服務(wù)器安全加固方案

1、服務(wù)器安全加固方案密級：普通文檔編號：服務(wù)器安全加固方案Version 1.0.0浪潮集團信息安全事業(yè)部2022 年 6 月概述信息系統(tǒng)建設(shè)的規(guī)劃模型信息建設(shè)框架圖如上圖所示：浪潮認為，根據(jù)建設(shè)對象和實現(xiàn)目標不同， 客戶的信息化建設(shè)架構(gòu)應(yīng)該分為四個部分，分別是 IT 基礎(chǔ)設(shè)施建設(shè)和管理，安全系統(tǒng)建設(shè)和管理、安全網(wǎng)管平臺建設(shè)和管理、應(yīng)用系統(tǒng)建設(shè)和管理。建設(shè)的順序也是自下而上依次或者同步進行。但是在實際的建設(shè)工程中，集成商往往引導(dǎo)客戶重視兩 頭的建設(shè)既基礎(chǔ)設(shè)施建設(shè)和應(yīng)用系統(tǒng)的建設(shè)卻對中間過程的安全系統(tǒng)建設(shè)及安全網(wǎng)絡(luò)管理平臺建設(shè)比較忽視（信息建設(shè)框架圖中紅色的模塊部分）。即使在建設(shè)中涉及了部分內(nèi)容，

2、也只是網(wǎng)絡(luò)安全的邊界防護、PC 終端的防病毒建設(shè)等等，對于數(shù)據(jù)庫的數(shù)據(jù)安全以及服務(wù)器的自身安全管理并不是太重視。更不要說建設(shè)集中的安全的網(wǎng)絡(luò)安全管理中心了。當基 礎(chǔ)設(shè)施結(jié)構(gòu)越來越龐大、應(yīng)用系統(tǒng)越來越復(fù)雜，業(yè)務(wù)和基礎(chǔ) 設(shè)施之間的脫節(jié)感就會越來越強，越來越多的問題也會被提 出來，例如：什么是影響業(yè)務(wù)的主要瓶頸？業(yè)務(wù)帶來的安全問題如何去解決？ 需要增加網(wǎng)絡(luò)帶寬嗎？網(wǎng)絡(luò)故障導(dǎo)致業(yè)務(wù)受阻，問題出在什么地方？業(yè)務(wù)網(wǎng)絡(luò)內(nèi)安全狀況到底是什么狀態(tài)，業(yè)務(wù)的數(shù)據(jù)傳 輸安全嗎？?等等因此，浪潮提供的信息建設(shè)和管理不僅僅關(guān)注純粹的 IT 技術(shù)，更多地關(guān)注如何把客戶的應(yīng)用業(yè)務(wù)和基礎(chǔ)結(jié)構(gòu)這兩個 層面中間的空白連接在一起，使

3、他們之間的鴻溝更好地彌合。 也就是努力的將框架中通常缺失的紅色部分完整地提供給客戶。服務(wù)器操作系統(tǒng)及數(shù)據(jù)安全的重要性長期以來我們對基于網(wǎng)絡(luò)應(yīng)用的外部防范技術(shù)關(guān)注較多，但是往往忽略了信息安全的“終點問題”。安全網(wǎng)絡(luò)管理是通過網(wǎng)絡(luò)層、鏈路層以及分析審計信息來對信息網(wǎng)絡(luò)的 整體安全和網(wǎng)絡(luò)狀況進行監(jiān)控和管理。我們知道所有的攻擊 來源和攻擊目標最終都會歸結(jié)到承載企事業(yè)單位信息業(yè)務(wù) 的終端和服務(wù)器上。浪潮安全網(wǎng)管系統(tǒng)能夠很好的全面對服 務(wù)器進行監(jiān)控，但是操作系統(tǒng)的漏洞是層出不窮的，一旦最 后一道防線被攻破，即使我們有監(jiān)控證據(jù)和管理措施，服務(wù) 器的重要數(shù)據(jù)丟失造成的影響我們還是無法估量的。業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)庫

4、已不再是只存在可靠性高的網(wǎng)絡(luò) 中。慢慢地，數(shù)據(jù)庫與多個應(yīng)用相連接，其間網(wǎng)絡(luò)多是不可靠的。數(shù)據(jù)庫中的數(shù)據(jù)是單位信息業(yè)務(wù)的生命血液，存放的信息又重要又廣泛。對數(shù)據(jù)庫的非授權(quán)訪問引起了人們的關(guān)注，產(chǎn)生了新的難題。IT 和安全管理員已相繼配置了安全策略和技術(shù)，但很少企業(yè)能足以抵御攻擊，保護自己的數(shù)據(jù)庫。 面對不斷增長的風(fēng)險，國家制定了相關(guān)的行業(yè)法規(guī)。隱私權(quán)保護、數(shù)據(jù)保護以及重要信息的長期存儲和歸檔隱患，企業(yè)需要保證他們的數(shù)據(jù)保護上處于不斷改進中。面對需求變更的商業(yè)壓力，越來越多的企業(yè)想在標準數(shù) 據(jù)庫包的安全控制之外仍然取得一定級別的數(shù)據(jù)庫安全性， 尤其是，他們希望能夠限制查看數(shù)據(jù)庫中重要數(shù)據(jù)項的人員

5、訪問。當前緊迫問題是如何最好地實現(xiàn)這一點？怎樣配置訪 問控制，如何加密以實現(xiàn)嚴格的安全策略，而不影響到日常的數(shù)據(jù)庫操作？加密/解密可以配置在應(yīng)用程序，或數(shù)據(jù)庫 中，或文件系統(tǒng)上。所以浪潮建議客戶在數(shù)據(jù)安全建設(shè)上要抓住關(guān)鍵，即安 全的服務(wù)器和安全的操作系統(tǒng)。面臨的安全風(fēng)險來自內(nèi)部的攻擊威脅隱患某些內(nèi)部員工有攻擊所在公司的目的或動機并且他 們熟知資源的訪問控制；內(nèi)部網(wǎng)物理竊聽容易，有很多的網(wǎng)絡(luò)工具可以監(jiān)聽局 域網(wǎng)傳輸?shù)娜魏涡畔?；一般的?nèi)部服務(wù)應(yīng)用所傳輸?shù)拿舾行畔⒍际敲魑?，如telnet 時輸入的帳號和口令，網(wǎng)頁登錄頁面輸入的用戶名和口令；內(nèi)部員工所連接的電腦在物理上直接與服務(wù)器相連， 來自用戶的請

6、求未經(jīng)任何過濾，直接連到服務(wù)器，而相比之下，Internet 上的服務(wù)器一般都有防火墻的保護。這些原因?qū)е铝藘?nèi)部網(wǎng)存在的安全 威脅相比Internet 更值得關(guān)注。內(nèi)部網(wǎng)Intranet 指的是一個基于TCP/IP 通訊協(xié)議的內(nèi)部信息系統(tǒng)，為用戶提供網(wǎng)絡(luò)服務(wù)。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，很多企業(yè)以 及政府部門經(jīng)常在自己內(nèi)部的 Intranet 中集成了多種應(yīng)用，包括基于瀏覽器方式的 WWW應(yīng)用以及基于數(shù)據(jù)庫的 Client-Server 方式應(yīng)用。使用者憑用戶名和口令進入每個應(yīng)用，應(yīng)用也根據(jù)用戶名和口令識別用戶身 份，判斷用戶的權(quán)限。這樣應(yīng)用的增加給內(nèi)部網(wǎng)絡(luò)帶來了兩方面的問題。 對用戶而言，將擁有多個

7、用戶名和口令，用戶如何有效的管理自己在 各個應(yīng)用中對應(yīng)的用戶名和口令？如何保護自己的身份信息不被別人 竊取呢？如果用戶遺忘了某個用戶名或口令時將會影響他的工作，可能 給自己造成很大的損失；如果用戶為了方便記憶在各個應(yīng)用中都使用同 一個用戶名和口令或把自己的各個用戶名、口令記錄在紙上，就會帶來 很大的口令泄露的風(fēng)險。對整個內(nèi)部網(wǎng)而言，如何在多個應(yīng)用中統(tǒng)一管 理用戶的權(quán)限？如何提供保護用戶身份信息的安全機制？如何有效地 確保合法用戶在自己擁有的權(quán)限內(nèi)安全地、方便地使用 Intranet，同時防止內(nèi)部人員非法越權(quán)訪問？又如何防止網(wǎng)上傳輸?shù)臋C密信息泄露呢？ 大多數(shù)的 WWW 服務(wù)都使用明文來傳輸用戶名

8、和口令，這很容易被他人從 網(wǎng)上截獲。即使是相當好的口令，由于口令的長度很有限，也抵御不了 類似字典攻擊這樣的窮舉攻擊。來自外部網(wǎng)絡(luò)的攻擊隨著 Internet 網(wǎng)絡(luò)上計算機的不斷增長，所有計算機之間存在很強的依存性。一旦某些計算機遭到了入侵，它就 有可能成為入侵者的棲息地和跳板，作為進一步攻擊的工具。 對于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如 DNS 系統(tǒng)、路由器的攻擊也越來越成為嚴重的安全威脅。以下是網(wǎng)絡(luò)攻擊的幾大主要趨勢。趨勢一：攻擊過程的自動化；攻擊工具的快速更新攻擊工具的自動化程度繼續(xù)不斷增強。自動化攻擊涉及 到的四個階段都發(fā)生了變化。掃描潛在的受害者從 1997 年起大量的掃描活動就開始了。目前，新的掃描

9、工具利用了更先進的掃描技術(shù)，變得更加有威力，并且提 高了速度。入侵具有漏洞的系統(tǒng)以前，對具有漏洞的系統(tǒng)的攻擊是發(fā)生在大范圍的掃描 之后的。現(xiàn)在，攻擊工具已經(jīng)將對漏洞的入侵設(shè)計成為了掃 描活動的一部分，這樣大大加快了入侵的速度。攻擊擴散2000 年之前，攻擊工具需要一個人來發(fā)起其余的攻擊過程?，F(xiàn)在，攻擊工具能夠自動發(fā)起新的攻擊過程。例如紅色代碼和Nimda 病毒這些工具就在 18 個小時之內(nèi)傳遍了全球。攻擊工具的協(xié)同管理自從 1999 年起，隨著分布式攻擊工具的產(chǎn)生，攻擊者能夠管理大量分布在 Internet 之上的攻擊工具發(fā)起攻擊?，F(xiàn)在，攻擊者能夠更加有效地發(fā)起一個分布式拒絕服務(wù)攻擊。 協(xié)同功

10、能利用了大量大眾化的協(xié)議如 IRC （Internet Relay Chat）、IR（Instant Message）等的功能。趨勢二：攻擊工具的不斷復(fù)雜化攻擊工具的編寫者采用了比以前更加先進的技術(shù)。攻擊 工具的特征碼越來越難以通過分析來發(fā)現(xiàn)，并且越來越難以 通過基于特征碼的系統(tǒng)發(fā)現(xiàn)，例如防病毒軟件和入侵檢測系統(tǒng)。其中三個重要的特點是反檢測功能，動態(tài)行為特點以及 攻擊工具的模塊化。反檢測攻擊者采用了能夠隱藏攻擊工具的技術(shù)。這使得安全專 家想要通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時。動態(tài)行為以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進攻。現(xiàn)在的 自動攻擊工具能夠按照不同的方法更改它們的

11、特征，如隨機 選擇、預(yù)定的決策路徑或者通過入侵者直接的控制。攻擊工具的模塊化和以前攻擊工具僅僅實現(xiàn)一種攻擊相比，新的攻擊工具能夠通過升級或者對部分模塊的替換完成快速更改。而且， 攻擊工具能夠在越來越多的平臺上運行。例如，許多攻擊工具采用了標準的協(xié)議如 IRC 和HTTP 進行數(shù)據(jù)和命令的傳輸， 這樣，想要從正常的網(wǎng)絡(luò)流量中分析出攻擊特征就更加困難了。趨勢三：漏洞發(fā)現(xiàn)得更快每一年報告給 CERT/CC 的漏洞數(shù)量都成倍增長。對于管理員來說想要跟上補丁的步伐是很困難的。另外，每年都會 發(fā)現(xiàn)新的類型的漏洞。對于新的漏洞類型的代碼實例分析常 常導(dǎo)致數(shù)以百計的其它不同軟件漏洞的發(fā)現(xiàn)。而且，入侵者往往能夠

12、在軟件廠商更正這些漏洞之前首先發(fā)現(xiàn)這些漏洞。隨著發(fā)現(xiàn)漏洞的工具的自動化趨勢，留給用戶打補丁的時間越來越短。趨勢四：滲透防火墻我們常常依賴防火墻提供一個安全的主要邊界保護。但 是目前已經(jīng)存在一些繞過典型防火墻配置的技術(shù)，如 IPP（the Internet Printing Protocol）和 WebDAV （Web-based Distributed Authoring and Versioning ），另外，一些標榜是“防火墻適用”的協(xié)議實際上設(shè)計為能夠繞過典型防火墻的配置。特定特征的“移動代碼”（如 ActiveX 控件， Java 和 JavaScript）使得保護存在漏洞的系統(tǒng)以及發(fā)現(xiàn)惡意的軟件更加困難。當前常用的網(wǎng)絡(luò)安全技術(shù)與工具的局限性當前常用的網(wǎng)絡(luò)安全技術(shù)與工具主要有：防火墻技術(shù)、 入侵檢測系統(tǒng)技術(shù)(IDS)、Scanner 技術(shù)、VPN 技術(shù)和防病毒技術(shù)等，但每種技術(shù)都存在其局限性。防火墻號稱“一夫當關(guān)，萬夫莫開”的關(guān)口 ,一定程度上簡化了網(wǎng)絡(luò)的安全管理，但入侵者可尋找防火墻背后可能敞開的 后門,對于這種入侵者可能就在防火墻內(nèi)的網(wǎng)絡(luò)內(nèi)部攻擊基本無法防范。入侵檢測 IDS很難跟蹤新的