主机和数据库安全配置.pptVIP

主机和数据库安全配置与加固措施 一、主机安全配置与加固措施 信息系统是由主机、网络设备、存储设备、安全设备以及各种应 用系统组成的。其中主机是信息系统中的重要组成部分，承担着信息的存储、处理的主要工作。 由于主机是信息泄露的最终来源，也是各类攻击的最终目标，因此主机的安全关系到整个信息系统中信息的最终安全。 针对信息系统中的重要终端和服务器《信息安全技术 信息系统安全等级保护基本要求》从以下9个方面对主机安全进行安全要求： 1、身份鉴别 在windows操作系统身份鉴别配置：通过控制面板 管理工具 本地安全策略 计算机配置 Windows设置,配置系统的各项”安全设置”。其中和身份鉴别有关的是 “帐户策略”，其中分为“密码策略”和“帐户锁定策略 ”。 口令复杂性要求 启用 口令长度最小值 8字符 口令最长存留期 90天 口令最短存留期 0天 复位帐户锁定计数器 15分钟 帐户锁定时间 15分钟 帐户锁定阀值 5次 “密码策略”主要有以下设置： 1)密码应符合复杂度要求 2)设置密码长度最小值 3)密码最短使用期限 4)强制密码历史 5)用可还原的加密来存储密码 “帐户锁定策略”主要有以下设置： 1)帐户锁定时间 2)帐户锁定阀值 3)在此后复位帐户锁定及暑期 身份鉴别 必须录入密码才能登陆 取消弱密码和空密码帐号 密码8位以上，字母数字混合。 启用帐号锁定策略 取消远程登陆 身份鉴别需检查项 2、访问控制安全配置 在windows操作系统安全配置：通过控制面板 管理工具 计算机管理 系统工具 本地用户和组中，可以对系统中的用户 和权限进行安全配置。 在“用户”中应： 1)禁用系统来宾帐户 4)在组中，应为每个帐户授予所需的最小权限 3)删除系统中所有无用帐户、过期帐户和共享帐户 2)重命名系统默认帐户、修改默认口令 访问控制 取消不使用的共享文件夹 控制系统开启的共享及共享文件夹的访问权限,删除IPC$、ADMIN$、C$、D$等默认共享 控制重要数据的访问权限 Guest账号禁用 取消多余账号 访问控制需检查项 3、安全审计安全配置 在通用操作系统中，均有安全审计功能，通过相关配置，能够对系统的重要事件进行安全审计。在windows操作系统中，将通过控制面板 管理工具 本地安全策略 本地策略 审核策略中的所有项目,配置为“成功”和“失败”均记录日志。在“事件察看器”中设置“应用程序”、“安全性”和“系统”日志的存储大小和覆盖策略。 4、安全标记 要求对所有主体和客体设置敏感标记。 5、剩余信息保护安全配置 剩余信息保护要求“确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全消除”。对于通用操作系统来说，考虑到运行效率，没有在系统内核层面默认实现剩余信息保护功能，只能通过第三方工具来实现。 6、入侵防范 通过配置操作系统的自动升级功能，能够使系统自动安装最新的补丁程序，但是对于入侵检测和完整性检测功能，需要第三方工具来实现。入侵检测也可以通过在网络中布置网络入侵检测系统实现 入侵防范 系统已安装最新的升级补丁包 关闭系统开启的多余的系统服务 关闭系统开启的多余的网络端口 卸载系统安装的多余的Windows组件 入侵防范需检查项 7、恶意代码防范安全配置 要求主机具备一定的恶意代码防范措施。 a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库； c) 应支持防恶意代码软件的统一管理。 8、可信路径的安全配置 可信路径是在用户与内核之间开辟一条直接的、可信任的交互路径，为防止黑客特洛伊木马记录在登陆及其他敏感操作时的行动。 管理员应在控制面板 管理工具 本地安全策略 计算机配置 Windows设置 本地策略 安全选项中，将“交互式登陆：无需按Ctrl+Alt+Del”设置为“已禁用”。 9、资源控制安全配置 控制系统中各项资源，如：磁盘空间、CPU、内存、网络连接等使用情况等。 1)磁盘空间限制：在windows操作系统中，需要在组策略