信息安全應(yīng)急響應(yīng)與風(fēng)險評估及加固（課堂PPT）

1、信息安全應(yīng)急響應(yīng)與風(fēng)險評估及加固 3應(yīng)急規(guī)劃應(yīng)急規(guī)劃計計 劃劃流流 程程技技 術(shù)術(shù)基礎(chǔ)信息網(wǎng)絡(luò)基礎(chǔ)信息網(wǎng)絡(luò)重要信息系統(tǒng)重要信息系統(tǒng)4計計 劃劃目目 的的范范 圍圍業(yè)務(wù)連續(xù)性計劃業(yè)務(wù)連續(xù)性計劃提供在從嚴(yán)重破壞中恢復(fù)時提供在從嚴(yán)重破壞中恢復(fù)時保持必要的業(yè)務(wù)運(yùn)行的流程保持必要的業(yè)務(wù)運(yùn)行的流程涉及到業(yè)務(wù)過程，并由于其涉及到業(yè)務(wù)過程，并由于其對業(yè)務(wù)過程的支持而涉及到對業(yè)務(wù)過程的支持而涉及到IT IT業(yè)務(wù)恢復(fù)業(yè)務(wù)恢復(fù)/ /再繼續(xù)計劃再繼續(xù)計劃提供災(zāi)難發(fā)生后立即恢復(fù)業(yè)提供災(zāi)難發(fā)生后立即恢復(fù)業(yè)務(wù)運(yùn)行的流程務(wù)運(yùn)行的流程涉及到業(yè)務(wù)過程；并不關(guān)注涉及到業(yè)務(wù)過程；并不關(guān)注IT IT；僅限據(jù)其對業(yè)務(wù)過程的；僅限據(jù)其對業(yè)

2、務(wù)過程的支持而涉及到支持而涉及到IT IT運(yùn)行連續(xù)性計劃運(yùn)行連續(xù)性計劃提供在提供在3030天之內(nèi)在備用站點(diǎn)天之內(nèi)在備用站點(diǎn)保持機(jī)構(gòu)必要的戰(zhàn)略功能的保持機(jī)構(gòu)必要的戰(zhàn)略功能的能力能力涉及到被認(rèn)為是最關(guān)鍵的機(jī)涉及到被認(rèn)為是最關(guān)鍵的機(jī)構(gòu)使命子集；通常在總部級構(gòu)使命子集；通常在總部級制定；不關(guān)注制定；不關(guān)注IT IT支持連續(xù)性計劃支持連續(xù)性計劃提供恢復(fù)主應(yīng)用或通用支撐提供恢復(fù)主應(yīng)用或通用支撐系統(tǒng)的流程和能力系統(tǒng)的流程和能力同同IT IT應(yīng)急計劃；涉及到應(yīng)急計劃；涉及到IT IT系統(tǒng)系統(tǒng)破壞；不關(guān)注業(yè)務(wù)過程破壞；不關(guān)注業(yè)務(wù)過程5計計 劃劃目目 的的范范 圍圍危機(jī)溝通計劃危機(jī)溝通計劃提供將狀態(tài)報告分發(fā)給員工

3、和提供將狀態(tài)報告分發(fā)給員工和公眾的流程公眾的流程涉及到和人員及公眾的溝涉及到和人員及公眾的溝通通, ,不關(guān)注不關(guān)注IT IT計算機(jī)事件響應(yīng)計劃計算機(jī)事件響應(yīng)計劃為檢測、響應(yīng)惡意計算機(jī)事件，為檢測、響應(yīng)惡意計算機(jī)事件，并限制其后果提供戰(zhàn)略并限制其后果提供戰(zhàn)略關(guān)注于對影響系統(tǒng)和關(guān)注于對影響系統(tǒng)和/ /或網(wǎng)或網(wǎng)絡(luò)的事件的信息安全響應(yīng)絡(luò)的事件的信息安全響應(yīng) 災(zāi)難恢復(fù)計劃災(zāi)難恢復(fù)計劃為幫助在備用站點(diǎn)實(shí)現(xiàn)能力恢為幫助在備用站點(diǎn)實(shí)現(xiàn)能力恢復(fù)提供詳細(xì)流程復(fù)提供詳細(xì)流程經(jīng)常關(guān)注經(jīng)常關(guān)注IT,IT,限于會帶來長限于會帶來長時間破壞影響的主要破壞時間破壞影響的主要破壞 擁有者應(yīng)急計劃擁有者應(yīng)急計劃提供經(jīng)過協(xié)調(diào)的流程

