单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,等级保护主机信息平安研究,周 穎,主要内容,等级保护中主机平安重要性,信息平安等级保护概况,主机信息平安研究和开展现状,信息平安等级保护概况,信息平安建设的驱动力思考,Why,？,When,？,How,？,Then,？,IT,视角,黑客攻击专业化、职业化,恶意软件已经成为一种产业,目前信息平安方面有哪些特点,黑客攻击越来越多地逐渐成为一个犯罪职业,安全最终演化为人与人的斗争,用户并不总是能够控制自己的信息,信息比以前任何时候都更重要,终端就是安全防御链中最薄弱的一环,攻击总是比补丁来得更快，服务器的安全防御措施明显不足,蠕虫正在变得史无前例的狡猾,复杂是安全的敌人,法律法规将会驱动合规与安全审计的发展和采用,最终用户被视为威胁,等级保护出台时信息平安开展的需要,信息平安问题层出不穷,平安保护措施、平安管理建设缺乏，导致各种平安事故发生,国内缺乏相类似的平安标准,国家、效劳商和用户在平安建设过程中缺乏参考依据,随着信息平安技术的开展,随着平安意识的提高,随着平安效劳范围增大,对信息平安管理需要实行等级化保护(目标/要求/能力),开展等级保护的政策和法律依据之一,1994年国务院公布的?中华人民共和国计算机信息系统平安保护条例?规定计算机信息系统实行信息系统平安等级保护。,2003年中央办公厅、国务院办公厅转发的?国家信息化领导小组关于加强信息平安保障工作的意见?中办发200327号中明确指出：“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息系统平安等级保护制度，制定信息系统平安等级保护的管理方法和技术指南。,2004年公安部等四部委?关于信息系统平安等级保护工作的实施意见?公通字200466号也指出：“信息系统平安等级保护制度是国家在国民经济和社会信息化的开展过程中，提高信息平安保障能力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建设健康开展的一项根本制度。,开展等级保护的政策和法律依据之二,2007年6月，公安部等四部委联合下发?信息平安等级保护管理方法?,2007年7月，四部委联合会签并下发了?关于开展全国重要信息系统平安等级保护定级工作的通知?公信安2007861号,从系统工程角度考虑等级保护建设,等级保护总体方案设计,等级保护建设流程,等级化平安保障体系设计,图4平安建设技术方案实现,等级保护平安建设技术方案解决方案框架,等级保护中主机平安重要性,当前，信息平安解决方案主要针对物理层、网络层、应用层和管理层,所有数据库、应用系统等核心数据资存储在效劳器中。,系统层平安相对薄弱，成为整体平安的短板,主机平安重要性-短板决定整体水平,等级保护主机平安要求 三级以上,适用范围,设备类型,安全功能,安全计算环境,三级安全操作系统,（或安全增强）,用户身份鉴别,自主访问控制,标记与强制访问控制,系统安全审计,用户数据完整性保护,用户数据保密性保护,客体安全重用,三级安全数据库管理系统,（或安全增强）,用户身份鉴别,自主访问控制,标记与强制访问控制,系统安全审计,用户数据完整性保护,用户数据保密性保护,客体安全重用,主机可执行程序保护系统,系统可执行程序保护,安全区域边界,安全通信网络,安全管理中心,系统管理,/,安全审计,系统管理功能,/,安全审计功能,平安计算环境总结,操作系统,核心防护,用户与账号管理,授权与访问控制,增强的认证手段,平安审计,主机信息平安研究和开展现状,主机平安技术开展,阶段一：网络层外围防护,阶段二：主机平安评估与系统手工加固,阶段三：应用级主机平安防水墙、终端管理,阶段四：内核级主机平安,网络层、应用层外围防护,防火墙,VPN,网闸,平安网络监控管理平台,入侵检测系统,PKI,认证,核心效劳器,效劳器管理系统,杀毒软件,主机核心层平安防护措施明显缺乏,主机平安技术开展,阶段一：网络层外围防护,阶段二：主机平安评估与系统手工加固,阶段三：应用级主机平安防水墙、终端管理,阶段四：内核级主机平安,平安评估系统的开展历程,简单的扫描程序,功能较为强大的,商业化扫描程序,平安评估专家系统,最早出现的是专门为,UNIX,系统编写的一些只具有简单功能的小程序，多数由黑客在业余时间编写。,特点是功能单一，通常只能进行端口或,CGI,扫描等等；使用复杂，通常只有黑客才能够熟练使用；源代码开放。,Nmap,即是其代表作品。,99年以前，出现的功能较为强大的商业化产品，特点是测试项数目较多，使用简单。,但是通常只是简单的把各个扫描测试项的执行结果罗列出来，直接提供给测试者而不对信息进行任何分析处理。对结果的评估分析、报告功能很弱。这时期的产品，主要功能还是扫描。,CyberCop和ISS Scanner是其中的代表。,近两年，主要商业化产品均运行Windows操作系统平台上，充分利用了WINDOWS平台上界面的友好性和开发的简单行。正在进行由平安扫描程序到平安评估专家系统的过渡。,不但使用简单方便，能够将对单个主机的扫描结果整理，形成报表，能够并对具体漏洞提出一些解决方法。但目前产品对网络的状况缺乏一个整体的评估，对网络平安没有系统的解决方案。,是否设置了帐户锁定阀值。,是,否,是否设定了帐户登陆失败锁定时间,锁定时间为多少。,是否设置了复位帐户锁定计数器。,是,否,是否将审核策略更改为成功和失败。,是,否,是否将审核登录事件更改为成功和失败。,是,否,是否将审核对象访问设置为失败。,是,否,当登录时间用完时自动注销用户（启用）。,是,否,在挂起会话之前所需的空闲时间（小于等于,30,分钟）。,发送未加密的密码到第三方,SMB,服务器,:,（禁用）。,是,否,允许对所有驱动器和文件夹进行软盘复制和访问（禁用）。