CISM0202终端及数据安全

终端及数据安全中国信息安全测评中心（20140819）课程内容2终端及数据安全操作系统安全及Win7安全设置终端安全防护产品终端应用安全数据安全知识体：终端及数据安全知识域：操作系统安全及Windows7安全设置了解操作系统安全的重要性了解Windows7系统安全配置常见策略和措施3操作系统功能用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口4操作系统计算机硬件用户操作系统安全重要性操作系统是计算机系统的核心是其他系统软件、应用软件运行的基础管理硬件、软件，保存用户数据和隐私安全性至关重要软件可能存在漏洞系统可能存在后门安全体系可能有缺陷没有操作系统的安全支持，计算机系统的安全就缺乏了根基5操作系统安全操作系统安全性变迁早期：更注重功能性、易用性现在：同时注重安全性和功能性，安全架构设计成为重点操作系统安全性安全机制•访问控制、标记与鉴别、安全审计、数据安全、隐蔽信道分析、可信路径等使用安全性•系统安全配置•其他：物理安全、管理安全等6Windows7系统安全设置参考账号安全设置本地安全策略设置用户权限分配设置唤醒密码禁止自动运行关闭常见危险端口关闭默认共享启用防火墙加密硬盘分区安装防病毒软件系统补丁更新使用第三方安全工具7账号安全性账号作用用户鉴别、系统登录账号安全策略避免直接使用Administrator账号为账户设置高安全强度的口令（密码）禁用Guest账户和不需要的帐号口令（密码）是计算机和信息系统的第一道安全屏障8账户策略--密码策略和账户锁定策略密码策略9账户锁定策略账号密码设置参考账号密码设置参考设置操作系统登录口令和屏幕保护口令长度至少为8个字符具有较复杂的组合方式，包括：大写字符、小写字符、数字以及非字母数字字符不要包含用户姓名、电话、生日或任何常见词经常修改密码，如一个月修改一次不要将口令写在纸上或其他介质上系统安全策略对抗密码破解限制密码尝试次数限制必须提供安全10如何设置和管理密码好的密码特征自己容易记住，别人不好猜设置方法特殊记忆（歌词、语录、书名、…）密码专用/分级，不同应用/系统/网站不同密码专用密码管理工具11国歌“起来，不愿做奴隶的人们”qlbyznldrm•QQR2D2TRPOQQ•csdnR2D2TRPOCSDN本地安全策略设置（一）管理工具→本地安全策略→安全设置→本地策略→安全选项交互式登录：无须按Ctrl+Alt+Del，设置为已禁用交互式登录：不显示最后的用户名，设置为已启用设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用12本地安全策略设置（二）管理工具→本地安全策略→安全设置→本地策略→安全选项网络访问：不允许SAM账户的匿名枚举，设置为已启用网络访问：可匿名访问的共享，删除策略设置里的值网络访问：可匿名访问的命名管道，删除策略设置里的值网络访问：可远程访问的注册表路径，删除策略设置里的值13用户权限分配用户权限分配从网络访问这台计算机拒绝从网络访问这台计算机管理审核和安全日志从远程系统强制关机14设置唤醒密码设置唤醒计算机时的登录密码设置屏幕保护恢复时的登录密码15自动执行的威胁U盘插入，病毒则立刻运行16禁止自动执行功能禁用自动播放和自动运行功能可以有效阻断病毒的传播路径17关闭常见危险端口（一）关闭139端口139NetBIOSFileandPrintSharing通过这个端口进入的连接试图获得NetBIOS/SMB服务IPC$漏洞使用的是139,445端口18关闭常见危险端口（二）445端口用于局域网中共享文件夹或共享打印机黑客可能通过该端口偷偷共享使用硬盘封堵445端口通过关闭文件夹或打印机共享服务实现利用防火墙规则拦截445端口数据通过组策略设置来关闭端口通过注册表来关闭端口19关闭常见危险端口（三）关闭3389端口3389端口是Windows远程桌面的服务端口后台服务•RemoteDesktopConfiguration•RemoteDesktopServices•RemoteDesktopServicesUserMode前台功能设置•禁止远程协助•禁止远程桌面20关闭默认共享（一）共享安全风险IPC$的安全问题（空会话连接导致信息泄露）管理共享风险(远程文件操作)普通共享的风险（远程文件操作）21系统用户列表用户信息共享列表……空会话连接关闭默认共享（二）命令行操作netshareC$/delnetshareD$/del修改注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters22启用防火墙安装第三方软件防火墙启用Windows自带防火墙控制面板→系统和安全→Windows防火墙23启用或关闭Windows防火墙24Windows防火墙高级配置出站规则入站规则连接安全规则监视防火墙连接安全规则安全关联25加密硬盘分区（一）硬盘分区存储重要数据BitLocker驱动器加密Windows7提供的一项非常重要的安全功能可以用来加密电脑的硬盘分区也可以加密移动存储设备（U盘、移动硬盘）26加密硬盘分区（二）27安装防病毒软件安装防病毒软件是保证系统安全的重要措施建议用户安装国内外知名的产品•很多杀毒软件个人版是免费的！