4、，從而在提供經(jīng)過協(xié)調(diào)的流程，從而在應(yīng)對物理威脅時應(yīng)對物理威脅時, ,將生命損失將生命損失和傷害降到最低，并保護(hù)財產(chǎn)和傷害降到最低，并保護(hù)財產(chǎn)免遭損害免遭損害 關(guān)注針對特定設(shè)施的特殊關(guān)注針對特定設(shè)施的特殊人員和財產(chǎn)；而不是基于人員和財產(chǎn)；而不是基于業(yè)務(wù)過程或業(yè)務(wù)過程或IT IT 系統(tǒng)功能系統(tǒng)功能6數(shù)據(jù)、應(yīng)用和操作系統(tǒng)的備份與異地存儲數(shù)據(jù)、應(yīng)用和操作系統(tǒng)的備份與異地存儲關(guān)鍵系統(tǒng)組建或能力的冗余關(guān)鍵系統(tǒng)組建或能力的冗余系統(tǒng)配置和要求文檔系統(tǒng)配置和要求文檔在系統(tǒng)組件間以及主備點(diǎn)間互操作，以加快系在系統(tǒng)組件間以及主備點(diǎn)間互操作，以加快系統(tǒng)恢復(fù)統(tǒng)恢復(fù)適當(dāng)規(guī)模的電源管理系統(tǒng)和環(huán)境控制適當(dāng)規(guī)模的電源管理系統(tǒng)和

5、環(huán)境控制人員隊伍保障人員隊伍保障89資產(chǎn)價值威脅脆弱性網(wǎng)御神州風(fēng)險評估網(wǎng)御神州安全加固弱點(diǎn)/脆弱性威脅信息資產(chǎn)風(fēng)險風(fēng)險評估要素資產(chǎn)價值發(fā)生的可能性嚴(yán)重程度風(fēng)險值的高低屬性屬性屬性屬性12推進(jìn)推進(jìn)網(wǎng)絡(luò)與信息安全體系指導(dǎo)指導(dǎo)DO:DO:實(shí)施安全技術(shù)要求實(shí)施安全技術(shù)要求 實(shí)施安全管理要求實(shí)施安全管理要求CHECK:CHECK:安全風(fēng)險評估安全風(fēng)險評估 ACTION:ACTION:安全實(shí)施安全實(shí)施 安全建設(shè)安全建設(shè)PLANPLAN: :安全方針、目標(biāo)安全方針、目標(biāo) 安全要求安全要求業(yè)務(wù)業(yè)務(wù)目標(biāo)目標(biāo)業(yè)務(wù)業(yè)務(wù)安全安全建立核心安全體系建立核心安全體系識別風(fēng)險和確定安全需求識別風(fēng)險和確定安全需求安全意識和知識

6、培訓(xùn)安全意識和知識培訓(xùn)實(shí)施適合的安全策實(shí)施適合的安全策略和控制措施略和控制措施監(jiān)督并審查安全策略和監(jiān)督并審查安全策略和措施的有效性措施的有效性安全措施抗擊脆弱性威脅風(fēng)險殘余風(fēng)險擁有暴露降低增加增加增加導(dǎo)出未被滿足未控制可能誘發(fā)安全措施抗擊業(yè)務(wù)戰(zhàn)略弱點(diǎn)安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴降低增加增加增加導(dǎo)出未被滿足未控制可能誘發(fā)資產(chǎn)資產(chǎn)價值成本利用演變殘留被滿足風(fēng)險風(fēng)險安全措施安全措施信息資產(chǎn)信息資產(chǎn)威脅威脅弱點(diǎn)弱點(diǎn)安全需求安全需求降低降低增加增加增加增加利用利用暴露暴露價值價值擁有擁有抗擊抗擊增加增加引出引出被滿足被滿足所所 有有 者者攻攻 擊擊 者者 對對 策策 弱點(diǎn)弱點(diǎn) 風(fēng)風(fēng) 險險 威威

