信息安全是与国家安全有关的重大战略问题,已广泛应用于全国政府,军事,能源,金融,企业,互联网公司和其他重要部门。在新形势影响下,我们如何努力建立长久的发展动力,加强信息安全治理?这个问题在本文中将会找到答案,同时我们将重点介绍有关如何设计系统主机信息安全性的信息。那么系统主机信息安全设计包括什么?
系统主机信息安全设计包括什么?
系统主机安全设计系统主机信息安全范围主要包括:身份鉴别、访问控制、入侵防范、恶意病毒防范、资源控制、漏洞扫描、服务器安全加固等方面进行安全设计和控制,为用户信息系统运行提供一个安全的环境。
1、身份鉴别
用户应当具备仅供其个人或单独使用的独一无二的标识符,以便跟踪后续行为,从而责任到人。用户ID不得表示用户的权限级别。
操作系统和数据库系统用户的身份鉴别信息应具有不易被冒用的特点,为不同用户分配不同的用户名,确保用户名具有唯一性,例如长且复杂的口令,一次性口令等;对重要系统的用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别,例如使用令牌或者证书。具体设置如下:
1)、管理员用户设置
对操作系统进行特权用户的特权分离并提供专用登陆控制模块,采用最小授权原则,进行授权。
2)、管理员口令安全
启用密码口令复杂性要求,设置密码长度最小值为8位,密码最长使用期限90天,强制密码历史等,保证系统和应用管理用户身份标识不易被冒用。
3)、登陆策略
采用用户名、密码、密钥卡令牌实现用户身份鉴别。
4)、非法访问警示
配置账户锁定策略中的选项,如账户锁定时间、账户锁定阈值等实现结束会话、限制非法登陆次数和自动退出功能。
2、访问控制
业务服务器操作系统应选用C2或以上安全级别的操作系统。
主机层安全启用访问控制功能,依据安全策略控制用户对资源的访问,对重要信息资源设置敏感标记,安全策略严格控制用户对有敏感标记重要信息资源的操作。对管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,实现操作系统和数据库系统特权用户的权限分离,严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令并应及时删除多余的、过期的帐户,避免共享帐户的存在。具体设置如下:
1)、资源访问记录
通过操作系统日志以及设置安全审计,记录和分析各用户和系统活动操作记录和信息资料,包括访问人员、访问计算机、访问时间、操作记录等信息。
2)、访问控制范围
对重要系统文件进行敏感标记,设置强制访问控制机制。根据用户的角色分配权限,授予用户最小权限,并对用户及程序进行限制,从而达到更高的安全级别。
3)、关闭系统默认共享目录
关闭系统默认共享目录访问权限,保证目录数据安全。
4)、远程访问控制
通过主机操作系统设置,授权指定IP地址进行访问控制,未授权IP地址,不允许进行访问。
3、入侵防范
为有效应对网络入侵,在网络边界处部署防火墙、IPS、防病毒网关、WEB应用防火墙等安全设备,用于应对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等各类网络攻击;
防火墙能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP 欺骗攻击、源IP攻击、IP 碎片攻击、DoS/DDoS 攻击等;实时应用层内容过滤,在防火墙内核协议栈中实现。支持HTTP、FTP、SMTP 协议,具体包括URL 过滤、网页关键字过滤、FTP 文件下载过滤、FTP 文件上传过滤、SMTP收件人过滤、SMTP 发件人过滤、邮件主题过滤、反邮件中转过滤、Internet 蠕虫过滤。根据入侵检测结果自动地调整防火墙的安全策略,及时阻断入侵的网络连接。
操作系统的安装遵循最小安装原则,仅开启需要的服务,安装需要的组件和程序,可以极大的降低系统遭受攻击的可能性并且及时更系统丁。建议关闭相应危险设备。
4、恶意病毒防范
网络中的所有服务器上均统一部署网络版防病毒系统,并确保系统的病毒代码库保持最新,实现恶意代码、病毒的全面防护,实现全网病毒的统一监控管理。
网络防病毒系统须考虑到云计算环境下的特殊要求。常规防病毒扫描和病毒码更新等占用大量资源的操作将在很短的时间内导致过量系统负载。如果防病毒扫描或定期更新在所有虚拟机上同时启动,将会引起“防病毒风暴”。此“风暴”就如同银行挤兑,其中的“银行”是由内存、存储和 CPU 构成的基本虚拟化资源池。此性能影响将阻碍服务器应用程序和虚拟化环境的正常运行。传统体系结构还将导致内存分配随单个主机上虚拟机数量的增加而呈现线性增长。
在物理环境中,每一操作系统上都必须安装防病毒软件。将此体系结构应用于虚拟系统意味着每个虚拟机都需要多占用大量内存,从而导致对服务器整合工作的不必要消耗。针对业务平台所在的云计算环境,考虑部署支持虚拟化的服务器病毒防护系统,可以减少系统开销、简化管理及加强虚拟机的透明性和安全性。
5、漏洞扫描
部署一套漏洞扫描系统,能够帮助提升安全管理的手段,增强系统风险应对的水平,贴合等保对主机安全的要求。漏洞扫描系统对不同系统下的设备进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
漏洞扫描系统能够提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为管理员提供实时安全建议。作为一种积极主动的安全防护技术,提供对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决方案。并可根据用户需求对该系统功能进行升级。
6、服务器安全加固
建议对重要服务器部署安全加固系统,通过部署服务器安全加固系统,可以实现以下功能:
1)、强制的访问控制功能:内核级实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制;
2)、安全审计功能:文件的完整性检测、服务的完整性检测、WEB请求监测过滤;
3)、系统自身的保护功能:保护系统自身进程不被异常终止、伪造、信息注入。
服务器操作系统上安装主机安全加固系统,实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制、三权分立的管理、管理员登录的强身份认证、文件完整性监测等功能。
主机安全加固系统通过对操作系统原有系统管理员的无限权力进行分散,使其不再具有对系统自身安全构成威胁的能力,从而达到从根本上保障操作系统安全的目的。也就是说即使非法入侵者拥有了操作系统管理员最高权限也不能对经过内核加固技术保护的系统一切核心或重要内容进行任何破坏和操作。此外,内核加固模块稳定的工作于操作系统下,提升系统的安全等级,为用户构造一个更加安全的操作系统平台。
通过核心加固将全面提升服务器的安全性,并执行严格的安全策略,以充分满足等级保护三级系统的主机安全要求。
以上就是关于系统主机信息安全设计包括什么的全部内容介绍,想了解更多关于系统主机信息安全设计的信息,请继续关注。