信息安全總結精品(七篇)
時間:2022-10-23 01:48:48
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇信息安全總結范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
篇(1)
通過開展信息系統安全檢查,掌握全局信息安全總體態勢,發現存在的主要問題和薄弱環節,推動局及下屬事業單位進一步健全信息安全管理制度、完善信息安全保障技術措施、提高信息安全防護能力。
二、檢查范圍和內容
對局機關及下屬事業單位信息安全工作進行全面檢查。
檢查內容包括:局機關和下屬事業單位自行運行維護管理以及委托其他機構運行維護管理的辦公系統、業務系統、網站系統以及部分終端設備等,檢點為公共服務業務系統和門戶網站。詳細內容參見《2012年度市地震局機關信息系統安全自查情況報告表》。
涉及國家秘密的信息系統保密檢查工作,按照國家保密管理規定執行。
三、檢查原則
堅持“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,統籌安排、突出重點、明確責任、注重實效。
局機關各處(室)信息系統安全檢查,由辦公室牽頭組織實施。
下屬事業單位信息安全檢查工作由臺、中心自行組織開展。
四、檢查形式及時間安排
信息系統安全檢查以自查為主。局機關及下屬事業單位應于7月2日至7月6日完成本年度信息安全自查,應按照《2012年度市地震局機關信息系統安全自查情況報告表》逐項檢查,并核對準確度。局辦公室應于7月10日前完成《2012年度市地震局信息系統安全檢查工作報告》的撰寫和報送市信安辦工作。自查結束后,要盡快消除自查中發現的安全隱患,時刻繃緊信息安全這根弦,全面迎接7月中旬市政府信息系統安全檢查小組的抽查。
五、工作要求
(一)局及下屬事業單位應將信息系統安全檢查列入重要議事日程,切實加強組織領導,完善檢查工作機制,落實檢查工作經費,確保檢查工作順利開展。
(二)請局辦公室于7月10日前,將自查工作總結(紙質文檔和電子光盤)報送市信安辦(紙質材料需蓋章)。
篇(2)
根據《廣電總局辦公廳貫徹落實國務院辦公廳關于開展重點領域網絡與信息安全檢查行動的通知》文件精神,我臺在青島市文廣新局的統一部署下,對本臺網絡與信息安全情況進行了自查,現匯報如下:
一、信息安全自查工作組織開展情況
1、成立了信息安全檢查行動小組。由臺長任組長,分管領導為副組長,相關科室負責人為組員的行動小組,負責對全臺的重要信息系統的全面指揮、排查并填記有關報表、建檔留存等。
2、信息安全檢查小組對照網絡與信息系統的實際情況進行了逐項排查、確認,并對自查結果進行了全面的核對、分析,提高了對全臺網絡與信息安全狀況的掌控。
二、信息安全工作情況
1、8月6日完成信息系統的自查工作部署,并研究制定自查實施方案,根據所承擔的業務要求和網絡邊界安全性對硬盤播出系統、非線性編輯系統、XX有線電視傳輸系統進行全面的梳理并綜合分析。
2、8月7日對硬盤播出系統、非線性編輯系統、XX有線電視傳輸系統進行了細致的自查工作。
(1)系統安全自查基本情況
硬盤播出系統為實時性系統,對主要業務影響較高。目前擁有DELL服務器5臺、惠普服務器2臺、cisco交換機2臺,操作系統均采用windows系統,數據庫采用SQLServer,災備情況為數據級災備,該系統不與互聯網連接。
非線性編輯系統為非實時性系統,對主要業務影響較高。目前擁有DELL服務器6臺、華為交換機1臺,網關采用 UNIX操作系統,數據庫采用SQLServer,災備情況為數據災備,該系統不與互聯網連接,安全防護策略采用默認規則。
XX有線電視傳輸系統為實時性系統,對主要業務影響高,災備情況為數據災備,該系統不與互聯網連接。
(2)、安全管理自查情況
人員管理方面,指定專職信息安全員,成立信息安全管理機構和信息安全專職工作機構。重要崗位人員全部簽訂安全保密協議,制定了《人員離職離崗安全規定》、《外部人員訪問審批表》。
資產管理方面,指定了專人進行資產管理,完善了《資產管理制度》、《設備維修維護和報廢管理制度》,建立了《設備維修維護記錄表》。
存儲介質管理方面,完善了《存儲介質管理制度》,建立了《存儲介質管理記錄表》。
(3)、網絡與信息安全培訓情況
制定了《XX市廣播電視臺信息安全培訓計劃》,2019年上半年組織信息安全教育培訓2次,接受信息安全培訓人數40人,站單位中人數的20%。組織信息安全管理和技術人員參加專業培訓4次。
信息安全檢查總結報告范文二:
按照《關于組織開展20xx年全市政府信息系統安全檢查工作的通知》(鎮信安聯辦【20xx】5號)要求,我局高度重視,立即組織開展全局范圍的信息系統安全檢查工作。現將自查情況匯報如下。
我局信息系統運轉以來,能嚴格按照上級部門要求,積極完善各項安全制度、充分加強信息化安全工作人員教育培訓、全面落實安全防范措施、全力保障信息安全工作經費,信息安全風險得到有效降低,應急處置能力得到切實提高,保證了政府信息系統持續安全穩定運行。
一、信息安全組織管理工作情況
我局高度重視信息系統安全工作,成立有由主要領導任組長、分管領導任副組長、各處室負責人為組員組成的局信息安全工作領導小組,明確了局辦公室為主要職能部門,確定了一名兼職信息安全員,召開了由分管領導、信息安全工作職能部門和重點部門負責人參加的會議,對上級有關文件進行了認真學習,對自查工作進行了周密的部署,確定了自查任務和人員分工,真正做到領導到位、機構到位、人員到位、責任到位、措施到位。為確保我局網絡信息安全工作有效順利開展,我局要求以各處室、下屬單位為單位認真組織學習相關法律、法規和網絡信息安全的相關知識,使全體人員都能正確領會信息安全工作的重要性,都能掌握計算機安全使用的規定要求,都能正確的使用計算機網絡和各類信息系統。
二、日常信息安全管理工作情況
我局在以前建立一系列信息安全制度的基礎上,針對信息安全工作的特點,結合我局實際,重新修訂了一系列信息安全制度和程序,做到按制度辦事,提高執行力。按照市政府和市經信委要求,我局與計算機維保單位重新簽訂了服務協議,增加了信息安全與保密協議內容。同時我局還與全局所有工作人員簽訂了安全保密協議。我局對涉密計算機和涉密移動存儲介質高度關注,對所有涉密計算機和涉密移動存儲介質全部進行編號在冊統一管理,明確責任人和保管人,對涉密信息系統的使用進行多次重點檢查,強化涉密人員管理,嚴格執行涉密計算機和涉密移動存儲介質的相關管理制度,專門為涉密人員配發了帶有硬件鎖的U盤,嚴禁在涉密和非涉密信息系統間混用移動存儲介質等等。對非涉密計算機的保密系統和防火墻、殺毒軟件等皆為國產產品,公文處理軟件使用微軟公司的正版office系統,信息系統的第三方服務外包均為國內公司。