7、脅脅 資資 產(chǎn)產(chǎn)對抗性、動態(tài)性對抗性、動態(tài)性框架框架主要參照標(biāo)準(zhǔn)主要參照標(biāo)準(zhǔn)強(qiáng)度描述強(qiáng)度描述第一級第一級第二級第二級第三級第三級安全策略框架安全策略框架安全組織框架安全組織框架安全運(yùn)作框架安全運(yùn)作框架ISO17799ISO17799，ISO15408ISO15408， SP800SP8005353ITILITIL、COBITCOBIT滿足安全管理需要的基滿足安全管理需要的基本要求本要求通過良好定義過程來提通過良好定義過程來提高安全管理能力高安全管理能力對安全管理能力進(jìn)行計對安全管理能力進(jìn)行計劃和跟蹤劃和跟蹤安安全全技技術(shù)術(shù)框框架架物理安全物理安全GA/T 390 GA/T 390 等級保護(hù)等級

8、保護(hù)通用技術(shù)要求通用技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)與通訊安全安全為保證網(wǎng)絡(luò)對業(yè)務(wù)的支為保證網(wǎng)絡(luò)對業(yè)務(wù)的支撐能力應(yīng)采取的基本措撐能力應(yīng)采取的基本措施施通過良好定義過程來提通過良好定義過程來提高網(wǎng)絡(luò)的安全管理能力高網(wǎng)絡(luò)的安全管理能力對網(wǎng)絡(luò)安全管理能力進(jìn)對網(wǎng)絡(luò)安全管理能力進(jìn)行計劃和跟蹤行計劃和跟蹤主機(jī)與平臺主機(jī)與平臺安全安全GA T 388 GA T 388 等級保護(hù)操等級保護(hù)操作系統(tǒng)技術(shù)要求作系統(tǒng)技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)審核保護(hù)級審核保護(hù)級相當(dāng)于該標(biāo)準(zhǔn)中安全標(biāo)相當(dāng)

9、于該標(biāo)準(zhǔn)中安全標(biāo)記保護(hù)級記保護(hù)級相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)化保護(hù)級化保護(hù)級數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)安全安全TCSECTCSEC中的中的可信數(shù)據(jù)可信數(shù)據(jù)庫安全要求庫安全要求相當(dāng)于該標(biāo)準(zhǔn)相當(dāng)于該標(biāo)準(zhǔn)C1C1相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中C2C2相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中B1B1應(yīng)用系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全數(shù)據(jù)安全I(xiàn)SO15408(CC)ISO15408(CC)在內(nèi)部管理環(huán)境下的安在內(nèi)部管理環(huán)境下的安全保障要求全保障要求在復(fù)雜管理環(huán)境下的安在復(fù)雜管理環(huán)境下的安全保障要求全保障要求在強(qiáng)對抗環(huán)境下的安全在強(qiáng)對抗環(huán)境下的安全保障要求保障要求整體框架整體框架IATF IATF 信息保障技術(shù)框架；信

10、息保障技術(shù)框架； GB 18336 GB 18336 框架框架主要參照標(biāo)準(zhǔn)主要參照標(biāo)準(zhǔn)強(qiáng)度描述強(qiáng)度描述第一級第一級第二級第二級第三級第三級安全策略框架安全策略框架安全組織框架安全組織框架安全運(yùn)作框架安全運(yùn)作框架ISO17799ISO17799，ISO15408ISO15408， SP800SP8005353ITILITIL、COBITCOBIT滿足安全管理需要的基滿足安全管理需要的基本要求本要求通過良好定義過程來提通過良好定義過程來提高安全管理能力高安全管理能力對安全管理能力進(jìn)行計對安全管理能力進(jìn)行計劃和跟蹤劃和跟蹤安安全全技技術(shù)術(shù)框框架架物理安全物理安全GA/T 390 GA/T 390 等

11、級保護(hù)等級保護(hù)通用技術(shù)要求通用技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)基本要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)較高要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求相當(dāng)于該標(biāo)準(zhǔn)嚴(yán)格要求網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)與通訊安全安全為保證網(wǎng)絡(luò)對業(yè)務(wù)的支為保證網(wǎng)絡(luò)對業(yè)務(wù)的支撐能力應(yīng)采取的基本措撐能力應(yīng)采取的基本措施施通過良好定義過程來提通過良好定義過程來提高網(wǎng)絡(luò)的安全管理能力高網(wǎng)絡(luò)的安全管理能力對網(wǎng)絡(luò)安全管理能力進(jìn)對網(wǎng)絡(luò)安全管理能力進(jìn)行計劃和跟蹤行計劃和跟蹤主機(jī)與平臺主機(jī)與平臺安全安全GA T 388 GA T 388 等級保護(hù)操等級保護(hù)操作系統(tǒng)技術(shù)要求作系統(tǒng)技術(shù)要求相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)相當(dāng)于該標(biāo)準(zhǔn)中的系統(tǒng)審核保護(hù)級審核保護(hù)級相當(dāng)于該標(biāo)準(zhǔn)中

