主机和数据库安全配置.pptx

主机和数据库安全配置与加固措施一、主机安全配置与加固措施 信息系统是由主机、网络设备、存储设备、安全设备以及各种应 用系统组成的。其中主机是信息系统中的重要组成部分，承担着信息的存储、处理的主要工作。 由于主机是信息泄露的最终来源，也是各类攻击的最终目标，因此主机的安全关系到整个信息系统中信息的最终安全。 针对信息系统中的重要终端和服务器《信息安全技术 信息系统安全等级保护基本要求》从以下9个方面对主机安全进行安全要求：4、安全标记3、安全审计安全配置2、访问控制安全配置5、剩余信息保护安全配置9、资源控制安全配置6、入侵防范7、恶意代码防范安全配置8、可信路径的安全配置1、身份鉴别1、身份鉴别 在windows操作系统身份鉴别配置：通过控制面板 管理工具 本地安全策略 计算机配置Windows设置,配置系统的各项”安全设置”。其中和身份鉴别有关的是“帐户策略”，其中分为“密码策略”和“帐户锁定策略 ”。“密码策略”主要有以下设置：1)密码应符合复杂度要求2)设置密码长度最小值3)密码最短使用期限4)强制密码历史5)用可还原的加密来存储密码口令复杂性要求启用口令长度最小值8字符口令最长存留期90天口令最短存留期0天复位帐户锁定计数器15分钟帐户锁定时间15分钟帐户锁定阀值5次“帐户锁定策略”主要有以下设置：1)帐户锁定时间2)帐户锁定阀值3)在此后复位帐户锁定及暑期身份鉴别需检查项身份鉴别必须录入密码才能登陆取消弱密码和空密码帐号密码8位以上，字母数字混合。启用帐号锁定策略取消远程登陆2、访问控制安全配置 在windows操作系统安全配置：通过控制面板 管理工具 计算机管理 系统工具 本地用户和组中，可以对系统中的用户 和权限进行安全配置。在“用户”中应：1)禁用系统来宾帐户2)重命名系统默认帐户、修改默认口令3)删除系统中所有无用帐户、过期帐户和共享帐户4)在组中，应为每个帐户授予所需的最小权限访问控制需检查项访问控制取消不使用的共享文件夹控制系统开启的共享及共享文件夹的访问权限,删除IPC$、ADMIN$、C$、D$等默认共享控制重要数据的访问权限Guest账号禁用取消多余账号3、安全审计安全配置 在通用操作系统中，均有安全审计功能，通过相关配置，能够对系统的重要事件进行安全审计。在windows操作系统中，将通过控制面板 管理工具 本地安全策略 本地策略 审核策略中的所有项目,配置为“成功”和“失败”均记录日志。在“事件察看器”中设置“应用程序”、“安全性”和“系统”日志的存储大小和覆盖策略。4、安全标记 要求对所有主体和客体设置敏感标记。5、剩余信息保护安全配置 剩余信息保护要求“确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全消除”。对于通用操作系统来说，考虑到运行效率，没有在系统内核层面默认实现剩余信息保护功能，只能通过第三方工具来实现。6、入侵防范 通过配置操作系统的自动升级功能，能够使系统自动安装最新的补丁程序，但是对于入侵检测和完整性检测功能，需要第三方工具来实现。入侵检测也可以通过在网络中布置网络入侵检测系统实现入侵防范需检查项入侵防范系统已安装最新的升级补丁包关闭系统开启的多余的系统服务关闭系统开启的多余的网络端口卸载系统安装的多余的Windows组件7、恶意代码防范安全配置 要求主机具备一定的恶意代码防范措施。a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；c)应支持防恶意代码软件的统一管理。8、可信路径的安全配置 可信路径是在用户与内核之间开辟一条直接的、可信任的交互路径，为防止黑客特洛伊木马记录在登陆及其他敏感操作时的行动。 管理员应在控制面板 管理工具 本地安全策略 计算机配置Windows设置 本地策略 安全选项中，将“交互式登陆：无需按Ctrl+Alt+Del”设置为“已禁用”。9、资源控制安全配置 控制系统中各项资源，如：磁盘空间、CPU、内存、网络连接等使用情况等。1)磁盘空间限制：在windows操作系统中，需要在组策略 计算机配置 管理模板 系统 磁盘配额，配置磁盘配额限制2)资源监控：在windows操作系统中，可以使用控制面板 性能，对系统中所有资源进行监控，并且可以在“性能日志和警报”中，设置“警报”，当某个资源降低到预先设定的最小值，可以进行报警。资源控制的安全配置资源控制设定终端接入方式、网络地址范围等条件限制终端登录对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的