操作系统的安全
1、操作系统安全简介
- 大多数大规模软件系统几乎都存在一些安全漏洞
- 少量的基本加固措施就能抵御大量近几年已知的攻击
- 操作系统分层(图12-1)
2、系统安全规划
-
过程
- 部署新系统的第一步是规划,遵从必要策略,促进系统安全;
- 具体规划应该在对该组织的多方面的评估基础上形成,各组织有特定的安全需求和关注点
- 安装规划旨在以最小的代价获得最大化的安全;
- 规划期间要确定系统的安全需求、它的应用和数据以及系统的用户;
- 该规划需要确定合适的人员来安装和管理系统,指明必需技能和所需培训。
-
系统安全规划期间应该考虑的内容
- 系统的目的、存储的信息类型、提供的应用和服务以及它们的安全需求;
- 系统用户的分类、他们拥有的权限,以及他们能够访问的信息类型;
- 用户怎样获得认证;
- 以什么方式访问系统内的信息应该被监管;
- 系统对存储在其他主机,如文件服务器或数据库服务器上的信息可进行什么访问?对 这些访问怎样进行管理?
- 谁来管理系统,他们将以什么方式管理系统(本地或远程访问)?
- 系统需要的其他附加安全措施,包括主机防火墙、反病毒软件或其他恶意代码防护机制,以及日志。
3、操作系统加固(6大步骤)
-
操作系统安装:初始安装和补丁安装
- 保证系统安全的第一个关键步骤就是加固所有应用和服务所依赖的基本操作系统。
- 加固操作系统的基本步骤==(这个不是重点)==
- 1.安装操作系统并打补丁;
- 加固和配置操作系统以充分解决已确认的安全需求:
- 2.移除不需要的服务、应用、协议;
- 3.配置用户、组以及权限;
- 4.配置资源控制;
- 5.安装和配置额外的安全控制工具,例如反病毒软件、基于主机的
- 6.防火墙、入侵检测系统等;测试基本操作系统的安全性,确保以上步骤充分满足了安全需求。
- 变更可控的系统:系统补丁自动更新
-
移除不必要的服务、应用和协议
-
配置用户、组和认证
-
配置资源控制
-
安装额外的安全控制工具
- 安装和配置额外的安全工具,可以进一步改善安全性:
- 反病毒软件
- 基于主机的防火墙
- IDS或IPS软件
- 应用程序白名单
- 安装和配置额外的安全工具,可以进一步改善安全性:
-
测试系统安全性
- 加固基本操作系统的最后一步就是安全性测试
4、应用安全
5、安全维护
-
日志
- 日志信息记录的范围应该在系统规划阶段确定好,者主要取决于系统的安全需求和服务器存储的信息敏感度。
-
数据备份和存档
- 备份:指的是定期对数据进行拷贝过程,以保证数据在丢失或者损坏后,能够在几个小时到几周内很快的恢复过来。
- 存档:指的是保存过去相当的一段时间内,比如几个月或几年内的数据拷贝过程。
- 与备份和存档相关的需求和策略应该在系统规划阶段确定好。
6、Linux/UNIX安全
7、Windows安全
-
补丁管理
-
用户管理和访问控制
-
应用和服务配置
- 许多配置信息是统一放在注册表当中的
- 注册表是一个存储键和值的数据库,可以被系统中的应用查询和解释。
- 注册表的键也可以通过注册表编辑器来更改
- 做大规模更改的时候更为使用
- 许多配置信息是统一放在注册表当中的
-
其他安全控制工具
-
安全性测试