12、安全標(biāo)相當(dāng)于該標(biāo)準(zhǔn)中安全標(biāo)記保護(hù)級記保護(hù)級相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)相當(dāng)于該標(biāo)準(zhǔn)中的結(jié)構(gòu)化保護(hù)級化保護(hù)級數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)安全安全TCSECTCSEC中的中的可信數(shù)據(jù)可信數(shù)據(jù)庫安全要求庫安全要求相當(dāng)于該標(biāo)準(zhǔn)相當(dāng)于該標(biāo)準(zhǔn)C1C1相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中C2C2相當(dāng)于該標(biāo)準(zhǔn)中相當(dāng)于該標(biāo)準(zhǔn)中B1B1應(yīng)用系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全數(shù)據(jù)安全I(xiàn)SO15408(CC)ISO15408(CC)在內(nèi)部管理環(huán)境下的安在內(nèi)部管理環(huán)境下的安全保障要求全保障要求在復(fù)雜管理環(huán)境下的安在復(fù)雜管理環(huán)境下的安全保障要求全保障要求在強(qiáng)對抗環(huán)境下的安全在強(qiáng)對抗環(huán)境下的安全保障要求保障要求整體框架整體框架IATF IATF 信息保障技

13、術(shù)框架；信息保障技術(shù)框架； GB 18336 GB 18336 資產(chǎn)調(diào)查資產(chǎn)調(diào)查IT設(shè)備弱點(diǎn)評估設(shè)備弱點(diǎn)評估安安全全威威脅脅評評估估工具掃描弱點(diǎn)工具掃描弱點(diǎn)網(wǎng)絡(luò)架構(gòu)安全評估網(wǎng)絡(luò)架構(gòu)安全評估業(yè)務(wù)系統(tǒng)安全評估業(yè)務(wù)系統(tǒng)安全評估滲透測試滲透測試主機(jī)弱點(diǎn)人工評估主機(jī)弱點(diǎn)人工評估操作系統(tǒng)弱點(diǎn)評估操作系統(tǒng)弱點(diǎn)評估數(shù)據(jù)庫弱點(diǎn)評估數(shù)據(jù)庫弱點(diǎn)評估網(wǎng)絡(luò)配置弱點(diǎn)評估網(wǎng)絡(luò)配置弱點(diǎn)評估安全設(shè)備弱點(diǎn)評估安全設(shè)備弱點(diǎn)評估業(yè)業(yè)務(wù)務(wù)分分析析安全管理評估安全管理評估風(fēng)險分析風(fēng)險分析信息資產(chǎn)調(diào)查信息資產(chǎn)調(diào)查/業(yè)務(wù)分析業(yè)務(wù)分析弱點(diǎn)評估弱點(diǎn)評估威脅評估威脅評估現(xiàn)有安全措施評估現(xiàn)有安全措施評估風(fēng)險評估風(fēng)險評估安全需求安全需求2122232

14、425網(wǎng)絡(luò)掃描手工檢查顧問訪談記錄審查安裝安全補(bǔ)丁安裝安全補(bǔ)丁安全配置安全配置安全機(jī)制安全機(jī)制文件系統(tǒng)文件系統(tǒng)用戶管理用戶管理網(wǎng)絡(luò)及服務(wù)網(wǎng)絡(luò)及服務(wù)其它配置文件其它配置文件加密通信加密通信數(shù)字簽名數(shù)字簽名日志日志/ /備份備份訪問控制訪問控制安全設(shè)備策略定制安全設(shè)備策略定制資料文檔資料文檔現(xiàn)狀記錄及備份現(xiàn)狀記錄及備份加固對象加固對象操作系統(tǒng)操作系統(tǒng)加固項目加固項目說明說明UNIX系統(tǒng)及類UNIX系統(tǒng)Solaris HP-UX AIX linuxFreeBSDOpenBSDSCO補(bǔ)丁從廠家網(wǎng)站或者可信任站點(diǎn)下載系統(tǒng)的補(bǔ)丁包，不同的操作系統(tǒng)版本以及運(yùn)行不同的服務(wù)，都可能造成需要安裝的補(bǔ)丁包不同，所以

