論文3(計算機網(wǎng)絡(luò)安全)

1、天津電子信息職業(yè)技術(shù)學(xué)院專題報告（論文）題目: 系統(tǒng)加固方法歸納與主動防御 姓 名 張志成 學(xué) 號 14 專業(yè)班級 計算機網(wǎng)絡(luò)技術(shù)S12-2 完成時間 2014年 6 月 1日 摘要: 隨著網(wǎng)絡(luò)的進一步普及，網(wǎng)絡(luò)在為合法用戶提供方便快捷服務(wù)的同時，也為很多“黑客”提供了可乘之機。如何安全高效的保護網(wǎng)絡(luò)，如何保證網(wǎng)絡(luò)資源的真實性，已經(jīng)成為與人們切身利益相關(guān)的實際問題。那么對系統(tǒng)加固與主動式動態(tài)網(wǎng)絡(luò)防御技術(shù)的掌握是信息人類所必須掌握的。主動式動態(tài)網(wǎng)絡(luò)防御技術(shù)直接對網(wǎng)絡(luò)信息進行監(jiān)控，能夠完成牽制和轉(zhuǎn)移黑客的攻擊，對黑客入侵方法進行技術(shù)分析，對網(wǎng)絡(luò)入侵進行取證甚至對入侵者進行跟蹤。當(dāng)前的主動式動態(tài)網(wǎng)絡(luò)

2、防御技術(shù)主要有動態(tài)網(wǎng)絡(luò)安全技術(shù)、偽裝技術(shù)、網(wǎng)絡(luò)欺騙技術(shù)、黑客追蹤技術(shù)。關(guān)鍵字：系統(tǒng)加固 主動防御 信息安全 信息侵害目錄一、賬號管理、認證授權(quán)1（一）、賬號安全1（二）、口令1（三）、授權(quán)1二、日志配置2（一）、審核策略設(shè)置2（二）、日志記錄策略設(shè)置2三、通信協(xié)議2（一）、IP協(xié)議安全2四、設(shè)備其他安全要求3（一）、屏幕保護3（二）、共享文件夾及訪問權(quán)限3（三）、補丁管理4（四）、防病毒管理4（五）、Windows服務(wù)4（六）、啟動項4五、主動防御5（一）、內(nèi)容簡介5（二）、主動防御的實現(xiàn)5一、賬號管理、認證授權(quán)（一）、賬號安全1.根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組，管理員用戶，數(shù)據(jù)庫用戶

3、，審計用戶，來賓用戶等。2.刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的賬號，提高系統(tǒng)帳戶安全。3.對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。提高系統(tǒng)安全性。（二）、口令1.設(shè)置密碼策略減少密碼安全風(fēng)險；防止系統(tǒng)弱口令的存在，減少安全隱患。對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少6位，且密碼規(guī)則至少應(yīng)采用字母（大小寫穿插）加數(shù)字加標點符號（包括通配符）的方式。2. 設(shè)置有效的賬戶鎖定策略有助于防止攻擊者猜出系統(tǒng)賬戶的密碼。（三）、授權(quán)1.遠端系統(tǒng)強制關(guān)機設(shè)置防止遠程用戶非法關(guān)機，在本地安全設(shè)置中從遠端系統(tǒng)強制關(guān)機只指派給Administrators組；2. 關(guān)閉系統(tǒng)設(shè)置

4、防止管理員以外的用戶非法關(guān)機，在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給Administrators組；3. “取得文件或其它對象的所有權(quán)”設(shè)置防止用戶非法獲取文件，在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給Administrators4. “從本地登陸此計算機”設(shè)置防止用戶非法登錄主機，在本地安全設(shè)置中配置指定授權(quán)用戶允許本地登陸此計算機5. “從網(wǎng)絡(luò)訪問此計算機”設(shè)置防止網(wǎng)絡(luò)用戶非法訪問主機，在組策略中只允許授權(quán)帳號從網(wǎng)絡(luò)訪問(包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù))此計算機。二、日志配置 （一）、審核策略設(shè)置設(shè)置審核策略，記錄系統(tǒng)重要的事件日志，設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包

