主机和数据库安全生产配置与加固措施概述.pptVIP

主机和数据库安全配置与加固措施;一、主机安全配置与加固措施; 信息系统是由主机、网络设备、存储设备、安全设备以及各种应 用系统组成的。其中主机是信息系统中的重要组成部分，承担着信息的存储、处理的主要工作。 由于主机是信息泄露的最终来源，也是各类攻击的最终目标，因此主机的安全关系到整个信息系统中信息的最终安全。; 针对信息系统中的重要终端和服务器《信息安全技术 信息系统安全等级保护基本要求》从以下9个方面对主机安全进行安全要求：;1、身份鉴别;1、身份鉴别 在windows操作系统身份鉴别配置：通过控制面板 管理工具 本地安全策略 计算机配置 Windows设置,配置系统的各项”安全设置”。其中和身份鉴别有关的是 “帐户策略”，其中分为“密码策略”和“帐户锁定策略 ”。;口令复杂性要求;“帐户锁定策略”主要有以下设置： 1)帐户锁定时间 2)帐户锁定阀值 3)在此后复位帐户锁定及暑期; 身份鉴别;2、访问控制安全配置 在windows操作系统安全配置：通过控制面板 管理工具 计算机管理 系统工具 本地用户和组中，可以对系统中的用户 和权限进行安全配置。;在“用户”中应：; 访问控制;3、安全审计安全配置 在通用操作系统中，均有安全审计功能，通过相关配置，能够对系统的重要事件进行安全审计。在windows操作系统中，将通过控制面板 管理工具 本地安全策略 本地策略 审核策略中的所有项目,配置为“成功”和“失败”均记录日志。在“事件察看器”中设置“应用程序”、“安全性”和“系统”日志的存储大小和覆盖策略。;4、安全标记 要求对所有主体和客体设置敏感标记。;5、剩余信息保护安全配置 剩余信息保护要求“确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全消除”。对于通用操作系统来说，考虑到运行效率，没有在系统内核层面默认实现剩余信息保护功能，只能通过第三方工具来实现。;6、入侵防范 通过配置操作系统的自动升级功能，能够使系统自动安装最新的补丁程序，但是对于入侵检测和完整性检测功能，需要第三方工具来实现。入侵检测也可以通过在网络中布置网络入侵检测系统实现;7、恶意代码防范安全配置 要求主机具备一定的恶意代码防范措施。 a) 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库； c) 应支持防恶意代码软件的统一管理。;8、可信路径的安全配置 可信路径是在用户与内核之间开辟一条直接的、可信任的交互路径，为防止黑客特洛伊木马记录在登陆及其他敏感操作时的行动。 ;9、资源控制安全配置 控制系统中各项资源，如：磁盘空间、CPU、内存、网络连接等使用情况等。 1)磁盘空间限制：在windows操作系统中，需要在组策略 计算机配置 管理模板 系统 磁盘配额，配置磁盘配额限制 ;2)资源监控：在windows操作系统中，可以使用控制面板 性能，对系统中所有资源进行监控，并且可以在“性能日志和警报”中，设置“警报”，当某个资源降低到预先设定的最小值，可以进行报警。; 资源控制;二、数据库安全配置与加固措施;1、增强系统管理员帐户sa口令;1、增强系统管理员帐户sa口令 ;2、安装最新的补丁 安装所有补丁，SP1～SP4。 执行以下SQL命令可以查询详细版本信息： select @@version 注：升级补丁可能需要重启数据库服务，升级前应进行测试，并备份系统文件和数据。 ;根据最小权限原则定义专门的帐户用于启动和运行数据库服务，登录SQL SERVER数据库企业管理器，右键点击打开数据库的“属性”，在“安全性”页面中设置SQL Server的启动账户：;4、启用数据库系统日志审计 启用数据库的日志审计功能，登录SQL SERVER数据库企业管理器，右键点击打开数据库的“属性”，在“安全性”页面中设置身份验证和审核级别：;5、删除示例数据库 删除示例数据库“pubs”和“Northwind”，及其它非必需数据库。;9、