安全加固课件PPT

客户至上工匠精神安全加固—讲师：吴晓平安全加固简介概述安全加固答疑交流安全加固分类详解安全加固实施 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 安全加固实施流程p1p2p3p4p5Chapter.1简介概述解决目标系统在安全评估中发现的技术性安全问题对系统性能进行优化配置，杜绝系统配置不当而出现的弱点安全加固1简介安全加固：是对信息系统中的主机系统（包含运行在主机上的各种软件系统）与网络设备的脆弱性进行分析并修补。另外，安全加固同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。目的安全加固1原则修补加固内容不能影响目标系统所承载的业务运行修补加固不能严重影响目标系统的自身性能修补加固操作不能影响与目标系统以及与之相连的其它系统的安全性，也不能造成性能的明显下降。Chapter.2分类详解安全加固1安全加固Windows加固1Windows加固1密码策略加固最小长度及修改时间密码中不得包含易猜测字符、数字密码策略满足复杂度需求必须包含大小字母、数字和特殊符号中三种或以上如常用单词（iloveu）、常用数字（520、12345678）、个人生日日期或者名字缩写最小长度为8位，且从安全的角度，建议使用一段时间后修改密码，且新密码不得为使用过的密码Windows加固1设定账户锁定时间：30分钟设定账户锁定阈值：5次重置账户锁定计数器：30分钟之后账户锁定策略禁用guest账户更改administrator管理员默认名无用账户禁用及默认名更改账户策略加固账户策略加固Windows加固1本地安全策略加固审核策略审核登录审核对象访问审核目录审核进程审核特权审核系统事件审核账户管理HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersWindows加固通过注册表，用户可以轻易地添加、删除、修改windows系统内的软件配置信息或硬件驱动程序，这不仅方便了用户对系统软硬件的工作状态进行实时的调整。与此同时注册表也成为入侵者攻击的目标，通过注册表种植木马、修改软件信息，甚至删除、停用或改变硬件的工作状态。1注册表策略加固Windows加固注册表策略加固=》彻底隐藏文件及文件夹注册表策略加固=》系统启动项活动子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加开机自启动字符串：tiquan=>设置自启动文件：tiquan.batWindows加固1禁用不必要的系统组件及服务Windows加固1防SYN洪水攻击防御手段关闭不必要的服务限制同时打开的SYN半连接数目缩短SYN半连接超时时间及时更新系统补丁通过注册表启动SYN攻击保护HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters找到SYNATTACKPROTECT键值项（没有的话新建即可），把默认的数值由“1”改为“2”，启动SYN攻击保护，从而实现抵御DoS攻击。Windows加固1补丁升级和病毒查杀Linux加固Linux安全加固Linux加固1Linux加固1cp/etc/login/defs/etc/login/defs.savevi/etc/login.defsPASS_MAX_DAYS90(密码不过期的最多天数)PASS_MIN_DAYS0(密码修改之间的最小天数）PASS_MIN_LEN8(密码的最小长度)PASS_WARN_AGE7(密码失效前多少天开始告知用户)密码策略Linux加固1用户账户策略1网络系统服务禁用不必要的服务启用审计服务Linux加固1更改默认服务端口（22改为1024以上的高端口）禁止root用户远程登录SSH使用特定的白名单IP、用户，拒绝之外的非法IP、用户使用DSA公钥认证登录，不使用密码认证使用iptbales技巧来设定SSH锁定时间SSH服务加固Linux加固拷贝~/.ssh/id_dsa.pub中的内容到‘服务器1’的~/.ssh/authorized_keys文件中~$chmod600~/.ssh/authorized_keysLinux加固1系统安全配置echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_allLinux加固1找出系统中所有含"s"位的程序,把不必要得"s"位去掉,或者把根本不用的直接删除[root@ayazero/]#chattr+i/etc/passwd[root@ayazero/]#chattr+i/etc/shadow[root@ayazero/]#chattr+i/etc/gshadow[root@ayazero/]#chattr+i/etc/group[root@ayazero/]#chattr+i/etc/inetd.conf[root@ayazero/]#chattr+i/etc/httpd.conf[root@ayazero/]#find/-nouser-o-nogroup把重要文件加上不可改变属性找出系统中没有属主的文件root@ayazero/]#find/-typef\(-perm-04000-o-perm-02000\)-execls-lg{}\;[root@ayazero/]#chmoda-sfilename认证授权Web安全加固1常见web安全漏洞对应加固防御手段A1——过滤危险注入字符A2——设置严谨的会话认证管理A3——输入清除过滤，输出编码转义A4——验证对象，防止未授权对象访问A5——启用合理安全的配置A6——加密敏感信息，屏蔽错误提示A7——严格把控访问控制权限A8——使用token表单及表单参数隐藏A10——避免使用重定向和转发A9——选用安全最新稳定版本的组件Web安全加固1跨站脚本（XSS）实例用户Web程序攻击者1.用户登录3.用户打开攻击者的URL4.Web程序对攻击者的JS做出回应5.用户浏览器向攻击者发送用户会话信息2.攻击者将URL发送给用户6.攻击者劫持用户会话漏洞原理OWASPESAPI编码库对用户输入数据进行合法性验证为COOKIE设置HttpOnly标记防御边界物理安全加固1物理隔离网闸入侵检测系统防火墙访问控制恶意流量过滤ACL规则检测恶意攻击事件可联动防火墙多种控制功能专用硬件物理上隔离、阻断了具有潜在攻击Chapter.3实施流程加固实施流程1项目启动前期准备信息搜集与分析信息是否充分？加固 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 制定审核通过？实施加固加固成功？效果检验项目验收未达到达到效果回退系统备份回退成功？灾难备份失败成功补充评估失败不充分通过Chapter.4风险规避风险规避1充分保障：系统加固之前，先对系统做完全备份加固时间选择：系统业务量最小，业务临时中断对外影响最小的时间段合理沟通：建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。加固实施策略系统备份与恢复工程中合理沟通的保证风险规避1确定此次要加固的系统、系统重要等级、是否允许重启等制定详细加固策略在确保系统原配置已备份或记录的前期下，对系统进行加固操作安全加固注意事项在确保系统可接受当前加固的前提下，对系统进行加固操作监视系统加固过程，是否能正常工作用户至上工匠精神ThankYouChapter.5答疑交流用户至上工匠精神ThankYou个人观点供参考，欢迎讨论刚才的发言，如有不当之处请多指正。谢谢大家！