,是,否,故障恢复控制台,:,允许自动系统管理级登录（禁用）。,是,否,清除虚拟内存页面文件（启用）。,是,否,允许系统在未登录前关机（禁用）。,是,否,交互式登录：不显示上次的用户名（启用）。,是,否,主机平安评估与系统手工加固WINDOWS手工加固例如,用星号掩藏任何的口令输入,;HKLMSoftwareMicrosoft WindowsCurrentVersionPoliciesNetworkHideSharePwds,(REG_DWORD)1,是,否,禁止自动执行系统调试器,:HKLMSoftware MicrosoftWindows NTCurrentVersionAeDebugAuto,(REG_DWORD)0,是,否,禁止自动登录,:HKLMSoftwareMicrosoftWindows NT CurrentVersionWinlogonAutoAdminLogon,(REG_DWORD)0,是,否,禁止在蓝屏后自动启动机器,:HKLMSystem CurrentControlSetControlCrashControlAutoReboot,(REG_DWORD)0,是,否,禁止,CD,自动运行,:HKLMSystemCurrentControlSetServicesCDrom,Autorun(REG_DWORD)0,是,否,删除服务器上的管理员共享,:HKLMSystemCurrentControlSet ServicesLanmanServerParametersAutoShareServer,(REG_DWORD)0,是,否,源路由欺骗保护,:HKLMSystemCurrentControlSet ServicesTcpipParametersDisableIPSourceRouting,(REG_DWORD)2,是 否,帮助防止碎片包攻击,:HKLMSystemCurrentControlSet ServicesTcpipParametersEnablePMTUDiscovery,(REG_DWORD)1,是,否,管理,keep-alive,时间,:HKLMSystemCurrentControlSetServicesTcpip ParametersKeepAliveTime,(REG_DWORD)300000,是,否,主机平安评估与系统手工加固WINDOWS手工加固例如,netstat,服务已被禁用,是,否,ntalk,和,talk,服务已被禁用,是,否,pcnfsd,服务已被禁用,是,否,pop3,服务已被禁用,是,否,rexd,服务已被禁用,是,否,quotad,服务已被禁用,是,否,rstatd,服务已被禁用,是,否,rusersd,服务已被禁用,是,否,rwalld,服务已被禁用,是,否,shell,服务已被禁用,是,否,spayd,服务已被禁用,是,否,systat,服务已被禁用,是,否,tftp,服务已被禁用,是,否,time,服务已被禁用,是,否,ttdbserver,服务已被禁用,是,否,uucp,服务已被禁用,是,否,CDE,桌面环境已被禁用,是,否,lpd,服务已被禁用,是,否,nfs,服务已被禁用,是,否,主机平安评估与系统手工加固类UNIX手工加固例如,基于自主访问控制的平安规那么,粗粒度的文件平安属性管理,无法实现数据机密性、完整性要求,不能保证业务系统的连续性，可用性要求,维护周期漫长，必须针对新的病毒和漏洞不停更新,平安职责划分模糊，不能建立有效的平安制度,无法从根本上解决操作系统的安全问题,手工加固的局限性,主机平安技术开展,阶段一：网络层外围防护,阶段二：主机平安评估与系统手工加固,阶段三：应用级主机平安防水墙、终端管理,阶段四：内核级主机平安,扩展身份认证,敏感文件加密,主机资源信息管理,系统运行状况监控,对网络传输、媒体介质使用、计算机接口和打印控制,防水墙审计工具,应用级主机平安防水墙、终端管理,适用于终端，对服务器操作系统、数据库、应用系统等核心数据资产保护效果有限,主机平安技术开展,阶段一：网络层外围防护,阶段二：主机平安评估与系统手工加固,阶段三：应用级主机平安防水墙、终端管理,阶段四：内核级主机平安,应用层,(Vaccine,IDS.),网络层,Firewall.,内核层,H/W,操作系统,(Linux,Unix,NT.),SSR,基本安全产品,(,防火墙,杀毒软件,.),简单嗅探攻击,应用级代码攻击,内核级脚本及内部攻击,从服务器,CPU Ring,0,级,对操作系统文件、注册表、服务等资源进行强制访问控制的保护，阻断外部黑客、病毒对系统的破坏，并通过对应用层的主动防护，保证业务系统的可靠性，连续性、稳定性。,内核级平安防护,基于核心防护的主机平安收益,简化操作流程,提高访问平安,降低管理本钱,符合平安标准,减轻管理压力,通过强制访问控制保护操作系统资源-根本上免疫病毒、黑客、木马等对系统的破坏,逐个系统的认证登陆,-,单点登陆,逐个系统的设置帐号策略,-,集中账号管理,直接访问管理,-,集中访问控制网关,分散审计-综合平安审计,免疫,OS,攻击,逐个系统的认证平安建设-集中IAM方案,三权分立,分权管理限制了系统管理员的权限,-,使重要文件不能被非法访问，防止泄露、篡改、滥用；,基于核心防护的主机需要哪些平安？,认证管理,完整性检测,集中审计,日志过滤,日志分析,关联分析,日志采集,用户管理,强制访问控制,授权管理,审计报表,工单扭转,生命周期管理,角色管理,资源管理,用户同步,策略管理,主从帐号管理,进程,注册表,效劳,文件 目录,策略管理,主从帐号管理,集中认证,认证方式,外部认证,单点登录,客户端认证,效劳,文件,用户授权,角色授权,资源授权,集中授权,应用授权,行为授权,2024/11/15,Inspur group,谢谢大家,!,