服务器安全防范体系.ppt

《服务器安全防范体系.ppt》由会员分享，可在线阅读，更多相关《服务器安全防范体系.ppt（224页珍藏版）》请在三一办公上搜索。

1、服务器安全防范体系,2011年11月,2023年9月11日,服务器安全培训索引,Pages:2,培训目录,第一讲：安全基础知识第二讲：服务器安全规范第三讲：操作系统安全第四讲：常见应用安全第五讲：操作实践,2023年9月11日,服务器安全培训索引,Pages:3,安全基础知识主要内容(1),信息安全的概念安全问题产生的根源安全漏洞的威胁常见的攻击方式扫描：扫描目的、使用工具获取信息网络监听：监听原理与作用拒绝服务：Syn Flood、udp Flood、Icmp Flood木马：木马的概念、入侵途径、隐藏方式、特洛依木马简介SQL注入：讲解SQL注入的思路与过程，防范SQL注入的方法,2023

2、年9月11日,服务器安全培训索引,Pages:4,安全基础知识主要内容(2),主要安全技术防火墙技术简介：包过滤、应用层网关、状态检测、优缺点入侵检测技术简介主机入侵检测、网络入侵检测扫描技术简介扫描器分类、工作原理、端口扫描,2023年9月11日,服务器安全培训索引,Pages:5,服务器安全规范主要内容(1),服务器维护安全规范口令安全访问控制安全责任的划分安全检查服务器上禁止操作行为系统日志管理安全隐患通告系统安全设置的问题补丁管理流程Autoup/Octopod简介、对比补丁的下载、测试、上传、分发过程补丁光盘的制作,2023年9月11日,服务器安全培训索引,Pages:6,服务器安全

3、规范主要内容(2),目前采取的安全措施简介日常监控、补丁管理、访问控制主机安全配置、安全检查漏洞扫描、漏洞跟踪与分析、安全通告安全控管(octopod)、HIDS、防病毒备份、日志集中典型安全事件介绍两个公司发生过的安全事件,2023年9月11日,服务器安全培训索引,Pages:7,操作系统安全主要内容(1),Windows系统安全Windows安全特性内建帐号，内建组、SAM、SIDNTFS、用户权利、权限、共享权限Windows系统服务与进程、日志系统Windows安装配置过程（介绍安全原则性的内容）,2023年9月11日,服务器安全培训索引,Pages:8,操作系统安全主要内容(2),L

4、inux系统安全Linux帐号安全、口令安全用户与UID、用户组与GID文件类型、文件的权限加强Linux安全的几点建议关闭不必要的服务、远程维护openssh启用syslog、升级主要应用查看登录情况、网络连接、进程、系统资源iptables策略,2023年9月11日,服务器安全培训索引,Pages:9,常见应用安全主要内容(1),Web安全（IIS)概述、漏洞、IIS组件的安装IIS安全加固删除：默认站点、示例文件、默认脚本、无用脚本映射IIS工作目录修改、启用web日志、更改日志路径Web站点权限设置、http 500错误重定向禁用WebDav、启用ipsec保护,2023年9月11日,

5、服务器安全培训索引,Pages:10,常见应用安全主要内容(2),数据库安全(SQL Server 2000)补丁管理新装数据库服务器的补丁要求老数据库服务器的补丁要求口令策略数据库日志去除部分危险扩展存储过程数据库的端口保护,2023年9月11日,服务器安全培训索引,Pages:11,操作实践主要内容,讲解、演示以下内容：服务器安全配置过程（依据服务器安全规范要求）更改、删除帐号启用安全日志网络安全设置Winchk/autoup配置安装Octopod功能介绍、基本操作NetView功能介绍、基本操作Syslog与Hids初始化操作在命令行下配置IPSEC,安全基础知识,网络安全部 2008年

6、11月,2023年9月11日,安全基础知识,主要内容,信息安全的概念安全问题产生的根源安全漏洞的威胁常见的攻击方式主要的安全技术,2023年9月11日,安全基础知识,信息安全概念,信息安全的含义保证信息内容在传储、传输和处理各环节的机密性、完整性和可用性对信息的传播及内容具有控制能力不受偶然的或者恶意的原因而遭到破坏、更改、泄露保证信息系统连续可靠的运行网络服务不中断,2023年9月11日,安全基础知识,安全问题产生的根源,网络建设之初忽略了安全问题TCP/IP协议本身缺乏安全性操作系统及应用自身存在的漏洞操作系统及应用不安全的配置来自内网用户的安全威胁缺乏有效的手段监视、评估网络的安全性邮件

