终端服务器安全加固
终端服务器安全加固一、隐藏和限制桌面
二、禁止在桌面写入文件
三、隐藏和限制资源管理器访问
四、禁止使用UNC路径访问网络(注:此策略在域策略中实现)
五、禁止浏览网上邻居(不显示网络中的计算机名称)
移动终端安全管理与接入控制
移动终端安全管理与接入控制 1 范围 本标准规定了移动终端安全管理与接入控制产品的安全功能要求、安全保障要求及等级划分要求。 本标准适用于移动终端安全管理与接入控制产品的设计、开发及测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T 25069-2010 信息安全技术术语 3 术语和定义 GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 移动终端 mobile terminal 可以在移动中使用的计算机设备,包括手机、笔记本、平板电脑等;终端应用场景如POS机、执法记录仪、医疗终端、公司办公终端等。 3.2 越狱jailbreak 获取IOS操作系统移动终端的系统管理员权限,经过越狱的苹果终端拥有对系统底层的读写权限。 3.3 移动终端ROOT mobile terminal ROOT 获取Android操作系统移动终端的系统管理员权限,经过ROOT的移动终端拥有对系统底层的读写权限。 3.4 移动终端安全管理与接入控制产品mobile terminal security management and access control product 为增强移动终端的安全性、可控性和时效性,通过定制安全策略对移动终端进行统一管理和安全接入控制的产品。 4 移动终端安全管理与接入控制产品描述 移动终端安全管理与接入控制产品(mobile terminal security management and access control product)通过对终端实施安全防护,防止不安全或无权限的终端接入被保护的网络,访问被保护的应用;避免引起的内网安全威胁,保护在移动终端上缓存的敏感业务数据不被泄露。实现了对移动终端的统一设备管理、统一接入认证管理、统一的安全策略管理。 图1是移动终端安全管理与接入控制产品的一个典型运行环境。
新版《信息安全技术-移动智能终端应用软件安全技术要求和测试评价方法》征求意见稿-编制说明.doc
《信息安全技术移动智能终端应用软件安全技术 要求和测试评价方法》 编制说明(征求意见稿) 1 工作简况 1.1任务来源 经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定移动智能终端应用软件安全技术要求和测试评价方法的国家标准。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部计算机信息系统安全产品质量监督检验中心(公安部第三研究所)负责主办。 1.2协作单位 在接到《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》标准的任务后,公安部计算机信息系统安全产品质量监督检验中心立即与相关厂商进行沟通,并得到了多家业内知名厂商的积极参与和反馈。经过层层筛选之后,最后确定由新能聚信(北京)科技有限公司、北京奇虎科技有限公司作为标准编制协作单位。1.3主要工作过程 1.3.1成立编制组 2012年12月接到标准编制任务,组建标准编制组,由本检测中
心、新能聚信及北京奇虎联合编制。检测中心的编制组成员均具有资深的产品检测经验、有足够的标准编制经验、熟悉CC;其他厂商的编制成员均为移动智能终端应用软件的研发负责人及主要研发人员。检测中心人员包括俞优、顾健、陈妍、陆臻、张笑笑、沈亮等。 1.3.2制定工作计划 编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。 1.3.3参考资料 该标准编制过程中,主要参考了: ?GB 17859-1999 计算机信息系统安全保护划分准则 ?GB/T 18336.3-2015 信息技术安全技术信息技术安全性评估准则第3部分:安全保障组件 ?GB/T 20271-2006 信息安全技术信息系统通用安全技术要求?GB/T 25069-2010 信息安全技术术语 1.3.4确定编制内容 移动智能终端应用有着自身的特点,在测试策略上不能完全照搬传统应用软件的测试策略、方法和内容,需要分析其使用特点以及使用过程中可能存在的一些安全性隐患,针对这些隐患提出针对性的安全要求,可以有效提高移动智能终端应用软件的安全性和可靠性,从而保证终端用户的软件使用安全。 移动智能终端号称永远在线,可以随时联机公共网络和专用网络,
