2.网络结构调整
在网络中我们已部署了防火墙、入侵检测、认证系统等网络安全设备,但是主要是侧重于网络层的攻击检测和防护,并且仅部署于企业公网的网络出口,对于网络的防护有一定的局限性。而近年来随着网络规模的不断扩张,应用的不断增多,连续爆发的冲击波、震荡波、CodeRed、Nimda等蠕虫病毒以及最近大量出现的ARP病毒、DDOS分布式网络攻击、大量不请自来的垃圾邮件,已成为网络当中最令管理员头疼的问题。
3.服务器系统加固
服务器系统安全加固是指通过一定的技术手段,提高系统的主机安全性和抗攻击能力,通过对操作系统的安全加固,可以大大减少操作系统存在的安全漏洞,减少可能存在的安全风险,确保服务器的正常运作。
网络中各种服务器,如Web服务器、FTP服务器、E-mail服务器,是黑客攻击的重点目标,其安全性至关重要。虽然通过路由器的包过滤和防火墙的访问控制,大大增强了安全性。但黑客还可以利用服务器的漏洞或配置错误进行攻击,以图获取系统控制权或实现拒绝服务。
例如UNIX、Windows NT、Linux都只能达到美国国防部提出可信计算机系统评测标准TCSEC的C2级。但对于开放源代码的Linux操作系统,可以很好的通过采取B级系统代替传统的C级系统等措施来解决安全加固的问题。可以首先在最敏感的服务器和网络隔离设备上及要害信息系统的服务器中采用B级操作系统,并配备B级数据库管理系统。将应用、服务都建设在B级的基础上,这样整个信息系统的安全性能才有根本性的保障。SELinux是由NSA(美国国家安全局)和SCC(Secure Computing Corporation)开发的Linux的一个扩张强制访问控制安全模块。2000年以GNU GPL发布。经过SELinux保护的Linux安全级别则可以达到B1级。
另外,国内在安全Linux内核技术方面的相关研究主要是LIDS项目,LIDS是一个在开放源码的Linux Kernel上进行安全加固的工程。目前已经得到了国内外的广泛认同。LIDS项目在标准Linux内核源码基础上,采用强制性访问控制技术、类型保证和执行域等技术,对标准内核进行以安全增强为目的的修改,并提供了一个管理工具lidsadm。
4. 数据库加固
主流数据库系统(包括Oracle、SQL Server、Sybase、MySQL、Informix)的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。
安全加固主要方式是补丁安装及安全配置的调整,并不是所有的补丁包都可以随便安装、配置随意调整,有些补丁包的安装可能会影响到某些正常应用的工作,而某些配置的调整则也可能导致系统的不稳定。安全加固之前需要对安全补丁包及调整的配置进行测试,确保补丁安装、配置调整后不会对系统正常工作带来影响。