三、信息安全防護管理工作情況
我局網絡系統的組成結構及其配置合理,并符合有關的安全規定;網絡使用的各種硬件設備、軟件和網絡接口是也過安全檢驗、鑒定合格后才投入使用的,自安裝以來運轉基本正常。我局經常開展信息安全檢查工作,主要對操作系統補丁安裝、應用程序補丁安裝、防病毒軟件安裝與升級、木馬病毒檢測、網頁篡改情況等進行監管,認真做好系統安全日記。今年,我局在市政府辦的指導下試運行協同辦公系統,投入10多萬元為所有局領導、各處室配置了內網計算機,為涉密處室另配備了涉密計算機,從硬件上加強了涉密信息系統管理。
四、信息安全應急管理工作情況
我局認真做好各項準備工作,對可能發生的各類信息安全事件做到心中有數,進一步完善了信息安全應急預案,明確應急處置流程,落實了應急技術支撐隊伍,把工作做深做細做在前面。
五、信息安全教育培訓工作情況
我局針對信息管理人員實際情況,每年開展信息化教育培訓,以掌握信息化管理技能為目的進行實踐操作能力培訓。還組織有關工作人員參加了相關信息安全培訓,職工信息安全意識得到有效提高。
六、信息安全專項檢查工作情況
目前我局在市行政中心大樓內辦公,網絡和信息系統便于統一管理,內外網完全物理隔離,內網計算機均在有效管理范圍內。局信息安全工作領導小組針對我局的信息安全形勢,定期組織由專業技術人員組成的檢查小組到各個辦公室專項檢查網絡和信息安全情況,仔細排查信息系統的漏洞和安全隱患,用專用工具查殺木馬、病毒,及時加強防范措施,為所有計算機安裝了正版殺毒軟件和防火墻,有效提高了計算機和網絡防范、抵御風險的能力。此外,檢查小組針對個別在市行政中心大樓外辦公的處室進行了上門檢查,不放過任何信息安全死角。在檢查的同時,檢查小組還就信息安全知識進行了上門培訓。經多次檢查,我局信息系統總體情況良好,運行正常,未發現重大隱患。
七、信息安全檢查工作發現的主要問題及整改情況
(一)存在的主要問題
一是專業技術人員較少,信息系統安全方面可投入的力量有限。
二是規章制度體系初步建立,但還不完善,未能覆蓋到信息系統安全的所有方面。
三是遇到計算機病毒侵襲等突發事件處理不夠及時。
(二)下一步工作打算
根據自查過程中發現的不足,同時結合我局實際,將著重以下幾個方面進行整改:
一是進一步擴大對計算機安全知識的培訓面,組織信息員和干部職工進行培訓。
二是要切實增強信息安全制度的落實工作,不定期的對安全制度執行情況進行檢查,從而提高人員安全防護意識。
三是要以制度為根本,在進一步完善信息安全制度的同時,安排專人,完善設施,密切監測,隨時隨地解決可能發生的信息安全事故。
信息安全檢查總結報告范文三:
根據**市人民政府辦公室《關于開展政府信息系統安全的檢查的通知》(天政電[20xx]52號)文件精神。我鎮對本鎮信息系統安全情況進行了自查,現匯報如下:
一、自查情況
(一)安全制度落實情況
1、成立了安全小組。明確了信息安全的主管領導和具體負責管護人員,安全小組為管理機構。
2、建立了信息安全責任制。按責任規定:保密小組對信息安全負首責,主管領導負總責,具體管理人負主責。
3、制定了計算機及網絡的保密管理制度。鎮網站的信息管護人員負責保密管理,密碼管理,對計算機享有獨立使用權,計算機的用戶名和開機密碼為其專有,且規定嚴禁外泄。
(二)安全防范措施落實情況
1、涉密計算機經過了保密技術檢查,并安裝了防火墻。同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面有效性。
2、涉密計算機都設有開機密碼,由專人保管負責。同時,涉密計算機相互共享之間沒有嚴格的身份認證和訪問控制。
3、網絡終端沒有違規上國際互聯網及其他的信息網的現象,沒有安裝無線網絡等。
4、安裝了針對移動存儲設備的專業殺毒軟件。
(三)應急響應機制建設情況
1、制定了初步應急預案,并隨著信息化程度的深入,結合我鎮實際,處于不斷完善階段。
2、堅持和涉密計算機系統定點維修單位聯系機關計算機維修事宜,并商定其給予鎮應急技術以最大程度的支持。
3、嚴格文件的收發,完善了清點、修理、編號、簽收制度,并要求信息管理員每天下班前進行系統備份。
(四)信息技術產品和服務國產化情況
1、終端計算機的保密系統和防火墻、殺毒軟件等,皆為國產產品。
2、公文處理軟件具體使用金山軟件的wps系統。
3、工資系統、年報系統等皆為市政府、市委統一指定產品系統。
(五)安全教育培訓情況
1、派專人參加了市政府組織的網絡系統安全知識培訓,并專門負責我鎮的網絡安全管理和信息安全工作。
2、安全小組組織了一次對基本的信息安全常識的學習活動。
二、自查中發現的不足和整改意見
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我鎮實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
2、設備維護、更新及時。要加大對線路、系統等的及時維護和保養,同時,針對信息技術的飛快發展的特點,要加大更新力度。
3、安全工作的水平還有待提高。對信息安全的管護還處于初級水平,提高安全工作的現代化水平,有利于我們進一步加強對計算機信息系統安全的防范和保密工作。
4、工作機制有待完善。創新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關網絡信息工作的運行效率,有利于辦公秩序的進一步規范。
信息安全檢查總結報告范文四:
根據《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》精神,xx月10日,由市電政辦牽頭,組織對全市政府信息系統進行自查工作,現將自查情況總結如下:
一、網絡與信息安全自查工作組織開展情況
xx月10日起,由市電政辦牽頭,對各市直各單位當前網絡與信息安全進行了一次全面的調查,此次調查工作以各單位自查為主,市電政辦抽查為輔的方式進行。自查的重點包括:電政辦中心機房網絡檢修、黨政門戶網維護密碼防護升級,市直各單位的信息系統的運行情況摸底調查、市直各單位客戶機病毒檢測,市直各單位網絡數據流量監控和數據分析等。
二、信息安全工作情況
通過上半年電政辦和各單位的努力,我市在網絡與信息安全方面主要完成了以下工作:
1、所有接入市電子政務網的系統嚴格遵照規范實施,我辦根據《常寧市黨政門戶網站信息審核制度》、《常寧市網絡與信息安全應急預案》、《“中國?常寧”黨政門戶網站值班讀網制度》、《"中國?常寧”黨政門戶網站應急管理預案》等制度要求,定期組織開展安全檢查,確保各項安全保障措施落實到位。
2、組織信息安全培訓。面向市直政府部門及信息安全技術人員進行了網站滲透攻擊與防護、病毒原理與防護等專題培訓,提高了信息安全保障技能。
