.254]开了3389的IP,结果太另我惊奇了,开了3389的集子居然有186台(时间是晚上1点多),这个还不算什么,我就去连接远程桌面了,[对方是WindowsXP的系统]自然是要用户名和密码了,我就拿[Administrator,密码为空]居然让我进去了,而且[Administrator是第一次登陆,没有个人设置的]我就去看看他有哪些用户,Guest自然是禁用的了,只有两个管理员号码[Administrator和new],我没动它,管理员和我一样,在下载东西,我加了他QQ,传了个Radmin,搞定之后,我便去看看其他的3389机器了!我连接第二个扫描出来的3389IP也是WindowsXP的系统,还是老路用[Administrator,密码空]去连的时候,提示[new]在线,我就有点奇怪了,他们两个人的用户怎么是一样的啊,也没怎么在意,这个IP暂时放一边,换IP去连。IP在连,我的心也在凉!我连了186个IP,发现了一个特点:都开放了3389端口,都有Administrator和new这个用户,而且密码都为空。这意味着什么呢!还有一台电脑我进去了,他是刚装的系统和驱动,什么都没设置,人不在,我看了他可能把硬盘全格式化了,里面都没文件。现在我就能确定一件事情啦:他们安装完系统之后,就开了3389,而且建立了一个用户[new,密码空]。怎么可以这样实现呢,据我初步估计,他们一定是在网上下载了GHOST版系统,很可能是,别人在自己的系统里面做了后门,然后做成了镜像,给你们下载!当你们安装了之后。。。。以上的事情绝对是真实的!在此,我强烈建议大家不要为了省时间,安装GHOST系统,论坛上志鸿兄弟的那个就很好啊,或者你直接下一个xp505原版的iso算号安装。大家看了这个帖子之后就到命令提示符下面去打这个命令:netstat-na上面的那个命令是可以查看自己开了哪些端口的!还有就是给自己的用户设置好密码,特别提醒,发现自己有new这个用户的朋友,建议你们换系统吧(估计你们还是很菜,即使在论坛上说了怎么搞,你们也未必会搞)!好了,我就写到这里了,下面的事情,你们自己去办吧!解决方案:1.系统属性——远程——把“允许从这台计算机发送远程协助邀请”和“允许用户远程连接到此计算机”复选框前面的勾去掉!2.开始——控制面板——管理工具——服务,“Terminal Services”(允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务-停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机,请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。)括号里的是关于这个服务的描述。禁用了吧!3.开始——控制面板——管理工具——本地安全策略——本地策略——用户权限分配——通过终端服务允许登陆,你把“Administrators”和“Remote Desktop Users”删除。4.把用户[new]、用户[Guest]和用户[Administrator]重命名,并且设置一个强密码(推荐:字母+数字+字符,的组合)!5.控制面板——Windows防火墙——例外——把“远程桌面”前的复选框的勾去掉!