15、必須選擇適合本機(jī)的補(bǔ)丁包安裝。文件系統(tǒng)UNIX文件系統(tǒng)的權(quán)限配置項目繁多，要求也很嚴(yán)格，不適當(dāng)?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。配置文件UNIX配置文件功能有點(diǎn)類似微軟的注冊表，UNIX對操作系統(tǒng)配置基本上都是通過各種配置文件來完成，不合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。例如：/etc/inittab文件是系統(tǒng)加載時首先自動執(zhí)行的文件，/etc/hosts。equiv是限制主機(jī)信任關(guān)系的文件等。 帳號管理帳號口令是從網(wǎng)絡(luò)訪問UNIX系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是因為帳號管理不善，設(shè)置超級用戶密碼強(qiáng)度，

16、密碼的缺省配置策略(例如：密碼長度，更換時間，帳號所在組，帳號鎖定等多方面)。有些系統(tǒng)可以配置使用更強(qiáng)的加密算法。網(wǎng)絡(luò)及服務(wù)UNIX有很多缺省打開的服務(wù)，這些服務(wù)都可能泄露本機(jī)信息，或存在未被發(fā)現(xiàn)的安全漏洞，關(guān)閉不必要的服務(wù)，能盡量降低被入侵的可能性。例如r系列服務(wù)和rpc的rstatd都出過不止一次遠(yuǎn)程安全漏洞。UNIX缺省的網(wǎng)絡(luò)配置參數(shù)也不盡合理，例如TCP序列號隨機(jī)強(qiáng)度，對D。o。S攻擊的抵抗能力等，合理配置網(wǎng)絡(luò)參數(shù)，能優(yōu)化操作系統(tǒng)性能，提高安全性。 NFS系統(tǒng)網(wǎng)絡(luò)文件系統(tǒng)協(xié)議最早是SUN公司開發(fā)出來的，以實(shí)現(xiàn)文件系統(tǒng)共享。NFS使用RPC服務(wù)，其驗證方式存在缺陷，NFS服務(wù)的缺省配置也

17、很不安全，如果必須使用NFS系統(tǒng)，一定進(jìn)行安全的配置。 應(yīng)用軟件我們建議操作系統(tǒng)安裝最小軟件包，例如不安裝開發(fā)包，不安裝不必要的庫，不安裝編繹器等，但很多情況下必須安裝一些軟件包。 APACHE或NETSCAPE ENTERPRISE SERVER是一般UNIX首選的WEB服務(wù)器，其配置本身就是一項獨(dú)立的服務(wù)郵件和域名服務(wù)等都需要進(jìn)行合理的配置。審計，日志做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息。例如，打開帳號審計功能，記錄所有用戶執(zhí)行過的命令。例如實(shí)現(xiàn)日志集中管理，避免被入侵主機(jī)日志被刪除等。 其它不同的UNIX系統(tǒng)有一些特別的安全配置，例如solari

18、s有ASET，HP的高級別安全， FreeBSD的jail等。 最后工作建議用戶做系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。微軟操作系統(tǒng)NT 4.0 / W2K /WIN2003 ( workstation ， server ， professional ， advanced server )補(bǔ)丁微軟操作系統(tǒng)對新發(fā)現(xiàn)的漏洞修補(bǔ)是使用Service Pack 及 hotfix，另外，還需要安裝C2級安全配置。文件系統(tǒng)配置NTFS文件系統(tǒng)，NTFS可以支持更多更強(qiáng)大的的安全配置，設(shè)置需要特殊保護(hù)的目錄和文件，設(shè)置不同目錄和文件的權(quán)限，移動或刪除特別的系統(tǒng)命令文件，增加入侵者操作的難度。帳號管理帳號口令

