《信息服务器安全方案维护篇》由会员分享,可在线阅读,更多相关《信息服务器安全方案维护篇(26页珍藏版)》请在金锄头文库上搜索。
1、服务器信息安全维护方案服务器信息安全维护方案 1、设计方案概述 2 1.1、 系统应用背景 . 2 1.2、 方案设计原则 . 2 1.3、 安全维护目标 . 3 2、硬件维护 3 2.1、机房环境检测 . 3 2.2、服务器清洁 . 4 2.3、电源检测 . 4 2.4、硬件检查 . 4 3、基础服务的维护 5 3.1、 操作系统 . 5 3.2、 WEB 服务 5 4、服务器入侵检测 6 4.1、 查看服务器状态: . 6 4.2、 检查当前进程情况 . 7 4.3、 检查系统帐号 . 7 4.4、 查看当前端口开放情况 . 7 4.5、 检查系统服务 . 8 4.6、 查看相关日志 .
2、8 4.7、 检查系统文件 . 9 4.8、 检查安全策略是否更改 . 9 4.9、 检查目录权限 . 9 4.10、 检查启动项 . 10 4.11、 发现入侵时的应对措施 . 10 5、漏洞扫描 . 11 5.1、漏洞的概念 . 11 5.2、漏洞的类型 . 12 5.3、漏洞对网络安全的影响 . 16 5.4、漏洞与后门的区别 . 17 5.5、漏洞扫描器 . 18 6、软件升级维护 . 24 7、数据与文件备份 . 25 8、性能优化 . 25 9、服务支持 错误错误! !未定义书签。未定义书签。 1 1、设计方案概述、设计方案概述 1.11.1、 系统应用背景系统应用背景 随着人们对
3、网络的使用越来越普及, 网络给我们带来许多方便的同 时,在网络中承担众多功能的服务器也带来了许多风险和挑战,服务 器是一种性能较高的计算机,作为网络的节点,存储、处理网络上 80的数据、信息,因此也被称为网络的灵魂。 当服务器因各种故障或者受攻击入侵时, 它提供的服务会受到严 重影响甚至会中断;存储的数据信息也可能会丢失、被盗等等,造成 的损失是无法估算的!例如,在 1999 时被称为“世界头号黑客”的 凯文 米特尼克曾经的侵入行为就导致包括 Sun 等高科技公司共受大 约 2 亿 9000 万美元的损失!服务器系统维护可以让服务器变得更安 全、更稳定、更高效!因此,服务器的信息安全维护十分重
4、要。 1.21.2、 方案设计原则方案设计原则 方案设计原则是不改变原有工作网络拓朴, 并且本着高质量, 高稳 定性,高性价比的方针,使服务器信息安全维护工作能够完美地融合 到原有网络系统中去,不影响到原有网络的业务流量带宽,也不给网 络造成性能上的瓶颈点。 服务器维护要从硬件维护和软件维护两方面入手,硬件是软件的 物质基础,只有确保硬件系统的正常,服务器才可以运行;服务器中 的软件是服务器的灵魂, 因此软件系统维护对服务器的安全稳定高效 起着关键性的作用。 1.31.3、 安全维护目标安全维护目标 本项目建设的目标是通过专业的技术人员对处于 DMA 区的 16 台服 务器进行全面的信息安全维
5、护,进一步加强与完善网络安全体系。 主要目标有以下几方面: 1、硬件维护:(除尘,静电,设备的检查等) ; 2、基础服务维护:(操作系统、WEB 服务、FTP 服务、数据库等); 3、服务器入侵检测: (进程、服务、日志、文件等) ; 4、服务器漏洞扫描: (漏洞扫描、漏洞修复、本地策略等) ; 5、软件升级维护(杀毒软件、防火墙、程序补丁等) ; 6、数据与文件备份: (操作系统、数据库、网页、应用程序备份) ; 2 2、硬件维护、硬件维护 2.12.1、机房环境检测、机房环境检测 温度与湿度: 最佳工作温度:20-25 摄氏度 极限工作温度:10-40 摄氏度 湿度: 8-80%(在 23
6、 摄氏度条件下) 2.22.2、服务器清洁、服务器清洁 机房应保持服务器清洁,若空气灰尘过多,很容易造成资源读写 错误及磁盘机中磁盘或读写磁头毁损。 本次维护将对所有服务器进行 一次硬件检测和除尘工作。 2.2.3 3、电源检测、电源检测 电 压: 要求电压稳定, 尖峰电压会损坏设备 电压范围: 220V +/- 10%, 即 200-240V, 50-60Hz 电源功率: 视机器类型和系统配置而定 电源线 : 标准的零, 地, 火接线, 其中零地电压不得超过 3.0V. 电源接驳: 用符合电流要求的空气开关或其他设备和主机电源线接 驳,保证计算机系统的可靠工作应使用稳压电源和 UPS,对于冗
