系统安全设计.doc

1、一系统安全设计1.1 常用安全设备1.1.1 防火墙主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等，其主要功能实现是限制对 IP:port 的访问。基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。1.1.2 抗 DDOS 设备防火墙的补充，专用抗 DDOS 设备，具备很强的抗攻击能力。1.1.3 IPS以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在 4 层以下的问题。和 IDS 一样，IPS 也要像防病毒系统定义 N 种已知的攻击模式，并主要通过模式匹

2、配去阻断非法访问。1.1.4 SSL VPN它处在应用层，SSL 用公钥加密通过 SSL 连接传输的数据来工作。 SSL 协议指定了在应用程序协议和 TCP/IP 之间进行数据交换的安全机制，为 TCP/IP 连接提供数据加密、服务器认证以及可选择的客户机认证。1.1.5 WAF（WEB 应用防火墙）Web 应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同，WAF 工作在应用层，因此对 Web 应用防护具有先天的技术优势。基于对 Web应用业务和逻辑的深

3、刻理解，WAF 对来自 Web 应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。产品特点 异常检测协议Web 应用防火墙会对 HTTP 的请求进行异常检测，拒绝不符合 HTTP 标准的请求。并且，它也可以只允许 HTTP 协议的部分选项通过，从而减少攻击的影响范围。甚至，一些 Web 应用防火墙还可以严格限定 HTTP 协议中那些过于松散或未被完全制定的选项。 增强的输入验证增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小 Web 服务器被攻击的可能性。 及时补丁修补 Web 安全漏洞

4、，是 Web 应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为 Web 应用带来什么样的危害。WAF 可以为我们做这项工作了只要有全面的漏洞信息 WAF 能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。（附注：及时补丁的原理可以更好的适用于基于 XML 的应用中，因为这些应用的通信协议都具规范性。 ） 基于规则的保护和基于异常的保护基于规则的保护可以提供各种 Web 应用的安全规则，WAF 生产商会维护这个规则库，并时时为其更新。用户可以按照

5、这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。 状态管理WAF 能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件（比如登陆失败） ，并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。 其他防护技术WAF 还有一些安全增强的功能，可以用来解决 WEB 程序员过分信任输入数据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄

6、露保护。1.2 网络安全设计1.2.1 访问控制设计防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。其中防火墙产品从网络层到应用层都实现了自由控制。屏蔽主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从 Internet 惟一可以访问的主机，确保了内部网络不受未被授权的外部用户的攻击

7、。而 Intranet 内部的客户机，可以受控制地通过屏蔽主机和路由器访问 Internet。1.2.2 拒绝服务攻击防护设计对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行；以使得被攻击计算机或网络无法提供正常的服务或者资源，合法用户的请求得不到及时的响应。由于 DoS 的攻击具有隐蔽性，到目前为止还没有行之有效的防御方法。首先，这种攻击的特点是它利用了 TCP/IP 协议的漏洞，除非你不用 TCP/IP，才有可能完全抵御住 DoS 攻击。1）和 ISP 协调工作，让他们帮助实施正确的路由访问控制策略以保护带宽和内部网络。2）建立边界安全界限，确保输入输出的包受到正确限

8、制。经常检测系统配置信息，并注意查看每天的安全日志。3）利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。4）关闭不必要的服务，及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息建立和完善备份机制，对一些特权帐号的密码设置要谨慎。5）充分利用网络设备保护网络资源。如路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器是一个漫长的过程。当你发现自己正遭受 DoS

9、 攻击时，应立即关闭系统，或至少切断与网络的连接，保存入侵的记录，让安全组织来研究分析。6）使用专业 DoS 防御设备。1.2.3 嗅探（sniffer）防护设计嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的：交换机、路由器、网桥。对网络进行分段，比如在交换机上设置 VLAN，使得网络隔离不必要的数据传送。采用 20 个工作站为一组，这是一个比较合理的数字。然后，每个月人为地对每段进行检测(也可以每个月采用 MD5 随机地对某个段进行检测) 。1.3 主机安全设计1.3.1

