信息系统安全保障培训课件.pptVIP

WWW.HZTEC.ORG.CN GB/T 9361-1988《计算站场地安全要求》 GB/T 18336-2008《信息技术安全性评估准则》 GB/T 22081-2008《信息安全管理实用规则》 GB/T 22239-2008《信息系统安全等级保护基本要求》 GB/T 20984-2007《信息安全风险评估规范》 相关标准 谢谢！ * WWW.HZTEC.ORG.CN 具体安全要求 定期更新操作系统版本，修补漏洞； 关闭与应用无关的服务、启动脚本或网络功能； 对登录用户进行身份标识和鉴别；用户的身份标识唯一； 身份鉴别如采用用户名/口令方式，应设置口令长度、复杂性和更新周期； 修改默认用户的口令或禁止默认用户访问，禁止匿名访问或限制访问的范围； 具有登录失败处理功能，当登录失败次数达到限制值时，应结束会话、锁定用户； 操作系统安全——要求 WWW.HZTEC.ORG.CN 具体安全要求 实行特权用户的权限分离，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限，并在他们之间形成相互制约的关系； 对系统内的重要文件（如启动脚本文件、口令文件、服务配置文件）、服务、环境变量、进程等实施访问控制； 系统管理员实施远程登录时，应使用强鉴别机制，且操作系统应记录详细的登录信息； 通过设定终端接入方式、网络地址范围等条件限制终端的登录； 操作系统安全——要求 WWW.HZTEC.ORG.CN 具体安全要求 对安全事件进行审计，审计事件至少包括：用户管理、审计功能启停及审计策略调整、权限变更、系统资源的异常使用、重要的系统操作、重要用户的各项操作进行审计； 审计记录应包括日期和时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等；审计记录应受到保护避免受到未预期的删除、修改或覆盖； 用户鉴别信息及与应用信息所在的存储空间，被释放或再分配给其他用户之前应完全清除； 限制单个用户对系统资源的最大使用额度。 操作系统安全——要求 WWW.HZTEC.ORG.CN 安全技术要求之——数据库安全 数据库 版本更新与漏洞修补 口令质量 用户权限分配 存储过程及函数开放 安全审计 WWW.HZTEC.ORG.CN 典型案例 某单位内网核心业务Oralce数据库：管理员密码易猜测(manager)，内部非授权人员可轻易进入数据库查询本无权访问的业务信息、甚至删除数据。 85%的Oracle数据库：都未设Oralce监听服务的密码，导致局域网内任何人都可随意关闭数据库对外服务。 数据库安全——案例 WWW.HZTEC.ORG.CN 具体安全要求 定期更新数据库版本，修补漏洞； 修改默认用户的口令或禁止默认用户访问 设置合理的口令长度、复杂性和更新周期； 取消不必要的权限开放，严格限制Public角色权限； 禁用或删除数据库不需要的内置存储过程及函数； 严格限制系统管理员及应用系统用户的权限分配，按照最小授权原则，分别授予不同用户各自为完成自身承担任务所需的最小权限； 数据库安全——要求 WWW.HZTEC.ORG.CN 具体安全要求 严格限制数据库链接的设置； 对数据库的安全事件进行审计，建议应审计：用户管理、审计功能启动关闭、审计策略调整、权限变更、数据字典访问、管理员用户各项操作、对存储重要信息的数据表的各项操作； 限制单个用户对数据库资源的最大使用额度 数据库安全——要求 WWW.HZTEC.ORG.CN 安全技术要求之——应用平台安全 应用 平台 版本更新与漏洞修补 默认口令 默认权限开放 安全审计 …… WWW.HZTEC.ORG.CN 典型案例 2008年陕西省地震局门户网站虚假信息发布：“今晚陕西等地会有强烈地震发生”，网站后台管理员弱口令被破解。 2009年宁波某政府网站被植入后门：黑客利用IIS6文件名解析漏洞植入后门，可以向WEB目录写入任意内容； 2010年3月杭州某单位门户网站被植入后门：网站Tomcat服务后台管理员默认密码(tomcat)未修改且对外开放，黑客上传后门程序，可随意对网站进行文件下载、删除、修改。 应用平台安全——案例 WWW.HZTEC.ORG.CN 基本目标 Web服务、应用层服务、邮件服务等通用应用平台应该根据系统总体安全策略进行选择和安全配置，并及时升级补丁包。安全配置的内容包括：身份鉴别、用户权限分配、口令质量等 应用平台安全——要求 WWW.HZTEC.ORG.CN 具体安全要求（以Web服务为例） 定期更新Web服务软件的补丁，修补高风险漏洞； 配置Web服务的提示信息，不显示Web服务软件和操作系统的版本和类型； 合理设置Web服务的管理密码，并定期更改 禁止将Web服务的管理界面开放至外网 禁止非授权用户对Web服务根目录的访问； 禁用或删除默认安装