7、于电 源的接入,采用两路单独输入. 2.42.4、硬件检查、硬件检查 检查服务器、磁盘阵列的安装、电源线主机接线符合要求。 服务器状态检查: 当服务器处于启动和正常工作状态时, 其前面板上的液晶显示屏 上应无信息显示。 当液晶显示器上出现带数字和字母的信息时,说明有硬件告警。 可以通过查询相关机型的面板报警数字信息查到相应告警原因, 情况 严重的,则要立即通知服务器厂商进行问题排查。 当服务器的状态灯出现橙黄色时,说明有硬件告警,此时要检查磁柜 的电源、接线、硬盘等。如果有硬件故障则立即进行更换和更正,如 果查不出具体问题,则需要联系相关厂商进一步诊断。 当硬盘工作正常时, 与各硬盘对应的硬盘
8、灯会呈绿色, 如无读写, 则绿灯一直亮,如该硬盘有读写操作,则绿灯会不规则闪烁,当硬盘 损坏时或 RAID 出现问题时,则硬盘状态灯将熄灭,或者呈闪烁状态: 以 13 秒的频率有规律地、不停地闪烁 3 3、基础服务的维护、基础服务的维护 3.13.1、 操作系统操作系统 Windows 系统安装在 NTFS 分区 安装系统补丁、扫描漏洞全面杀毒 删除 Windows Server 默认共享 禁用 IPC 连接 删除和关闭不需要的协议和服务 启用 windows 连接防火墙,只开放相应功能的服务端口 3.23.2、 WEBWEB 服务服务 iis 配置(在应用程序设置中执行权限设为无,在需要的目
9、录里 再更改),目录不在系统盘 注:为支持 ,将系统盘 Inetpubwwwroot 中的 aspnet_client 文件夹复制到 web 根目录下, 并给 web 根目录加上 users 权限。 删掉系统盘inetpub 目录 删除不用的映射 在“应用程序配置“里,只给必要的脚本执行权限:ASP、ASPX。 4 4、服务器入侵检测、服务器入侵检测 作为服务器的日常管理,入侵检测是一项非常重要的工作,在平 常的检测过程中, 主要包含日常的服务器安全例行检查和遭到入侵时 的入侵检查, 也就是分为在入侵进行时的安全检查和在入侵前后的安 全检查。系统的安全性遵循木桶原理,木桶原理指的是:一个木桶由
10、 许多块木板组成,如果组成木桶的这些木板长短不一,那么这个木桶 的最大容量不取决于长的木板,而取决于最短的那块木板。应用到安 全方面也就是说系统的安全性取决于系统中最脆弱的地方, 这些地方 是日常的安全检测的重点所在。 安全检测主要针对系统的安全性,工作主要按照以下步骤进行: 4.14.1、 查看服务器状态:查看服务器状态: 打开进程管理器,查看服务器性能,观察 CPU 和内存使用状况。 查看是否有 CPU 和内存占用过高等异常情况。 4.24.2、 检查当前进程情况检查当前进程情况 切换“任务管理器”到进程,查找有无可疑的应用程序或后台进 程在运行。用进程管理器查看进程时里面会有一项 tas
11、kmgr, 这个是进程管理器自身的进程。 如果正在运行 windows 更新会有一项 wuauclt.exe 进程。通常的后门如果有进程的话,一般 会取一个与系统进程类似的名称,如 svch0st.exe,此时要仔细辨别 通常迷惑手段是变字母 o 为数字 0,变字母 l 为数字 1 4.34.3、 检查系统帐号检查系统帐号 打开计算机管理,展开本地用户和组选项,查看组选项,查看 administrators 组是否添加有新帐号,检查是否有克隆帐号。 4.44.4、 查看当前查看当前端口开放情况端口开放情况 使用 activeport,查看当前的端口连接情况,尤其是注意与外部 连接着的端口情况,