5、括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。無法對用戶的登陸以及登陸后對系統(tǒng)的操作過程、特權(quán)使用等進行日志記錄（二）、日志記錄策略設(shè)置化系統(tǒng)日志記錄，防止日志溢出。設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當(dāng)達到最大的日志尺寸時，按需要改寫事件如果日志的大小超過系統(tǒng)默認設(shè)置，則無法正常記錄超過最大記錄值后的所有系統(tǒng)日志、應(yīng)用日志、安全日志等三、通信協(xié)議（一）、IP協(xié)議安全1.啟用TCP/IP篩選過濾不必要的端口，提高系統(tǒng)安全性，對沒有自帶防火墻的Windows系統(tǒng)，啟用Windows系統(tǒng)的IP安全機制(IPSec)或網(wǎng)絡(luò)連接上的TCP/IP篩選，只開放業(yè)

6、務(wù)所需要的TCP，UDP端口和IP協(xié)議如不有效過濾系統(tǒng)中存在的不必要的端口以及默認的端口會增加潛在被攻擊和非法利用的安全風(fēng)險2. 開啟系統(tǒng)防火墻啟用Windows XP和Windows 2003自帶防火墻，過濾不必要的端口，提高系統(tǒng)安全性。根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序和允許遠程登陸該設(shè)備的IP地址范圍。沒有訪問控制，系統(tǒng)可能被非法登陸或使用，從而增加潛在被攻擊的安全風(fēng)險3. 啟用SYN攻擊保護啟用SYN攻擊保護，提高系統(tǒng)安全性；指定觸發(fā)SYN洪水攻擊保護所必須超過的TCP連接請求數(shù)閥值為5；指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為500；指定處于至少已發(fā)送一次重傳的

7、 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400。如不啟用SYN攻擊保護，系統(tǒng)則容易被SYN拒絕服務(wù)攻擊后導(dǎo)致迅速當(dāng)機。四、設(shè)備其他安全要求（一）、屏幕保護1.啟用屏幕保護程序啟用屏幕保護程序，防止管理員忘記鎖定機器被非法攻擊；設(shè)置帶密碼的屏幕保護，并將時間設(shè)定為5分鐘2. 設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時間設(shè)置Microsoft網(wǎng)絡(luò)服務(wù)器掛起時間，防止管理員忘記鎖定機器被非法利用；對于遠程登陸的帳號，設(shè)置不活動斷連時間15分鐘 （二）、共享文件夾及訪問權(quán)限1.關(guān)閉默認共享非域環(huán)境中，關(guān)閉Windows硬盤默認共享，例如C$，D$，提高系統(tǒng)安全性能防止攻擊者利用系統(tǒng)默認共享如：

8、C$、D$等，非法對系統(tǒng)的硬盤進行訪問，以及通過IPC$方式暴力破解帳戶和密碼2. 設(shè)置共享文件夾訪問權(quán)限設(shè)置共享文件夾訪問權(quán)限，防止用戶非法訪問。只允許授權(quán)的賬戶擁有權(quán)限共享此文件夾。增加系統(tǒng)未授權(quán)的用戶非法訪問共享文件夾的風(fēng)險 （三）、補丁管理1、安裝系統(tǒng)補丁修復(fù)系統(tǒng)漏洞。應(yīng)安裝最新的Service Pack補丁集。對服務(wù)器系統(tǒng)應(yīng)先進行兼容性測試。如系統(tǒng)未打補丁或補丁未打全，不是最新的補丁，則面臨容易被攻擊、滲透和控制的風(fēng)險（四）、防病毒管理 1.安裝、更新殺毒軟件安裝防病毒軟件，并及時更新，提高系統(tǒng)防病毒能力。如系統(tǒng)中未安裝防病毒軟件或防病毒軟件未及時更新，則系統(tǒng)面臨容易被病毒感染的風(fēng)險