7、病毒、Web页面中中恶意Java/ActiveX控件代码中存在安全漏洞管理中存在的安全问题,2023年9月11日,安全基础知识,安全漏洞,漏洞的概念在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统可能存在于网络设备：交换机、路由器的IOS存在的漏洞、配置错误操作系统：Windows、Unix/Linux存在的漏洞应用服务：IIS、Apache、Serv_u存在的漏洞网络协议：TCP/IP存在的缺陷应用程序：用C、C+、ASP、PHP代码中,2023年9月11日,安全基础知识,漏洞带来的威胁,如果攻击者获得了一般用户的访问权限，那他就很有可能再通

8、过利用本地漏洞把自己提升为管理员权限：,远程管理员权限 本地管理员权限 普通用户访问权限 权限提升 读取受限文件 远程拒绝服务,本地拒绝服务远程非授权文件存取 口令恢复 欺骗 服务器信息泄露 其它,2023年9月11日,安全基础知识,黑客攻击典型步骤,漏洞分析,实施攻击exploit,消除证据留下后门,收集信息扫描,2023年9月11日,安全基础知识,常见的攻击方式,扫描网络监听DoS与DDoS攻击特洛依木马SQL 注入,2023年9月11日,安全基础知识,通过扫描获取信息,收集目标服务器的信息开放的端口和应用操作系统类型用户帐号信息系统的漏洞应用的漏洞,2023年9月11日,安全基础知识,网

9、络监听,监听的目的是截获通信的内容监听的手段是对协议进行分析常用的工具Sniffer pro、Wireshark都是网络监听、协议分析的工具。Tcpdump在共享网络中，可以监听所有流量在交换环境中，必须设置端口镜像通过协议分析，可获取敏感的明文信息Telnet、smtp、pop3、ftp、http等应用层协议都是明文传输,2023年9月11日,安全基础知识,共享和交换环境下的监听,共享式网络通过网络的所有数据包发往每一个主机通过HUB连接起来的子网可以直接监听交换式网络通过交换机连接网络由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定的端口上可以通过配置“端口镜像”来实现监

10、听,2023年9月11日,安全基础知识,利用监听获取邮件密码,截获用户邮件口令,2023年9月11日,安全基础知识,冒险岛抓包分析案例,设置抓包服务器配置端口镜像7x24小时抓包进行协议分析判断攻击类型,2023年9月11日,安全基础知识,拒绝服务DoS,定义通过某些手段使得目标系统或者网络不能提供正常的服务是针对可用性发起的攻击原理主要是利用了TCP/IP协议中存在的设计缺陷、操作系统或网络设备的网络协议栈存在的缺陷特点难于防范,2023年9月11日,安全基础知识,拒绝服务的形式,资源耗尽和资源过载网络连接带宽资源其他资源，例如：磁盘空间被日志撑满错误的配置不当的配置造成某些服务无法访问物理

11、部件故障,2023年9月11日,安全基础知识,拒绝服务攻击分类,拒绝服务攻击Syn FloodUdp FloodIcmp FloodPing of deathTeardropSmurfLand主要介绍Syn flood、UDP Flood、ICMP Flood攻击,2023年9月11日,安全基础知识,Syn Flood攻击(1),TCP协议提供可靠的连接服务，采用三次握手建立一个TCP连接TCP连接三次握手过程,SYN,SYN+ACK,ACK,Client,Server,SYN_SEND,SYN_RECV,ESTABLISHED,ESTABLISHED,2023年9月11日,安全基础知识,SY

