论文3(计算机网络安全)..docxVIP

天津电子信息职业技术学院 专题报告（论文） 题目:系统加固方法归纳与主动防御 姓 名 张志成 学 号 14 专业班级 计算机网络技术S12-2 完成时间 2014年6月1日 摘要:随着网络的进一步普及，网络在为合法用户提供方便快捷服务的同时，也为很多“黑客” 提供了可乘之机。如何安全高效的保护网络，如何保证网络资源的真实性，已经成为与人们切身 利益相关的实际问题。那么对系统加固与主动式动态网络防御技术的掌握是信息人类所必须掌握 的。主动式动态网络防御技术直接对网络信息进行监控，能够完成牵制和转移黑客的攻击，对黑 客入侵方法进行技术分析，对网络入侵进行取证甚至对入侵者进行跟踪。当前的主动式动态网络 防御技术主要有动态网络安全技术、伪装技术、网络欺骗技术、黑客追踪技术。 关键字：系统加固主动防御 信息安全信息侵害 目录 TOC \o 1-5 \h \z 一、 账号管理、认证授权 1 （一） 、账号安全 1 （二） 、口令 1 （三） 、授权 1 二、 日志配置 2 （一） 、审核策略设置 2 （二） 、日志记录策略设置 2 三、 通信协议 2 （一） 、IP协议安全 2 四、 设备其他安全要求 3 （）、屏幕保护 3 （二） 、共享文件夹及访问权限 3 （三） 、补丁管理 4 （四） 、防病蠹管理 4 （五） 、Windows服务 4 （六） 、启动项 4 五、 主动防御 5 （一） 、内容简介 5 （二） 、主动防御的实现 5 、账号管理、认证授权 （一） 、账号安全 根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户， 来宾用户等。 删除或锁定与设备运行、维护等与工作无关的账号，提高系统帐户安全。 对于管理员帐号，要求更改缺省帐户名称；禁用 guest （来宾）帐号。提高系统安 全性。 （二） 、口令 设置密码策略 减少密码安全风险；防止系统弱口令的存在，减少安全隐患。对于采用静态口令 认证技术的设备，口令长度至少 6位，且密码规则至少应采用字母（大小写穿插）加 数字加标点符号（包括通配符）的方式。 设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码。 （三） 、授权 远端系统强制关机设置 防止远程用户非法关机，在本地安全设置中从远端系统强制关机只指派给 Administrators 组； 关闭系统设置 防止管理员以外的用户非法关机，在本地安全设置中关闭系统仅指派给 Administrators 组； “取得文件或其它对象的所有权”设置 防止用户非法获取文件，在本地安全设置中取得文件或其它对象的所有权仅指派给 Administrators “从本地登陆此计算机”设置 防止用户非法登录主机，在本地安全设置中配置指定授权用户允许本地登陆此计 算机 “从网络访问此计算机”设置 防止网络用户非法访问主机，在组策略中只允许授权帐号从网络访问 （包括网络 共享等，但不包括终端服务）此计算机。 二、 日志配置 （一） 、审核策略设置 设置审核策略，记录系统重要的事件日志，设备应配置日志功能，对用户登录进 行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登 录时，用户使用的IP地址。无法对用户的登陆以及登陆后对系统的操作过程、特权 使用等进行日志记录 （二） 、日志记录策略设置 化系统日志记录，防止日志溢出。设置应用日志文件大小至少为 8192KB设置 当达到最大的日志尺寸时，按需要改写事件如果日志的大小超过系统默认设置， 则无 法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等 三、 通信协议 （一）、IP协议安全 启用TCP/IPW选 过滤不必要的端口，提高系统安全性，对没有自带防火墙的 Windows系统，启 用Windows系统的IP安全机制（IPSe破网络连接上的TCP/IPW选，只开放业务所需 要的TCP UDP端口和IP协议如不有效过滤系统中存在的不必要的端口以及默认的端 口会增加潜在被攻击和非法利用的安全风险 开启系统防火墙 启用WindowsXP和Windows2003自带防火墙，过滤不必要的端口，提高系统安 全性。根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的 IP地址 范围。没有访问控制，系统可能被非法登陆或使用，从而增加潜在被攻击的安全风险 启用SYNt击保护 启用SYM击保护，提高系统安全性；指定触发SY测水攻击保护所必须超过的 TCP?接请求数阀值为5;指定处于SYN_RCVD犬态的TCP连接数的阈值为500;指 定处于至少已发送一次重传的 SYN_RCVD犬态中的TCP连接数的阈值为400。如不 启用SYM击保护，系统则容易被SYNE绝服务攻击后导致迅速当机。 四、设备其他安全要求 （一） 、屏幕保护 启用屏幕保护程序