3、加強對黨政門戶網站巡檢。定期對各部門子網站進行外部web安全檢查,出具安全風險掃描報告,并協助、督促相關部門進行安全加固。
4、做好重要時期信息安全保障。采取一系列有效措施,實行24小時值班制及安全日報制,與重點部門簽訂信息安全保障承諾書,加強互聯網出口訪問的實時監控,確保xx大期間信息系統安全。
三、自查發現的主要問題和面臨的威脅分析
通過這次自查,我們也發現了當前還存在的一些問題:
1、部分單位規章制度不夠完善,未能覆蓋信息系統安全的所有方面。
2、少數單位的工作人員安全意識不夠強,日常運維管理缺乏主動性和自覺性,在規章制度執行不嚴、操作不規范的情況。
3、存在計算機病毒感染的情況,特別是U盤、移動硬盤等移動存儲設備帶來的安全問題不容忽視。
4、信息安全經費投入不足,風險評估、等級保護等有待加強。
5、信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量。
四、改進措施和整改結果
在認真分析、總結前期各單位自查工作的基礎上,xx月12日,我辦抽調3名同志組成檢查組,對部分市直機關的重要信息系統安全情況進行抽查。檢查組共掃描了18個單位的門戶網站,采用自動和人工相結合的方式對15臺重要業務系統服務器、46臺客戶端、10臺交換機和10臺防火墻進行了安全檢查。
檢查組認真貫徹“檢查就是服務”的理念,按照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求對抽查單位進行了細致周到的安全巡檢,提供了一次全面的安全風險評估服務,受到了服務單位的歡迎和肯定。檢查從自查情況核實到管理制度落實,從網站外部安全掃描到重要業務系統安全檢測,從整體網絡安全評測到機房物理環境實地勘查,全面了解了各單位信息安全現狀,發現了一些安全問題,及時消除了一些安全隱患,有針對性地提出了整改建議,督促有關單位對照報告認真落實整改。通過信息安全檢查,使各單位進一步提高了思想認識,完善了安全管理制度,強化了安全防范措施,落實了安全問題的整改,全市安全保障能力顯著提高。
五、關于加強信息安全工作的意見和建議
針對上述發現的問題,我市積極進行整改,主要措施有:
1、對照《衡陽市人民政府辦公室關于開展全市重點領域網絡與信息安全檢查的通知》要求,要求各單位進一步完善規章制度,將各項制度落實到位。
2、繼續加大對機關全體工作人員的安全教育培訓,提高信息安全技能,主動、自覺地做好安全工作。
3、加強信息安全檢查,督促各單位把安全制度、安全措施切實落實到位,對于導致不良后果的安全事件責任人,要嚴肅追究責任。
4、繼續完善信息安全設施,密切監測、監控電子政務網絡,從邊界防護、訪問控制、入侵檢測、行為審計、防毒防護、網站保護等方面建立起全方位的安全防護體系。
5、加大應急管理工作推進力度,在全市信息安全員隊伍的基礎上組建一支應急支援技術隊伍,加強部門間協作,完善應急預案,做好應急演練,將安全事件的影響降到最低。
信息安全檢查總結報告范文五:
按照盟信息化領導小組《關于20xx年我盟開展重點領域信息安全檢查工作的通知》(阿信領辦字〔20xx〕2號)要求,我局對信息安全管理工作進行自查,現報告如下:
一、信息安全檢查工作組織開展情況
按照《政府部門信息安全檢查操作指南》規定,我局成立了由王軍副局長擔任組長的信息安全檢查工作組,制發了《阿拉善盟安全生產監督管理局信息安全檢查工作方案》,召開專題會議對信息安全檢查工作進行安排部署,從8月1日起在單位內部開展了為期30天的信息安全自查和基本信息梳理等相關工作。
二、20xx年信息安全主要工作情況
安全管理方面,制定了《阿拉善盟安全生產監督管理局信息安全管理制度》、《存儲介質管理制度》、《人員離職離崗安全規定》等制度,重要崗位人員簽訂了安全保密協議。
技術防護方面,網站服務器及計算機設置防火墻,拒絕外來惡意攻擊,保障網絡正常運行,安裝了正牌的防病毒軟件,對計算機病毒、有害電子郵件采取有效防范,根據系統服務需求,按需開放端口,遵循最小服務配置原則。一旦發生網絡信息安全事故應立即報告相關方面并及時進行協調處理。
應急處理方面,加強了網絡管理人員應急處理相關培訓教育,對突發網絡信息安全事故可快速安全地處理。
教育培訓方面,對全體干部職工開展了信息安全教育培訓。
三、檢查發現的主要問題和面臨的威脅分析
1. 發現的主要問題和薄弱環節
自查發現個別人員計算機安全意識不強。在以后的工作中我們將繼續加強對計算機安全意識教育和防范技能訓練讓干部職工充分認識到計算機泄密后的嚴重性與可怕性。
2.面臨的安全威脅與風險
無。
3.整體安全狀況的基本判斷
網絡安全總體狀況良好,未發生重大信息安全事故。
四、改進措施與整改效果
1. 改進措施
為保證網絡安全有效地運行,減少病毒侵入,我局就網絡安全及系統安全的有關知識進行了培訓。期間,大家對實際工作中遇到的計算機方面的有關問題進行了詳細的咨詢,并得到了滿意的答復。
2. 整改效果
經過培訓教育,全體干部職工對網絡信息安全有了更深入的了解,并在工作中時刻注意維護信息安全。
五、關于加強信息安全工作的意見和建議
篇(3)
關鍵詞:財政信息化建設;計算機網絡;信息安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2008)16-21205-02
Local Finance computer Network Security and Countermeasures
XIE Jiao-hong, WU Yan-min, YAN Hao
(Information Center of Dalian Finance and Taxes,Dalian 116001,China)
Abstract:With the rapid development and extensive application of information technology, LocalFinance computer Network application rapid development. Network information security is obviously lagging behind in network building. Based on the current situation of the local finance computer network security and discussed the existing problems and threats, In view of these problems and the corresponding solutions strategy.