安全运维服务方案
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
网络安全主机安全加固
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
移动设备使用安全管理办法
编号:SY-AQ-00717 ( 安全管理) 单位:_____________________ 审批:_____________________ 日期:_____________________ WORD文档/ A4打印/ 可编辑 移动设备使用安全管理办法 Safety management measures for mobile devices
移动设备使用安全管理办法 导语:进行安全管理的目的是预防、消灭事故,防止或消除事故伤害,保护劳动者的安全与健康。在安全管 理的四项主要内容中,虽然都是为了达到安全管理的目的,但是对生产因素状态的控制,与安全管理目的关 系更直接,显得更为突出。 一、总则 (一)为了加强我司计算机信息网络系统的安全管理,保证我司移动设备办公安全,结合我司笔记本电脑使用实际情况、制定本办法。 (二)凡配备或使用公用笔记本电脑及移动存储设备的人员,务必遵守此管理办法。 二、移动设备安全使用规定 (一)移动设备范畴:笔记本、移动硬盘、U盘等存储设备。 (二)笔记本电脑必须设置开机密码,公用笔记本开机密码统一设置为123借用人不得随意修改。 (三)笔记本电脑必须设置硬盘加密,防止丢失带来损失,目前只支持WIN7旗舰版,总部公用笔记本电脑硬盘密码统一设置为1232014。 (四)公用笔记本电脑资料请不要放在桌面及C盘,可放置D、E
等盘,公用笔记本重启后将进行还原,桌面资料及安装软件将进行清除,以保证电脑为最新状态。如果有特殊原因需要长期使用,可向系统管理员申请取消还原功能,使用完成后自行卸载安装软件并删除文件。 (五)笔记本电脑上网用户必须安装杀毒软件并且注意更新病毒,定期清查计算机病毒,防止笔记本电脑中的病毒到处传播。 (六)凡是存放有我司资料的移动存储设备均需要进行加密,防止丢失带来不可预计的损失。 三、移动设备的使用及注意事项 (一)笔记本需注意使用环境,特别要注意远离饮料和食品。 (二)在开关机时不要急于移动笔记本,应注意防震,否则硬盘容易损坏。 (三)笔记本电脑,不要放在软垫上使用(如毛巾、布料、棉被等),否则易堵塞散热口,散热不好,造成机器故障。 (四)光驱容易损坏,请注意保养,减少不必要的损耗,不宜使用质量差的光盘和软盘。
移动设备安全接入解决方案
移动设备安全接入解决方案 一、方案介绍 随着移动设备越来越多的介入到企业的移动办公乃至企业核心应用领域,数量庞大的移动设备在企业中如何保证其安全接入,移动设备上的企业数据安全如何保障,日益成为IT管理者需要急需解决的问题。移动设备安全接入方案正是为了解决这一系列的问题而推出的解决方案。 移动设备安全接入解决方案,通过软硬件的整合,从移动终端到网络接入提供全方面安全的移动应用体系,提供网络安全,设备完全,应用安全,数据安全的全套解决方案。 二、系统特点 技术优势 ●算法安全:平台采用国密的SM系列硬件和软件加密算法作为核心引擎 (SM1/SM4/SM2) ●硬件网关:均已通过公安部和国家密码管理局检测和权威认证 ●政策安全:硬件/算法均采用目前国内移动安全领域最高的安全技术标准,符合 国家相关安全规定 ●安全TF卡+证书:采用公安部专用的安全TF卡作为移动终端核心认证设备,结 合数字证书进行高安全的移动接入身份认证 ●移动办公安全:不仅能实现移动安全接入安全(身份安全+通道安全),还能实 现移动办公应用的数据落地加密和移动终端管理 ●VPN支持:支持主流VPN协议,支持SSL ●标准SDK接口:可提供标准移动安全接入平台SDK接口,可与应用紧密集合, 基于应用系统平台框架可构建安全、有效的移动办公应用解决方案 ●兼容性强:平台支持Android、IOS、Windows主流系统 三、核心功能 1.移动安全接入 移动安全接入具备以下特点:
?身份认证安全:用户名和密码、证书/ 动态口令认证、安全TF卡复合认 证; ?数据传输加密:采用国家商用密码SM1/SM4/SM2算法为核心引擎、支持 BF、SSL等国际标准算法/协议进行网络信道加密; ?应用访问安全:可以基于用户角色进行安全访问控制的设定,保证用户权限 的统一集中运维管理; ?设备可靠:移动安全接入网关是经国家商用密码管理局检测认证的硬件设 备,支持网络数据包的高速加解密,实现系统配置管理等功能,支持负载均 衡和多机热备,具备优良的网络适应能力; 2.移动应用安全 ?移动安全应用:安全浏览器、安全邮件、安全阅读器等安全组件;针对行业 级专属应用,可定制化开发 ?文件存储控制:文件存储路径逻辑加固处置(存储安全区) ?移动应用数据存储加密:应用过程与结果数据加密保护 ?广泛应用支撑:基于安全支撑框架SDK的开放式系统架构,可灵活调用 3.移动终端管理 ?集中化外设管理,与设备厂商联动可实现对蓝牙、红外、WIFI、存储卡等实 现实停用控制; ?自动检测终端环境,判断当前终端状态是否合规/越狱,实时进行隔离和预警, 为远程管理提供依据; ?支持终端数据的远程销毁管理; ?提供日志审计,方便事后查看; 4.移动安全管理平台SDK 四、成功案例 海关总署
Windows服务器安全加固方案
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
LINUX安全加固手册
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
移动设备使用安全管理办法
移动设备使用安全管理办法 一、总则 (一) 为了加强我司计算机信息网络系统的安全管理,保证我司移动设备办公安全,结合我司笔记本电脑使用实际情况、制定本办法。 (二) 凡配备或使用公用笔记本电脑及移动存储设备的人员,务必遵守此管理办法。 二、移动设备安全使用规定 (一) 移动设备范畴:笔记本、移动硬盘、U盘等存储设备。 (二) 笔记本电脑必须设置开机密码,公用笔记本开机密码统一设置为123借用人不得随意修改。 (三) 笔记本电脑必须设置硬盘加密,防止丢失带来损失,目前只支持WIN7旗舰版,总部公用笔记本电脑硬盘密码统一设置为1232014。 (四) 公用笔记本电脑资料请不要放在桌面及C盘,可放置D、E 等盘,公用笔记本重启后将进行还原,桌面资料及安装软件将进行清除,以保证电脑为最新状态。如果有特殊原因需要长期使用,可向系统管理员申请取消还原功能,使用完成后自行卸载安装软件并删除文件。 (五) 笔记本电脑上网用户必须安装杀毒软件并且注意更新病毒,定期清查计算机病毒,防止笔记本电脑中的病毒到处传播。 (六) 凡是存放有我司资料的移动存储设备均需要进行加密,防止
丢失带来不可预计的损失。 三、移动设备的使用及注意事项 (一) 笔记本需注意使用环境,特别要注意远离饮料和食品。 (二) 在开关机时不要急于移动笔记本,应注意防震,否则硬盘容易损坏。 (三) 笔记本电脑,不要放在软垫上使用(如毛巾、布料、棉被等),否则易堵塞散热口,散热不好,造成机器故障。 (四) 光驱容易损坏,请注意保养,减少不必要的损耗,不宜使用质量差的光盘和软盘。 (五) 液晶板不宜用手触摸,不能与硬物接触。清洁时要特别注意用眼镜布轻轻擦拭。 (六) 插拔外接部件时,要特别小心,一旦插口出现问题,可能要换主板,损失较大。 (七) 笔记本电脑随机软件只有操作系统(WINDOWS),并安装常用办公软件,请不要随意安装其它软件。 (八) 笔记本电脑和附件重量轻、体积小,在出租车、办公室等公共场所容易丢失和被盗。 (九) 移动硬盘及U盘应轻拿轻放,容易摔坏。 (十) 注意移动硬盘和U盘存放位置,请勿放置桌面及显眼的位置防止丢失。 (十一) 凡是人为造成笔记本及移动硬盘等设备损坏,将自行承担
移动终端应用安全设计方案
移动终端应用安全设计方案 传统互联网相比,移动互联网具有随身性、可鉴权、可身份识别等独特优势。但同时也存在移动终端处理能力弱、网络带宽相对较小的局限性 移动应用的几种模式 原生应用、Web应用、混合应用 原生应用:简单的来说是特别为某种操作系统开发的,比如iOS、Android、黑莓等等,它们是在各自的移动设备上运行的 Web应用:本质上是为移动浏览器设计的基于Web的应用,它们是用普通Web开发语言开发的,可以在各种智能手机浏览器上运行。 混合应用:是原生应用和Web应用的结合体,采用了原生应用的一部分、Web应用的一部分,所以必须在部分在设备上运行、部分在Web 上运行,这是主流模式
移动应用模式的优缺点 移动应用的安全 一般用户都认为只要是手机安装客户端模式会比较安全,客户端模式相对于wap网页模式安全些,但是,打开手机就是应用,应用背后却还是一片黑,好像还不是很安全呢。 可以从移动终端安全机制、网络安全机制两个方面考虑:
无论是终端还是网络安全都可以从物理安全、系统安全、应用安全和数据安全等方面进行分析。 物理安全:设备丢失带来了物理安全隐患 数据安全,数据传输的加密处理 隐私保护,身份认证PIN密码的加密处理,明文还是暗文 内容安全,交互协议的加密处理(HTTPS\ jabber\ 3DES加密体系) 移动终端安全机制 Android组件的安全 Activity组件权限安全 Activity组件时用户唯一能够看见的组件,首先是访问权限控制,activity 组件在制定Intent-filter后,默认是可以被外部程序访问的,也就意味着 会被其他程序进行串谋攻击。 这里的其他程序指签名不同、用户id不同的程序,或者是签名相同且用 户id相同的程序在执行同一个进程空间,彼此之间是没有组件访问限制 的。 Android:exported熟悉设置为false,设置组件不能被外部程序调用。 如果希望被特定的程序访问,就不能用上面的熟悉设置,需要通过 andriod:permission熟悉来指定一个权限字符。 要想启动Activity必须在AndriodManfest.XML文件中加入声明权限的代 码 Activity组件劫持 当用户安装了带有Activity劫持功能的恶意程序后,恶意程序会遍历系 统中运行的程序,当检测到要劫持的Activity(通常有网银或是其他网络 程序登录页面)在前台运行时,会用钓鱼式的activity覆盖正常的activity,
Windows服务器安全加固
服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原得加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟 2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成
“成功”、“失败”(默认为“无审核”)。 2)设置日志系统得安全加固,打开“控制面板-管理工具-事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
3、关闭服务器共享资源,可通过“控制面板-管理工具-计算机管理”中,选择“共 享文件夹-共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图) 4、自动锁屏设置 桌面点击右键-属性-屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)
服务器安全加固操作指南
网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)
1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务,每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)
移动终端信息安全浅析
移动终端信息安全浅析 随着移动通信业务的发展,移动终端设备的功能也随之发生了巨大的变化。3G技术的普及改变了以往移动终端单一的业务模式。从最初的语音传输,发展成短消息业务和Web浏览,后来扩展成多媒体短信业务及各种无线增值业务,移动终端也从简单的通话工具逐渐成为集合PDA、MP3、视频、游戏、拍照、GPS、视频通话等功能的移动多媒体终端,演变成集通话、身份代表、信息获取、电子支付等为一体的手持终端工具。伴随着移动终端用户规模的继续扩大和用户对移动终端技术的了解,移动终端正面临着越来越多的安全威胁。 1、移动终端的几种典型的安全威胁: ?移动终端身份识别码的删除和篡改等 由于IMEI号可用来统计用户的终端类型、限制被盗终端在移动网内的重新使用等用途,所以IMEI号应该具有一定的保护措施。 ?终端操作系统非法修改和刷新等 由于非法操作系统可能会影响用户使用并干扰正常网络运行,因此操作系统应当阻止一切非法的修改和刷新等。 ?个人隐私数据的非法读取访问等 移动终端内部可能会存有用户的电话簿、短信、银行账号、口令等用户隐私信息,如果这些信息被他人非法获得,很可能给用户造成直接的经济损失。 ?病毒和恶意代码的破坏 病毒和恶意代码很可能会破坏移动终端的正常使用,还可能会将用户的隐私信息不知不觉地传给他人。 ?移动终端被盗等 目前移动终端被盗现象极其严重,终端被盗给用户带来直接经济损失,更严重的是用户隐私数据的泄漏等。 总之,移动终端存在的安全隐患可能会威胁到个人隐私、私有财产甚于国家安全。尽管移动终端面临着许多的安全威胁,但目前其安全问题仍是整个移动运营网络中的一个安全盲点。虽然目前面市的一些终端号称信息安全终端,采用了
服务器安全加固
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
Server系统安全加固
为安装Windows server操作系统的服务器进行系统安全加固 操作系统基本安全加固 补丁安装 使用Windows update安装最新补丁 或者使用第三方软件安装补丁,如360安全卫士 系统帐户、密码策略 1.帐户密码策略修改 “本地计算机”策→计算机配置→windows设置→安全设置→密码策略 密码长度最小值7 字符 密码最长存留期90 天 密码最短存留期30 天 密码必须符合复杂性要求启用 保障帐号以及口令的安全,但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录,需修改不符合帐号策略的密码(注:管理员不受帐号策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风险) 2.帐户锁定策略 账户锁定时间30 分钟 账户锁定阈值5 次无效登录 复位账户锁定计数器30 分钟 有效的防止攻击者猜出您账户的密码 3.更改默认管理员用户名 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项 帐户: 重命名管理员帐户 默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名 4.系统默认账户安全 Guest 帐户必须禁用;如有特殊需要保留也一定要重命名 TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的,故帐户必须禁用,不会对于正常的Terminal Services的功能有影响 SUPPORT_388945a0 此帐户是为了IT帮助和支持服务,此帐户必须禁用 IUSR_{system} 必须只能是Guest组的成员,此帐户为IIS(Internet Information Server)服务建立 IWAM_{system} 必须只能是Guest组的成员,此帐户为IIS(Internet Information Server)服务建立 日志审核策略 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略 审核策略更改成功 审核登录事件无审核 审核对象访问成功, 失败 审核过程追踪无审核 审核目录服务访问无审核
安全加固手册
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
移动终端安全管理及其关键技术
龙源期刊网 https://www.360docs.net/doc/9812771530.html, 移动终端安全管理及其关键技术 作者:李汶隆邱吉刚刘念林彭伟伦 来源:《信息安全与技术》2015年第02期 【摘要】文章面向信息安全领域,就智能终端产品当前信息安全的漏洞与不足进行深入分析,阐述了移动终端安全管理的发展趋势。通过对移动终端的网络安全、应用安全、系统安全、数据安全、隐私安全和设备安全分析,探讨了移动终端安全管理的关键技术及应用。 【关键词】移动终端;安全管理;骚扰拦截 1 引言 广义的移动终端安全包含移动终端病毒、木马或恶意软件、系统破坏、流氓软件、隐私窃取、盗号木马、恶意扣费、数据破坏、信息骚扰、SIM卡被复制等影响到移动终端使用的行为。 移动终端安全软件产品功能调查结果显示,目前中国移动终端安全用户认为,移动终端安全产品最主要的功能应该侧重于骚扰拦截,占比32%;其次隐私及防盗,占比29%;应用管理,占比18%;最后才是安全防护和用户体验分别占比12%和9%。由调查可知,对用户而言,移动终端安全管理最重要的已不是杀毒,而在于提供隐私保护、拦截骚扰和软件管理等其他辅助功能。 2 移动终端安全管理发展背景 移动终端作为通信设备伴随移动通信发展已有几十年的历史,自2007年开始,智能化引发了移动终端基因突变,根本改变了终端作为移动网络末梢的传统定位,几乎在一瞬之间转变为互联网业务的关键入口和主要创新平台。引发的颠覆性变革揭开了移动互联网产业发展的序幕,开启了一个新的技术产业周期。2011年全球移动移动终端的出货量超越PC,标志着一个新的时代来临。 移动终端已发展为能够从Internet下载各种应用程序的开放软件平台。这些应用程序通常由设备OEM进行验证以确保质量,但并非对所有功能进行测试,攻击者正在不断创建越来越多以此类设备为目标的恶意代码。同时,移动设备处理服务的需求日益增加,从信息浏览到通过移动终端远程支付账单和管理银行账户等,这表明,新的商业模式已经出现。这些发展趋势已使移动终端成为恶意软件、木马和Rootkit等病毒的攻击目标。移动终端设备无时无刻不面临着安全风险,如设备丢失、操作系统漏洞、应用程序漏洞、恶意软件、网络攻击等,因此随着移动终端设备的广泛应用,安全形势日趋严峻。 3 移动终端安全管理关键技术
【原创】Windows 2008 R2服务器的安全加固
【原创】Windows 2008 R2服务器的安全加固 最近托管了一台2U服务器到机房,安装的是Windows 2008系统,打算 用IIS做web server,因此需要把没用的端口、服务关闭,减小风险。 我发现现在网络上有价值的东西实在是太少了,很多人都是转载来转载 去,学而不思,没有一点营养。还是自己总结总结吧,大概有以下几 步: 1. 如何关掉IPv6? 这一点国内国外网站上基本上都有了共识,都是按照下面两步来进行。 据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口 还是同时监听ipv4和ipv6的端口,尤其是135端口,已经把ipv4关闭了, ipv6竟然还开着。匪夷所思啊…… 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramete 增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位 的8个f) 重启服务器即可关闭ipv6 2. 如何关闭135端口? 这个破端口是RPC服务的端口,以前出过很多问题,现在貌似没啥漏洞 了,不过还是心有余悸啊,想关的这样关: 开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属 性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的 TCP/IP” 但是感觉做了以上的操作还能看到135在Listen状态,还可以试试这 样。 在cmd中执行:netsh rpc add 127.0.0.0,这样135端口只监听 127.0.0.1了。 3. 如何关闭445端口? 445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器
移动电气设备安全管理规定
1. 主题内容与适用范围 本标准规定了本公司移动电气设备的选购、管理、使用、检查和安全技术规程的要求。 本标准适用于本公司各部门移动电气设备管理。 2.引用标准 <<工厂常用电气手册第二版>> 3.定义 除固定安装使用外的各类设备:风扇、潜水泵、等设备均称移动电气设备。 4.移动电气设备使用要求 4.1)移动电器设备,由各使用部门负责日常保养检查,外表保持完好,安全防护装置齐全。 4.2)引线必须采用三芯或四芯橡皮线,长度不得超过6公尺,中间不准有接头。电源线必 须采用截面足够的三芯或四芯多股铜芯橡胶(或塑料)护套软电缆。应采用专用芯线接地,此芯线严禁同时用来通过工作电流。严禁利用其它用电设备的零线接地。严禁使用绝缘破坏的电缆或几根单芯导线并用。 4.3)使用时安放稳妥,在移动前,必须切断电源停止转动后,方可进行。 4.4)非防爆移动电气设备,不准使用在易燃易爆作业区。临时抢检修,必须办理手续,采 取必要的安全措施。 4.5)在停用半年以上或受潮等时,必须经装备室电工检查,确认完好,才能使用。 4.6)设备运转时,严禁做清洁工作或乱模乱动。人员离去或突然停电时,必须断开电源开 关或拨掉电源插头。 4.7)凡遇电线断裂、插头、座损坏,必须及时报修装备室调换。 在末调换之前,应停止使用,防止触电伤人。 4.8)移动电气设备应符合国家或部颁现行技术标准,并具有出厂合格和技术文件。 4.9)移动电气设备上必须设置标志明显的接地螺丝。铭牌上的技术数据应齐全清晰,其安 全防护罩壳、限位、保护、联锁应齐备可靠。手持握柄和操作手把尽量采用绝缘材料。 5职责 5.1装备室负责移动编制电气设备台账 5.2移动电气设备应按要求周期及质量标准进行定期检验。并贴合格证 5.3装备室负责移动电气设备的收货、报检、入帐、发货、退货、储存、防护工作。 5.4各移动电气设备使用工段需配合装备室管理工作。 5.5采购室和装备室共同负责移动电气设备报废工作。 6 移动电气设备管理制度 6.1 移动电气设备入库后,需按不同类别、性能、特点和用途分类分区码放,做到"二齐、 三清、四号定位"。 a)二齐:物资摆放整齐、库容干净整齐。 b)三清:材料清、数量清、规格标识清。 c)四号定位:按区、按排、按架、按位定位。 6.2 装备室对常用或每日有变动的物资要随时盘点,若发现误差须及时找出原因并更正 6.3 库存信息及时呈报。须对数量、文字、表格仔细核对,确保报表数据的准确性和可靠性。 6.4无论是新购入、退货、领后收回,均应由装备室检验后方准物品入库