首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册

正在浏览:   1 名游客





《信息网络安全保护工作知识手册》
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
注册会员
帖子: 56
等级: 6; EXP: 34
HP : 0 / 133
MP : 18 / 19040
离线
前 言

随着信息技术的迅猛发展和广泛应用,社会信息化进程不断加快,信息网络的基础性、全局性作用日益增强。社会对信息化的依赖性也越来越强,信息网络的安全问题愈加重要。各级信息网络运营和管理部门对信息网络安全问题十分重视,通过加强信息网络安全建设和管理,不断提升信息网络安全防护能力,努力减少信息网络风险和损失。

信息网络安全涉及方方面面,需要社会各界的共同参与和努力。公安机关承担着维护信息网络安全、打击网络违法犯罪活动的重要职责,得到了社会各界的支持和帮助。为了解和掌握当前我国信息网络安全现状和计算机病毒疫情情况,公安部公共信息网络安全监察局和中国计算机学会计算机安全专业委员会在全国组织开展2004年度信息网络安全和计算机病毒疫情调查活动。

为了配合这次调查活动的开展,我们专门编辑了这本《信息网络安全知识读本》,共分为信息网络安全管理、安全技术与安全专用产品、计算机病毒防治、网络攻击防范、Windows操作系统安全和UNIX操作系统安全六个部分,就信息网络安全有关知识做了介绍,供从事信息网络安全管理和技术维护人员参考。在附录部分刊登了公安部计算机信息系统安全专用产品目录,供查阅。

在此感谢公安部信息通信局、珠海金山软件股份有限公司、北京瑞星科技股份有限公司、北京江民新科技有限公司、广州天海威数码技术有限公司、上海复旦光华信息发展有限公司在手册编撰中给予的支持。因编辑时间仓促,书中内容不对之处望指正。

公安部公共信息网络安全监察局

中国计算机学会计算机安全专业委员会

二○○二年六月一日

第一部分:信息网络安全管理

一、信息网络与计算机信息系统

计算机信息系统是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。信息网络和计算机信息系统是不同发展阶段对计算机信息系统的具体称谓,在90年代中期之前所称计算机信息系统,是以大型计算机为核心,通过网络将许多个人计算机联在一起形成的计算机信息系统;90年代末期以来所称的信息网络,则以高速通信网络为纽带,将许多计算机信息系统联在一起形成信息网络。

二、什么是信息网络安全

信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。

三、信息网络安全面临的威胁

信息网络面临的威胁主要来自:电磁泄露、雷击等环境安全构成的威胁,软硬件故障和工作人员误操作等人为或偶然事故构成的威胁,利用计算机实施盗窃、诈骗等违法犯罪活动的威胁,网络攻击和计算机病毒构成的威胁,以及信息战的威胁等。

四、信息网络自身的脆弱性

信息网络自身的脆弱性主要包括:在信息输入、处理、传输、存储、输出过程中存在的信息容易被篡改、伪造、破坏、窃取、泄漏等不安全因素;在信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素;在其他方面如磁盘高密度存储受到损坏造成大量信息的丢失,存储介质中的残留信息泄密,计算机设备工作时产生的辐射电磁波造成的信息泄密。

五、信息网络安全策略

信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略,安全策略确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很多,如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”,总体安全策略为其它安全策略的制定提供总的依据。

实体可信:实体指构成信息网络的基本要素,主要有网络基础设备、软件系统、用户和数据。保证构建网络的基础设备和软件系统安全可信,没有预留后门或逻辑炸弹。保证接入网络的用户是可信的,防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的,防止搭线窃听,非授权访问或恶意篡改。

行为可控:保证用户行为可控,即保证本地计算机的各种软硬件资源(例如:内存、中断、I/O端口、硬盘等硬件设备,文件、目录、进程、系统调用等软件资源)不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控,即保证用户接入网络应严格受控,用户上网必须得到申请登记并许可。保证网络行为可控,即保证网络上的通信行为受到监视和控制,防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。

资源可管:保证对路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、IP地址、用户账号、服务端口等网络资源进行统一管理。

事件可查:保证对网络上的各类违规事件进行监控记录,确保日志记录的完整性,为安全事件稽查、取证提供依据。

运行可靠:保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行,具有容灾抗毁和备份恢复能力。保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失,并具有较强的应急响应和灾难恢复能力。

六、信息网络安全管理的组成

信息网络安全管理包括管理组织机构、管理制度和管理技术三个方面,要通过组建完整的信息网络安全管理组织机构,设置安全管理人员,制定严格的安全管理制度,利用先进的安全管理技术对整个信息网络进行管理。

七、信息网络安全保护体系

信息网络安全保护涉及人员、技术和法规三个方面,因此,信息网络安全防护体系从总体上可分为三大部分。即技术防护体系、组织管理体系和法规标准体系,它们以信息网络的总体安全策略为核心,共同保护信息网络安全运行。

信息网络安全保护体系框架

八、信息网络安全管理组织的主要职责

信息安全管理坚持 “谁主管谁负责,谁运行谁负责”的原则。信息安全管理组织的主要职责是:制定工作人员守则、安全操作规范和管理制度,经主管领导批准后监督执行;组织进行信息网络建设和运行安全检测检查,掌握详细的安全资料,研究制定安全对策和措施;负责信息网络的日常安全管理工作;定期总结安全工作,并接受公安机关公共信息网络安全监察部门的工作指导。

九、信息网络安全管理内容

信息网络安全管理的主要内容:有主要领导负责的逐级安全保护管理责任制,配备专职或兼职的安全员,各级职责划分明确,并有效开展工作;明确运行和使用部门或岗位责任制,建立安全管理规章制度;在职工群众中普及安全知识,对重点岗位职工进行专门培训和考核;采取必要的安全技术措施;对安全保护工作有档案记录和应急计划;定期进行安全检测和风险分析和安全隐患整改;实行信息安全等级保护制度。

十、什么是信息系统安全等级保护

信息网络安全管理工作要坚持从实际出发、保障重点的原则,区分不同情况,分级、分类、分阶段进行信息网络安全建设和管理。按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。

第一级:用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行保护。

第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。

第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。

第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级:访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。

计算机信息系统安全等级保护标准体系包括:信息系统安全保护等级划分标准、等级设备标准、等级建设标准、等级管理标准等,是实行等级保护制度的重要基础。

十一、信息网络安全事件与事件响应

信息网络安全事件的具体含义会随着“角度”的变化而变化,比如:从用户(个人、企业等)的角度来说,个人隐私或商业利益的信息在网络上传输时受到侵犯,其他人或竞争对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,破坏信息的机密性、完整性和真实性。从网络运行和管理者角度说,安全事件是对本地网络信息的访问、读写等操作,出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,或遭受网络黑客的攻击。对保密部门来说,则是国家机要信息泄露,对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,被利用在网络上传播不健康的内容,对社会的稳定和人类的发展造成阻碍等都是安全事件。对于网络运行和管理来说,网络攻击和计算机病毒传播等安全事件的响应处置包括6个阶段:1、准备阶段,基于威胁建立一组合理的防范、控制措施,建立一组尽可能高效的事件处理程序,获得处理问题必须的资源和人员,最终建立应急响应体系。2、检测阶段,进行技术检测,获取完整系统备份,进行系统审计,分析异常现象,评估事件范围,报告事件。3、控制阶段,制定可能的控制策略,拟定详细的控制措施实施计划,对控制措施进行评估和选择,记录控制措施的执行,继续报告。4、根除阶段,查找出事件根源并根除之,确认备份系统的安全,记录和报告。5、恢复阶段,根据事件情况,从保存完好的介质上恢复系统可靠性高,一次完整的恢复应修改所有用户口令。数据恢复应十分小心,可以从最新的完整备份或从容错系统硬件中恢复数据,记录和报告。6、追踪阶段,非常关键,其目标是回顾并整合发生事件信息,对事件进行一次事后分析,为下一步进行的民事或刑事的法律活动提高有用的信息。

十二、信息网络安全服务

购买了各种各样的安全产品,就能够确保我们信息网络真正安全吗?回答是否定的!在信息网络安全建设中,专业信息网络安全服务,利用科学的安全体系框架和方法论,建立全面、有层次的安全管理体系,是保障信息网络安全的基本保证。信息网络安全防范产品与安全服务相辅相成,二者不可或缺,各项服务措施相互联系,承上启下,成熟的安全服务体系在安全服务进行中起到重要的指导作用,可以有条不紊地为用户作好每一件工作。信息网络安全服务的内容包括: 安全咨询、安全系统规划、安全策略制定、安全系统集成、安全产品配置、 安全培训、应急安全服务。上述各种安全服务都是相辅相成的。

十三、公安机关对信息网络安全保护工作的监督职责

《中华人民共和国计算机信息系统安全保护条例》第十七条规定,公安机关对计算机信息系统安全保护工作行使下列监督职权:监督、检查、指导计算机信息系统安全保护工作;查处危害计算机信息系统安全的违法犯罪案件;履行计算机信息系统安全保护工作的其他监督职责。



第二部分:信息网络安全技术与安全专用产品

一、做好口令保护

防范入侵的前线是口令系统。口令用于验证登录用户的身份标识。应当建立用户帐号管理,设置对文件、目录、打印机和其他资源的访问权限,加强口令管理(如设置生效期等)和检查,避免使用公共帐号,教育用户保管好口令并避免使用过于简单的口令。保护口令的一种方法是口令加密,就是为一进步防止口令泄露,口令在系统中保存时,以加密的形式存放。阻止口令攻击的另一种方法是拒绝入侵者访问口令文件,如果只有一个特权用户能够访问口令文件的加密部分,那么入侵者如果不知道该用户的口令,就无法读取它。 二、系统后门和安全补丁



后门是一种可以绕过安全性控制而获得对程序或系统访问权的隐蔽程序或方法。在软件的开发阶段,程序员常会在软件内创建后门以便修改程序。如果后门被其他人知道,或是在发布软件之前没有删除后门,那么就可能被利用来建立隐蔽通道,甚至植入隐蔽的恶意程序,达到非法访问或窃取、篡改、伪造、破坏数据等目的。现在后门多指系统被入侵后被安装的具有控制系统权限的程序,通过它黑客可以远程控制系统。

漏洞是软件在开发的过程中没有考虑到的某些缺陷,也叫软件的bug。操作系统和应用软件都是存在安全漏洞的,这些漏洞不断地被发现。安全补丁是软件开发厂商为堵塞安全漏洞,提高软件的安全性和稳定性,开发的与原软件结合或对原软件升级的程序。因此,要定期从厂商处获取并安装最新的补丁程序,避免从非正规望站下载未知的补丁程序而被欺骗。

三、身份认证技术

身份认证技术主要包括数字签名、身份验证和数字证明。数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH 函数(HASH(哈希)函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串,又称HASH值)将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。身份识别是指用户向系统出示自己身份证明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。

四、防火墙的种类与选择

传统上认为,防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它通过允许、拒绝或重新定向经过防火墙的数据流,防止不希望的、未授权的通信,并对进、出内部网络的服务和访问进行审计和控制,本身具有较强的抗攻击能力,对网络用户基本上是“透明”的,并且只有授权的管理员方可对防火墙进行管理。目前,市场上有六种基本类型的防火墙,分别是嵌入式防火墙、基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。

嵌入式防火墙:就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样,所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。

基于软件的防火墙:是能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来,添加一个基于软件的防火墙就是合理之举。

基于硬件的防火墙:捆绑在“交钥匙”系统(Turnkey system)内,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。 特殊防火墙:是侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙,但也具有防火墙类规则和应用防范禁闭功能。

五、入侵检测系统的作用

入侵检测系统(IDS,Intrusion Detection System)是通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测并采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等。

通常,入侵检测系统按其输入数据的来源分为三种:基于主机的入侵检测系统,其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵;基于网络的入侵检测系统,其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵;分布式入侵检测系统,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,系统由多个部件组成,采用分布式结构。