Key words: Finance Information Construction ;computer network; Information security
隨著我國財政信息化建設突飛猛進的發展,地方財政計算機網絡應也用快速發展,計算機網絡信息的安全問題變的尤為突出和重要,由于網絡本身的諸多特性,如共享性、開放性、復雜性等,網絡信息系統自身的脆弱性,如操作系統的漏洞、網絡協議的缺陷、通信線路的不穩定、人為因素等,給網絡信息系統的安全帶來了嚴重威脅。因此網上資源的安全和保密是顯得尤為重要,如何保護重要的數據、提高計算機網絡系統的安全已成為計算機網絡應用必須考慮和必須解決的問題。
1 地方財政目前計算機網絡信息安全存在的威脅
網絡安全所面臨的威脅來自很多方面,總體來講這些威脅可以分為人為威脅和非人為威脅。
1.1 人為威脅
現對大連市財政局計算機網絡進行充分調查分析,總結了其面臨的人為威脅主要分為以下幾類:①內部人員安全威脅。內部人員安全威脅往往由內部人員造成,他們具有對網絡信息系統的合法訪問權限。內部安全威脅分為惡意和非惡意兩種。惡意內部人員攻擊是指出于各種目的而對所使用的信息系統實施的攻擊;非惡意威脅則是由于合法用戶無意行為造成了對網絡信息系統的攻擊,主要由于誤操作、經驗不足、培訓不足而導致對系統造成了無意破壞②被動攻擊。這類攻擊主要包括被動監視開放的通信信道(如:無線電、衛星、微波和公共通信系統)上的信息傳送,例如:監視通信數據、口令截獲。③主動攻擊。攻擊者主動對信息系統實施攻擊,包括企圖避開安全保護,引入惡意代碼,以及破壞數據和系統完整性。例如:修改在傳輸、存儲、處理過程中的數據,破壞了政令、社情信息的完整和準確性。④臨近攻擊(接近攻擊)。此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網絡、系統和設備,目的是修改、收集信息或者破壞系統,臨近攻擊最容易發生在沒有良好保安措施的地方,臨近攻擊最典型的例子有:偷取磁盤后又還回、偷竊屏幕信息、收集作廢的打印紙、物理毀壞通信線路等。⑤分發攻擊。這種攻擊是指在軟件和硬件的開發、生產、運輸和安裝階段,攻擊者惡意修改設計、配置等行為。作為地方財政尤其要注意使用合法的軟件產品,從正式廠家選購硬件產品,由有資質的集成商提供外包服務。否則,設備、軟件的采購和交付,系統建設等階段都可能出現構成安全威脅的行為,例如:在開發制造商的設備上非法修改軟硬件配置、在產品分發、安裝時非法修改軟硬件配置等。
1.2 非人為威脅
非人為威脅也可分兩類,一類是指來自于各種自然災害,一類來自于信息技術的局限性、漏洞和缺陷。惡劣的運行環境、電磁輻射、電磁干擾等方面的威脅,典型的自然災難包括:地震、水災、火災、風災等自然災難可以對信息系統造成毀滅性的破壞。另外,同所有技術一樣,信息技術也不是十全十美的,它的局限性、漏洞、缺陷,人們很難預先知道。典型的漏洞包括:系統、硬件、軟件的技術漏洞、實現漏洞和配置漏洞。信息系統的高度復雜以及信息技術的高速發展和變化,使得信息系統的漏洞成為嚴重威脅信息系統安全的最大隱患。
2 地方財政計算機網絡信息安全防范措施
2.1 技術措施
目前最具有代表性的網絡安全技術主要有:防火墻、網絡入侵檢測、防病毒網關、漏洞掃描系統、安全審計系統、終端安全管理系統、CA身份認證授權系統、網頁防篡改系統,圖1是大連市財政局網絡安全拓撲圖:
大連市財政局網絡安全建設是基于ISSE(Information system security engineering)信息安全體系的設計思路,通過統一協調的安全策略形成動態的縱深安全防護體系。其實現流程示意如圖2所示:
從圖中可以看出外部訪問大連市財政局財政內部網絡的信息通過加密的方式首先流經具有VPN功能的防火墻,根據我們預設的規則,對訪問請求進行規則匹配,符合規則放行,否則阻擋丟棄,此時外部符合防火墻規則的信息流進入內部網,這時入侵檢測產品在不占用網絡帶寬的情況下對包括內外用戶的信息流進行通用應用偵測,并對具有攻擊行為的TCP連接進行阻塞,同時通知防火墻更新規則阻斷后續攻擊,通過入侵檢測偵測的用戶訪問信息流接下來進行基于用戶的身份認證和財政專用的應用審計確定用戶的相關訪問控制權限,然后用戶訪問信息流通過中間件平臺對財政信息資源數據庫進行訪問,在訪問過程中還要經過核心防火墻的訪問規則過濾和遍及全網的防病毒檢測和查殺;網關人員可根據安全產品的日志、警告等隨時調整規則已便更好的達到動態的縱深安全防護體系。
它的技術設計不是一勞永逸的,是有其生命周期的,我們可以通過ISSE安全建設設計思路保證該安全建設項目是一個動態的、環狀閉合的ISMS(信息安全管理體系)。
2.2 管理措施
一個強健而完整的信息安全保障體系僅有先進的科學技術保障手段是不夠的。技術本身是信息安全體系的一部分,是輔助實現信息安全的手段。在人員不經過系統培訓,沒有運行程序指導其應用的情況下,信息系統配備的各種安全措施并沒有多大價值。而人是信息安全系統的使用者,是信息安全中最活躍的因素。統計結果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成,而70%-80%是由于內部員工的疏忽或有意泄密造成。人,特別是內部員工可以是對信息系統的最大潛在威脅。反之,通過以人為本的有效的信息安全管理,人也可以是信息系統最可靠的安全防線。安全管理能夠充分發揮系統安全設備和安全技術措施的作用,有效的程序性安全機制更可以彌補安全設備和技術措施的不足,減低信息系統安全的剩余風險,使網絡及計算環境的安全運行得到保證。因此要建立安全的計算機網絡系統,必須有完善的規章制度,同時,無論是系統管理人員還是使用者養成良好的計算機使用習慣也是重要的安全防范手段,提高工作人員的保密觀念和責任心,嚴守操作規程,防止人為事故的發生。還要加強對信息的安全管理,對各種信息進行登記分類,有絕密、機密、秘密和非秘密信息,對有密級數據從采集、傳輸、處理、存儲和使用等整個過程,都要對數據采取相應的安全措施,防止數據有意或無意泄露。
2.3 完善物理安全措施
物理安全管理是系統安全管理的重要組成部分,它包括網絡和基礎設施、計算環境設施、支持性基礎設施的物理安全。它是為了防止未授權個人或團體以更改、收集或拒絕訪問信息為目的,物理上接近網絡、系統或設備,破壞、修改或盜竊網絡基礎設施、業務系統服務器或應用軟件,或者竊取各種介質(如磁盤、光盤、硬盤)上的重要數據。物理安全管理可以采取以下措施:①規定信息安全區域。應區分公共區域,內部辦公人員區域及保護區域。在限制的內部辦公人員區域及保護區域設立相應的出入控制制度。在機房等保護區域的門禁制度應更加嚴格,可以要求出入人員提供身份證明,并對其出入時間和進入原因、完成什么工作進行記錄。②指定專人對機房內各種設備進行管理,列出機房設備清單,對設備進行標注,對各設備的配線連接和配置進行記錄。③指定專人負責機密信息和數據的載體,如備份磁盤、光盤、硬盤等的保存、傳輸和銷毀,制訂出相應的操作規程。
3 結束語
計算機網絡信息安全是一個復雜的系統工程,它涉及管理,制度法規,物理環境等諸多方面因素;以及專業技術措施(訪問控制、加密技術、認證技術、攻出檢測技術、容錯、防病毒等)。是一個綜合性很強的工作。任何安全系統都不可能提供一勞永逸的安全保障,隨著技術的發展,安全問題也層出不窮,只有各個方面結合起來,相互彌補,不斷完善,才能有效地實現網絡信息的安全。
參考文獻:
[1] 信息技術-安全技術-GB/T.18336-2001. 信息技術安全性評估準則.
