信息系统安全解决方案.doc

《信息系统安全解决方案.doc》由会员分享，可在线阅读，更多相关《信息系统安全解决方案.doc（4页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、http:/ 信息系统安全解决方案张晶国电科学技术研究院，南京，210000E-mail:摘 要：随着信息技术的迅速发展，信息技术的应用越来越广，企业信息化的程度也越来越高，企业的信息系统正在成为企业正常运营的基础，因此信息系统的安全与否关系到企业是否能够正常运行，对信息安全的要求也就越来越高。本文通过介绍信息系统的安全加固和防范方法，并在讨论了其关键技术和设备的基础上，为企业的信息技术安全、稳定的发展提供了参考。关键词：系统加固、网络安全、防火墙、入侵检测、漏洞扫描、发展趋势中图分类号：TP37 文献标志码：A-4- 随着计算机及网络的发展应用，企业对信息系统应用程度越来越高，业务、办公系统

2、中大量的工作需要通过计算机来处理。因此，对计信息系统的稳定性、安全性提出了较高的要求。信息系统的瘫痪、中断运行将会严重影响工作。因此，建立全面安全防护体系，保证网络的正常运行己迫在眉睫1. 主机操作系统加固对于绝大多数系统来说，缺省时的配置都是很不安全的。如果服务器安装操作系统的缺省配置来运行的话风险会很高，通过前期的评估工作也可以看出主机系统和网络设备方面的安全配置存在明显的不足，因此对这些系统进行必要的安全加固显得十分重要和紧迫。通过加固可以大大加强信息资产的安全性和抗攻击能力。1.1 Windows 2000/NT系统Windows系统是IT系统中最常用的系统之一，在本次评估项目中发现大

3、量的Windows系统。一方面由于Windows系统的应用性，有大量的人在使用Windows系统，使得有很多的人在研究Windows系统的安全弱点，使得Windows系统是最容易遭受攻击的系统种类，系统缺省安装或未经过安全配置的Windows系统问题尤为严重。下面就根据经验列出Windows系统在安全加固配置方面的考虑因数。1、给系统打目前微软发布的安全相关的补丁，可以使用“Windows Update”来检查升级。2、开启SYSKEY的保护，系统的SAM数据库存储本地或者域的用户和口令信息，一个攻击者无论是访问到备份的信息或者是本地系统还是修复磁盘上的SAM信息，都可以利用口令破解工具来破解

4、口令，而且速度很快。而SYSKEY可以对SAM数据库信息进行加密，使未授权的攻击者破解工作变得困难。注意，安装了SYSKEY以后，一定要重新建立一个紧急修复磁盘，不能使用未安装SYSKEY的系统的紧急修复磁盘来修复安装过SYSKEY的系统。3、检验所有的分区都是NTFS格式的，NTFS分区提供了FAT，FAT32等分区没有提供的访问控制和保护机制，如果必要的话可以使用convert命令转换分区为NTFS。4、关闭所有的不需要的服务，规划哪些需要的服务，哪些需要做文件或打印机共享的服务，关闭所有不必要的服务，并且不要安装一些不必要的软件，并且不要安装一些不必要的软件除非有特别的需要，例如在服务器

5、上安装office或者outlook等软件。5、如果需要远程控制管理系统，应当安装最新的版本和最新的补丁，并且限定能访问的主机地址和选择比较强的认证手段和加密通讯方式。6、设定系统安全策略，并将安全策略应用于系统用户，使用户具有安全轮廓保护。7、确认Guest帐户被禁用，在缺省情况下，这个帐户是被禁用的。8、移除OS/2和POSIX子系统，大多数的应用软件和服务都不需要这些子系统，移除这些子系统将对那些在这些子系统下工作的攻击类软件难以运行。9、修改注册表限制不信任的用户植入木马软件，以免系统重新启动后自动加载木马。10、关闭缓存用户登录信息，Windows 2000中可以缓储一些用户的登录信

6、息，即使域服务器暂时不能连接，如果用户不久之前曾经成功登录过，仍然可以依靠缓存的信息来完成登录过程，虽然关闭缓存用户登录信息使得登录过程变得缓慢，但是将使系统变得更安全。11、在TCP/IP设置的WINS标签中禁用Enable LMHOSTS lookup并选择Disable NetBIOS Over TCP/IP。12、限制从网络通过Netbios服务访问服务器的用户，尤其是Admistrators组成员的访问权限，这可以在本地安全策略中的本地策略中的用户权力指派中设定。1.2 SUN Solaris系统首先，系统推荐补丁升级加固1、下载系统推荐安全补丁包。访问Sun公司的安全补丁站点ftp

7、:/ Solaris系统配置安全加固1、在/etc/system中增加设置来防止某些缓冲溢出攻击。2、使用默认路由，在/etc/defaultrouter文件中增加缺省网关的IP地址，使动态路由无效。3、使尝试登录失败记录有效。4、修改/etc/inetd.conf文件中的内容，关闭不必要的系统服务。从系统管理的角度而言，一般只可以关闭里面的绝大多数服务。而下列的高风险服务，除了特殊的应用需要外（需进行系统补丁），应当禁止使用：rpc.ttdb;pc.sadmin;telnet;rpc.cmsd;finger;ftp;echo;time;discard;comsat;rsh;rlogin;re

8、xec.5、实现文件系统的ACL控制，实现针对用户的文件访问控制。利用getfacl/setfacl来设定基于用户的文件访问控制。6、审查root的PATH环境变量，确保没有当前目录出现。2. 网络设备加固1、IOS版本检查软件版本较低会带来安全性和稳定性方面的隐患，因此要求在设备的FLASH容量允许的情况下升级到较新的版本，必要情况下可升级设备的FLASH容量。2、设置访问口令和访问控制对于允许远程登录管理的路由器，必须设置口令保护和相应的ACL，限定可远程登录的主机IP地址范围，并使用支持加密的登录方式，如SSL等。 3、使用复杂的系统口令确保所有使用的口令必须为复杂口令，并使用MD5加密

9、方法设置enable口令；对console line、auxiliary line 和virtual terminal lines访问设置密码并加密保护。4、安全认证对于VTP协议、NTP协议和动态路由协议均采用认证机制，对认证字串也应当采用强的加密算法进行加密。5、IP地址MAC绑定采用MAC地址绑定的技术来防止交换网中的窃听，特别是对于重要服务器和路由器应该设定MAC地址绑定。6、Loopback地址对所有的路由器均设置Loopback地址，有效防止链路失效或网卡失效引起的路由波动。7、一次性口令和集中管理对大量的网络设备的口令管理建议采用集中认证方式，一般可以通过RADIUS协议来实现，

10、必要时可以进一步通过一次性口令的方式来降低口令明文传输的安全风险6 7 8。3网络安全加固3.1 防火墙部署防火墙和访问控制是目前在内外网络边界处进行安全防护的最有效的手段之一。通过选择性能优秀的防火墙并进行正确合理的配置或通过在路由器交换机上配置访问控制列表，能够有效的保护内网的安全。特别需要在INTERNET接口处部署了防火墙，而在各个单位之间也需要部署防火墙设备。3.2入侵检测部署实时入侵检测响应系统(Intrusion Detection Systems，IDS)是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹

11、象。IDS的配置策略是通过对网络流量的的仔细分析，确定需要监视的所有流量和其经过的核心交换设备，通过核心交换机的流量监视功能，最大限度地保护被监控的主机群。配置IDS时应该留有相当的处理能力余量，以满足业务流量不断增长和拒绝服务攻击发生这两种情况下对处理能力的额外需求1 8。4.漏洞扫描扫描是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见

12、效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。由于网络采用的通信协议并不是为安全通信而设计的，这些协议和网络设备存在一些固有的安全隐患，入侵者可利用这些漏洞，通过网络实施攻击。基于网络的风险评估技术，主要是模拟黑客攻击的方法，检测网络协议、网络服务、网络设备等方面的漏洞。现代操作系统代码数量巨大，成百上千工程师的共同设计编制，很难避免产生安全漏洞。随着及计算机技术的发展，操作系统的功能

13、越来越强大，但配置越来越复杂。面对横跨多种平台、不同版本、不同种类的操作系统，系统管理员显得力不从心，经常会造成配置上失误，产生安全问题。系统安全漏洞涉及口令设置、文件权限、账户管理、组管理、系统配置等。基于主机的风险评估技术，主要检查操作系统本身固有的安全漏洞和系统文件的不安全配置。并指示用户如何修补漏洞以使操作系统安全风险降到最小，也就增加了整个网络系统的安全性。越来越多的关键业务系统和宝贵的信息资源依赖于数据库平台，数据库本身的漏洞和错误配置同样会引起严重的安全问题。数据库风险评估技术主要针对数据库系统的授权、认证和完整性方面进行安全漏洞检测。通过本次的安全评估，发现了很多问题。如果定期

14、对系统进行漏洞扫描和安全评估，主机系统和网络设备的抗攻击能力就会很强。另外，对新开通的业务系统，必需进行安全验收，验收的标准其中之一是进行漏洞扫描和评估。漏洞扫描和评估可以从以下几个方面进行：4.1网络层扫描网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出 等手段进行攻击1 4 6。网络层扫

15、描可以发现能被攻击者通过网络攻击利用的设备、主机的安全弱点，通过及时修补这些弱点，避免被入侵者利用。4.2主机系统层扫描由于现代操作系统的代码庞大，从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Unix，Windows，其安全漏洞更是广为流传。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成的安全隐患。对操作系统这一层次需要功能全面、智能化的检测，以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和文件进行备份和妥善保存，随时留意系统文件

16、的变化5。主机系统层扫描不但可以发现能被外部攻击者利用的系统漏洞，还可以检查系统不正确的配置。4.3数据库层扫描许多关键的业务系统运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也会被非法访问或破坏。通过数据库层的扫描，及时发现数据库存在的以下方面的弱点： 系统认证：口令强度不够，过期帐号，登录攻击等。 系统授权：帐号权限，登录时间超时等。 系统完整性：Y2K兼容，特洛伊木马，审核配置，补丁和修正程序等。由于基于主机系统的漏洞扫描和评估需要在业务主机上安装软件，建议可只采用基于网络和基于数据库的漏洞扫描和评估。基于网络和基于数据库的扫描可以只安装在一台笔记本电脑上，通过远程方式进行漏

17、洞扫描和评估，部署和使用方便，不影响现有业务的正常运行2 3 5。6. 总结总之，建立一套安全稳定的信息系统，是现代化企业高速发展的必要条件之一，所以要做好系统加固、风险评估和业务持续性工作，采取有效措施降低面临的信息安全事故的概率，从而确保各项业务系统的稳定运行，保证各种信息资产的安全，提高信息系统的效率，达到与企业战略发展方向一致的目标。参考文献：1 蔡立军. 计算机网络安全技术J. 中国水利水电出版社网站, 2005,7 : 59-61.2 高飞 高平. 计算机网络和网络安全基础J. 北京理工大学出版社, 2002,6: 22-45.3 戴宗坤 唐三平. VPN与网络安全M. 电子工业出

18、版社, 2002,9.3-50.4 求是科技 董玉格 金海 赵振. 攻击与防护-网络安全与实用防护技术 J. 人民邮电出版社, 2002,8: 5-66.5 (美)艾根. 信息安全实施指南-网络安全专家J. 电子科技, 2006,1 : 5-10.6 (美)Bruce Schneier著,吴世忠 马芳译. 网络信息安全的真相 J. 机械工业出版社, 2001,9,: 6-53.7 （美）Stephen Northcutt等著 陈曙辉等译. 深入剖析网络边界安全 J. 机械工业出版社, 2003, 8 : 11-20.8 （美）康弗瑞著，王迎春，谢琳，江魁 译.网络安全体系结构J. 人民邮电出版

19、社, 2005,6 : 45-48.The application & development of Multimedia TechnologyJing ZhangState Grid Electric Power Research Institute,NanJing 21000AbstractWith the rapid development of information technology, information technology has become an increasingly widespread, the extent of corporate information

20、have become more sophisticated, enterprise information systems are becoming the basis for the normal operation of enterprises, so the security of information systems or related to the enterprise whether the normal operation of the requirements of information security is getting higher and higher. In

21、 this paper, through the presentation of information system security reinforcement and prevention methods, and discusses the key technology and equipment, based on information technology for enterprise security, stability, development of a referenceKeywords: Reinforcement system, network security, firewall, intrusion detection, vulnerability scanning, trends作者简介：张晶，女，1968年生，硕士，主要研究计算机软件开发、多媒体技术以及网络安全方面。