六、什么是安全漏洞扫描技术

漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”,及时修补漏洞,构筑坚固的安全长城。

常规标准,可以将漏洞扫描器分为两种类型:主机漏洞扫描器(Host Scanner)和网络漏洞扫描器(Network Scanner)。网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序,如提供网络服务、后门程序、密码破解和阻断服务等的扫描测试。主机漏洞扫描器是指针对操作系统内部进行的扫描,如Unix、NT、Liunx系统日志文件分析,可以弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。一般采用Client/Server的架构,其会有一个统一控管的主控台(Console)和分布于各重要操作系统的Agents,然后由Console端下达命令给Agents进行扫描,各Agents再回报给Console扫描的结果,最后由Console端呈现出安全漏洞报表。除了上述二大类的扫描器外,还有一种专门针对数据库作安全漏洞检查的扫描器,主要功能为找出不良的密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的帐户,而且能追踪登入期间的限制活动等,数据库的安全扫描也是信息网络安全内很重要的一环。

七、物理隔离器和逻辑隔离器的作用

物理隔离器是一种不同网络间的隔离部件,通过物理隔离的方式使两个网络在物理连线上完全隔离,且没有任何公用的存储信息,保证计算机的数据在网际间不被重用。一般采用电源切换的手段,使得所隔离的区域始终处在互不同时通电的状态下(对硬盘、软驱、光驱,也可通过在物理上控制IDE线实现)。被隔离的两端永远无法通过隔离部件交换信息。

逻辑隔离器也是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间直接进行数据交换。

八、什么是信息内容过滤产品现在网络上大量的黄色、反动、暴力、赌博等不良信息,以及垃圾邮件、病毒邮件、泄密邮件和网络聊天等问题,一直令企业领导者及网络管理者感到头疼。采取信息内容过滤产品可以有效的防止这些不良信息的入侵,有效的减轻网络管理人员及信息安全工作者的工作。信息过滤产品可以对互联网上的信息内容进行实时分析,对预先定义的非法信息内容进行过滤和拦截。信息过滤产品按其针对的服务进行分类,主要可分为:HTTP、邮件、TELNET(BBS)、FTP等。

九、介绍VPN技术

VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN 架构中采用了多种安全机制,如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。

十、安全操作系统和安全数据库

安全操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的安全技术要求。安全操作系统主要特征:1、最小特权原则,即每个特权用户只拥有能进行他工作的权力;2、自主访问控制;强制访问控制,包括保密性访问控制和完整性访问控制;3、安全审计;4、安全域隔离。只要有了这些最底层的安全功能,各种混为“应用软件”的病毒、木马程序、网络入侵和人为非法操作才能被真正抵制,因为它们违背了操作系统的安全规则,也就失去了运行的基础。

数据库的安全性包括:机密性、完整性和可用性,数据库在三个层次上,客户机 /服务器通过开放的网络环境,跨不同硬件和软件平台通信,数据库安全问题在这个环境下变得更加复杂。管理分布或联邦数据库环境,每个结点服务器还能自治实行集中式安全管理和访问控制,对自己创建的用户、规则、客体进行安全管理。如由DBA或安全管理员执行本部门、本地区、或整体的安全策略,授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要。安全数据库是指数据库管理系统必须允许系统管理员有效地管理数据库管理系统和它的安全,并且只有被授权的管理员才可以使用这些安全功能和设备。数据库管理系统保护的资源包括数据库管理系统存储、处理或传送的信息。数据库管理系统阻止对信息的未授权访问,以防止信息的泄漏、修改和破坏。

十一、网页恢复产品的用途

网页恢复产品是对受保护网页目录、文件的未授权破坏进行识别,并能用备份目录、文件进行自动恢复,主要包括:1、网页目录、文件未授权增加的恢复;2、网页目录、文件未授权删除的恢复;3、网页目录、文件未授权修改(包括目录、文件属性修改、重命名、移动等)的恢复。

十二、安全审计产品

安全审计产品是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具,分为用户自主保护、系统审计保护两级。

网络安全审计能够对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否安全的重要尺度。

十三、什么是PKI/CA

PKI(Public Key Infrastructure)指的是公钥基础设施。CA(Certificate Authority)指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍。CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“PKI/CA”。从总体构架来看,PKI/CA主要由最终用户、认证中心和注册机构来组成。

(1)、PKI/CA的工作原理

PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。

(2)、什么是数字证书?

数字证书就像日常生活中的身份证、驾驶证,在您需要表明身份的时候,必须出示证件来明确身份。您在参与电子商务的时候就依靠这种方式来表明您的真实身份。

(3)、什么是认证中心(CA)?

一个认证中心是以它为信任源,由她维护一定范围的信任体系,在该信任体系中的所有用户、服务器,都被发放一张数字证书来证明其身份已经被鉴定过,并为其发放一张数字证书,每次在进行交易的时候,通过互相检查对方的数字证书即可判别是否是本信任域中的可信体。

(4)、什么是注册机构?

注册中心负责审核证书申请者的真实身份,在审核通过后,负责将用户信息通过网络上传到认证中心,由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说,认证中心是面向各注册中心的,而注册中心是面向最终用户的,注册机构是用户与认证中心的中间渠道。

(5)、 PKI/CA的作用?

以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。PKI/CA解决方案已经普遍地应用于全球范围的电子商务应用中,为电子商务保驾护航,为电子商务的健康开展扫清了障碍。

十四、电磁泄漏和电磁干扰



电磁泄漏是指信息系统的设备在工作时能经过地线、电源线、信号线、寄生电磁信号或谐波等辐射出去,产生电磁泄漏。这些电磁信号如果被接收下来,经过提取处理,就可恢复出原信息,造成信息失密。具有保密要求的计算机信息系统必须注意防止电磁泄漏。

电磁干扰是指雷电电磁脉冲、电网操作过电压、静电放电等电磁场会对计算机信息系统运行造成干扰。

十五、计算机信息系统雷击灾害与防雷保安器

计算机设备大量采用的大规模集成电路芯片,其耐过电压、过电流的能力极低。在雷电天气状况下,避雷针引雷时,强大的雷电流经避雷针入地并在避雷针周围产生强电磁场,在电磁场内的电子设备可被感应出较高的雷电压、雷电流,造成电子设备损坏。

计算机信息系统防范雷击灾害可以在与计算机连接的所有外线上(包括电源线和通信线)加设防雷保安器,同时规范地线,防止雷击时在地线上产生的高电位反击。

十六、计算机信息系统安全专用产品销售许可管理

销售许可管理是依据国务院《中华人民共和国计算机信息系统安全保护条例》和公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定而实行的一项行政管理。我国境内的计算机安全专用产品进入市场销售须申领公安部颁发的销售许可证,已取得销售许可证的产品应在固定位置标明“销售许可”标记。

十七、如何选择安全专用产品

目前,我国计算机信息系统安全专用产品的种类已由单机防病毒产品发展到现在的网络防毒、防火墙、身份鉴别、网络隔离、网页保护、漏洞扫描、防攻击预警、操作系统、数据库等十几大类信息安全保护产品,产品的功能检测也随着安全保护技术的完善由简单的功能确认发展到分级检验。在选择安全专用产品时应当考虑产品的性价比、特征库的升级与维护费用、最大处理能力、产品的可伸缩性、运行与维护开销、产品是否容易被躲避及响应方法、是否获得安全专用产品销售许可证。

第三部分:计算机病毒防治

一、什么是计算机病毒

计算机病毒不同于生物医学上的“病毒”,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。由于它的所做所为与生物病毒很相像,人们才给它起了这么一个“响亮”的名字。与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的,有时一旦扩散出来后连制造者自己也无法控制。它已经不是一个简单的技术问题,而是一个严重的社会问题了。目前,全球已有的计算机病毒约7万余种。

下面我们将生物医学病毒与感染IBM-PC机的DOS环境下的病毒的特征进行对比。生物病毒 计算机病毒攻击生物机体特定细胞 攻击特定程序(所有*.COM 和*.EXE文 件[针对MS-DOS环境])修改细胞的遗传信息,使病毒在被感 染的细胞中繁殖 操纵程序使被感染程序能复制病毒程序被感染的细胞不再重复感染,并且被 感染的机体很长时间没有症状 很多计算机病毒只感染程序一次,被感染的程序很长时间可以正常运行病毒并非感染所有的细胞,并且病毒 可以产生变异 程序能够加上免疫标志,防止感染。但计算机病毒能够修改自身使免疫失效

二、网络蠕虫和特洛伊木马程序

1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络。而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失。2003年1月26日, 一种名为“2003蠕虫王”的蠕虫病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,互联网域名服务器瘫痪,造成网民浏览互联网网页及收发电子邮件的速度大幅减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作中断, 信用卡等收付款系统出现故障。国外专家估计,造成的直接经济损失在12亿美元以上。

网络蠕虫(worm)主要是利用操作系统和应用程序漏洞传播,通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序,可以造成网络服务遭到拒绝并发生死锁。“蠕虫”由两部分组成:一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。

特洛伊木马程序(Trojan horse)是一个隐藏在合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。当有用程序被调用时,隐藏的木马程序将执行某种有害功能,例如显示讯息、删除文件或将磁盘格式化,并能用于间接实现非授权用户不能直接实现的功能。特洛依木马型病毒不会感染其他寄宿文件,清除特洛依木马型病毒的方法是直接删除受感染的程序。

三、计算机病毒的传播

计算机病毒的传播途径主要有:1、通过文件系统传播;2、通过电子邮件传播;3、通过局域网传播;4、通过互联网上即时通讯软件和点对点软件等常用工具传播;利用系统、应用软件的漏洞进行传播;6、利用系统配置缺陷传播,如弱口令、完全共享等;7、利用欺骗等社会工程的方法传播。计算机病毒的传播过程可简略示意如下:

四、计算机病毒的特征

计算机病毒作为一种特殊的程序具有以下特征:

(一)非授权可执行性,计算机病毒隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序;

(二)隐蔽性,计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,它通常总是想方设法隐藏自身,防止用户察觉;

(三)传染性,传染性是计算机病毒最重要的一个特征,病毒程序一旦侵入计算机系统就通过自我复制迅速传播。

(四)潜伏性,计算机病毒具有依附于其它媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隐藏起来,然后在用户不察觉的情况下进行传染。

(五)表现性或破坏性。无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图象,影响系统的正常运行,还有一些病毒程序删除文件,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。

(六)可触发性,计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。

五、用户计算机中毒的24种症状

一是计算机系统运行速度减慢。二是计算机系统经常无帮故发生死机。三是计算机系统中的文件长度发生变化。四是计算机存储的容量异常减少。五是系统引导速度减慢。六是丢失文件或文件损坏。七是计算机屏幕上出现异常显示。八是计算机系统的蜂鸣器出现异常声响。九是磁盘卷标发生变化。十是系统不识别硬盘。十一是对存储系统异常访问。十二是键盘输入异常。十三是文件的日期、时间、属性等发生变化。十四是文件无法正确读取、 复制或打开。十五是命令执行出现错误。十六是虚假报警。十七是换当前盘。有些病毒会将当前盘切换到C盘。十八是时钟倒转。有些病毒会命名系统时间倒转,逆向计时。十九是WINDOWS操作系统无故频繁出现错误。二十是系统异常重新启动。二十一是一些外部设备工作异常。二十二是异常要求用户输入密码。二十三是WORD或EXCEL提示执行“宏”。二十四是不应驻留内存的程序驻留内存。

六、计算机病毒防治策略

计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

(一)防毒。是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指通过采取防毒措施,可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式的病毒感染;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。

(二)查毒。是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。查毒能力是指发现和追踪病毒来源的能力,通过查毒能准确地发现信息网络是否感染有病毒,准确查找出病毒的来源,给出统计报告;查解病毒的能力应由查毒率和误报率来评判。

(三)解毒。是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。 解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。

七、计算机病毒诊断方法

通常计算机病毒的检测方法有两种:

(一)手工检测。是指通过一些软件工具(如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等) 提供的功能进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。

(二)自动检测。是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单,一般用户都可以进行,但需要较好的诊断软件。这种方法可方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具对未知病毒很难识别。

八、防范特洛伊木马攻击

特洛伊木马是在执行看似正常的程序时,还同时运行了未被察觉的有破坏性的程序;木马通常能够将重要的信息传送给攻击者,而且攻击者可以把任意数量的程序植入木马。对于木马的防范可以采取以下措施:

不要执行任何来历不明的软件或程序;不要轻易打开陌生邮件,或许当你打开的同时就已经中了别人设置的木马;不要因为对方是你的好朋友就轻易执行他发过来的软件或程序,因为你不确信他是否也像你一样装上了病毒防火墙,也许你的朋友已经中了黑客程序自己却不知道!同时,你也不能担保是否有别人冒他的名给你发mail;千万不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积虑收集起来。