[2] 中華人民共和國財政部《政府財政管理信息系統安全總體標準》.
篇(4)
論文摘要:網絡上的動態網站以ASP為多數,我們學校的網站也是ASP的。筆者作為學校網站的制作和維護人員,與ASP攻擊的各種現象斗爭了多次,也對網站進行了一次次的修補,根據工作經驗,就ASP網站設計常見安全漏洞及其防范進行一些探討。本文結合ASP動態網站開發經驗,對ASP程序設計存在的信息安全隱患進行分析,討論了ASP程序常見的安全漏洞,從程序設計角度對WEB信息安全及防范提供了參考。
1網絡安全總體狀況分析
2007年1月至6月期間,半年時間內,CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件,已分別超出去年全年總數的14.6%和12.5%。
從CNCERT/CC掌握的半年情況來看,攻擊者的攻擊目標明確,針對不同網站和用戶采用不同的攻擊手段,且攻擊行為趨利化特點表現明顯。對政府類和安全管理相關類網站主要采用篡改網頁的攻擊形式,也不排除放置惡意代碼的可能。對中小企業,尤其是以網絡為核心業務的企業,采用有組織的分布式拒絕服務攻擊(DDoS)等手段進行勒索,影響企業正常業務的開展。對于個人用戶,攻擊者更多的是通過用戶身份竊取等手段,偷取該用戶游戲賬號、銀行賬號、密碼等,竊取用戶的私有財產。
2用IIS+ASP建網站的安全性分析
微軟推出的IIS+ASP的解決方案作為一種典型的服務器端網頁設計技術,被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。但是,該解決方案在為我們帶來便捷的同時,也帶來了嚴峻的安全問題。本文從ASP程序設計角度對WEB信息安全及防范進行分析討論。
3SP安全漏洞和防范
3.1程序設計與腳本信息泄漏隱患
bak文件。攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載,這樣源程序就會被下載。
防范技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。
inc文件泄露問題。攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中查看到數據庫地點和結構的細節,并以此揭示完整的源代碼。
防范技巧:程序員應該在網頁前對它進行徹底的調試。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件,使用戶無法從瀏覽器直接觀看文件的源代碼。
3.2對ASP頁面進行加密。為有效地防止ASP源代碼泄露,可以對ASP頁面進行加密。我們曾采用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中;二是使用微軟的ScriptEncoder對ASP頁面進行加密。3.3程序設計與驗證不全漏洞
驗證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內容,但網上有很多攻擊軟件,如注冊機,可以通過瀏覽WEB,掃描表單,然后在系統上頻繁注冊,頻繁發送不良信息,造成不良的影響,或者通過軟件不斷的嘗試,盜取你的密碼。而我們使用通過使用驗證碼技術,使客戶端輸入的信息都必須經過驗證,從而可以解決這個問題。
登陸驗證。對于很多網頁,特別是網站后臺管理部分,是要求有相應權限的用戶才能進入操作的。但是,如果這些頁面沒有對用戶身份進行驗證,黑客就可以直接在地址欄輸入收集到的相應的URL路徑,避開用戶登錄驗證頁面,從而獲得合法用戶的權限。所以,登陸驗證是非常必要的。
SQL注入。SQL注入是從正常的WWW端口訪問,而且表面看起來跟一般的Web頁面訪問沒什么區別,所以目前市面的防火墻都不會對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
SQL注入攻擊是最為常見的程序漏洞攻擊方式,引起攻擊的根本原因就是盲目信任用戶,將用戶輸入用來直接構造SQL語句或存儲過程的參數。以下列出三種攻擊的形式:
A.用戶登錄:假設登錄頁面有兩個文本框,分別用來供用戶輸入帳號和密碼,利用執行SQL語句來判斷用戶是否為合法用戶。試想,如果黑客在密碼文本框中輸入''''OR0=0,即不管前面輸入的用戶帳號和密碼是什么,OR后面的0=0總是成立的,最后結果就是該黑客成為了合法的用戶。
B.用戶輸入:假設網頁中有個搜索功能,只要用戶輸入搜索關鍵字,系統就列出符合條件的所有記錄,可是,如果黑客在關鍵字文本框中輸入''''GODROPTABLE用戶表,后果是用戶表被徹底刪除。
C.參數傳遞:假設我們有個網頁鏈接地址是HTTP://……asp?id=22,然后ASP在頁面中利用Request.QueryString[''''id'''']取得該id值,構成某SQL語句,這種情況很常見。可是,如果黑客將地址變為HTTP://……asp?id=22anduser=0,結果會怎樣?如果程序員有沒有對系統的出錯提示進行屏蔽處理的話,黑客就獲得了數據庫的用戶名,這為他們的進一步攻擊提供了很好的條件。
解決方法:以上幾個例子只是為了起到拋磚引玉的作用,其實,黑客利用“猜測+精通的sql語言+反復嘗試”的方式,可以構造出各種各樣的sql入侵。作為程序員,如何來防御或者降低受攻擊的幾率呢?作者在實際中是按以下方法做的:
第一:在用戶輸入頁面加以友好備注,告知用戶只能輸入哪些字符;
第二:在客戶端利用ASP自帶的校驗控件和正則表達式對用戶輸入進行校驗,發現非法字符,提示用戶且終止程序進行;
第三:為了防止黑客避開客戶端校驗直接進入后臺,在后臺程序中利用一個公用函數再次對用戶輸入進行檢查,一旦發現可疑輸入,立即終止程序,但不進行提示,同時,將黑客IP、動作、日期等信息保存到日志數據表中以備核查。
第四:對于參數的情況,頁面利用QueryString或者Quest取得參數后,要對每個參數進行判斷處理,發現異常字符,要利用replace函數將異常字符過濾掉,然后再做下一步操作。