10、操作系统1.3.2 安全基线配置操作系统安全是信息系统安全的最基本，最基础的安全要素。操作系统的任何安全脆弱性和安全漏洞，必然导致信息系统的整体安全脆弱性。在目前的操作系统中，对安全机制的设计不尽完善，存在较多的安全漏洞隐患。面对黑客的盛行，网络攻击的日益频繁，运用技术愈加选进，有必要使用安全漏洞扫描工具对计算机操作系统的进行漏洞扫描，对操作系统进行风险评估，并进行升级。应及时安装操作系统安全补丁程序，对扫描或手工检查发现的系统漏洞进行修补，并及时关闭存在漏洞的与承载业务无关的服务；通过访问控制限制对漏洞程序的访问。比如windows 操作系统补丁升级在操作系统安装之后立即安全防病毒软件，定期

11、扫描，实时检查和清除计算磁盘引导记录、文件系统和内存，以及电子邮件病毒。目前新的病毒发展很快，需及时更新病毒库。比如 SymantecEndpointProtect（SEP 防病毒服务器版） 。SymantecEndpointProtect 无缝集成了一些基本技术，如防病毒、反间谍软件、防火墙、入侵防御、设备和应用程序控制。能有效阻截恶意软件，如病毒、蠕虫、特洛伊木马、间谍软件、恶意软件、Bo、零日威胁和 rootkit。从而防止安全违规事件的发生，从而降低管理开销。通过配置用户帐号与口令安全策略，提高主机系统帐户与口令安全。技术要求 标准点（参数） 说明限制系统无用的默认帐号登录Daemon

12、BinSysAdmUucpNuucpLpdImnadmLdapLpSnappinvscout清理多余用户帐号，限制系统默认帐号登录，同时，针对需要使用的用户，制订用户列表进行妥善保存root 远程登录 禁止 禁止 root 远程登录口令策略maxrepeats=3minlen=8minalpha=4minother=1口令中某一字符最多只能重复 3次口令最短为 8 个字符口令中最少包含 4 个字母字符口令中最少包含一个非字母数字技术要求 标准点（参数） 说明mindiff=4minage=1maxage=25（可选）histsize=10字符新口令中最少有 4 个字符和旧口令不同口令最小使用寿

13、命 1 周口令的最大寿命 25 周口令不重复的次数 10 次FTP 用户帐号控制 /etc/ftpusers 禁止 root 用户使用 FTP对系统的日志进行安全控制与管理，保护日志的安全与有效性。技术要求 标准点（参数） 说明日志记录记录authlog、wtmp.log 、sulog、failedlogin记录必需的日志信息，以便进行审计日志存储(可选) 日志必须存储在日志服务器中使用日志服务器接受与存储主机日志日志保存要求 2 个月 日志必须保存 2 个月日志系统配置文件保护文件属性 400（管理员帐号只读）修改日志配置文件（syslog.conf）权限为 400日志文件保护 文件属性 4

14、00（管理员帐号只读）修改日志文件authlog、wtmp.log 、sulog、failedlogin的权限为 4001.4 数据库1.4.1 安全基线配置数据库系统自身存在很多的漏洞，严重威胁数据库自身的安全，甚至还会威胁到操作系统的安全。oracle、SQLServer 等数据库有很多的广为人知的漏洞，恶意的用户很可能利用这些漏洞进行数据库入侵操作。同时在企业内部对数据库权限管理不严格，数据库管理员不正确的管理数据库，使得内部普通员工很容易获取数据库的数据。因此需通过数据库安全扫描工具，比如安信通数据库漏洞扫描系统 DatabaseSecurityScanSystem 简称 AXT-DB

15、S。AXT-DBS 数据库安全扫描系统能够自动地鉴别在数据库系统中存在的安全隐患，能够扫描从口令过于简单、权限控制、系统配置等一系列问题，内置的知识库能够对违背和不遵循安全性策略的做法推荐修正的操作，并提供简单明了的综合报告和详细报告。配置用户帐号与口令安全策略，提高数据库系统帐户与口令安全。技术要求 技术点（参数） 说明数据库主机管理员帐号控制默认主机管理员帐号禁止使用 oracle 或administrator 作为数据库主机管理员帐号oracle 帐号 删除无用帐号 清理帐号，删除无用帐号默认帐号 修改口令如DBSNMPSCOTT禁止远程登录修改配置参数，禁止 SYSDBA远程登录数据库