九、网络病毒的清理和防治

网络病毒的清理防治方法主要有:1、全面地与互联网结合,对网络层、邮件客户端进行实时监控,防止病毒入侵;2、快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;3、病毒防治产品完善的在线升级,随时拥有最新的防病毒能力;4、对病毒经常攻击的应用程序提供重点保护(如Office、Outlook、IE、ICQ/QQ等);5、获取完整、即时的反病毒咨询,尽快了解新病毒的特点和解决方案。

十、如何防治病毒

根据计算机病毒的传播特点,防治计算机病毒关键是注意以下几点:

(一)要提高对计算机病毒危害的认识。计算机病毒再也不是象过去那样的无关紧要的小把戏了,在计算机应用高度发达的社会,计算机病毒对信息网络破坏造成的危害越来越大大。

(二)养成使用计算机的良好习惯。对重要文件必须保留备份、不在计算机上乱插乱用盗版光盘和来路不明的盘,经常用杀毒软件检查硬盘和每一张外来盘等。

(三)大力普及杀毒软件,充分利用和正确使用现有的杀毒软件,定期查杀计算机病毒,并及时升级杀毒软件。有的用户对杀毒软件从不升级,仍用几年前的老版本来对付新病毒;有的根本没有启用杀毒软件;还有的则不会使用杀毒软件的定时查杀等功能。

(四)及时了解计算机病毒的发作时间,及时采取措施。大多数计算机病毒的发作是有时间限定的。如CIH病毒的三个变种的发作时间就限定为4月26日、6月26日、每月26日。特别是在大的计算机病毒爆发前夕。

(五)开启计算机病毒查杀软件的适时监测功能,特别是有利于及时防范利用网络传播的病毒,如一些恶意脚本程序的传播。

(六)加强对网络流量等异常情况的监测,做好异常情况的技术分析。对于利用网络和操作系统漏洞传播的病毒,可以采取分割区域统一清除的办法,在清除后要及时采取打补丁和系统升级等安全措施。

(七)有规律的备份系统关键数据,建立应对灾难的数据安全策略,如灾难备份计划(备份时间表、备份方式、容灾措施)和灾难恢复计划,保证备份的数据能够正确、迅速地恢复。

十一、如何选择计算机病毒防治产品

一般用户应选择:1、具有发现、隔离并清除病毒功能的计算机病毒防治产品;2、产品是否具有实时报警(包括文件监控、邮件监控、网页脚本监控等)功能;3、多种方式及时升级;4、统一部署防范技术的管理功能;5、对病毒清除是否彻底,文件修复后是否完整、可用;6、产品的误报、漏报率较低;7、占用系统资源合理,产品适应性较好。

对于企业用户要选择能够从一个中央位置进行远程安装、升级,能够轻松、自动、快速地获得最新病毒代码、扫描引擎和程序文件,使维护成本最小化的产品;产品提供详细的病毒活动记录,跟踪病毒并确保在有新病毒出现时能够为管理员提供警报;为用户提供前瞻性的解决方案,防止新病毒的感染;通过基于web和Windows的图形用户界面提供集中的管理,最大限度地减少网络管理员在病毒防护上所花费的时间。

十二、计算机病毒防治管理办法

为了加强计算机病毒的防治管理工作,2000年公安部发布了《计算机病毒防治管理办法》。规定各级公安机关负责本行政区域内的计算机病毒防治管理工作。

规定禁止制作、传播计算机病毒,向社会发布虚假计算机病毒疫情,承担计算机病毒的认定工作的机构应由公安部公共信息网络安全监察部门批准,计算机信息系统的使用单位应当履行防治计算机病毒的职责。

第四部分:防范网络攻击

一、保护WEB服务器的关键是什么

WEB服务器自身脆弱性:Web服务器软件自身存在安全问题,如Web服务器软件缺省安装提供了过多的不必要功能,密码过于简单遭到破解,当服务器管理员使用了不安全协议的软件(如telnet)进行管理时,被监听而导致信息外泄。

Web应用程序安全性差:主要是指CGI程序和ASP、PHP脚本等等程序的安全性。这些程序大大扩展了Web服务器的功能,但它们往往只重功能而忽视了安全性。

保护WEB服务的方法:1、用防火墙保护网站,可以有效地对数据包进行过滤,是网站的第一道防线;2、用入侵监测系统监测网络数据包,可以捕捉危险或有恶意的访问动作,并能按指定的规则,以记录、阻断、发警报等等多种方式进行响应,既可以实时阻止入侵行为,又能够记录入侵行为以追查攻击者;3、正确配置Web服务器,跟踪并安装服务器软件的最新补丁;4、服务器软件只保留必要的功能,关闭不必要的诸如FTP、SMTP等公共服务,修改系统安装时设置的默认口令,使用足够安全的口令;5、远程管理服务器使用安全的方法如SSH,避免运行使用明文传输口令的telnet、ftp等程序;6、谨慎使用CGI程序和ASP、PHP脚本程序7、使用网络安全检测产品对安全情况进行检测,发现并弥补安全隐患。

二、如何防范CGI脚本漏洞

CGI(COMMOM GATE INTERFACE)是外部应用程序与WEB服务器交互的一个标准接口,它可以完成客户端与服务器的交互操作。CGI带来了动态的网页服务, CGI 脚本是主页安全漏洞的主要来源,这主要是由于CGI程序设计不当,暴露了未经授权的数据。通过构造特殊字符串给CGI程序就可能得到这种权限。

防范CGI脚本漏洞主要是:1、使用最新版本的Web服务器,安装最新的补丁程序,正确配置服务器;2、按照帮助文件正确安装CGI程序,删除不必要的安装文件和临时文件;3、使用C编写CGI程序时,使用安全的函数;4、使用安全有效的验证用户身份的方法;5、验证用户的来源,防止用户短时间内过多动作;6、推荐过滤“& ; ` ' \ ” | * ? ~ < > ^ ( ) [ ] { } $ \n \r \t \0 # ../;7、在设计CGI脚本时,其对输入数据的长度有严格限制;8、实现功能时制定安全合理的策略,CGI程序还应具有检查异常情况的功能,在检查出陌生数据后CGI应能及时处理这些情况。

三、如何保护FTP服务器

1、 禁止匿名登录。在Windows 2000中,最初安置的ftp服务默认允许匿名登陆,它是一种可以让没有用户帐户的人登陆你的ftp服务器的方法。允许匿名访问有时会导致被利用传送非法文件。

取消匿名登录,只允许被预定义的用户帐号登录, 配置被定义在FTP 主目录的ACLs [ 访问控制列表] 来进行访问控制,并使用NTFS 许可证。

2、设置访问日志。通过访问日志可以准确得到哪些IP 地址和用户访问的准确纪录。定期维护日志能估计站点访问量和找出安全威胁和漏洞。

3、强化访问控制列表。采用NTFS 访问许可,运用ACL[访问控制列表] 控制对您的FTP 目录的的访问。

4、 设置站点为不可视。如您只需要用户传送文件到服务器而不是从服务器下载文件,可以考虑配置站点为不可视。 这意味着用户被允许从FTP 目录写入文件不能读取。 这样可以阻止未授权用户访问站点。要配置站点为不可视,应当在“站点”和“主目录”设置访问许可。

5、使用磁盘配额。 磁盘配额可能有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权。使用磁盘配额可以检查用户是否超出了使用空间,能有效地限制站点被攻破所带来的破坏。 并且,限制用户能拥有的磁盘空间,站点将不会成为那些寻找空间共享媒体文件的黑客的目标。

6、使用访问时间限制。Windows2000 访问时间限制是从nt4.0继承而来。 这个选项限制用户只能在指定的日期的时间内才能登陆访问站点。这可以限制在唯一被批准的时间才能访问服务器。 如果站点在企业环境中使用,可以限制只有在工作时间才能访问服务请。 下班以后就禁止登录以保障安全。

7、基于IP策略的访问控制。Windows2000的 FTP 可以限制具体IP 地址的访问。限制只能由特定的个体才能访问站点,可以减少未批准者登录访问的危险。

8、审计登陆事件。审计帐户登录事件,能在安全日志察看器里查看企图登陆站点的(成功/失败)事件,以警觉一名恶意用户设法入侵的可疑活动。 它也作为历史记录用于站点入侵检测。

9、使用安全密码策略。复杂的密码是采用终端用户认证的安全方式。这是巩固站点安全的一个关键部分,FTP 用户帐号选择密码时必须遵守以下规则:不包含用户帐号名字的全部或部份;必须是至少6 个字符长;包含英文大、小写字符、数字和特殊字符等多个类别。

10、限制登录次数。 Windows2000 安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。

四、邮件服务器易受哪些攻击,如何保护邮件服务器

目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络流量激增,同时将可能被网上的很多邮件服务器所拒绝;另一类攻击称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。

防止邮件服务器被攻击的方法有三种:一种是升级高版本的服务器软件,利用软件自身的安全功能限制垃圾邮件的大量转发或订阅反垃圾邮件服务;第二种就是采用第三方软件利用诸如动态中继验证控制功能来实现,从而确保接受邮件的正确性;第三种是配置病毒网关、病毒过滤等功能,从网络的入口开始,阻止来自互联网的邮件病毒入侵,同时还要防止它们在进出公司内部网络时的传播。

五、DNS服务器易受哪些攻击,如何保护DNS服务器

由于DNS服务使用UDP协议,因此对于攻击者而言,更容易把攻击焦点集中在DNS服务上。DNS服务面临的威胁包括:

缓存区中毒:这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息,一旦成功,攻击者便可使辅DNS服务器提供错误的名称到IP地址的解析信息;如果使用DNS缓存伪造信息的话,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点上;

拒绝服务:对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行;

域劫持:通过利用客户升级自己的域注册信息所使用的不安全机制,攻击者可以接管域注册过程来控制合法的域;

泄漏网络拓朴结构:设置不当的DNS将泄漏过多的网络拓朴结构:如果你的DNS服务器允许对任何人都进行区域传输的话,那么你的整个网络架构中的主机名、主机IP列表、路由器名、路由器IP列表,甚至包括你的机器所在的位置等信息都会不知不觉的泄露出去。

为了保护DNS服务器不受攻击,首先应当保护DNS服务器所存储的信息,而且此信息应当由创建和设计者才能修改。部分注册信息的登录方式仍然采用一些比较过时的方法,如采用电子邮件的方式就可以升级DNS注册信息,这些过时的方法需要添加安全措施,例如采用加密的口令,或者采用安全的浏览器平台工具来提供管理域代码记录的方式;其次是正确配置区域传输,即只允许相互信任的DNS服务器之间才允许传输解析数据;还要应用防火墙配合使用,使得DNS服务器位于防火墙的保护之内,只开放相应的服务端口和协议;还有一点需要注意的是使用那些较新的DNS软件,因为他们中有些可以支持控制访问方式记录DNS信息,因此域名解析服务器只对那些合法的请求作出响应。内部的请求可以不受限制的访问区域信息,外部的请求仅能访问那些公开的信息;最后系统管理员也可以采用分离DNS的方式,内部的系统与外部系统分别访问不同的DNS系统,外部的计算机仅能访问公共的记录。

六、路由器面临有哪些威胁,如何保护路由器的安全

路由器作为互联网上重要的地址信息路由设备,直接暴露于网络之中。攻击路由器会浪费CPU周期,误导信息流量,使网络陷于瘫痪。路由器面临的威胁有:

将路由器作为攻击平台:入侵者利用不安全的路由器作为生成对其他站点扫描或侦察的平台;

拒绝服务:尽管路由器在设计上可以传送大量的数据流,但是它同样不能处理传送给大于它传输能力的流量。入侵者利用这种特性攻击连接到网络上的路由器,而不是直接攻击网络上的系统,从而造成对路由器的拒绝服务攻击;

明文传输配置信息:许多网络管理员未关闭或加密Telnet会话,因此若明文传输的口令被截取,黑客就可以任意配置路由器。

好的路由器本身会采取一个好的安全机制来保护自己,但是仅此一点是远远不够的。保护 路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施:

限制系统物理访问:限制系统物理访问是确保路由器安全的最有效方法之一,即将控制台和终端会话配置成在较短闲置时间后自动退出系统;避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。因为漏洞常常是在供应商发行补丁之前被披露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。

加强口令安全:黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的网管员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,实施合理的验证控制以便路由器安全地传输数据。