19、是從網(wǎng)絡(luò)訪問NT/2K系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是因為帳號管理不善，設(shè)置超級用戶密碼強(qiáng)度，密碼的缺省配置策略(例如：密碼長度，更換時間，帳號所在組，帳號可訪問資源，帳號鎖定等多方面)，GUEST帳號以及加強(qiáng)的密碼管理(SYSKEY)等。網(wǎng)絡(luò)及服務(wù)網(wǎng)絡(luò)和服務(wù)是互聯(lián)網(wǎng)上用戶與此服務(wù)器接口的部分，網(wǎng)絡(luò)協(xié)議的配置不當(dāng)，服務(wù)進(jìn)程設(shè)置不當(dāng)，都可能為入侵系統(tǒng)打開方便之門。合理地配置網(wǎng)絡(luò)及服務(wù)將能阻擋80%的普通入侵。注冊表微軟操作系統(tǒng)缺省的安裝是為了能兼容各種運(yùn)行環(huán)境，因此很多權(quán)限設(shè)置都很寬，這不符合最小權(quán)限的基本原則，我們需要根據(jù)不同的環(huán)境，備份注冊表，再人為地更改注冊表內(nèi)容，配置最小權(quán)限的穩(wěn)定

20、運(yùn)行的系統(tǒng)。例如：不允許遠(yuǎn)程注冊表配置，設(shè)置LSA盡量減少遠(yuǎn)程用戶可以獲取的信息，設(shè)置注冊表本身的訪問控制，禁止空連接，對其它操作系統(tǒng)和POSIX的支持，對登錄信息的緩存等。也有很多選項需要根據(jù)不同用戶需求來制定，例如：當(dāng)安全策略因為某些因素(磁盤滿)而不能運(yùn)作時，是否強(qiáng)制系統(tǒng)停止運(yùn)行。共享共享是向網(wǎng)絡(luò)上的用戶開放對本機(jī)的資源訪問權(quán)限，不合理的配置以及系統(tǒng)的缺省共享配置，都可能造成遠(yuǎn)程用戶對系統(tǒng)的文件，打印機(jī)等資源的非法訪問和操作。我們需要刪除不必要的共享，合理配置共享的訪問控制列表。應(yīng)用軟件安裝最小的軟件包，不安裝不必要的應(yīng)用軟件。但是很多情況應(yīng)用軟件提供不可缺少的服務(wù)，這時我們就必須安全地

21、配置它們。 IE被微軟綁定為操作系統(tǒng)的一部分，IE的安全直接影響到系統(tǒng)的安全。我們需要升級IE的版本，安裝IE的補(bǔ)丁，設(shè)置IE的安全級別，及各項安全相關(guān)配置outlook，powerpoint及其它等多種軟件都可能存在安全問題，需要安裝補(bǔ)丁程序。 IIS提供WWW的服務(wù)，IIS的缺省配置，目錄設(shè)置，權(quán)限設(shè)置，安全設(shè)置等多方面配置不當(dāng)也是系統(tǒng)安全的巨大隱患。IIS的加固本身就可以成為一項獨(dú)立的服務(wù)內(nèi)容。審計，日志做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息其它其它方面視不同環(huán)境而定，例如需要刪除多余的系統(tǒng)安裝包，安裝主機(jī)防病毒軟件，等多項操作。最后工作重新制作新

22、的系統(tǒng)緊急恢復(fù)盤(ERD)，建議用戶做系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。加固對象加固對象操作系統(tǒng)操作系統(tǒng)加固項目加固項目說明說明IIS服務(wù)MicrosoftWindows系統(tǒng)默認(rèn)站點(diǎn)關(guān)閉并刪除 默認(rèn)站點(diǎn).默認(rèn)FTP站點(diǎn)默認(rèn)Web站點(diǎn)管理Web站點(diǎn).目錄配置建立自己的站點(diǎn)，與系統(tǒng)不在一個分區(qū)如：D:ABDE建立E:Logfiles 目錄，以后建立站點(diǎn)時的日志文件均位于此目錄，確保此目錄上的訪問控制權(quán)限是： Administrators（完全控制）System（完全控制）默認(rèn)IIS目錄IISHelp,C:winnthelpiishelp ,IISAdmin C:system32inetsrvi

23、isadmin ,MSADC C:Program FilesCommon FilesSystemmsadc ,刪除 C:inetpub映射和擴(kuò)展 IIS被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型 的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，虛擬目錄權(quán)限設(shè)置 在iis里把所有的目錄,不包括asp等文件的目錄 ,比如img,image,pic,upload等等這些目錄,里面一般是沒有asp文件的目錄的執(zhí)行許可設(shè)置為無,這樣就算你用的程序被發(fā)現(xiàn)了新的漏洞,傳了馬上來了,它也執(zhí)行不了,!日志審計用 W3C 擴(kuò)展日志記錄格式，啟用操作系統(tǒng)組策略中的審核功能，對關(guān)鍵事件進(jìn)行審核記錄；啟用