及时更新杀毒软件病毒库，以便查杀最新的病毒28其他安全措施——系统补丁更新29其他安全措施——使用第三方安全工具30知识体：终端及数据安全知识域：终端安全防护产品了解主机审计产品的主要功能了解主机安全监控产品的主要功能31终端安全防护产品主机审计产品获取、记录被审计主机的状态信息和敏感操作，依据设定的安全策略，分析判断是否存在违规行为，在需要时可以协助主机安全事件定位分析和事后追查取证主机安全监控产品监控主机安全性，提供对主机安全策略设置功能，对系统中的外接设备进行管理等功能32主机审计产品审计内容网络访问行为文件访问行为电子邮件内容用户操作行为用户权限设置系统运行日志33主机安全监控产品系统安全管理补丁分发、资源控制、系统加固安全策略管理检查主机安全软件是否正常检查系统注册表、进程和文件系统的完整性监控进程运行状态和设置进程黑白名单外设管控允许或禁止光驱、打印机、无线网络、移动介质网络准入允许或禁止连接网络，设置允许连接的网络范围34知识体：终端及数据安全知识域：终端应用安全了解IE浏览器的安全配置和安全使用技巧了解电子邮件、即时通讯软件的常见安全问题和安全保护手段了解公钥基础设施的概念和在Web访问、网络支付中的应用安全35终端上网面临的安全风险网页挂马恶意脚本隐私泄露网络钓鱼网页欺诈……36终端上网安全措施使用安全的浏览器安全配置浏览器良好的安全意识……37使用安全的浏览器使用最新版本浏览器IEFirefoxOperaChrome搜狗浏览器360浏览器……38IE安全配置参考——浏览级别设置适当的浏览器安全级别将各个不同站点划分到四个安全区域之一建议设置“该区域的允许级别”为高39IE安全配置参考——设置Cookie安全Cookie储存在用户计算机硬盘上保存了用户信息和所访问站点的详细信息目的方便将来应用，如简化用户登录手续威胁泄漏用户敏感数据或隐私假冒用户登录某些网站40IE安全配置参考——设置Cookie安全设置隐私保护级别41删除CookieIE安全配置参考——ActiveX控件ActiveX控件Windows中的一种组件对象能扩展Web程序功能安全问题由于ActiveX控件具有客户端文件读写、系统命令执行等权限，所以恶意的控件对客户端的危害极大IE安全设置提示下载已签名的控件禁止下载未签名的控件42IE安全配置参考——自动完成禁用自动完成和密码记忆功能记录历史输入，自动完成表单禁用该功能，谨慎使用43IE安全配置参考——删除历史记录退出时删除历史记录在常规选项中，建议勾选“退出时删除浏览历史记录”，防止信息泄漏→单击“删除”，配置删除内容，建议全选44公钥基础设施及网络应用主要内容公钥基础设施数字证书格式及作用网络应用安全45基于密码技术的安全支撑体系-PKI什么是PKI公钥基础设施，PublicKeyInfrastructure是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能利用公开密钥技术建立的提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全如同电力基础设施为家用电器提供电力一样，PKI为各种应用提供安全保障，提供网络信任基础46PKI体系组成PKI体系组成CARA证书库终端实体47证书/CRL库终端实体证书下载CRL查询注册权威机构RA证书下载CRL查询认证权威机构CA证书/CRL发布证书/CRL下载申请、撤销、恢复、更新申请、撤销、恢复、更新PKI用户PKI管理CA：认证权威48认证权威机构签发管理数字证书是PKI的核心主要功能签发证书更新证书管理证书•撤销、查询•审计、统计验证数字证书CA是PKI体系的核心MaryRick明文密文明文加密操作解密操作公开密钥私有密钥非对称加密与解密过程的问题49问题：这个公钥是Rick的吗？为什么要数字证书用户身份信息姓名、ID、身份证号等加解密密钥对公钥、私钥数字证书是一段经证书权威机构CA签名的电子数据公开数据，可被验证、可信任的数据绑定终端实体身份及其公钥之间关系数字证书可以作为终端实体的身份证明，在电子商务和网络信息交流中，常用来解决相互间的信任问题50数字证书作用及分类数字证书绑定用户身份和公钥网络世界的电子身份证与现实世界的居民身份证类似能够证明个人、团体或设备的身份包含姓名、地址、Email地址、…由可信的颁发机构颁发数字证书分类按照终端实体分:人员证书、设备证书、机构证书按照用途分:签名证书和加密证书51PKI/CA技术的典型应用PKI/CA应用通信领域WiFi部署•钓鱼•身份盗窃电子政务领域公文扭转政务门户访问控制领域•机房门禁（物理）•Windows登录（逻辑）硬件设备领域•Web服务器•域名控制器•VPN软件开发领域代码签名•电子商务领域银行网购52WEB使用PKI例子53HTTPS协议HTTPHypertextTransferProtocol，超文本传输协议协议信息以明文形式传输，容易被监听HTTPSHypertextTransferProtocoloverSecureSocketLayer，安全超文本协议采用PKI技术，在HTTP的基础上使用SSL协议来构建安全通信隧道相比HTTP协议，HTTPS协议增加了信息交换的安全保护过程，实现了浏览器和服务器之间的身份认证和数据加密传输54IE中查看数字证书IE-Internet选项-内容-证书55网络应用安全单向认证只需要一方认证另一方网站应用：用户需要验证网站真实性，网站不需要验证用户真实性，如用于信息公开发布的政府网站双向认证双方需要互相认证网站应用：用户和网站相互认证，如银行网银网站56网络金融支付应用安全需求用户身份鉴别网站身份鉴别网络传输数据加密交易数据完整，不丢失、不被篡改交易过程确认，不可抵赖57交易可信真实性保密性完整性不可否认性网络支付安全须知识别真假网站进入安全的交易网站保护账号对应的口令使用安全手段登录和支付