第五:只給出一種錯誤提示信息,服務器都只提示HTTP500錯誤。
第六:在IIS中為每個網站設置好執行權限。千萬別給靜態網站以“腳本和可執行”權限。一般情況下給個“純腳本”權限就夠了,對于那些通過網站后臺管理中心上傳的文件存放的目錄,就更吝嗇一點吧,執行權限設為“無”好了。
第七:數據庫用戶的權限配置。對于MS_SQL,如果PUBLIC權限足夠使用的絕不給再高的權限,千萬不要SA級別的權限隨隨便便地給。
3.4傳漏洞
諸如論壇,同學錄等網站系統都提供了文件上傳功能,但在網頁設計時如果缺少對用戶提交參數的過濾,將使得攻擊者可以上傳網頁木馬等惡意文件,導致攻擊事件的發生。
防文件上傳漏洞
在文件上傳之前,加入文件類型判斷模塊,進行過濾,防止ASP、ASA、CER等類型的文件上傳。
暴庫。暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,并將數據非法下載到本地。
數據庫可能被下載。在IIS+ASP網站中,如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名,則該數據庫就可以被下載到本地。
數據庫可能被解密
由于Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。因此,只要數據庫被下載,其信息就沒有任何安全性可言了。
防止數據庫被下載。由于Access數據庫加密機制過于簡單,有效地防止數據庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
非常規命名法。為Access數據庫文件起一個復雜的非常規名字,并把它放在幾個目錄下。
使用ODBC數據源。在ASP程序設計中,如果有條件,應盡量使用ODBC數據源,不要把數據庫名寫在程序中,否則,數據庫名將隨ASP源代碼的失密而一同失密。
使用密碼加密。經過MD5加密,再結合生成圖片驗證碼技術,暴力破解的難度會大大增強。
使用數據備份。當網站被黑客攻擊或者其它原因丟失了數據,可以將備份的數據恢復到原始的數據,保證了網站在一些人為的、自然的不可避免的條件下的相對安全性。
3.5SP木馬
由于ASP它本身是服務器提供的一項服務功能,所以這種ASP腳本的木馬后門,不會被殺毒軟件查殺。被黑客們稱為“永遠不會被查殺的后門”。我在這里講講如何有效的發現web空間中的asp木馬并清除。
技巧1:殺毒軟件查殺
一些非常有名的asp木馬已經被殺毒軟件列入了黑名單,所以利用殺毒軟件對web空間中的文件進行掃描,可以有效的發現并清除這些有名的asp木馬。
技巧2:FTP客戶端對比
asp木馬若進行偽裝,加密,躲藏殺毒軟件,怎么辦?
我們可以利用一些FTP客戶端軟件(例如cuteftp,FlashFXP)提供的文件對比功能,通過對比FTP的中的web文件和本地的備份文件,發現是否多出可疑文件。
技巧3:用BeyondCompare2進行對比
滲透性asp木馬,可以將代碼插入到指定web文件中,平常情況下不會顯示,只有使用觸發語句才能打開asp木馬,其隱蔽性非常高。BeyondCompare2這時候就會作用比較明顯了。
技巧4:利用組件性能找asp木馬
如:思易asp木馬追捕。
大家在查找web空間的asp木馬時,最好幾種方法結合起來,這樣就能有效的查殺被隱藏起來的asp木馬。
結束語
總結了ASP木馬防范的十大原則供大家參考:
建議用戶通過FTP來上傳、維護網頁,盡量不安裝asp的上傳程序。
對asp上傳程序的調用一定要進行身份認證,并只允許信任的人使用上傳程序。
asp程序管理員的用戶名和密碼要有一定復雜性,不能過于簡單,還要注意定期更換。
到正規網站下載asp程序,下載后要對其數據庫名稱和存放路徑進行修改,數據庫文件名稱也要有一定復雜性。
要盡量保持程序是最新版本。
不要在網頁上加注后臺管理程序登陸頁面的鏈接。
為防止程序有未知漏洞,可以在維護后刪除后臺管理程序的登陸頁面,下次維護時再通過上傳即可。
要時常備份數據庫等重要文件。
日常要多維護,并注意空間中是否有來歷不明的asp文件。
一旦發現被人侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。重新上傳文件前,所有asp程序用戶名和密碼都要重置,并要重新修改程序數據庫名稱和存放路徑以及后臺管理程序的路徑。
做好以上防范措施,您的網站只能說是相對安全了,決不能因此疏忽大意,因為入侵與反入侵是一場永恒的戰爭!網站安全是一個較為復雜的問題,嚴格的說,沒有絕對安全的網絡系統,我們只有通過不斷的改進程序,將各種可能出現的問題考慮周全,對潛在的異常情況進行處理,才能減少被黑客入侵的機會。
參考文獻
[1]袁志芳田曉芳李桂寶《ASP程序設計與WEB信息安全》中國教育信息化2007年21期.
篇(5)
關鍵詞:Linux服務器;安全隱患;攻擊;防護措施
中圖分類號:TP393.0 文獻標識碼:A
Abstract:Linux system as a mainstream network server is facing increasingly serious security problems,various attacks and vulnerabilities impose devastating losses on businesses.In this paper,we analyze and summarize the security risks of the Linux server according to the safety problem,and researching the familiar attack methods in Linux system.Finally,we represent some effective protective measures combining with the practical experience.