12、N Flood攻击(2),原理：利用TCP协议缺陷发送大量TCP半连接请求，使得目标机器不能进一步接受TCP连接对TCP而言，半连接是指一个没有完成三次握手过程的会话配合IP欺骗,短时间内不断发送SYN包，使服务器回复SYN/ACK,并不断重发直至超时伪造的SYN包长时间占用未连接队列，达到上限后，服务器将拒绝响应SYN请求，正常的SYN请求被丢弃,2023年9月11日,安全基础知识,SYN Flood攻击(3),攻击者172.18.1.1,目标192.0.2.1,欺骗性的 IP 包源地址是伪造的目标地址是 192.0.2.1TCP Open,SYN,2023年9月11日,安全基础知识,SYN

13、 Flood攻击(4),攻击者172.18.1.1,目标192.0.2.1,SYN+ACK,同步应答响应源地址 192.0.2.1目标地址不存在TCP ACK,2023年9月11日,安全基础知识,SYN Flood攻击案例,外高桥机房下载系统DLC服务器61.152.103.129遭到Syn-Flood攻击,2023年9月11日,安全基础知识,UDP Flood攻击,原理：UDP协议是无连接的协议，提供不可靠的传输服务不需要用任何程序建立连接来传输数据 攻击者向目标机端口发送了足够多的 UDP 数据包的时候，整个系统就会瘫痪。使用目标机忙于处理UDP报文，无法处理其它的正常报文，从而形成拒绝服

14、务,2023年9月11日,安全基础知识,ICMP Flood,原理利用ping对网络进行诊断，发出ICMP 响应请求报文计算机收到ICMP echo后会回应一个ICMP echo reply报文攻击者向目标机发送大量的ICMP echo报文目标机忙于处理这些报文，无法处理其它网络报文，从而形成拒绝服务,2023年9月11日,安全基础知识,UDP Flood攻击案例,冒险岛三区服务器受到DDOS攻击事件异常：发现大量发往UDP 8585端器的UDP包影响：端口流出流量95.29M 上层交换机上联端口流量639.27M处理方法：在6509上配置ACL过滤攻击报文,2023年9月11日,安全基础知识

15、,DDOS攻击介绍(1),分布式拒绝服务（DDOS）Distributed Denial of Service传统的拒绝服务是一台机器向受害者发起攻击DDOS攻击是多台主机合作，同时向一个目标发起攻击,2023年9月11日,安全基础知识,DDOS攻击介绍(2),主控端,代理端,2023年9月11日,安全基础知识,模拟试题1,下面哪项不是Syn flood攻击的特征？A 网络流量异常增大B 服务器80端口建立了大量的TCP连接C 服务器收到大量的SYN请求D 未连接队列超过上限,2023年9月11日,安全基础知识,特洛依木马,木马的由来古希腊人围攻特洛伊城时使用的木马计 计算机中的特洛伊木马的名

16、字就是由此得来 定义隐藏在正常程序中的一段具有特殊功能的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络攻击手段 木马的组成server端：安装在目标机器上的软件client端：用于控制目标机器的软件,2023年9月11日,安全基础知识,木马入侵的途径,捆绑欺骗如把木马服务端和某个游戏捆绑成一个文件后中发给别人 危险下载点攻破下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；直接将木马改名上载到FTP网站上，等待别人下载网站挂马在网站的网页中植入木马或插入下载木马的连接主要是利用IE浏览器的漏洞利用系统漏洞入侵后安装木马,2023年9月11日,安全基础知识,木马的特征,

17、隐蔽性包含在正常程序中，当用户执行正常程序启动在用户难以察觉的情况下，完成一些危害用户的操作 没有图标,在任务管理器中隐藏自动运行增加一个服务注册表启动项run功能的特殊性 除了文件操作、设置口令、进行键盘记录、远程注册表操作上传、下载以及锁定鼠标等功能,2023年9月11日,安全基础知识,木马的隐藏方式,隐藏进程、端口隐藏文件、目录被控端反向连接控制端 端口复用有些木马在使用80HTTP端口后，收到正常的HTTP请求仍然把它交给Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序 隐身技术 采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DL

18、L，并对所有的函数调用进行过滤 文件加壳通过加壳隐藏特征，躲避杀毒软件的查杀,2023年9月11日,安全基础知识,典型木马-灰鸽子,灰鸽子是国内著名的木马远程控制、文件操作运用“反弹端口”突破防火墙服务端上线通知远程音频通讯，音视频监控,2023年9月11日,安全基础知识,风云项目服务器中木马案例,HIDS监测到异常文件病毒或木马 2008-03-16 01:16:10 999021372 220.166.63.5 192.168.1.5 感染文件=/?/C:/WINDOWS/LocalService.exe 风云测试区测试组loginserver 使用杀毒软件扫描文件加壳木马以webclie

19、nt服务启动,2023年9月11日,安全基础知识,SQL注入,利用SQL的语法，针对的是应用程序开发设计中的漏洞当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入就发生了攻击目标：控制服务器/获取敏感数据,2023年9月11日,安全基础知识,SQL 注入的步骤,判断SQL注入漏洞查找SQL注入点判断后台数据库类型确定XP_CMDSHELL可执行情况获得后台管理的权限,2023年9月11日,安全基础知识,判断SQL注入漏洞,语句http:/*from 表名 where 字段=49（list.asp运行异常）返回 Microsoft OLE DB Provider for SQL

20、Server 错误 80040e14 字符串 Order By Id DESC 之前有未闭合的引号。/list.asp，行290 获取信息初步确定可能存在SQL INJECTION漏洞,2023年9月11日,安全基础知识,查找注入点（1）,测试方法http:/and 1=1http:/and 1=2经典的1=1，1=2测试法可以注入 正常显示（必然结果）正常显示，内容基本与相同 提示错误,2023年9月11日,安全基础知识,查找注入点（2）,使用工扫描注入点,2023年9月11日,安全基础知识,判断数据库类型,语句http:/and 0(select version)返回 Microsoft

21、OLE DB Provider for SQL Server 错误 80040e07 将 nvarchar 值 Microsoft SQL Server 2000-8.00.760(Intel X86)Dec 17 2002 14：22：05 Copyright(c)1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0(Build 2195：Service Pack 4)转换为数据类型为 int 的列时发生语法错误。/list.asp，行290 判断从MS SQL SERVER 后面的8.00.760可看出打了SP

22、3,2023年9月11日,安全基础知识,查询连接DB的权限,语句http:/and 0(select user_name()返回 Microsoft OLE DB Provider for SQL Server 错误 80040e07 将 nvarchar 值 dbo 转换为数据类型为 int 的列时发生语法错误。/list.asp，行290 判断权限很高，可以确定是服务器角色组中的成员,2023年9月11日,安全基础知识,执行XP_CMDSHELL,条件当前连接数据的帐号具有SA权限master.dbo.xp_cmdshell扩展存储过程能够正确执行语句HTTP:/xxx.xxx.xxx/l

23、ist.asp?id=49；exec master.xp_cmdshell“net user aaa bbb/add”-HTTP:/xxx.xxx.xxx/list.asp?id=49;exec master.xp_cmdshell“net localgroup aaa administrators/add”-结果 在操作系统中添加帐户aaa,密码为bbb将新建的帐户aaa加入管理员组,2023年9月11日,安全基础知识,获得web后台管理的权限,后台管理的认证页面一般有以下语句：select*from admin where username=XXX and password=YYY绕过登录

24、认证语句变形为select*from admin where username=abc or 1=1-and password=123轻易骗过系统，获取合法身份,2023年9月11日,安全基础知识,如何防范SQL注入,对用户的输入进行严格的过滤对变量类型进行检查执行统一的代码规范养成良好的习惯,2023年9月11日,安全基础知识,模拟试题2,SQL注入漏洞与下列哪一项有关？A 服务器的安全配置问题B 操作系统的安全漏洞C 数据库的安全漏洞D 代码安全问题,2023年9月11日,安全基础知识,主要安全技术,防火墙技术入侵检测技术扫描技术,2023年9月11日,安全基础知识,防火墙的概念,防火墙定

25、义：防火墙是位于两个(或多个)网络间，实施网间的隔离和访问控制的一组组件的集合，它满足以下条件：内部和外部之间的所有网络数据流必须经过防火墙只有符合安全政策的数据流才能通过防火墙,2023年9月11日,安全基础知识,防火墙的作用,部署在网络边界处实现网络的隔离与访问控制阻止未经授权的访问流量对网络实施保护，以避免各种IP欺骗和路由攻击在防火墙可以监视一些安全事件的发生情况在防火墙也可以实现NAT地址转换，Internet日志、审计，甚至计费等功能,2023年9月11日,安全基础知识,防火墙的局限性,不能防止内部的攻击针对应用层的攻击防御效果不佳容易成为网络的瓶颈和单点故障,2023年9月11日

26、,安全基础知识,防火墙的类型,包过滤防火墙应用层网关（代理服务器）状态检测防火墙,2023年9月11日,安全基础知识,包过滤防火墙(1),是一种基于网络层的安全技术基本的思想过滤器建立一组规则，根据IP包是否匹配规则中指定的条件进行判断如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有规则都不匹配，则根据缺省策略过滤规则包括源和目标IP地址、协议、源和目标端口号,2023年9月11日,安全基础知识,包过滤防火墙(2),在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现优点：实现简单对用户透明缺点：无法识别基于应用层的攻击,2023年9月11日,安全基础知识,应用层网关(1),也称

27、为代理服务器(proxy)位于客户机与服务器之间,完全阻挡了二者间的数据交流 外部系统与内部之间没有直接的数据通道,客,户,网,关,服务器,2023年9月11日,安全基础知识,应用层网关(2),优点在应用层上实现可以针对应用层进行侦测和扫描可实现基于用户的认证可提供理想的日志功能比较安全,缺点有些服务要求建立直接连接，无法使用代理对系统的整体性能有影响,2023年9月11日,安全基础知识,状态检测防火墙,建立状态连接表，将进出网络的数据当成一个个的会话，利用状态表跟踪每个会话状态 对每个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态 提供了完整的对传输层的控制能力,2023年9月

28、11日,安全基础知识,入侵检测技术,什么是IDS？Intrusion Detection System入侵检测系统作用监控网络和系统发现入侵企图或异常现象实时报警主动响应分类主机入侵检测（HIDS）网络入侵检测（NIDS）,2023年9月11日,安全基础知识,主机主侵检测HIDS,安装于被保护的主机中主要分析主机内部活动系统日志系统调用文件完整性检查占用一定的系统资源,2023年9月11日,安全基础知识,网络入侵检测NIDS,安装在被保护的网段中混杂模式监听分析网段中所有的数据包实时检测和响应操作系统无关性不会增加网络中主机的负载,Switch,Monitored Servers,Consol

29、e,通过端口镜像实现（SPAN/Port Monitor）,2023年9月11日,安全基础知识,IDS检测技术,基于特征（Signature-based）建立并维护一个已知攻击知识库判别当前行为活动是否符合已知的攻击模式基于异常（Anomaly-based）首先建立起用户的正常使用模式，即知识库标识出不符合正常模式的行为活动,2023年9月11日,安全基础知识,扫描技术,什么是扫描器？自动检测远程或本地主机安全性弱点的程序可以发现远程服务器开放的TCP端口、提供的服务和软件版本间接地或直观地了解到远程主机所存在的安全问题,2023年9月11日,安全基础知识,扫描器的分类,主机扫描器在系统本地运

30、行检测系统漏洞的程序 网络扫描器基于网络可远程检测目标网络和主机系统漏洞的程序 系统扫描器数据库扫描器Web扫描器商业的非商业的.,2023年9月11日,安全基础知识,扫描工作原理,主动模拟对系统进行攻击的行为记录、分析系统的反应，发现其中的漏洞和脆弱性典型步骤是：发送信息探测数据包等待目的主机或设备的响应分析回来的数据包的特征判断是否具有该漏洞或脆弱性有时不能单靠一次过程就能完成，而是要分析一系列过程情况,2023年9月11日,安全基础知识,端口扫描,Port scanning:找出网络中开放的服务基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用端口扫描的技术已经非常

31、成熟，目前有大量的商业、非商业的扫描器NmapNessusFoundStone,2023年9月11日,安全基础知识,小结,信息安全的概念安全问题产生的根源安全漏洞的威胁常见的攻击方式扫描、监听、DoS&DDoS、木马、SQL注入主要的安全技术防火墙、入侵检测、漏洞扫描,服务器安全规范,网络安全部 2008年11月,2023年9月11日,服务器安全规范,培训内容,服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件,2023年9月11日,服务器安全规范,服务器维护安全规范,口令安全访问控制安全责任的划分安全检查服务器上禁止操作行为系统日志管理安全隐患通告系统安全设置的问题,2023年9月

32、11日,服务器安全规范,口令安全,适用范围操作系统口令（administrator、root）FTP口令数据库口令（SA、root）后台管理口令口令强度口令最小位数要求（12位）口令复杂性要求（大小写字母+数字+字符）口令不能与用户名相同严禁出现空口令、弱口令电话号码、单词、生日等有意义的字母或数字不能作为口令,2023年9月11日,服务器安全规范,口令安全(2),口令的保管与使用不在不安全的地方记录口令口令更改原则上每三个月更改一次服务器被入侵必须立即更改口令岗位调整、离职必须立即更改口令,2023年9月11日,服务器安全规范,服务器的维护,服务器维护的环境要求不允许在家直接登录服务器，可申

33、请Openvpn跳板机权限不允许从他人电脑上登录服务器任何情况下严禁在公共环境(如：网吧)登录服务器日常维护流程的制定游戏的安装、撤消、并区、变更等操作依据规范的要求制定标准操作流程,2023年9月11日,服务器安全规范,访问控制(1),访问控制策略网络访问控制主机访问控制网络访问控制部署硬件防火墙Netscreen主机访问控制Windows环境使用ipsecLinux环境使用iptables,2023年9月11日,服务器安全规范,访问控制(2),访问控制策略的制定最小化授权原则不被允许的就是被禁止的游戏服务器上线前必须确保：iptables已配置且启用ipsec已配置且启用,2023年9月1

34、1日,服务器安全规范,安全职责的划分(1),网络安全部职责服务器安全的整体规划安全规范的制定与修改漏洞跟踪、发现隐患、发布安全通告协助相关部门落实安全规范协助相关部门排除安全隐患履行安全规范落实的监督与检查职责履行安全隐患排除的监督与检查职责安全事件的处理,2023年9月11日,服务器安全规范,安全职责的划分(2),服务器维护部门职责根据安全规范，负责具体安全工作的开展和落实操作流程的制定具体管理规定的制定根据网络安全部的建议进行安全改进负责排除安全隐患协助网络安全部进行安全事件处理,2023年9月11日,服务器安全规范,安全检查(1),安全检查的范围新装服务器：漏洞、补丁、端口、进程、配置新

35、发布游戏客户端：病毒扫描新安装的应用网站代码的安全检查出现异常的服务器,2023年9月11日,服务器安全规范,安全检查(2),重装系统的条件服务器被入侵感染蠕虫、病毒、中木马关机时间超过6周关机期间外界公布了重大安全漏洞新装服务器不满足安全规范要求服务器曾出现严重漏洞且存在被利用可能性,2023年9月11日,服务器安全规范,安全检查(3),通过安全检查的条件操作系统及应用满足安全设置要求转移出项目的服务器删除所有软件与数据应用程序WinchkOctopod,2023年9月11日,服务器安全规范,服务器上禁止的操作行为,服务器上禁止以下操作收发邮件使用浏览器上网查阅资料使用浏览器进行与工作无关的

36、访问 程序开发与调试玩游戏非工作用途的操作存放与工作无关的文件,2023年9月11日,服务器安全规范,系统日志管理1,日志是进行事后追查与分析的重要手段日志的种类维护日志、应用日志维护日志系统日志应用日志安全日志应用访问日志Web日志Email日志FTP日志等,2023年9月11日,服务器安全规范,系统日志管理2,对系统日志的要求服务器有记录维护情况的日志与维护有关的日志要保存3个月以上定期查看日志，发异常要及时报告原则上不得随意删除系统日志,2023年9月11日,服务器安全规范,安全隐患通告,网络安全部漏洞的跟踪与分析扫描分析安全隐患发布安全隐患通告相应部门按照通告要求消除隐患安全部监督与检

37、查,2023年9月11日,服务器安全规范,系统安全设置问题(1),新装应用要通知安全部进行漏洞跟踪不安装与工作无关的应用不安装来历不明的软件不使用盗版软件部署游戏程序前要满足以下要求：补丁齐全应用配置满足安全规范要求iptables或ipsec已启用已通过安全部的检查,2023年9月11日,服务器安全规范,系统安全设置问题(2),只能从受信任的网站下载软件和补丁原则上只使用pcanywhere进行远程控制数据库的端口应进行IP限制应用程序不能使用SA连接数据库去除不安全的扩展存储过程(如：xp_cmdshell),2023年9月11日,服务器安全规范,模拟试题3,服务器的口令应在多久修改一次？

38、A 1个月B 2个月C 3个月D 4个月,2023年9月11日,服务器安全规范,培训内容,服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件,2023年9月11日,服务器安全规范,补丁管理流程1,针对windows环境的两套补丁管理系统Winchk/autoupOctopod安全部补丁服务器特点Autoup适用于快速分发安装补丁，但不能准确检查补丁安装的情况Octopod适用于有选择的批量安装和补丁检查，检查准确，可靠性高安全部补丁服务器用于下载单个补丁和下载补丁光盘ISO,2023年9月11日,服务器安全规范,补丁管理流程2,Winchk/Autoup,2023年9月11日,服务器

39、安全规范,补丁管理流程3,Octopod,Https连接,SSH连接,OCTOPOD服务器,用户端,被控端服务器,Https连接,SSH连接1,OCTOPOD服务器,被控端服务器,SSH连接2,内网服务器,端口转发Port forwarding,2023年9月11日,服务器安全规范,补丁管理流程4,补丁收集登录微软网站下载补丁补丁测试Win2000和win2003中英文版补丁安装测试上传补丁向Autoup服务器上传补丁向Octopod服务器上传补丁向安全部补丁服务器上传补丁制作补丁光盘并发布到安全部补丁服务器上,2023年9月11日,服务器安全规范,补丁管理流程5,补丁的分发与安装服务器定时从

40、Autoup上下载补丁并安装Octopod可以通过针对部分主机操作，也可通过脚本自动成批的安装补丁安全部更新盛大网络服务器维护安全规范中的内容IDC支持部各机房与合作单位下载最新的补丁光盘镜像刻录光盘补丁检查补丁是否已安装补丁是否已生效,2023年9月11日,服务器安全规范,补丁管理流程6,补丁检查工具对比Winchk 存在不足，检查结果不准确Octopod 使用微软的工具，检查结果相对准确,2023年9月11日,服务器安全规范,培训内容,安全概念服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件,2023年9月11日,服务器安全规范,目前采取的安全措施(1),日常监控监控部7x24

41、小时监控WinchkHIDS补丁管理AutoupOctopod访问控制Ipsec（Windows)Iptables(Linux),2023年9月11日,服务器安全规范,目前采取的安全措施(2),主机安全加固新装服务器安全配置安全检查新装服务器安全检查游戏客户端新版本病毒检查网站代码安全检查漏洞扫描新装机的漏洞扫描每周定期漏洞扫描漏洞跟踪与分析新应用的漏洞查询与分析每天的漏洞跟踪,2023年9月11日,服务器安全规范,目前采取的安全措施(3),服务器操作平台Octopod身份认证Gina认证PAM认证密宝认证Web登录验证码备份磁带备份Web备份后台db备份,2023年9月11日,服务器安全规范

42、,目前采取的安全措施(4),主机HIDS关键点的完整性检查等病毒扫描情况检查防病毒江民防病毒模块通过Octopod和HIDS调用90%以上的项目都已部署日志审计SYSLOG日志收集对游戏服务器的日志集中收集与管理网络流量监控通过NetView查看流量交换机端口、网卡的流入与流出,2023年9月11日,服务器安全规范,培训内容,安全概念服务器维护安全规范补丁管理流程目前采取的安全措施典型安全事件,2023年9月11日,服务器安全规范,典型安全事件(1),事件1：子公司吉盛服务器网页中被植入木马时间：2004.7.29IP地址：61.152.101.128 发现问题：首页index.asp被修改

43、d:sicentsicentbbs下，有两个文件exe.htm和exe.chm 事件原因：使用了有漏洞的动网论坛代码事件结果：重装服务器、删除动网代码、检查所有代码,2023年9月11日,服务器安全规范,典型安全事件(2),事件2：一台测试机被植入r_server时间：2005.3.3IP地址：61.172.247.28发现问题：61.172.247.28 r_server tcp 4000 c:winntsystem32r_server.exe原因：SQL Server 2000 的SA口令为空结果：重装服务器、修改口令,2023年9月11日,服务器安全规范,小结,造成安全问题的因素很多绝对