应用身份验证功能:在大多数路由器上,用户可以配置一些加密和认证协议,如远程验证拨入用户服务。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器,验证服务器还可以要求用户使用双因素验证,以此加强验证系统。

禁用不必要服务:拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要本地服务的重要性,如禁止CDP服务;需要注意的是,禁用路由器上的CDP可能会影响路由器的性能。定时对有效操作网络是必不可少的,即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。由此,用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步;不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。另外,在路由器上,对于SNMP、DHCP以及WEB管理服务等,只有绝对必要的时候才可使用这些服务。

限制逻辑访问:限制逻辑访问主要是借助于合理处置访问控制列表,限制远程终端会话有助于防止黑客获得系统逻辑访问。其中SSH是优先的逻辑访问方法,还可以使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

有限使用ICMP消息类型:控制消息协议(ICMP)有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。因此,为了防止黑客搜集上述信息,只允许以下类型的ICMP流量进入用户网络:主机无法到达的、端口无法到达的、源抑制的以及超出生存时间(TTL)的。此外,还应禁止ICMP流量以外的所有流量,以防止拒绝服务攻击。

控制流量有限进入网络:为了避免路由器成为DoS攻击目标,用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击,但用户可以限制DoS的危害;另外,用户还可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN的攻击。

安全使用SNMP/TELNET:如果用户使用SNMP,那么一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的SNMP V3。如果不通过SNMP管理对设备进行远程配置,用户最好将SNMP设备配置成只读;拒绝对这些设备进行写操作,用户就能防止黑客改动或关闭接口。为进一步确保安全管理,用户可以使用SSH等加密机制,利用SSH与路由器建立加密的远程会话;为了加强保护,用户还应该限制SSH会话协商,只允许会话用于同用户经常使用的几个可信系统进行通信。

七、防范缓冲区溢出攻击

缓冲区溢出(又称堆栈溢出)攻击是最常用的黑客技术之一。这种攻击之所以泛滥,是由于开放源代码程序的本质决定的。Unix本身以及其上的许多应用程序都是用C语言编写的,而C语言不检查缓冲区的边界。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区,这就称作”缓冲区溢出”。 一般情况下,覆盖其他数据区的数据是没有意义的,最多造成应用程序错误;但是,如果输入的数据是经过“黑客”精心设计的,覆盖缓冲区的数据恰恰是黑客的入侵程序代码,黑客就获取了程序的控制权。尽管这项攻击的技术要求非常高,而一旦执行这项攻击的程序被设计出来却是非常简单的。

由于缓冲区溢出是一个编程问题,所以他们只能通过修复被破坏的程序代码来解决问题。从“缓冲区溢出攻击”的原理可以看出,要防止此类攻击,我们可以在开放程序时仔细检查溢出情况,不允许数据溢出缓冲区。经常检查操作系统和应用程序提供商的站点,一旦发现补丁程序就马上下载是最好的方法。八、防范IP欺骗攻击

IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。 攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。

虽然IP欺骗攻击有着相当难度,但我们应该清醒地意识到,这种攻击非常广泛,入侵往往由这里开始。预防这种攻击还是比较容易的,比如删除UNIX中所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文。

九、防范Syn Flood攻击

SYN Food攻击是利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。此时,服务器已经无法再提供正常的服务了,所以SYN Food攻击是拒绝服务攻击。

对于SYN Flood攻击,目前尚没有很好的监测和防御方法,不过如果系统管理员熟悉攻击方法和系统架构,通过一系列的设定,也能从一定程度上降低被攻击系统的负荷,减轻负面的影响。

对于WindowsNT/2000而言,它的SYN攻击保护机制可以这样考虑:正常情况下,OS对TCP连接的一些重要参数有一个常规的设置:SYN Timeout时间、SYN-ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。这个常规设置针对系统优化,可以给用户提供方便快捷的服务;一旦服务器受到攻击,SYN Half link 的数量超过系统中TCP活动 Half Connction最大连接数的设置,系统将会认为自己受到了SYN Flood攻击,并将根据攻击的判断情况作出反应:减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等等措施,力图将攻击危害减到最低。如果攻击继续,超过了系统允许的最大Half Connection 值,系统已经不能提供正常的服务了,为了保证系统不崩溃,可以将任何超出最大Half Connection 值范围的SYN报文随机丢弃,保证系统的稳定性。

十、防范Smurf攻击

Smurf攻击是利用Ping程序中使用的ICMP协议。攻击者首先制造出源地址是受攻击主机的IP地址的包;然后攻击者将这些包发送给不知情的第三方,使它们成为帮凶;如果攻击者发送足够的ICMP包,回应会超过受攻主机的承受能力;因此,Smurf攻击实际上是一种IP欺骗式的攻击,将导致拒绝服务攻击的结果。

十一、防范Fraggle攻击

Fraggle攻击与Smurf攻击类似,只是利用UDP协议;虽然标准的端口是7,但是大多数使用Fraggle攻击的程序允许你指定其它的端口。

最好的防止系统受到Smurf和Fraggle攻击的方法是在防火墙上过滤掉ICMP报文,或者在服务器上禁止Ping,并且只在必要时才打开ping服务。

十二、防范Ping of Death攻击

这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢出。

防止系统受到Ping of Death攻击的方法与防范Smurf和Fraggle攻击是相同得,可以在防火墙上过滤掉ICMP报文,或者在服务器上禁止Ping,并且只在必要时才打开ping服务。

十三、防范Tear Drop攻击

Teardrop类的攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。

对付这种类型得攻击最好的方法就是要及时为操作系统打补丁了,但是Teardrop攻击仍然会耗费处理器的资源和主机带宽。

十四、防范拒绝服务攻击

尽管目前没有哪个网络可以免受拒绝服务(DoS)攻击,但如果采取以下几项措施,能起到一定的预防作用。

1. 确保所有服务器采用最新系统,并打上安全补丁。根据计算机紧急响应协调中心的发现,几乎每个受到DoS攻击的系统都没有及时打上补丁。

2. 确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?否则,即使黑客侵犯了系统,也很难查明。

3. 确保从服务器相应的目录或文件数据库中删除未使用的服务,如FTP或NFS。

4. 禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,立刻就能访问极为机密的数据。

5. 禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,使用加密的访问程序(如SSH)取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,若没有必要使用Rlogin登录,则最好在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问。

6. 限制在防火墙外的网络文件共享。否则的话会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。

7. 确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、安全服务器区(SSN)及内部网部分。

8. 应用防火墙系统,在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。

9. 检查所有网络设备、主机和服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。

                 第六部分:Windows操作系统安全

一、设置安全强壮密码的原则

操作系统的密码(口令)十分重要,它是抵抗攻击的第一道防线,我们必须把密码安全作为安全策略的第一步。如果攻击者未能窃取到系统密码,那么他就不能很好地和系统进行交互信息,对系统所能采取的入侵的方法也就不多了。因此,必须设置安全强壮的密码。所有安全强壮的密码至少要有下列四方面内容的三种:

・ 大写字母

・ 小写字母

・ 数字

・ 非字母数字的字符,如标点符号等

安全的密码还要符合下列的规则

・ 不使用普通的名字或昵称

・ 不使用普通的个人信息,如生日日期

・ 密码里不含有重复的字母或数字

・ 至少使用八个字符   另外,应该还要求用户42天必须修改一次密码。

以下举例说明强壮密码的重要性:假设密码设置为6位(包括任意五个字母和一位数字或符号),则其可能性将近有163亿种。不过这只是是理论估算,实际上密码比这有规律得多。例如,英文常用词条约5000条,从5000个词中任取一个字母与一个字符合成口令,仅有688万种可能性,在一台赛扬600(CPU主频)的计算机上每秒可运算10万次,则破解时间仅需1分钟!即使采用穷举方法,也只需9个小时;因此6位密码十分不可靠。而对于8位密码(包括七个字母和一位数字或符号)来说,若完全破解,则需要将近三年的时间。因此,密码不要用全部数字,不要用自己的中英文名,不要用字典上的词,一定要数字和字母交替夹杂,并最好加入@#$%!&*?之类的字符。

二、如何强制使用安全强壮的密码

WindowsNT/2000系统在默认配置下允许任何字符或字符串作为密码,包括空格,这是相当不安全的,下面我们通过修改注册表使得用户设定的密码中必须同时包含字母和数字,从而增强系统的安全性。具体设置如下:

首先在“开始”“运行”菜单中输入regedit.exe程序,如下图:

然后进入主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

新建Network子键(项),

在右侧窗口中新建(右键选择“新建”)一个名为AlphanumPwds的双字节(操作系统的不同,出来的菜单可能有不同,Dword同样表示双字节)值,(右键选择”新建”)

数值为1即可。

(注:后面将会有大量操作注册表的描述,过程如上图大致类似,就不再采用图示。)注册表各项解释如下:名称: 指某个值的标示名,比如上图的AlphanumPwds 。

类型: 指该名称的数据类型,共有三种:REG_SZ 字符串型,它的数据可以是字符串;REG_BINARY 二进制数据类型,它的数据就只能是0和1的组合; REG_DWORD 是双字节数据类型,它的数据可以是十六进制数据。

数据: 表示该值的内容。

我们还可以在密码策略中进行相关的设置。

在”控制面板” “管理工具” “本地安全策略” “帐户策略”中的”密码策略”, 双击想要更改的项目,比如修改密码长度最小值: 点确定就可以了。按照上面的步骤作如下设置: 密码复杂性要求 启用 密码长度最小值 8位 强制密码历史 5次强制密码历史 42天

注:后两项会因操作系统的不同,设置名称等会不尽相同,但意义都一样。

最后,请重新启动计算机生效。

三、如何设置安全的帐号策略

对于Windows NT系统而言,帐号策略的设置是通过域用户管理器来实施的,从用户管理器的菜单中选择用户权限,可以设置密码使用时间,长度以及连续登录失败后的锁定机制等。具体方法是:

在上面的本地安全策略编辑器里,打开”帐户策略”,配置如下图所示:

四、系统文件权限的分类

当要给文件设置权限的时候,要首先保证该分区格式为NTFS(Windows NT的文件系统),当然你也可以使用文件分配表(FAT)格式,但是FAT文件系统没有对文件的访问权限加以任何限制,FAT只在那些相对来讲对安全要求较低的情况下使用。在NTFS文件系统中,可以使用权限对单个文件进行保护,并且可以把该权限应用到本地访问和网络访问中。在NTFS文件系统上,可以对文件设置文件权限,对目录设置目录权限,用于指定可以访问的组和用户以及允许的访问等级时。

如果实施了NTFS的文件系统格式,可通过系统的资源管理器直接来管理文件的安全,设置目录或文件的权限。以regedit.exe文件为例,右键选择“属性”,

在“安全”标签里面选择不同组的名称,就可以更改配置他们对该文件的操作权限。

基于文件级的权限可以分配下面几种:读取(用户可以读取该文件的内容),写入(用户可以写入数据到该文件中),读取及执行(用户可以执行该程序),修改(用户可以修改该文件内容,包括删除),完全控制(以上所有权限都有)。因此,适当地为不同权限的帐号分配相应的访问权限(在”允许”,”拒绝”栏分别打勾,如下图)对于文件系统的安全是致关重要的。



五、如何保护注册表的安全

Windows NT/2000中的注册表(Registry)是一系列的数据库文件,主要存储在 系统安装目录\ System32\Config下,有些注册表文件建立和存储在内存中,这些文件的备份也存储在 系统安装目录\Repair下。由于所有配置和控制系统数据最终都存在于注册表中,而且Registry的缺省权限设置是对“所有人”“完全控制”(FullControl)和“创建”(Create),这种设置可能会被恶意用户删除或者替换掉注册表(Registry)文件。所以,如果注册表权限没有设置好的话,整个 Windows NT/2000的系统就不安全,因此我们必须控制注册表的访问权。

对于注册表(Registry),建议应严格限制只能在本地进行注册,不能被远程访问,限制对注册表(Registry)编辑工具的访问。具体可以利用文件管理器设置只允许网络管理员使用注册表编辑工具regedit.exe或regedt32.exe,其他任何用户不得使用;还可使用第三方工具软件,比如Enterprise Administrator (Mission Critical Software)来锁住注册表(Registry)。或者把对注册表缺省的所有用户都能“完全控制”的权利改成只能“读取”. 在“开始”“运行”里面输入regedt32如下图: 假设我们将HKEY_CURRENT_USER支更改成一般用户只能读,在菜单中选择“安全”“权限” 如下图: 选择组用户users(在win2000系统中默认uers是一般用户,如果在上面列表中没有定义users组权限,可以选择”添加”按纽,将该组进行权限设置) 同时,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 这个键应该只允许Administrators组成员访问。修改方法参照上图。为了能识别用户,防止匿名登陆,应该在HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一个DWORD(双字节)类型的RestrictAnonymous项,并设置其值为1(具体操作请参考上面的图示)。