16、 SYSDBA帐号禁止自动登录修改配置参数，禁止 SYSDBA自动登录口令策略a) PASSWORD_VERIFY_FUNCTION8b) PASSWORD_LIFE_TIME180(可选）c) PASSWORD_REUSE_MAX5a) 密码复杂度 8 个字符b) 口令有效期 180 天c) 禁止使用最近 5 次使用的口令帐号策略 FAILED_LOGIN_ATTEMPTS5 连续 5 次登录失败后锁定用户public 权限 优化 清理 public 各种默认权限对系统的日志进行安全控制与管理，保护日志的安全与有效性。技术要求 标准点（参数） 说明技术要求 标准点（参数） 说明日志审核 启用

17、 启用数据库审计功能登录日志记录 启动 建立日志表，启动触发器数据库操作日志（可选）启动 建立日志表，启动触发器日志审计策略（可选）OS 日志记录在操作系统中日志保存要求 2 个月 日志必须保存 2 个月日志文件保护 启用 设置访问日志文件权限对系统配置参数进行调整，提高数据库系统安全。技术要求 标准点（参数） 说明数据字典保护启用数据字典保护 限制只有 SYSDBA 权限的用户才能访问数据字典监听程序加密 设置监听器口令 设置监听器口令监听服务连接超时编辑 listener.ora 文件connect_timeout_listener=10 秒设置监听器连接超时服务监听端口（可选）在不影响应

18、用的情况下，更改默认端口修改默认端口 TCP15211.4.2 中间件Tomcat 中间件安全要求应用安全加固，提高程序安全。技术要求 标准点（参数） 说明应用程序安全 关闭 war 自动部署，防止被植入木马等恶意程序 unpackWARs=“false“ autoDeploy=“false“用户帐号与口令安全配置用户帐号与口令安全策略，提高系统帐户与口令安全。技术要求 标准点（参数） 说明安全策略 屏蔽用户权限 用户安全设置注释或删除tomcat_users.xml 所有用户权限注释或删除所有用户权限隐藏 tomcat 版本信息 enableLookup=”false”隐藏 tomcat 版

19、本信息，编辑server.xml安全配置listingsfalse禁止列目录，编辑 web.xml对系统的配置进行优化，保护程序的安全与有效性。技术要求 标准点（参数） 说明优化 server.xml用普通用户启动 Tomcat 为了进一步安全，我们不建议使用 root 来启动 Tomcat。这边建议使用专用用户 tomcat 或者 nobody 用户来启动 Tomcat。在启动之前，需要对我们的tomcat 安装目录下所有文件的属主和属组都设置为指定用户。安全防护通过对 tomcat 系统配置参数调整，提高系统安全稳定。技术要求 标准点（参数） 说明设置 session 过期时间， tomc

20、at 默认是 30 分钟 防止已知攻击maxThreads 连接数限制 maxThreads 是 Tomcat 所能接受最大连接数。一般设置不要超过8000 以上，如果你的网站访问量非常大可能使用运行多个 Tomcat实例的方法， 即，在一个服务器上启动多个 tomcat 然后做负载均衡处理压缩传输tomcat 作为一个应用服务器，也是支持 gzip 压缩功能的。我们可以在 server.xml 配置文件中的 Connector 节点中配置如下参数，来实现对指定资源类型进行压缩。安装优化(可选)禁用 Tomcat 管理页面线上是不使用 Tomcat 默认提供的管理页面的，因此都会在初始化的时候就把这些页面删掉。这些页面是存放在 Tomcat 安装目录下的webapps 目录下的。我们只需要删除该目录下的所有文件即可。1.5 应用安全设计1.5.1 身份鉴别防护设计1) 口令创建口令创建时必须具有相应规则，如要求，口令不能使用连续数字、必须由大小写字母数字和特殊字符混合组成等。2) 口令传输口令验证、修改等操作发生时，传输到服务器端的口令，在传输通道上应采用加密或