12、看是否有未经允许的端口与外界在通信。如有, 立即关闭该端口并记录下该端口对应的程序并记录, 将该程序转移到 其他目录下存放以便后来分析。打开计算机管理=软件环境=正 在运行任务在此处可以查看进程管理器中看不到的隐藏进程, 查看 当前运行的程序,如果有不明程序,记录下该程序的位置,打开任务 管理器结束该进程, 对于采用了守护进程的后门等程序可尝试结束进 程树, 如仍然无法结束, 在注册表中搜索该程序名, 删除掉相关键值, 切换到安全模式下删除掉相关的程序文件。 4.54.5、 检查系统服务检查系统服务 运行 services.msc,检查处于已启动状态的服务,查看是否有新 加的未知服务并确定服务
13、的用途。 对于不清楚的服务打开该服务的属 性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统 内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依 存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件 是否是系统内正常文件并且没有其他正常开放服务依存在该服务上, 可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门 由于采用了 hook 系统 API 技术,添加的服务项目在服务管理器中是 无法看到的, 这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServices 项进行查找,通过查看各服务的名 称、
14、对应的执行文件来确定是否是后门、木马程序等。 4.64.6、 查看相关日志查看相关日志 运行 eventvwr.msc,粗略检查系统中的相关日志记录。在查看时 在对应的日志记录上点右键选“属性” ,在“筛选器”中设置一个日 志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对 于出现的错误如能在服务器常见故障排除中找到解决办法则依照该 办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件 来源、ID 号和具体描述信息,以便找到问题解决的办法。 4.74.7、 检查系统文件检查系统文件 主要检查系统盘的 exe 和 dll 文件, 建议系统安装完毕之后用 dir *.exe /s
15、 1.txt 将 C 盘所有的 exe 文件列表保存下来,然后每次检 查的时候再用该命令生成一份当时的列表,用 fc 比较两个文件,同 样如此针对 dll 文件做相关检查。 需要注意的是打补丁或者安装软件 后重新生成一次原始列表。 检查相关系统文件是否被替换或系统中是 否被安装了木马后门等恶意程序。 必要时可运行一次杀毒程序对系统 盘进行一次扫描处理。 4.84.8、 检查安全策略是否更改检查安全策略是否更改 打开本地连接的属性,查看“常规”中是否只勾选了“TCP/IP 协 议” ,打开“TCP/IP”协议设置,点“高级”= “选项” ,查看“IP 安全机制”是否是设定的 IP 策略,查看“T
16、CP/IP”筛选允许的端口 有没有被更改。打开“管理工具”= “本地安全策略” ,查看目前使 用的 IP 安全策略是否发生更改。 4.94.9、 检查目录权限检查目录权限 重点查看系统目录和重要的应用程序权限是否被更改。 如;c:/winnt;C:/winnt/system32;c:/winnt/system32/inetsrv;c:/ winnt/system32/inetsrv/data;c:/documents and Settings;然后再 检查 serv-u 安装目录,查看这些目录的权限是否做过变动。检查 system32 下的一些重要文件是否更改过权限,包括:cmd,net,ftp, tftp,cacls 等文件。 4.104.10、 检查启动项检查启动项 主要检查当前的开机自启动程序。可以使用 AReporter 来检查开 机自启动的程序。 4.114.11、 发现入侵时的应对措施发现入侵时的应对措施 对于即时发现