实际上,如果把用户操作注册表的这种权利设置成“只读”,将会给一些应用软件带来许多潜在的功能性问题,比如Dlexpert(下载专家,一个下载软件),在下载的时候会将当前下载地址等信息写入到注册表里面,如果在设置了注册表权限的机器上运行该程序,会出现下载地址无法保存的现象,解决办法就是使用regedt32软件将用户权限更改回去,在这里,我们建议在重要服务器上不要安装和运行其他非系统的软件。

六、消除默认安装目录风险

Windows NT/2000默认安装路径是在 系统主分区的\WINNT目录下,在安装时可以修改它的安装路径,如C:\WINNT可以改为C:\WINDOW或D:\WINNT等;改变默认安装目录对合法用户不会造成任何影响,但对于那些企图通过类似WEB服务器的漏洞或者缺陷来远程访问文件的攻击者来说就大大地增加了难度。

七、取消默认系统帐号风险

对于在Windows NT/2000默认系统帐号,如administrator,guest等都必须改名,对于其它一些帐号,比如IUSR_机器名是在安装IIS后产生的,对其也必须改名。因为改变Administrator帐户的名字,可以防止黑客对缺省命名的帐户进行攻击,这个措施可以解决一系列的安全漏洞,一旦帐号被他人窃取或攻破,整个网络系统便无任何安全性可言了。

所以应为系统管理员和备份操作员创建特殊帐户,系统管理员在进行特殊任务时必须用这个特殊帐户注册,然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者PowerUser组的权限,对于Guest帐户,默认是无口令的,所以最好能停止使用Guest帐户。

注:停用Guest帐户,可能会给win9x用户通过网上邻居访问服务器带来“无权限访问”的错误。解决方法是在服务器中添加win9x机器上的用户名或者启用guest帐号。

八、删除默认共享风险

Windows NT/2000出于管理的目的自动地建立了一些默认共享,包括C$,D$磁盘共享以及ADMIN$目录共享等。尽管它们仅仅是针对管理而配置的,但仍成为一个没必要的风险,成为攻击者的目标。

我们打开注册表(见第二章第一节第二知识点图示,以下同)。 在主键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters目录下,创建一个叫AutoShareServer的键值,类型为DWORD(双字节)并且值为0,来禁止这些共享;再创建一个键值名为AutoShareWks的双字节值,修改键值为0。

最后,请重新启动计算机生效。

同样可以通过控制面板里面的管理工具来暂时取消共享。选择“计算机管理”程序,选择“共享文件夹”,在相应的共享文件夹上按右键,选择“停止”共享即可。不过在系统重新启动后,IPC$ 和printer$会再次共享。

九、如何加强系统打印驱动的安全

Windows NT/2000的打印机驱动是以完全控制权限运行在操作系统级别。缺省情况下,任何人都可以在Windows NT/2000中安装打印机驱动,这种默认权限使系统很易遭受木马攻击。攻击者可以建立假的打印机驱动而实际上进行了其它的活动,例如,开启后门等。因此,要严格限制用户拥有安装的权限,只允许管理员组和打印机操作员可以安装打印驱动,具体可以打开注册表,在主键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services中增加类型为DWORD(双字节)的AddPrintDrivers项,并设置其值为1。

最后,请重新启动计算机生效。

十、如何加强共享系统对象的安全

我们应该严格限制打印机、串口等共享对象,使其只能被管理员使用,由于这种限制可以影响许多程序,比如在一局域网中的服务器上的共享打印机,设置了权限控制后,一般用户就无法进行网络打印了。所以在应用这种限制时要考虑是否该服务器对外提供了这些服务。如果没有提供可以使用下面的方法来进行权限设置:请首先打开注册表。然后在主键HKEY_LOCAL_MACHINE\System\currentControlSet\Control\Session Manager中增加(或者修改)一个类型为DWORD(双字节)的名称为ProtectionMode的项,并将其值设成1。

最后,请重新启动计算机生效。

十一、如何手动查找并清除木马程序

第一种方法是查看系统注册表。先打开注册表。进入注册表后,可以通过查看以下主键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServersHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers下面是否有类似Netspy.exe,空格.exe等可疑文件名,并手动删除键值和相应的程序。

第二种方法使用一些第三方软件,比如The Cleaner,它可以在 HYPERLINK "http://antivirus.pchome.net/cleaner/7066.html" http://antivirus.pchome.net/cleaner/7066.html 下载到。

十二、加强对域和帐号数据库的管理

所谓“域”是指网络服务器和其他计算机的逻辑分组,凡是在共享域范围内的用户都使用公共的安全机制和用户帐号信息。每个用户有一个帐号,每次登录的是整个域,而不是某一个服务器。即使在物理上相隔较远,但在逻辑上可以在一个域上,这样便于管理。在网络环境下,使用域的管理就显得更为有效;在使用”域”的划分时,我们应该注意到“域”是建立在一个子网范围内,其根本基础是相互之间的信任度很高。

这里我们应该注意到在Windows NT/2000中,关于域的所用安全机制信息或用户帐号信息都存放在帐号数据库中(称为安全帐号管理器(SAM)数据库)。安全帐号管理器(SAM)数据库在磁盘上的具体位置就保存在系统安装目录下的system32\config\中的SAM文件,在这个目录下还包括一个SECURITY文件,也是安全数据库的内容。安全帐号管理器(SAM)数据库中包含所有组、帐户的信息,包括密码HASH结果、帐户的SID等。所以在对Windows NT/2000进行维护时应该特别小心安全帐号管理器(SAM)数据库的完整性,严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪,尤其是Administrator帐户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改都要进行审计,切记要改变缺省权限设置来预防这个漏洞,一般来讲只有管理员才允许具有对以上两个文件的编辑权限。下面的过程演示了怎么样启用SAM访问审核。首先启动一个cmd命令窗口,在“开始”“运行”输入: 会出来一个黑底的命令窗口。 以下命令均是在该窗口中进行操作1. 确认启动schedule,如未启动,使用以下命令启动该服务net start schedule 2.使用At 命令添加任务:at <时间> /interactive “regedt32.exe” 比如当前时间16:49,那么我们可以设置程序在16:51分启动:at 14:51 /interactive “regedt32.exe”3. 那么到14:51分,Regedt32.exe会以系统帐号启动。4. 选择 HKEY_LOCAL_MACHINE 窗口;5. 选择 SAM 并从“安全“菜单选择“权限“,如下图; 再选择”高级”出来窗口如图示: 6. 单击“添加“,然后“显示用户“;7. 添加如下帐号:2. SYSTEM3. Domain Admins4. Administrator5. Backup Operators 随着操作系统版本不一样,可能用户组名、帐号服务器上并不存在。其他拥有以下权限的帐号:6. Take ownership of files or other objects(取得文件或其他对象的所有权)7. Back up files and directories(备份文件和目录)8. Manage auditing and security log(管理审核和安全日志)9. Restore files and directories(还原文件和目录)10. Add workstations to domain(域中添加工作站)11. Replace a process level token(替换进程级记号)单击“确定“;12. 为下面设置“成功“和“失败“的审核:13. Query Value(查询数值)14. Set Value(设置数值)15. Write DAC(写入DAC)16. Read Control(读取控制) 17. 单击”确定“。单击“是“。18. 停止schedule服务,在”开始” “运行”里输入:net stop schedule十三、修改共享目录默认控制权限对于Windows NT/2000系统来说,默认情况下当新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。相关编辑界面见下图所示:

十四、禁止不必要的服务Windows NT/2000系统中有许多用不着的服务自动处于激活状态,它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器.为了系统的安全,应把该关的功能服务及时关闭,从而大大减少安全风险。具体操作可以在“控制面板”的“管理工具”里面“服务”菜单中,选取不必要的服务进行禁止,见下图:

相关需要禁止的服务如下:Alerter:通知所选用户和计算机有关系统管理级警报。Application Management:提供软件安装服务,诸如分派,发行以及删除。ClipBook:支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。COM+ Event System:提供事件的自动发布到订阅 COM 组件。Computer Browser:维护网络上计算机的最新列表以及提供这个列表给请求的程序。Distributed Link Tracking Client:当文件在网络域的 NTFS 卷中移动时发送通知。Distributed Transaction Coordinator:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。Fax Service:帮助您发送和接收传真。FTP publishing service: 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。Indexing Service:本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。Messenger:发送和接收系统管理员或者”警报器”服务传递的消息。Net Logon:支持网络上计算机 pass-through 帐户登录身份验证事件。”Network DDE : 提供动态数据交换 (DDE) 的网络传输和安全特性。Network DDE DSDM : 管理网络 DDE 的共享动态数据交换Network Monitor : 网络监视器NetMeeting Remote Desktop Sharing:允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。Plug and Play (在配置好所有硬件后应该禁止掉): 管理设备安装以及配置,并且通知程序关于设备更改的情况。Remote Procedure Call (RPC): 提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。Remote Registry Service:允许远程注册表操作。Removable Storage:管理可移动媒体、驱动程序和库。Routing and Remote Access:在局域网以及广域网环境中为企业提供路由服务。RunAs Service:在不同凭据下启用启动过程。Server: 提供 RPC 支持、文件、打印以及命名管道共享。Smart Card:对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。Smart Card Helper:提供对连接到计算机上旧式智能卡的支持。Task Schedule: 允许程序在指定时间运行。TCP/IP Netbios Helper:允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。Telephone Service:供 TAPI 的支持,以便程序控制本地计算机,服务器以及 LAN 上的电话设备和基于 IP 的语音连接。Windows Management Instrumentation:提供系统管理信息。必要时需禁止的服务如下:SNMP service:简单网络管理协议SNMP trap:简单网络协议陷阱跟踪UPS:USP电源管理。十五、如何防范NetBIOS漏洞攻击NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),系统可以利用WINS(管理计算机netbios名和IP影射关系)服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在局域网内部使用NetBIOS协议可以非常方便地实现消息通信,但是如果在互联网上,NetBIOS就相当于一个后门程序,很多攻击者都是通过NetBIOS漏洞发起攻击。对于Windows NT系统,可以取消NetBIOS与TCP/IP协议的绑定,具体方法是:首先打开“控制面板”,然后双击“网络”图标,并在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”,最后重新启动计算机即可。对于Windows2000系统而言,它没有限制TCP/IP绑定在NetBIOS上,我们可以通过以下方式来设置:首先选择“开始”→“设置”→“控制面板”→“网络和拨号连接”→“本地连接”菜单中,双击“Internet协议(TCP/IP)”,界面见下图:

接着在打开的对话框中单击“高级”按钮,并选择“选项”菜单,如下图:

随后点击“属性”按钮,将弹出“TCP/IP筛选”对话框,选择“启用TCP/IP筛选”,见下图:

最后在以上“TCP端口”对话框中添加除了139之外要用到的服务端口即可。十六、如何解决SNMP缓冲区溢出漏洞SNMP(Simple Network Management Protocol,简单网络管理协议)是所有基于TCP/IP网络上管理不同网络设备的基本协议,比如防火墙、计算机和路由器。所有的Windows系统(除了Windows ME)都提供了SNMP功能,但是在所有版本的系统中都不是默认安装和执行的。 现在已经发现,如果攻击者发送怀有恶意信息给SNMP的信息接收处理模块,就会引起服务停止(拒绝服务)或缓冲器溢出;或者说通过向运行SNMP服务的系统发送一个畸形的管理请求,此时就存在一个缓冲区溢出漏洞,或者造成拒绝服务影响。一旦缓冲区溢出,可以在本地运行任意的代码,可以让攻击者进行任意的操作。因为SNMP的程序一般需要系统权限来运行,因此缓冲器溢出攻击可能会造成系统权限被夺取,而形成严重的安全漏洞。具体解决方法如下:由于许多基于Windows安全设备和程序都是使用SNMP服务进行管理的,所以我们建议如果不需要使用SNMP服务就应该停止它。如果要防止从外界进行的攻击破坏,请在防火墙或者路由器上设置禁止从外界进行SNMP(UDP161和UDP162端口)操作。 另外,微软已经为此发布了一个安全公告(MS02-006)以及相应补丁程序: http://www.microsoft.com/technet/security/bulletin/MS02-006.asp ,请用户及时下载安装补丁程序。