Keywords:Linux server;security risks;attack;protective measures
1 引言(Introduction)
隨著信息技術的廣泛應用,承載企業重要資料和信息的服務器扮演著極為重要的角色,很多企業和單位都搭建了服務器,一旦服務器受到破壞或發生故障,將會給企業帶來巨大的經濟損失,所以服務器的安全是十分重要的。
目前,由于很多具有攻擊性的程序,如病毒、木馬等大多是針對Windows系統開發,故Linux系統一直被認為是安全穩定的,很多大型的網站和公司都傾向于使用Linux操作系統作為服務器平臺。但是安全總是相對的,目前針對Linux系統的入侵和攻擊手段愈來愈多,Linux服務器本身的漏洞也愈來愈多,Linux服務器的安全風險正在日益增長,如何應對千變萬化的攻擊并保證Linux服務器的安全,已成為至關重要的課題。
本文將詳細分析常見的Linux服務器安全隱患和攻擊手段,并提出一些具體的防護措施。
2 Linux服務器的安全隱患(The security risks of
Linux server)
我們將Linux服務器的安全隱患總結為以下三點:
(1)Linux系統自身的安全漏洞;
(2)Linux服務的安全隱患;
(3)Linux的網絡安全隱患。
下面詳細分析這三點隱患。
2.1 Linux系統自身的安全漏洞
任何系統都不是絕對完美的,Linux系統也是如此,隨著Linux應用的復雜化和開源化,Linux操作系統自身的漏洞也逐漸增多,我們將其分為以下幾點:
(1)Linux賬號漏洞
Linux賬號漏洞也可以稱為權限提升漏洞,這類漏洞一般都是來自系統自身或程序的缺陷,使得攻擊者可以在遠程登錄時獲得root管理員權限。以RedHat系統為例,其某個版本曾經存在賬號漏洞,使得黑客入侵系統時通過執行特定的腳本可以輕松獲得root級別的權限。此外,如果普通用戶在重啟系統后通過單用戶模式進入Linux系統,通過修改Passwd賬號文件,也可以獲取root權限。
(2)Linux文件系統漏洞
Linux文件系統的安全保障是靠設置文件權限來實現的。Linux的文件權限包括三個屬性,分別是所有者,用戶組和其他人的權限,權限包括讀、寫、執行、允許SUID、允許SGID等。黑客會利用SUID和SGID獲得某些程序的運行權限。另外黑客還可能修改一些可執行文件的腳本,讓用戶在登錄時執行從而達到破壞系統的目的。
(3)Linux內核漏洞
系統內核出現漏洞往往是很危險的,Linux的內核短小精悍、穩定性和擴展性好,但是其內核的漏洞卻不少。例如2003年9月份被發現的do_brk()邊界檢查不充分漏洞可以使攻擊者可以繞過系統安全防護,直接對內核區域進行操作。再比如Linux內核中的整數溢出漏洞會導致內核中的數據被破壞,從而使得系統崩潰。
2.2 Linux服務的安全隱患
Linux系統上的服務種類繁多,其中網絡服務最為重要,網絡服務主要用來搭建各種服務器,下面我們就針對不同的網絡服務探討Linux系統的安全隱患。
(1)Apache服務的安全隱患
Apache是最為常見的開源WEB網站服務器程序,如果Apache服務出現漏洞將會對網站造成極大的威脅。目前Apache服務漏洞主要包括拒絕服務攻擊、文件描述符泄露、日志記錄失敗等問題。
一些Apache服務的模塊也可能存在漏洞,例如Apache的線程多處理模塊(MPM)和Apache mod_cache模塊中的cache_util.c可以引發服務器系統的崩潰。
(2)BIND域名服務的安全隱患
很多Linux域名服務器都采用BIND(Berkeley Internet Name Domain)軟件包,據統計互聯網上的DNS服務器有一半以上用的是有漏洞的BIND版本。常見的BIND漏洞有:solinger bug,黑客可以利用其讓BIND服務產生間隔為120秒以上的暫停;fdmax bug,可以造成DNS服務器的崩潰;nxt bug,允許黑客以運行DNS服務的身份(默認為root)進入系統。
(3)SNMP服務的安全隱患
SNMP的全稱是簡單網絡管理協議,Linux中SNMP服務的作用是管理監控整個核心網絡,黑客利用SNMP的漏洞可以控制整片區域的網絡。常見的SNMP漏洞有:Net-SNMP安全漏洞,黑客通過發送畸形的SNMP報文使服務器程序發生溢出,而導致系統崩潰[1];SNMP口令漏洞,SNMPv1版本使用明文口令,默認情況下系統自動開啟并使用默認口令public,這是很多管理者經常忽略的問題[2]。
2.3 Linux的網絡安全隱患
Linux作為網絡操作系統,要頻繁的與網絡交互數據包,很多數據包經過偽裝進入系統內部,會給系統帶來破壞。較為常見的Linux網絡安全隱患有:
(1)口令隱患
口令是操作系統的首道屏障,黑客入侵服務器的第一步往往就是破解口令。Linux操作系統的口令以文件的形式保存在系統中,例如RedHat版本中口令保存在/etc/passwd中。如果文件中存在不設口令或者弱口令的賬號,就很容易被黑客破解。
(2)TCP/IP隱患
TCP/IP協議棧是網絡操作系統內核中的重要模塊,從應用層產生的網絡數據都要經過TCP/IP協議的逐層封裝才能發送到網絡中去。當協議棧收到一些特殊的網絡數據時就會發生異常。例如TCP模塊收到SYN報文后,會回復一個ACK報文并稍帶自己的SYN序號,這時如果黑客再回復一個RST報文,服務器就會重置TCP信息,這樣黑客就可以在不暴露自己信息情況下對服務器進行端口掃描。
還有一些黑客給服務器的某個端口發送大量的SYN報文,而自己不回復確認,這樣就會消耗服務器的資源而造成其癱瘓[3]。
3 針對Linux服務器的攻擊手段(The means of
attack to Linux server)
在信息安全領域,攻擊是指在未經授權的情況下進入信息系統,對系統進行更改、破壞或者竊取信息等行為的總稱。在Linux服務器中,攻擊行為主要可以概括為:
(1)口令入侵:對于一些采用弱口令的賬戶,黑客可以很輕松的通過暴力破解窮舉口令以獲得賬戶的權限。目前有很多口令破解的工具,例如字典破解工具將常見的口令和有意義的詞組錄入到字典庫中,破解的時候優先選擇這些常見的口令,可以大大的減少窮舉的時間。另外,隨著計算機處理能力的發展,口令破解對于普通人來說已經不是難事,如果口令長度不長,組合不復雜,破解時間都在可以接受的范圍內。
(2)木馬病毒:木馬病毒是指植入到計算機系統中可以破壞或竊據機密信息的隱藏程序,木馬一般常見于客戶端主機,但也可能潛伏在Linux服務器中,例如Linux.Plupii.C木馬可以通過系統漏洞傳播,打開服務器的UDP端口27015以允許黑客遠程控制服務器。
