返回
信息系统安全加固描述

信息系统安全加固描述

ID:42419555

大小:41.09 KB

页数:9页

时间:2019-09-14

信息系统安全加固描述_第1页
信息系统安全加固描述_第2页
信息系统安全加固描述_第3页
信息系统安全加固描述_第4页
信息系统安全加固描述_第5页
资源描述:

《信息系统安全加固描述》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一.安全加固概述网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作:•网络设备与操作系统的安全配置;•系统安全风险防范;•提供系统使用和维护建议;•安装最新安全补丁(根据风险决定是否打补丁);上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为:(1)加固目标也就是确定系统在做过加固和优化后,达到的

2、安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。(2)明确系统运行状况的內容包括:•系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。•系统上运行的应用系统及其正常所必需的服务。•我们是从网络扫描及人工评估里来收集系统的运行状况的。(3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。一.加固和优化流程概述网络设备与操作系

3、统加固和优化的流程主要由以下四个环节构成:1.状态调查对系统的状态调查的过程主要是导入以下服务的结果:•系统安全需求分析•系统安全策略制订•系统安全风险评估(网络扫描和人工评估)对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。2.制订加固方案制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。3.实施加固对系统实施加固和优化主要内容包含以下两

4、个方面:•对系统进行加固•对系统进行测试对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。1.生成加固报告加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:•加固过程的完整记录•有关系统安全管理方面的建议或解决方案•对加固系统安全审

5、计结果一.安全加固技术4•网络设备加固路由器作为网络边界最重要的设备,也是进入内网的第一道防线。边界路由器的安全缺陷来源于操作系统,路由协议、硬件、配置。路由器上运行的操作系统通常存在安全隐患,主要表现为远程溢出漏洞和默认开放的服务。除了及时下载补丁修复漏洞外,路由器操作系统默认开放的许多服务通常存在着安全风险,加固的方法是根据最小特权原则关闭不需要的服务,同时对用户和进程赋予完成任务所需的最小权限。一些路由协议,如RIP,对收到的路由信息不进行任何校验和认证,由此能造成网络拓扑信息泄露或因收到恶意路由而导致网络瘫痪。对此需要添加认证,确保通信对象是可信的。CDP协议(Ci

6、scoDiscoveryProtocal)会造成路由器操作系统版本等信息的泄露,一般应予以关闭。路由器硬件可能因发生故障或受到恶意攻击而停机,为此需要进行备份。加固边界路由器最重要的方法是进行安全配置,建立合适的访问控制表(ACL)oACL(AccessControlList)规定哪些IP地址和协议可以通过边界路由器,而哪些被阻止,由此确保流量安全进出网络。定制访问控制表通常应遵守这样的原则:流量如果不被明确允许,就应该被拒绝。值得注意的是,某些网络设备可以通过物理的改变设备上的一些硬件开关来重置管理员口令字或恢复出厂设置。从业务的连续性和系统可靠性上讲,物理安全是用户关键

7、业务的重要前提保证。只要从物理上能接近设备,设备的安全性就无从谈起,因为此时我们常提到的安全服务,如访问控制、鉴别服务等就不能起到保护作用。2」刑络结构调整在网络中我们已部署了防火墙、入侵检测、认证系统等网络安全设备,但是主要是侧重于网络层的攻击检测和防护,并且仅部署于企业公网的网络出口,对于网络的防护有一定的局限性。而近年来随着网络规模的不断扩张,应用的不断增多,连续爆发的冲击波、震荡波、CodeRed、Nimda等蠕虫病毒以及最近大量出现的ARP病毒、DDOS分布式网络攻击、大量不请自来的垃圾邮件,已成为网络当

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。