十七、如何加固IIS服务器的安全

  Windows系统近几年的攻击都偏重在IIS上,曾在2001到2002年大肆流行的Nimda,CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播的。由于NT/2000系统上使用IIS作为WWW服务程序居多,再加上IIS的脆弱性以及与操作系统相关性,整个NT/2000系统的安全性也受到了很大的影响。通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经安全配置的机器来说是轻而易举的事情,所以,配置和管理好你的IIS在整个系统配置里面显得举足轻重了。


2007/1/17 3:07
应用扩展 工具箱


回复: 《信息网络安全保护工作知识手册》
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
注册会员
帖子: 56
等级: 6; EXP: 34
HP : 0 / 133
MP : 18 / 19040
离线
十七、如何加固IIS服务器的安全

  Windows系统近几年的攻击都偏重在IIS上,曾在2001到2002年大肆流行的Nimda,CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播的。由于NT/2000系统上使用IIS作为WWW服务程序居多,再加上IIS的脆弱性以及与操作系统相关性,整个NT/2000系统的安全性也受到了很大的影响。通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经安全配置的机器来说是轻而易举的事情,所以,配置和管理好你的IIS在整个系统配置里面显得举足轻重了。

  IIS的配置可以分为以下几方面: (以下操作均是使用Internet服务管理器操作,你可以在控制面板的管理工具里面找到该快捷方式,运行界面如下:)

  a)删除目录映射。

  默认安装的IIS默认的根目录是C:\inetpub,我们建议你更改到其他分区的目录里面,比如:D:\inetpub目录。

  默认在IIS里面有Scripts,IISAdmin,IISSamples,MSADC,IISHelp,Printers这些目录映射,建议你完全删除掉安装IIS默认映射的目录,包括在服务器上真实的路径(%systemroot%是一个环境变量,在具体每台服务器上可能不一样,默认值由安装时候选择目录决定):

  Scripts对应c:\inetpub\scripts目录

  IISAdmin对应%systemroot%\System32\inetsrv\iisadmin目录

  IISSamples对应c:\inetpub\iissamples目录。

  MSADC对应c:\program files\common files\system\msadc目录。

  IISHelp对应%systemroot%\help\iishelp目录。

  Printers对应%systemroot%web\printers目录。

  还有一些IIS管理员页面目录:

  IISADMPWD 对应%systemroot%\system32\inetsrv\iisadmpwd目录

  IISADMIN 对应 %systemroot%\system32\inetsrv\iisadmin目录

  b)删除可执行文件扩展名(应用程序)映射。

  在应用程序配置里面 (上图“配置按钮”),默认有以下程序映射:

  如果不使用SSI(server side include, 服务器端嵌入脚本),建议删除“.shtm” “.stm” 和 “.shtml”这些映射.像:“.cer” “.cdx” “htr” “idc” “printer”等,如无特别需要,建议只保留“.asp”和“.asa”的映射。

  c)Frontpage扩展服务

  从控制面板里面打开“添加或删除程序”选择“添加/删除windows组件”,

  选择“Internet信息服务(IIS)”,点“详细信息”,请确认FrontPage 2000服务器扩展没有被勾上。如果有,则取消掉,点确定就可以了。

  提示: 微软公司提供了一个叫iislockd的程序,它可以用来帮助你更安全的配置IIS。除了上面的Frontpage扩展没有提供外,其他两点均能很好的支持。

  下载地址:download.microsoft.com/download/iis50/Utility/2.1/

  NT45XP/EN-US/iislockd.exe

  十八、如何安全配置MSSQL数据库

  微软的SQL Server是一种广泛使用的数据库,很多单位、企业内部信息化平台等都是基于SQL Server上的,但是数据库的安全性还没有被人们意识到。多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果,而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。

  这里,我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。 在进行SQL Server 2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似 , ‘ ; @ / 等字符,防止破坏者构造恶意的SQL语句。接着,安装SQL Server2000后请打上补丁sp1以及最新的sp2。下载地址是:

  www.microsoft.com/sql/downloads/2000/sp1.asp

  www.microsoft.com/sql/downloads/2000/sp2.asp

  在做完上面三步基础之后,我们再来讨论SQL Server的安全配置。

  在此之前我想对如何使用SQL语句操作作一个简单的图示。

  执行SQL语句有两种方式,一种是基于文本工具isql,类似dos操作界面的方法,另外一种就是使用SQL查询器来查询,它是一个可视化的界面。

  SQL查询器可以在“开始”“程序”“Microsoft SQL Server” 找到它的快捷方式,程序具体位置是

  C:\Program Files\Microsoft SQL Server\80\Tools\Binn\isqlw.exe

  这里简单介绍一下使用isql查询方式(基于命令行的)

  找到isql程序,它在C:\Program Files\Microsoft SQL Server\80\Tools\Binn目录下面(版本的不同或者安装路径不同可能在其他目录中)。

  开启一个cmd命令窗口,

  输入:cd “Program Files\Microsoft SQL Server\80\Tools\Binn”

  接着输入:isql -S 服务器IP -U sa -P sa用户的密码

  系统会出来一个前面是标示命令行数的数值,后面跟一个>符号表示需要用户在后面输入SQL 语句命令,如上图 1> use master 表示第一行,use master是用户的输入。最后一行go表示开始处理SQL语句命令,如无特别说明,以下命令均是在该终端下执行的。详细SQL命令请参考其他有关手册。

  1、使用安全的密码策略

  我们把密码策略摆在所有安全配置的第一步,对于sa用户应该注意此帐号的密码设置,尽量避免不要让sa帐号的密码写于应用程序或者脚本中。默认安装sa用户密码为空,应在安装后尽快修改它,并且养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号

  比如使用下面的SQL语句:

  Use master

  Select name from syslogins where password is null

  给用户密码修改命令的语句是:

  sp_password ‘原密码’,‘新密码’,‘用户帐号名’。

  比如:

  该命令就是把用户名为“netconf”的密码由原来的“netconf”改成“netconf1”。

  2、使用安全的帐号策略。

  由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,首先要选择一个非常强壮的密码。 其次,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server时才使用 sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。

  SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话,可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话,就没有办法来恢复了。

  很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配帐号,并赋予仅仅能够满足应用要求和需要的权限。比如,只要查询功能的,那么就使用一个简单的public帐号能够select就可以了。

  3、管理扩展存储过程。

  对存储过程进行大手术,并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。

  如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句:

  use master

  EXEC sp_dropextendedproc 'xp_cmdshell'

  xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。如果你需要这个存储过程,请用这个语句也可以恢复过来。

  EXEC sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

  如果你不需要请丢弃OLE(对象链接与嵌套,Object Linking and Embedding)自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下:

  EXEC Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

  Sp_OAMethod Sp_OASetProperty Sp_OAStop

  去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:

  Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

  Xp_regread Xp_regremovemultistring Xp_regwrite

  还有一些其他的扩展存储过程,你也最好检查检查。

  在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。

  7、对网络连接进行IP限制

  SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。

  十九、如何使用IPSec来控制端口访问

  在windows 2000中提供了一种叫IPsec的安全工具,它能通过自定义规则来允许或者拒绝其他用户通过TCP/IP协议来访问服务器某个端口。

  在网络属性里面,选择网卡的“本地连接”“tcp/ip属性”选择“高级”,

  选择属性,勾选“启用TCP/IP筛选(所有示配器)”

  这样,其他用户通过这块网卡就只能访问到服务器的21,80,1433端口了。

  二十、系统日志放在何处

  Windows NT/2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。当非法用户探测系统信息的时候,就会在安全日志里迅速地记下机器被探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等,由此可见日志审计的重要性。以下即是对各种服务日志文件的默认位置和文件内容描述:

  ?关于日志文件默认位置:

  应用程序日志、安全日志、系统日志、DNS等服务日志的默认位置在系统安装目录下的system32\config下。

  ?关于日志文件保存目录详细描述:

  安全日志文件:系统安装目录\system32\config\SecEvent.EVT

  系统日志文件:系统安装目录\system32\config\SysEvent.EVT

  应用程序日志文件:系统安装目录\system32\config\AppEvent.EVT

  FTP日志默认位置:系统安装目录\system32\logfiles\msftpsvc1\日志文件

  WWW日志默认位置:系统安装目录\system32\logfiles\w3svc1\日志文件

  定时(Scheduler)服务日志默认位置:系统安装目录\schedlgu.txt

  安全日志文件,系统日志文件,应用程序日志文件,这三个日志记录都是有系统的一个称为: Event Log服务生成的,Event Log 的作用是记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息。停止和启动该服务就可以停止或者开始记录上述三个日志文件。

  FTP日志和WWW日志均是在Internet信息服务里面配置和控制。

  在控制面板,管理工具里面打开Internet信息服务,如下图:

  其中“dumplogin”是机器名,分别右键“默认FTP站点”“默认Web站点”,选择“属性”,以FTP的为例:

  勾选“启用日志记录”就可以记录FTP站点的信息了,日志文件格式建议选择“W3C扩充日志文件格式”。

  选择“属性”,

  “新日志时间间隔”意思是每隔多长时间系统日志单独写成新的一个文件,比如:选择“每天”,那么每天在日志文件目录下就会多一个新的文件,该文件内容主要是记录当天的访问记录。

  还可以选择按大小来拆分,选择:“当文件大小达到”一定大小的时候,才会生成一个新的文件,系统默认是每天单独记录在一个文件里。

  在“扩充的属性”里面,允许用户选择记录哪些内容以及格式等。

  比如需要记录事件发生的日期,时间,以及客户IP地址,用户名等等,那么就勾选相应的栏目。最后点“应用”就可以记录了 。

  对于WWW服务来说,操作和FTP站点完全一样。

  二十一、如何保护日志文件

  既然系统日志文件能够记录所有的访问信息,为了防止他人修改系统的日志文件,隐藏自己的行踪,我们必须限制对日志文件的访问,禁止一般权限的用户去查看日志文件。具体方法是:

  我们可以利用文件系统对目录和文件级的权限保护(如前所述),来设置只有管理员才可以对以上提到的系统日志文件有操作权限。另外,我们还要小心保护好具有超级权限的密码和用户,因为黑客一旦知道了这些具有超级权限的帐号后,他们就可以修改日志文件来隐藏其踪迹了。

  我们建议管理员应该养成定时、定期备份日志的习惯。

  对于FTP,WWW日志,只要拷贝文件到其他目录就行了。 (注:当天的日志必须要停止掉相应的服务才能备份)。

  对于事件日志,需要打开事件查看器,然后再选择想要备份的日志:

  选择“另存日志文件”,在对话框中选择路径和文件名,然后“保存”即可。

  注:由于事件日志不是按日期来分开,所以当文件大小达到设置大小的时候可能会重写文件,所以应该经常注意文件是否到达定额。文件最大设置大小和到达设置大小会如何处理在后面会有详细介绍。

  二十二、如何进行系统日志审核

  审核是WindowsNT/2000中本地安全策略的一部分,它是一个维护系统安全性的工具,允许你跟踪用户的活动和WindowsNT/2000系统的活动,这些活动称为事件。

  根据监控审核结果,管理员就可以将计算机资源的非法使用消除或减到最小;通过审核,我们可以记录下列信息:哪些用户企图登录到系统中,或从系统中注销、登录或注销的日期和时间是否成功等;哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问;系统的安全选项进行了哪些更改;用户帐户进行了哪些更改,是否增加或删除了用户等等。通过查看这些信息,我们就能够及时发现系统存在的安全隐患,通过了解指定资源的使用情况来指定资源使用计划。具体配置过程如下(以Windows 2000为例):

  ?审核策略的设置

  为运行Windows 2000的计算机设置审核策略,需要运行管理工具中的本地安全策略工具进行设置。具体设置步骤如下:

  首先进入“控制面板”,打开“管理工具”程序组,选择“本地安全策略”;在“本地安全策略”窗口的控制台目录树中,单击“本地策略”;然后选择“审核策略”, 选中要审核的事件,在操作菜单中选择“安全性”(也可以右键),或是双击所选择的审核事件;在策略设置窗口中,选择 “成功”复选框或“失败”复选框,或是将二者全部选中见下图所示:

  审核策略设置完成后,需要重新启动计算机才能生效。

  ?对文件和文件夹访问的审核

  对文件和文件夹访问的审核,首先要求审核的对象必须位于NTFS分区之上,其次必须为对象访问事件设置审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。设置的步骤如下:

  在“审核”页面上,点击“添加”按钮,选择想对文件或文件夹访问进行审核的用户,单击“确定”; 在“审核项目”对话框中,为想要审核的事件选择“成功”或是“失败”复选框,选择完成后确定,见下图:

  以C:\WINNT目录为例,右键该目录,选择属性,选择“安全”标签,

  再选择高级,

  添加所要设置的用户名或者用户组,

  确定后,就会出来如下所示:

  默认情况下,对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹,请清空 “允许将来自父系的可继承审核项目传播给该对象” 复选框即可,相关界面见下图所示:

  ?对打印机访问的审核

  对打印机访问进行审核,要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核,并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下:首先选取打印机的属性窗口,选择“安全”页面,点击“高级”按钮;然后在“审核”页面,点击“添加”按钮,选择想对打印机访问进行审核的用户或组(过程和上图基本类似);最后还要在“项目审核”窗口中,在“应用到”下拉列表中选择审核应用的目标,在“访问”列表中为审核的事件选择“成功”或“失败”检查框。设置完成后,请点击“确定”。相关界面见下图:

  二十三、系统日志审核的查看和维护

  在WindowsNT/2000中设置了审核策略和审核事件后,审核所产生的结果都被记录到安全日志中,安全日志记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。操作过程如下(以Windows2000为例):

  安全日志文件、系统日志文件、应用程序日志文件均可以通过“事件察看器”来查看。打开“控制面板”里“管理工具”“事件查看器”:

  左边分别是“应用程序日志”,“安全日志”,“系统日志”三部分,分别选择想要查询的日志,在右边就会有事件列表出来,栏目字段解释:

  “类型”: 有三个级别,一般信息( ),警告信息( ),错误信息( )

  日期和时间: 记录时间发生的日期和时间

  来源: 这类事件是由什么程序,系统什么软件运行产生的

  分类: 区分事件类型

  事件: 一般来说是有系统进程号来唯一标示的。

  用户: 是由什么用户运行产生的,其中N/A表示是由程序本身产生的。

  计算机: 表示日志发生在那台计算机上,一般是计算机名。

  双击某一个事件,会得到该事件的详细信息。如下图。

  其中,描述栏里面就是对应事件的详细描述,如果该事件和数据有关,比如内存段访问错误,那么在数据段里就会有相关的数据

  FTP和WWW服务的日志是文本文件,直接通过记事本就可以进行查看。比如某FTP服务器日志:

  每一行的意思:

  04:11:03:事件发生的时间,日期由文件名(如果是设置每天记录)决定。

  192.168.7.201: 访问方IP

  [1]: 为FTP标示每个连接的ID号。

  USER anonymous: 表示访问用户是anonymous

  331: 状态码

  注:日志记录的各个字段的意义并不是固定的,取决与配置FTP日志文件格式选择的字段。

  以某个WWW服务器日志记录为例:

  2002-11-20 06:54:41:事件发生日期

  192.168.7.167: 访问者的IP

  192.168.7.110: 服务器的IP

  80: 访问的端口号

  GET / :用户请求的内容

  403:服务器返回给用户的状态码(403表示权限不够)

  Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1): 表示用户使用的客户端软件标志。

  二十四、日志审核文件属性的编辑

  对于WindowsNT/2000系统而言,随着审核事件的不断增加,安全日志文件的大小也不断增加。日志文件的大小可以从64KB到4GB,默认情况下是512KB。如果要对审核事件的默认属性进行编辑,可以实行如下操作(以Windows2000为例):

  首先在事件查看器的控制树选中“安全日志”项,接着点击“操作”菜单的“属性”项,

  进入安全日志的属性窗口,然后在“常规”标签页面上,可以对日志文件的大小进行设置;对于日志文件达到最大尺寸时,用户根据需要可以有以下三种选择:改写事件、改写设定天数的事件和不改写事件。

  二十五、系统安全小结

  操作系统安全的防护工作永无止境,按照以上推荐的方法进行安装和配置,遵守安全设置规则只是防护系统安全的开始。为Windows NT/2000系统提供安全的运行环境需要不断地努力,因此我们建议你至少应该做到以下几条:

  a.经常访问微软升级程序站点,了解补丁的最新发布情况;

  b.订阅微软安全公告,及时了解最新发现的Windows NT/2000系统漏洞;2002年微软部分安全公告链接网址如下:

  www.jstvu.edu.cn/shadu/xitongld.htm

  c.安装重要升级通告服务,这样才能尽快获取最新的重要升级程序;

  定期运行安全扫描工具或经常阅读网上相关的漏洞分析资料,确保系统没有遗漏任何补丁程序;微软提供了一个叫Microsoft Baseline Security Analyzer的工具,可以定期检测系统漏洞,IIS漏洞,弱帐号等等。您可以在以下地址找到。

  download.microsoft.com/download/win2000platform/Install/1.0/NT5XP/EN-US/mbsasetup.msi

  具体使用请查看安装后的文档。

第七部分 UNIX操作系统安全

  一、如何设置安全强壮的密码

  密码也是UNIX系统安全基础的核心,用户密码不适当造成的安全问题也是攻击侵入系统的主要手段之一。如果系统安全危及到密码,那么已经建立的基本安全机制和模式将遭






到严重影响。因此必须创建安全强壮的密码,安全的密码至少要有下列四方面内容的三种:

  ?大写字母

  ?小写字母

  ?数字

  ?非字母数字的字符,如标点符号等

  安全的密码还要符合下列的规则

  ?不使用普通的名字或昵称

  ?不使用普通的个人信息,如生日日期

  ?密码里不含有重复的字母或数字

  ?至少使用八个字符

  root用户可以使用下面的命令和参数来增强对用户密码的管理:

  1. passwd -n 30 帐号名 #强迫用户每30天修改一次密码

  例如:

  [root@mobile root]# passwd -n 30 bkbll

  Adjusting aging data for user bkbll.

  passwd: Success

  2. passwd -l 帐号名 #封锁用户帐好,禁止登陆

  更多命令可以参看man帮助页,man passwd

  如何保护帐号数据库文件

  Unix系统中的帐号数据库文件(/etc/passwd文件)是整个系统中最重要的文件,它包含了每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。它每一行分为7个部分,依次为用户登录名,加密过的口令,用户号,用户组号,用户全名,用户主目录和用户所用的Shell程序,其中用户号(UID)和用户组号(GID)用于Unix系统唯一地标识用户和同组用户及用户的访问权限。因此,此文件便成为了入侵者的首要目标。所以Password文件必须是不能被除root外的任何用户写入。

  为了防范基于字典的攻击,在安装UNIX操作系统必须选择shadow密码技术,即DES不可逆算法加密技术。加密的密码从/etc/passwd文件移植到/etc/shadow,这个文件必须只有root可读。由于不能被别的用户读取,所以加密的密码通常的用户不可见,也就避免了上面讨论的字典攻击。

  二、UNIX文件权限如何识别

  文件权限是unix文件系统安全的关键。Unix中的每个用户有一个唯一的用户名和UID(用户ID号),每个用户属于一个或多个组。基本分组成员在/etc/passwd中定义,附加的分组成员在/etc/group中定义。例如,用户tiger的UID为225,分组为11(students),此外,他还是分组185(postgraduates)的成员。每个文件和目录有三组权限,一组是文件的拥有者、一组是文件所属组的成员、一组是其他所有用户。“r”表示可读,“w”表示可写,“x”表示可执行。一共9位(每组3位),合起来称为模式位(mode bits)。

  模式位通常由一列10个字符来表示,每个字符表示一个模式设置,第一个指明文件类型,如(d表示目录,-表示普通文件,l表示链接文件等等)。例如,用ls -l 命令显示如下:

  drwxr-xr-x 2 root root 1024 Aug 13 09:22 backup/

  -rw-r--r-- 1 root root 1824 Apr 21 18:45 client.c

  -rw------- 1 root root 65536 Apr 22 17:56 core

  -rw-r----- 1 root root 2351 Apr 22 14:01 cry1.bak

  -rwxr-xr-x 1 root root 27492 Apr 21 18:47 crypt*

  -rw-r----- 1 tiger tiger 2450 Apr 22 15:16 cryption_server.c

  -rw-r----- 1 tiger tiger 1544 Apr 22 15:02 myinclude.h

  -rwxr-xr-x 1 root root 8280 May 3 10:35 test*

  例如最后一行以“-”开始,表示test使一个普通文件,文件拥有者可以读写执行、本组其他成员可以读执行、其他用户可以读执行。我们可以用chmod和umask命令来改变权限,这很简单,察看相应的帮助就知道怎么修改权限(man chmod,man umask命令)。

  三、什么是设置用户ID(SUID)

  UNIX允许程序在运行的时候取得其它的UID,SUID表示”设置用户ID”;当用户执行一个SUID文件时,用户ID在程序运行过程中被置为文件拥有者的用户ID。如果文件属于root,那用户就成为超级用户。

  四、什么是设置组ID(SGID)

  UNIX允许程序在运行的时候取得其它的GID;当一个用户执行SGID文件时,用户的组被置为文件的组。

  五、SUID与SGID程序有何风险

  SUID和SGID程序潜在了重要的安全漏洞,特别是SUID或SGID设为root的程序,这是网络入侵者非常爱用的入侵口。因为该程序执行权限和root一样,如果程序代码有缺陷,就很容易被人利用以获得一个root的shell。

  六、如何查找出SUID和SGID程序

  系统管理员应该定期察看系统中有哪些SUID和SGID文件,可用下面的命令可以实现:

  find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \;

  七、如何消除rlogin登录风险

  rlogin命令属于远程登录访问命令,是从Berkeley UNIX的品种中演变出来的,适应于网络供给及分布式系统访问,rlogin命令可以被设置成不需要输入密码。与此类命令相关的配置文件有两个,分别是/etc/hosts.equiv(有些系统不支持此文件)和远程系统的.rhost文件(在远程用户的主目录下)。在一般的rlogin执行过程中,etc/hosts.equiv文件用来检查源系统的主机名;如果出现,则进一步的远程登陆过程继续;如果未出现,那么第二个文件(.rhosts)将被用来检查源主机的主机名。任何一种方法,可能都要呈现给远程主机要求的登录名以作为用户的身份;然而,如果系统主机名没呈现,或不匹配.rhost文件里的内容,则rlogin程序将自动地要求输入密码。

  第一个文件hosts.equiv是系统级文件,主要由系统或网络管理员来维护。如果这个文件的权限被危及,那么几乎任何一个入侵者都能远程地登录到目标主机上;第二个文件.rhost存在于目标系统的主目录里,它的权限也一定要安全地维护。

  八、如何关闭系统中不必要的服务

  Unix系统中有许多用不着的服务自动处于激活状态,它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器。为了系统的安全,应把该关的功能关闭,该限制的文件限制访问权限。可以用如下方法来关闭:

  a.以root权限进入系统,或提升到 root;

  b.备份inetd的配置文件/etc/inetd.conf ;

  c. cp /etc/inetd.conf /etc/inetd.conf.BACKUP ;

  d.编辑/etc/inetd.conf文件;

  e.用”#”符号注释掉不需要的服务,使其处于不激活的状态;

  f.最后请重新启动计算机。

  在确实需要很高安全的机器上,最好注释掉telnet和ftp,即使要使用此两项服务,也要对使用情况进行限制,如用TCP Wrapper(host.allow,host.deny)对使用telnet或ftp的IP地址进行限制。

九、UNIX日志文件放在何处

  网管主要靠系统的日志文件来获得侵入的痕迹以及其他访问信息。那到底这些LOG日志文件放在哪里呢?这主要依靠的是你所进入的UNIX系统系统,各个系统有些不同的LOG文件,但大多数都应该有差不多的位置,最普通的位置就是下面的这几个位置:

  ● /usr/adm - 早期版本的UNIX

  ● /var/adm - 新一点的版本使用这个位置

  ● /var/log - 一些版本的Solaris,Linux BSD,Free BSD使用这个位置

  ● /etc - 大多数UNIX版本把utmp放在此处,一些系统也把wtmp放在这里,这也是 syslog.conf的位置

  十、何区分UNIX系统各种日志文件

  既然我们已经了解了UNIX系统日志文件的位置,那么知道每个日志的作用也是十分重要的,下面即是UNIX中各个日志文件所包含的内容:

  ●acct 或 pacct -- 记录每个用户使用的命令记录;

  ●access_log - 此记录文件会有什么站点连接过你的服务器;

  ●aculog -- 保存着你拨出去的MODEMS记录;

  ●lastlog -- 记录了用户最近登录记录和每个用户的最初目的地,有时是最后不成功的登录记录;

  ●loginlog -- 记录一些不正常的登录记录;

  ●messages -- 记录输出到系统控制台的记录;

  ●security -- 记录一些使用UUCP系统企图进入限制范围的事例;

  ●sulog -- 记录使用su命令的记录;

  ●utmp -- 记录当前登录到系统中的所有用户;

  ●utmpx -- UTMP的扩展;

  ●wtmp -- 记录用户登录和退出事件;

  ●syslog -- 最重要的日志文件,使用syslogd守护程序来获得日志信息;

  ●uucp --记录信息包括UUCP发出和接受的呼叫,发出的请求,发送者,发送时间和发送主机;

  ●lpd-errs -- 处理打印机故障信息的日志;

  ●ftp日志 --记录每一个FTP访问记录;

  ●httpd日志 --记录每一个WEB访问记录;

  ●history日志 -- 这个文件保存了用户最近输入命令的记录;

  十一、UNIX系统的安全审计

  (1)、对系统用户登陆的安全审计

  UNIX下系统用户登陆的安全审计工具主要有lastlog和WTMP。

  lastlog文件(此文件一般在/var/log目录下,各种UNIX系统可能不同)记录每个用户的最近一次登陆时间和每个用户的最初目的地。当一个用户登陆到UNIX系统时,注册程序在lastlog文件中查找该用户的UID.如果程序找到了该用户的UID,UNIX系统就会为用户显示最后一次登陆的时间等。有些UNIX既显示成功的登陆也显示失败的登陆尝试。

  通常用户登陆进系统后就会显示最后一次登陆的时间及IP地址等信息。

  WTMP文件(此文件一般在/var/adm目录下,各种UNIX系统可能不同)记录用户登陆和退出时间。它随着用户每一次的登陆和退出会持续增长。在有些UNIX版本中,一些程序如(ftp等)也在WTMP中。

  通常使用last和ac命令来访问WTMP文件,last和ac命令会根据WTMP的记录及命令的输入参数产生不同的报告。

  (2)、对FTP服务的安全审计

  FTP要根据具体使用的服务程序来区分它的安全审计,如果不使用系统自带的FTP服务器软件,则一般的FTP服务器软件都有日志记录功能,各种服务器软件可能会有不同的方式和日志文件。这里我们只介绍系统自带的FTP服务器软件。

  系统自带的FTP服务器软件一般使用ftpd程序来接受用户的连接,它使用syslog来处理它产生的消息。执行带-l选项的ftpd能激活日志记录功能。在inetd.conf文件调用ftpd的行如下所示:

  ftpstreamtcpnowaitroot/etc/ftpdftpd -l

  应该编辑syslog.conf文件加入如下一行:

  daemon.infoftplogfile

  另外,在有些UNIX版本中,系统可能也会使用WTMP来记录FTP的用户登陆信息。因此这些系统中也可以last命令来查看ftp用户登陆的情况。

  (3)、对在线用户的安全审计

  UTMP文件(此文件一般在/var/log目录下,各种UNIX系统可能不同)记录当前登陆到系统的所有用户。这个文件随着用户进入和离开系统而不断地变化。它不会为系统的用户保持很长的历史记录,只记录此时联机的有那些用户。

  通常可以使用用户who或者w命令来查看UTMP的日志记录。

  (4)、对网络安全的安全审计

  UNIX下使用syslog来作为系统的日志工具。syslog能够方便记录各种程序产生的日志。

  为了利用syslog,在后台执行一个名为syslogd的守护程序。当syslogd接收到消息时,它检查自己的配置文件syslog.conf,找出消息的响应目标。在大多数的默认配置中,syslog把大多数的消息传递给/var/adm/message文件。大多数的守护程序及各种服务程序的消息一般都记录在这里。另外,我们也可以使用第三方工具来加强网络安全的安全审计,如TCP_Wrapper。

  十二、UNIX工具的使用

  (一) SATAN的使用

  SATAN是当今最流行的扫描工具之一。 SATAN 的英文名为 Security Administrator Tool For Analyzing Networks,翻译成中文为:安全管理员的网络分析工具。SATAN 是一个分析网络的安全管理和测试、报告工具。它用来搜集网络上主机的许多信息,并可以识别且自动报告与网络相关的安全问题。

  SATAN 是一个软件包,是为UNIX环境编写的。在发布的时候,它是一个基于XWindows系统的安全程序,具有友好的用户界面。它具有HTML接口,能通过当前系统中的浏览器,如Netscape,进行浏览和操作;能以各种方式选择目标;可以以表格方式显示结果;当发现漏洞时,会出现一些上下文敏感的指导显示。SATAN 是为UNIX操作系统设计的,主要是用C和Perl语言编写,为了用户界面的友好性,还用了一些HTML技术。运行时,除了命令行方式,还可以通过浏览器来操作。它能在许多UNIX平台上运行,有时根本不需要改变代码,而在其他非UNIX平台上也只是略作移植即可。

  运行SATAN时如果不带参数,它就会自动运行WWW浏览器。也可以在命令行运行它,后面跟一个想要扫描的主机名。再次要提醒的是,如果要收集信息,必须是以超级用户的身份运行它,普通用户则不能收集这些信息。用户可以同时运行多个SATAN进程,但每个进程必须使用它自己的那个数据库。数据库可以在命令行通过-d参数指定。可以对一个IP地址块,包括256个地址(satan -d x.x.x x.x.x),使用一个数据库。当数据收集完毕,可以使用浏览器来合并数据。在此之后,可以使用浏览器的打印功能打印出结果。大多数文档都可以通过浏览器来阅读。SATAN借助于浏览器,使其使用非常方便,任何使用过浏览器的用户都会驾轻就熟的使用它。

  进入SATAN的开始界面后,将出现几个功能项:

  SATAN Data Management (SATAN 数据管理)

  SATAN Target selection (SATAN 目标选择)

  SATAN Reporting & Data Analysis (SATAN 报告和数据分析)

  SATAN Configuration Management (SATAN 配置管理)

  SATAN Documentation (SATAN 在线文档)

  SATAN Troubleshooting (SATAN 疑难问题解答)

  就像面对平常的Netscape Nangator 或者 Microsoft Internet Explorer中的超文本链接一样,可以单击任何一个链接。不同的是,此时,所有的文档都是取自本机的一些目录下面,而不是来自某个WWW服务器。当遇到问题时,随时都可以调出在线文档,来寻找问题的解答。

  SATAN用于扫描远程主机的许多已知漏洞,下面是它扫描的主要的一些系统漏洞:

  * FTPD 脆弱性及FTP目录是否可写

  * NFS脆弱性

  * NIS脆弱性

  * RSH脆弱性

  * sendmil服务器脆弱性

  具体为:

  * 向任何主机调用的NFS文件系统

  * NIS口令文件可被任何主机访问

  * 旧版本(在8.6.10前)的sendmail

  * 从任何主机上的rexd访问

  * X 服务器访问控制无效

  * 借助FTPD的对任意文件的访问

  * 可写匿名FTP根目录

  要再次强调的是,这些都是已知的漏洞,SATAN并不能发现新的安全漏洞,也就是说,最终无法通过手工完成的事,SATAN也办不到。但是SATAN可以自动执行这些已知漏洞的检测,而且能以便于使用的方式提供信息。关于这一工具,最后要说的是,尽管SATAN 已经是名满天下,但是,还是有许多系统,包括美国军方的一些网络,被一些年轻的黑客使用这种工具侵入到系统中。因此,国内的网络用户和安全管理员们决不能因为SATAN扫描的是一些众所周知的陈旧的系统缺陷而掉以轻心,以为软件开发商已经修补了这些安全隐患或自己的系统的配置是安全正确的。

  (二) TCP_Wrapper

  Tcp_wrapper是Wietse Venema开发的一个可用于各种Unix平台的免费软件,Tcp_wrapper随着应用逐渐成为一种标准的Unix安全工具,成为unix守护程序inetd的一个插件。通过Tcp_wrapper,管理员可以设置对inetd提供的各种服务进行监控和过滤。

  我们知道,unix中各种服务的实现是基于inetd这个守护进程的,每当有网络服务请求时,无论是ftp,telnet,rlogin等等,这种请求都被送到处于侦听状态的inetd守护进程,inetd再根据请求启动相应服务.inetd的设置是根据/etc目录下inetd.conf决定的。inetd.conf中标识了每种服务由什么进程来控制,我们抽取一行如下:

  telnet stream tcp nowait root /usr/sbin/in.telnted in.telned

  从上面这一行我们可以看到,telnet这个服务,是由/usr/sbin目录下的in.telnetd来控制的,每当有telnet的连接请求时,inetd就指导in.telnetd来启动telnet服务。这是unix默认的连接方式,在这个过程中,没有管理员可以控制的部分,也没有连接纪录。

  而在安装了Tcp_wrapper的主机上,管理员可以对上述服务加以控制,当Tcp_wrapper编译安装成功后,会生成一个tcpd程序,它可以在inetd.conf这个控制文件中取代in.telnetd的位置,这样,每当有telnet的连接请求时,tcpd即会截获,先读取管理员所设置的访问控制文件,合乎要求,则会把这次连接原封不动的转给真正的in.telnetd程序,由in.telnetd完成以后的工作。如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供telnet服务。除in.telnetd以外,tcpd还可以替代其它各种tcp服务。

  Tcp_wrapper访问控制的实现是依靠两个文件:hosts.allow,hosts.deny来实现的。这两个文件的语法是比较简单的,基本语法就是:

  服务类型:本服务有效ip范围: 许可或拒绝。

  如hosts.allow中为:

  in.telnetd : sec.topsec.com.cn : allow

  in.ftpd : 10.68.32. : allow

  而hosts.deny为:

  all : all

  这两个文件的意思是对telnet来讲,只允许来自sec.topsec.com.cn的连接,对ftp而言,允许10.68.32这个c类地址的连接。

  hosts.deny文件中的all : all表示除了这些以外,拒绝来自任何地方的任何服务.以上只是对访问控制文件的一个简单说明,管理员可以参看Tcp_wrapper的相应说明定制更为复杂的控制策略。

  编辑/etc/inetd.conf,将原telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd中的/usr/sbin/in.telnetd替换为tcpd及其所在路径,比如:即telnet stream tcp nowait root /sbin/tcpd in.telnetd

  其它ftp,tftp,rsh,rlogin等同样操作即可,建议至少替换telnet,ftp,rsh,rlogin这几个守护程序。

  编辑结束后,保存文件,ps -ef | grep inetd找出inetd的进程号,kill -HUP 重启inetd进程使改动生效。

  接着我们编辑/etc/syslog.conf文件,加入日志纪录功能,在此例中即:

  #tcp wrapper log local3.info /var/log/tcplog

  编辑结束后,保存文件, 在/var/log下生成tcplog文件,注意这个文件的读写属性, 应该只对root有读写权限。然后ps -ef |

  grep syslogd,找出syslogd的进程号,kill -HUP 重启syslogd进程使改动生效。最后一项工作是编辑hosts.deny和hosts.allow文件,按上面的语法编辑即可。至此所有工作完成,我们可以用上述两个文件的设置来试一试,假设主机refuse(IP 11.22.33.44)telnet本机,我们看一看系统的反应。

  refuse#telnet www.topsec.com.cn

  Trying www.topsec.com.cn ...

  Connected to www.topsec.com.cn

  Connection closed by foreign host.

  我们再看看本机Tcp_wrapper的日志,多了一条:

  Apr 2 13:56:20 yiming in.telnetd[1769]: refused connect from 11.22.33.44

  更多的使用方法请参考该软件的帮助文件。

2007/1/17 3:12
应用扩展 工具箱






可以查看帖子.
不可发帖.
不可回复.
不可编辑自己的帖子.
不可删除自己的帖子.
不可发起投票调查.
不可在投票调查中投票.
不可上传附件.
不可不经审核直接发帖.

[高级搜索]



系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号