44、安全是不存在的减少安全问题的途径：人：员工专业能力的提高、责任心的增强、经验的积累技术：技术的进步管理：安全制度不断完善，并得到有效执行,2023年9月11日,服务器安全规范,课间休息,操作系统安全,网络安全部 2008年11月,操作系统安全,2023年9月11日,主要内容,Windows系统安全Windows安全特性Windows安全配置与管理Linux系统安全Linux安全加强Linux安全的几点建议,操作系统安全,2023年9月11日,Windows的安全特性,Windows的安全机制是建立在对象的基础之上的，它是构成Windows操作系统的基本元素Windows 中首要的对象类型有：文

45、件、目录、存储器、驱动器或系统程序等所有对象的操作必须事先得到授权并由操作系统来执行，防止外部程序直接访问网络数据Windows 正是通过控制程序对对象的访问来获得高的安全级别,操作系统安全,2023年9月11日,系统内建帐户,操作系统安全,2023年9月11日,系统内建组,Windows 2000具有一些内建的组，将帐户放到一个组中的所有账户都会继承这些权限。最简单的一个例子是本地的Administrators组，放到该组中的用户账户具有本地计算机的全部权限,操作系统安全,2023年9月11日,SAM(Security Accounts Manager),在独立的Windows 2000计算

46、机上，安全账户管理器负责保存用户账户名和口令的信息SAM组成了注册表的5个配置单元之一，它在文件%systemroot%system32configsam中实现在Windows 2000域控制器上，用户账户和散列的数据保存在活动目录中(默认为%systemroot%ntdsntds.dit)。,操作系统安全,2023年9月11日,安全标识符SID,Win NT/2K内部对安全主体的操作是通过一个称为安全标识符(Security Identifier，SID)的全局惟一的48位数字来进行的SID是对每一个用户和工作组分配的唯一的标志号内部进程引用帐户的SID而不是用户名和帐号同一台机器上，删除一

47、个帐号，再建立同用户名的帐号，其SID也不同，不能继承前用户的访问权限,操作系统安全,2023年9月11日,SID的格式,S-1-5-21-1507001333-1204550764-1011284298-500SID带有前缀S，它的各个部分之间用连字符隔开第一个数字(本例中的1)是修订版本编号第二个数字是标识符颁发机构代码(对Win2K来说总是为5)后面是4个子颁发机构代码(本例中是21和后续的3个长数字串)最后一个是相对标识符(Relative Identifier，RID，本例中是500),操作系统安全,2023年9月11日,RID,RID对所有的计算机和域来说都是一个常数。带有RID

48、500的SID总是代表本地计算机的Administrator账户。RID 501是Guest账户Windows 2000总是将具有RID 500的帐户识别为管理员,操作系统安全,2023年9月11日,NTFS文件系统,微软推荐采用NTFS文件系统(服务器安全规范也要求采用NTFS)NTFS支持文件和目录级访问权限控制，并可以加密和压缩数据文件和目录有两种访问许可权限：共享访问许可权用于用户与共享文件系统远程连接用户试图通过共享方式访问文件时，系统检查共享许可权限；文件许可权是直接分配给文件或目录的访问权，以任何方式访问文件系统时，都要受文件许可权限的限制。,操作系统安全,2023年9月11日,

49、用户权利、权限和共享权限,网络安全性依赖于给用户或组授予的能力权利:在系统上完成特定动作的授权，由系统指定给内置组也可以由管理员将其扩大到组和用户上。权限:可以授予用户或组的文件系统能力。共享:用户可以通过网络使用的文件夹。,操作系统安全,2023年9月11日,Windows系统的用户权利,权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。,操作系统安全,2023年9月11日,Windows系统的用户权限,权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作指定允许哪些用户可以使用

50、这些对象，以及如何使用权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O),操作系统安全,2023年9月11日,Windows系统的目录权限,如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目。,操作系统安全,2023年9月11日,Windows系统的文件权限,操作系统安全,2023年9月11日,Windows系统的共享权限(1),共享只适用于文件夹（目录）如果文件夹不是共享的，那么在网 络上就不