6.从IP策略里面关闭木马和病毒默认开放的端口。7.安装第三方防火墙!8.多去看看系统日志(开始——控制面板——管理工具——事件查看器)9.平时多用netstat-na这个命令,去看看有没有开放陌生的端口(运行cmd,在命令提示符下输入netstat-na),也许。。10.养成良好的上网习惯!本人经瑞星防火墙验证确实有人通过3389端口连接我的电脑。有江西、陕西、河北等地,请大家注意。
第五篇:系统安全
系统安全
各种信息系统的信息量吞吐庞大,而且需要不间断地实时运行。因此系统应具有高稳定性和高安全性,以防范电子威胁、物理威胁和信息威胁等。
系统安全包括多个方面:物理安全,数据安全,通信/网络安全,操作系统安全,应用软件安全以及管理安全。系统安全示意图如下图所示:
图系统安全示意图
1物理安全
物理平台安全指运行整个系统所需要的基本环境设施,包括计算机房、电源供给和备份等。 计算机房安全措施
计算机机房及相关设施的设计与建设,必须符合国家、行业和地方有关的技术规范和标准,以保障环境安全。 电源供给系统安全措施
电源供给是整个系统的生命线,必须考虑设计三种保障机制:第一种方式是双电路供电,即完全引用两个不同的输配电网在线电源供电;第二种方式是发电机热备份,即在正常状态下由能够满足负荷要求的专用发电机提供在线电源热备份;第三种方式是由大功率不间断电源供给系统在线电源热备份。 消防安全措施
主要设施与环境的消防安全保障,必须符合国家、行业和地方有关的规范和标准,以保障环境安全。 选用高可靠性服务器以及其他硬件设施
硬件设施本身可靠性以及性能对系统的安全性影响至关重要,只有选用经过长期稳定使用的,高可靠性的硬件产品才能保证整个系统在运转中长期处于可靠、高效、安全的状态。2网络安全
采用专网设计,运用网闸等先进工具保证数据的物理隔离,实现各个子网的物理隔离。3数据安全
保证数据库的安全与稳定,对纯粹数据信息的安全保护,以
数据库信息的保护最为典型。对各种功能文件的保护,终端安全很重要。为确保这些数据的安全,在网络信息安全系统的设计中必须包括以下内容:
采用高可靠版本的SQL Server 2008数据库,配置安全级别以及访问控制。
采用本地热备份、远程异地热备份和第三方承保的方式进行数据备份,保障数据安全。 配置数据备份和恢复工具 采用数据访问控制措施 进行用户的身份鉴别与权限控制 采用数据机密性保护措施,如密文存储 采用数据完整性保护措施 防止非法软件拷贝和硬盘启动 防病毒
备份数据的安全保护 4系统安全
该层次的安全问题来自网络内使用的操作系统的安全和应用软件的安全。主要表现在以下方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对运行操作系统的物理设备损坏问题。三是病毒对操作系统的威胁。我们将采用CA认证机制等并设置复杂的访问密码,配置
完善的安全策略,同时采用多种操作系统,多机多信道冗余以及采用先进的防病毒、防黑客工具,最大限度地防止上述不安全因素造成损失。
同时,也应考虑在登入应用软件系统时的身份验证,数据传输过程中的信息加密,指挥过程中的身份确认和身份控制以及软件系统的使用权限等问题。
同时,应用软件系统将采用严格的身份认证和权限控制机制,运用多层次的用户权限,包括系统级权限,模块级权限,功能级权限,字段级权限以及业务记录级权限等。采用严格的用户授权管理保证不同的权限访问不同的数据。
系统级权限:不同权限的用户访问不同的功能模块,实现功能模块访问的权限划分。
业务级权限:不同权限的用户访问功能模块中的不同子模块,实现细小功能模块的权限控制。
功能权限:不同权限的用户访问功能模块中的不同业务功能,限制部分业务功能的使用范围,保证系统安全。
字段级权限:限制未授权用户/访问修改被保护的数据,保证了敏感数据的安全。
业务记录级权限:限制部分用户只能访问/修改某些被授权的数据,例如操作员只能访问模块中有关自己业务范畴的数据,但领导可以访问各种数据,统揽全局。
为此,系统需要记录详尽的操作日志,使任何操作有据可查。
5管理安全
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。 针对网络系统,随着安全工程的规划与实施,必须逐渐建立健全一套自上而下的安全组织机构与有关管理的规章制度。 与网络安全工程的层次结构相对应,安全组织结构也应采用分层结构。建议指定专门机构和人员,负责全网所有日常安全管理活动,主要职责有:(1)监视全网运行和安全告警信息
(2)网络各个层次审计与日志信息的常规分析(3)安全设备的常规设置与维护
(4)全网与下一级网络安全策略的规划、制定与实施(5)网络安全事件的处理等
在下属各专网设置安全工作小组,接受全网安全管理中心的指导,主要负责该层次网络的安全事务。
网络系统的安全规章制度分两部分,一是国家及主管部门在信息安全方面的法律、法规与规定;另一部分是网络系统自身的制度和规定,它应该与网络所采取的各种安全机制相辅相成,互为补充。
可采用动态登入密码机制,保护密码安全。
点击咨询 