9、2. 數(shù)據(jù)執(zhí)行保護配置提高系統(tǒng)抵抗非法修改文件的性能。對于Windows XP SP2及Windows 2003對Windows操作系統(tǒng)程序和服務(wù)啟用系統(tǒng)自帶DEP功能(數(shù)據(jù)執(zhí)行保護)，防止在受保護內(nèi)存位置運行有害代碼。如未配置系統(tǒng)核心的數(shù)據(jù)執(zhí)行保護，則無法對在內(nèi)存位置運行有害代碼進行保護（五）、Windows服務(wù)1.關(guān)閉服務(wù)關(guān)閉系統(tǒng)不必要的服務(wù)，提高系統(tǒng)安全性。列出所需要服務(wù)的列表(包括所需的系統(tǒng)服務(wù))，不在此列表的服務(wù)需關(guān)閉,如不關(guān)閉與業(yè)務(wù)和應(yīng)用無關(guān)或不必要的服務(wù)，則系統(tǒng)面臨容易被攻擊、滲透或利用的風(fēng)險2. 修改SNMP服務(wù)密碼修改SNMP服務(wù)密碼，防止泄露系統(tǒng)信息。如需啟用SNMP服務(wù)，

10、則修改默認的SNMP Community String設(shè)置,如未修改SNMP服務(wù)的默認密碼，則攻擊者利用SNMP信息探測工具就可以獲取系統(tǒng)信息。從而增加系統(tǒng)被攻擊的風(fēng)險（六）、啟動項1.關(guān)閉無效啟動項關(guān)閉無效的服務(wù)，提高系統(tǒng)性能，增加系統(tǒng)安全性。列出系統(tǒng)啟動時自動加載的進程和服務(wù)列表，不在此列表的需關(guān)閉,如不禁用和關(guān)閉與業(yè)務(wù)和應(yīng)用無關(guān)或不必要的啟動項和進程，則系統(tǒng)面臨容易被攻擊、滲透或利用的風(fēng)險2. 關(guān)閉Windows自動播放功能關(guān)閉Windows自動播放，防止從移動設(shè)備感染病毒,如不關(guān)閉Windows自動播放，則在進行U盤插入操作的時候，系統(tǒng)將面臨被U盤中的病毒感染的風(fēng)險五、主動防御（一）、

11、內(nèi)容簡介主動防御技術(shù)是最近幾年網(wǎng)絡(luò)安全領(lǐng)域新興的一個技術(shù),它的出現(xiàn)彌補了傳統(tǒng)的病毒查殺技術(shù)和防火墻技術(shù)的不足。在病毒查殺方面,主動防御技術(shù)的應(yīng)用使得殺毒引擎擺脫了僅僅依靠病毒特征碼進行掃描的尷尬局面,它通過監(jiān)控行為來及時發(fā)現(xiàn)病毒程序并阻止程序的運行。在國內(nèi),已經(jīng)有4家安全廠商微點主動防御、奇虎360、江民殺毒軟件、瑞星殺毒軟件都具有了主動防御技術(shù)。它們采用了動態(tài)仿真反病毒專家系統(tǒng),自動準確判定新病毒、程序行為監(jiān)控并舉,自動提取特征值實現(xiàn)多重防護、可視化顯示監(jiān)控信息等可信技術(shù),實現(xiàn)了對未知病毒的自主識別、明確報出和自動清除,有效克服了傳統(tǒng)殺毒軟件的致命缺陷,可以說主動防御技術(shù)已經(jīng)得到了廣泛的應(yīng)用和認可。（二）、主動防御的實現(xiàn)主動防御系統(tǒng)的技術(shù)及其實現(xiàn)細節(jié)。通過對系統(tǒng)服務(wù)分發(fā)表、用戶態(tài)和內(nèi)核態(tài)HOOK技術(shù)的分析來認識行為監(jiān)控的原理,然后再通過對一些常見的病毒或者木馬的行為進行分析,以了解區(qū)分正常的系統(tǒng)行為與異常的行為之前的區(qū)別。接著本論文通過進程創(chuàng)建行為監(jiān)控、注冊表訪問行為監(jiān)控、文件訪問行