4-Internet服务安全技术-new终稿.ppt

教学目标 没有安全的服务就没有安全的Internet 就Internet服务而言，主要由运行承载服务的网络服务器操作系统和具体执行的各类服务（协议）组成 重点是以网络服务器操作系统及基本服务为核心的Internet服务安全技术 要点内容 服务器操作系统安全概述 Windows Server 2003/2008安全技术 Linux/UNIX安全技术 FTP安全、E-mail安全、Web安全 DHCP与DNS服务安全技术 能力要求 掌握服务器操作系统安全、Internet服务安全的基本概念 了解Windows Server 2003/2008、Linux/UNIX、DHCP与DNS服务、IPv4/IPv6的基本安全漏洞及相关安全防范策略 能分析FTP、E-mail、Web的基本安全问题，会应用基本的相关安全防范操作 4.1 服务器操作系统安全概述 只有立足于服务器操作系统，从造成信息安全问题的源头抓起，才能构筑全面高效的安全防护系统 如果说一个操作系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息 4.1 服务器操作系统安全概述 操作系统的安全包含两层意思： 操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全 操作系统在使用中，通过一系列的配置，保证操作系统尽量避免由于实现时的缺陷或应用环境因素产生的不安全因素 服务器操作系统的安全漏洞 没有一款网络服务器操作系统是完全可靠的，它们总是存在各种各样的安全漏洞 实际上，根据目前的软件设计水平和开发工具，要想绝对避免软件漏洞是不可能的 网络服务器操作系统作为一种系统软件，在设计和开发过程中造成这样或那样的缺陷，埋下一些安全隐患，使黑客有机可乘，也是可以理解的 软件质量决定了软件的安全性 服务器操作系统安全特点 一方面，由于操作系统的代码庞大，从而存在安全漏洞；另一方面，管理员或使用人员对复杂的操作系统和安全机制了解不够、配置不当也会造成安全隐患 除了增加安全补丁之外，还需建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度 Internet服务安全是一个系统工程，操作系统安全只是其中的一层，还需要其他环节的配合，如防火墙、杀毒软件、加密产品等配合使用，才能达到Internet服务安全 4.2 Windows 03/08安全技术 微软一直以在操作系统中捆绑许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的 03起打破了这种传统的模式，使得在默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行 2003的安全特性 主要有连接防火墙、授权执行机制、无线网络的安全强化、安全凭证及SSL、EFS等方面 同时启用了安全模板，使得安全配置和管理变得容易理解、操作和简单 2003的安全配置 物理安全 停用Guest账号 限制用户数量 多个管理员账号 Administrator账号改名 陷阱账号 安全密码 防病毒软件 备份安全 2008的安全特性 增加了Web工具、虚拟化技术、安全性的强化及管理公用程序，提供稳固的网络服务器操作系统基础 通过政策驱动安全特征，提供改善的可管理性以及安全策略。简化的管理界面允许管理员轻松控制安全以及与功能相关的政策，提高安全同时减少管理时间 2008安全策略 高级安全Windows防火墙 网络访问保护策略 NPS 应用程序控制策略 AppLocker 4.3 Linux/UNIX安全技术 Linux有两个特点：一是它免费提供源码，二是爱好者可以按照自己的需要自由修改、复制和发布程序的源码，并公布在Internet上 由于可以得到源码，所以内部逻辑可见，这样就可以准确地查明故障原因，及时采取相应对策。同时，这也使得用户容易根据操作系统的特点构建安全保障系统，不会由于不了解不公开源码的“黑盒子”式的系统预留的什么“后门”而受到意外的打击。 Linux系统安全技术 入侵检测技术 加密文件系统 安全审计 强制访问控制 防火墙 Linux系统安全加固 只开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小 将所需的不同服务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置和管理，减小系统的安全风险 Linux系统安全加固 安装：使系统处于单独（或隔离）的网络中，以防止未受保护的系统连接到其他网络或互联网中受到可能的攻击，安装完成后将下面软件卸载： Pump、apmd、lsapnptools、redhat-logos、 mt-st、kernel-pcmcia-cs、Setserial、redhat-rele