网络操作系统安全优质PPT.ppt
《网络操作系统安全优质PPT.ppt》由会员分享,可在线阅读,更多相关《网络操作系统安全优质PPT.ppt(29页珍藏版)》请在冰豆网上搜索。
主要的渗入威胁有:
假冒;
旁路;
授权侵犯主要的植入威胁有:
特洛伊木马;
陷门网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.1网络安全的含义网络安全的含义网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
v网络安全四个特征:
保密性:
信息不泄露给非授权用户实体或过程的特性。
完整性:
数据未经授权不能进行改变的特性。
可用性:
可被授权实体访问并按需求使用的特性。
可控性:
对信息的传播及内容具有控制能力。
网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.2网络安全策略网络安全策略v物理安全策略v访问控制策略入网访问控制目录级安全控制属性安全控制网络服务器安全控制网络监测和锁定控制网络端口和节点的安全控制防火墙控制v信息加密策略v网络安全管理策略网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理vWindows2000的系统安全策略的系统安全策略n帐户安全管理帐户安全管理n端口限制n设置访问控制权限n关闭不必要的服务或组件n审核策略网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v帐户安全管理帐户安全管理n将administrator用户改名,并设置较为复杂的密码n禁用guest用户n取消除管理员以外所有用户属性中的“远程控制启用远程控制”以及“终端服务配置文件允许登陆到终端服务”n禁用除管理员、IUSER以及ASPNET用户外,其他的一切用户。
包括SQLDEBUG及TERMINALUSER等网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理vWindows2000的系统安全策略的系统安全策略n帐户安全管理n端口限制端口限制n设置访问控制权限n关闭不必要的服务或组件n审核策略网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v端口限制端口限制入侵者要做的第一件事通常是扫描有漏洞的服务。
其防范的措施是,将所需服务的端口打开,其他端口一律屏蔽。
以一台标准虚拟主机服务器为例,需开通的端口包括:
n80WEB服务器n20FTP数据传输n21FTP命令通道n25SMTP简单邮件发送端口n53DNS域名解析服务端口n110POP3邮件接收服务端口n143IMAP邮件接收服务端口网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v需格外注意的端口:
n1433、3306SQLSERVER和MYSQL数据库端口n3389Win2000远程登录端口n139、445文件共享端口网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v常见的木马和病毒程序端口:
n2000、2001黑洞(木马)默认端口n7306网络精灵(木马)n7626冰河(木马)n8000OICQServer、灰鸽子(病毒)n12345、12346netbus木马n5022华夏同盟远程控制(黑客第一门户)n8181上兴远控默认端口网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理vWindows2000的系统安全策略的系统安全策略n帐户安全管理n端口限制n设置访问控制权限设置访问控制权限n关闭不必要的服务或组件n审核策略网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v设置访问控制权限n对所有的盘符设置administrator组和system用户拥有全部权限,其他用户只读。
nC:
ProgramFilesCommonFiles及C:
WINNT目录对Everyone开放读取、运行、列出文件目录三个权限nC:
WINNTTemp目录对Everyone开放读取、运行、列出文件目录、写入权限n修改CMD.EXE及NET.EXE权限(仅管理员拥有所有权限,其他用户不具备对该文件的访问权)网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v设置访问控制权限nWEB站点目录权限Administrator、system拥有全部权限IUSER(Internet来宾用户)拥有读取、写入、修改权限网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理vWindows2000的系统安全策略的系统安全策略n帐户安全管理n端口限制n设置访问控制权限n关闭不必要的服务或组件关闭不必要的服务或组件n审核策略网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v关闭不必要的服务或组件nComputerBrowser:
提供网络中的计算机列表nMessenger:
信使服务nPrintSpooler:
将文件加载到内存中以便打印nRemoteRegistry:
远程管理本地系统nTelnet:
允许远程用户登录到系统并且使用命令行运行控制台程序nTCP/IPNetBIOSHelper:
NetBIOS名称解析网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理vWindows2000的系统安全策略的系统安全策略n帐户安全管理n端口限制n设置访问控制权限n关闭不必要的服务或组件n审核策略审核策略网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理v审核策略审核策略Windows2000提供了一项安全审核功能,可以用日志的形式记录各种与安全相关的事件,可使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有效法律证据。
本地安全策略本地安全策略本地策略本地策略审核策略审核策略网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理n策略更改:
策略更改:
安全策略更改,包括特权指派、审核策略修改和信任关系修改。
这一类必须同时审核它的成功或失败事件。
n登录事件:
登录事件:
对本地计算机的交互式登录或网络连接。
这一类必须同时审核它的成功和失败事件。
n对象访问:
对象访问:
必须启用它以允许审核特定的对象,这一类需要审核它的失败事件。
n过程追踪:
过程追踪:
详细跟踪进程调用、重复进程句柄和进程终止,这一类可以根据需要选用。
n目录服务访问:
目录服务访问:
记录对ActiveDirectory的访问,这一类需要审核它的失败事件。
网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.3Windows2000系统及服务安全管理系统及服务安全管理n特权使用:
特权使用:
某一特权的使用;
专用特权的指派,这一类需要审核它的失败事件。
n系统事件:
系统事件:
与安全(如系统关闭和重新启动)有关的事件;
影响安全日志的事件,这一类必须同时审核它的成功和失败事件。
n账户登录事件:
账户登录事件:
验证(账户有效性)通过网络对本地计算机的访问,这一类必须同时审核它的成功和失败事件。
n账户管理:
账户管理:
创建、修改或删除用户和组,进行密码更改,这一类必须同时审核它的成功和失败事件。
网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.4Linux系统安全系统安全v数据包进入主机的流程httpdhttpd.confTCP/IPpacketIPFilterTCPWrappersWWW设置设置本机的文件本机的文件系统资源系统资源Client网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.4Linux系统安全系统安全vLinux主机能做的保护:
文件系统权限设置文件系统权限设置防火墙设置防火墙设置监听网络服务监听网络服务软件更新软件更新SELinux网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.4Linux系统安全系统安全v防火墙设置防火墙设置n列出防火墙过滤表中的规则n清除本机防火墙过滤的所有规则n数据包的比对设置#iptableL-n#iptable-F#iptable-X#iptable-Z#iptable-AINPUTIeth0-s192.168.1.10-jDROP#iptable-AINPUTIeth0-s192.168.1.0/24-jACCEPT网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.4Linux系统安全系统安全v防火墙设置防火墙设置n端口设置n保存防火墙的设置#iptablessave/etc/sysconfig/iptables#iptablesAINPUTIeth0pudp-sport67:
68-dport67:
68jACCEPT网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.4Linux系统安全系统安全v监听网络服务监听网络服务Netstat命令命令n列出在监听的网络服务n列出已连接的网络联机状态n删除已建立或在监听中的连接先找出该联机的PID,然后将它删除#netstat-tun#netstat-tunl#netstattunp#kill-9PID网站建设与规划网站建设与规划ASP程序设计程序设计海南大学应用科技学院海南大学应用科技学院12.4Linux系统安全系统安全vRedHatSELinuxnRedHatEnterpriseLinuxAS3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。
SELinux的全称是Security-EnhancedLinux,是由美国国家安全局NSA开发的访问控制体制。
SELinux可以最大限度地保证Linux系统的安全,它将Linux系统的安全从C2级提升到B1级nSELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。
目标策略仅针对部分系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策
升级会员 