(3)端口掃描:端口掃描是黑客入侵服務器的第一步,通過端口掃描,黑客可以獲知服務器的相關信息。端口是應用層網絡進程的標識,入侵計算機系統的實質是入侵系統中的進程,所以獲知端口是否開啟后才能實施真正的攻擊。端口掃描的原理是利用系統的網絡漏洞,繞過防火墻并獲得服務器的回復,例如常見的S掃描就是利用TCP建立連接時三次握手的漏洞,在最后一次握手時發給服務器重置命令,在獲得服務器端口信息后讓服務器刪除和自己相關的連接信息。
(4)拒絕服務攻擊:拒絕服務攻擊是指通過某種手段使得服務器無法向客戶端提供服務,拒絕服務攻擊可能是最不容易防護的攻擊手段,因為對于服務器而言向外提供服務的形式是開放的,我們很難判斷請求服務的主機是否為入侵者,當大量的主機發送請求時,服務器就會因為資源耗光而陷入癱瘓。
(5)緩沖區溢出:緩沖區溢出是指經過精心設計的程序將系統內執行程序的緩沖區占滿而發生溢出,溢出的數據可能會使系統跳轉執行其他非法程序或造成系統崩潰。緩沖區溢出的原因是程序員編寫程序時沒有檢查數據長度造成的。
(6)僵尸網絡:僵尸網絡是指受黑客控制的大量主機,這些主機可以同時對一個服務器發起攻擊,而自身卻不知情。這種攻擊手段是很隱秘的,很難查到攻擊者的真實身份。
(7)網絡監聽:網絡監聽是指通過某種手段截獲主機之間的通信數據以獲得口令等重要信息。一些常見網絡監聽工具可以解析網段內的所有數據,此時如果主機之間的通信是明文傳輸的,黑客就可輕而易舉地讀取包括口令在內的所有信息資料。
(8)網絡欺騙:網絡欺騙包括IP地址欺騙、WWW欺騙、DNS欺騙、ARP欺騙等一系列欺騙方法。其主要目的是通過虛假的網絡信息欺騙目的主機,已達到擾亂通信的目的。
4 Linux服務器的防護措施(The protective
measures of Linux server)
針對以上漏洞和攻擊,Linux服務器的防護措施主要可以分為系統安全防護和網絡安全防護兩類,下面逐一介紹:
4.1 Linux系統安全防護措施
(1)系統賬號及口令安全:對于網絡服務器而言,很多賬戶都是不必要的,賬號越多,系統就越易受攻擊。所以應該最大限度的刪除多余賬戶,并對用戶賬號設置安全級別,以保證每個賬號的權限都被限制在被允許的范圍內。
另外還要確保每個已有賬戶都設置了復雜度高的口令,口令的復雜度設置可以通過修改/etc/login.defs文件來實現,其中的PASS_MAX_DAYS表示密碼最長的過期天數,PASS_MIN_DAYS用來設置密碼最小的過期天數,PASS_MIN_LEN表示密碼最小的長度,PASS_WARN_AGE表示密碼過期后的警告天數。
口令文件的安全性也至關重要,我們可以通過chattr命令給口令文件加入只讀屬性:chattr+i/etc/passwd,這樣口令文件就不能隨意被修改了。
(2)文件安全設置:Linux的文件系統提供了訪問控制的功能,訪問控制的客體是文件和目錄,主體是用戶,包括文件或目錄的所有者,用戶所在組及其他組。訪問控制的操作包括讀(r)、寫(w)和執行(x),管理員根據不同的權限設置關于主體的能力表以及關于客體的訪問控制列表。
(3)系統日志:Linux服務器的系統日志也是應該被關注的設置,因為日志文件詳細的記錄了系統發生的各類事件,例如系統的錯誤記錄,每次用戶登錄系統記錄,各種服務的運行記錄以及網絡用戶的訪問記錄等等。如果服務器遭受到攻擊,管理員可以通過日志追蹤到黑客留下的痕跡,另外,當涉及到法律糾紛時,系統日志經過專業人員提取還可以作為電子證據。
(4)服務安全:Linux服務器中往往開啟了很多服務,首先應該確定的是哪些服務是不必要的,可以通過chkconfig命令關閉系統自啟動的服務。接下來要在必須啟動的服務中找到存在的風險,例如apache服務的目錄瀏覽功能會使訪問者進入網站的根目錄,并能瀏覽其中的所有文件。
(5)安全工具:Linux服務器中帶有很多安全工具方便管理員的使用,例如SSH可以加密傳輸數據,Tcpdump可以用來檢查網絡通訊的原始數據。
4.2 Linux網絡安全防護措施
Linux網絡服務器也采用了傳統的網絡安全防護手段,即防火墻與入侵檢測系統。防火墻是保護內網的屏障,它過濾并分析網絡數據包,阻止有威脅的數據進入;入侵檢測是內網和系統內部的監控器,它分析異常數據并作出報警,有些入侵檢測還會與防火墻聯動,一同保護服務器的安全。Linux系統中的Iptables和Snort是比較成熟的防火墻和入侵檢測系統,下面我們逐一介紹:
(1)防火墻:Iptables,目前使用的最新版本是Linux 2.4內核中的Netfilter/Iptables包過濾機制[4]。Iptables包括三個功能表,分別完成數據包過濾、網絡地址轉換和數據拆分的任務。每個表中有若干規則連:這五個位置也被稱為五個鉤子函數(hook functions),也叫五個規則鏈:PREROUTING(路由前)、INPUT(數據包流入鏈)、FORWARD(轉發鏈)、OUTPUT(數據包出口鏈)、POSTROUTING(路由后),不同的鏈用于不同位置的數據,每個鏈中又可以包含若干條規則[5]。
(2)入侵檢測:Snort是一個免費的輕量級網絡入侵檢測系統。它能兼容多個不同的操作系統平臺,可以用于監視小型網絡或者服務器系統內部的服務,在進行網絡監控時Snort可以將網絡數據與入侵檢測規則做模式匹配,從而檢測出可能的入侵數據,同時Snort也可以使用統計學的方法對網絡數據進行異常檢測[6]。
5 結論(Conclusion)
針對Linux的攻擊手段日益增多,Linux服務器的安全隱患也隨之增大,對于企業而言,總結出一整套有效且規范的防護措施是極為必要的。本文結合實際工作經驗,分析并總結了Linux服務器存在的安全隱患和常見的攻擊手段,提出了一些措施與方法。
參考文獻(References)
[1] 思科系統公司.網絡互聯故障排除手冊[R].北京:電子工業出版社,2002:120-125.
[2] 胡冠宇,陳滿林,王維.SNMP網絡管理安全性研究與應用[J].哈爾濱師范大學自然科學學報,2010,26(3):95-98.
[3] 劉曉萍.Linux2.4內核TCP/IP協議棧安全性研究[D].中國人民信息工程大學,2004:10-11.
[4] 董劍安,王永剛,吳秋峰.iptables防火墻的研究與實現[J].計算機工程與應用,2003,39(17):161-163.
[5] 王波.Linux網絡技術[M].北京:機械工業出版社,2007.
[6] 郭兆豐,徐興元,刑靜宇.Snort在入侵檢測系統中的應用[J].大眾科技,2007(2):69-71.
作者簡介:
