系統及應用安全中國信息安全測評中心課程內容2操作系統安全系統及應用安全技術Web應用安全互聯網使用安全知識體：系統及應用安全技術知識域：操作系統安全了解Windows系統服務器安全安裝及配置；了解Windows系統終端安全管理策略。3骨干網絡保護網絡邊界保護網絡和基礎設施保護計算環境系統安全是信息系統縱深防御中的最后環節IATF“保護計算環境”的主要內容4系統安全重要性系統安全的核心要素硬件系統安全硬件：服務器、存儲等硬件設施威脅源（故障、自然災害等）……軟件系統安全軟件：操作系統、系統軟件、應用軟件等威脅源：兼容性、入侵、病毒等……5如何打造安全的Windows系統安全的安裝安全的配置6打造安全的Windows系統-安全安裝系統選擇分區選擇優化安裝補丁及備份7系統選擇正版合適的版本（以windows2003為例）WindowsServer2003標準版WindowsServer2003企業版WinowsServer數據中心版Windowsserver2003Web版單一操作系統8注意不同版本之間的差異分區選擇分區設置操作系統與數據放在不同的分區建議三個分區C盤（操作系統，適當的空間）D盤（數據，足夠大的空間）E盤（日志及備份，盡量大的空間）文件系統使用NTFS文件系統安裝前格式化為NTFS，不要安裝后使用convert命令轉換9Windows文件系統FAT/FAT32小磁盤和簡單的目錄結構設計，以簇（Clusters）為單位進行空間分配，容易導致空間浪費不具備安全特性NTFS訪問控制權限管理容錯性支持壓縮及空間利用率高……10優化安裝最小化組件安裝，僅安裝必要的組件IISFTPSMTPNNTP……修改默認配置Windows安裝目錄(例如：c:\winnt)11補丁及備份補丁ServicePackHotfix備份應急修復盤還原點12打造安全的Windows系統-安全配置賬戶安全配置共享安全配置系統服務配置日志安全配置安全策略配置文件安全配置防火墻安全配置自動更新配置安全軟件增強13賬號安全配置賬戶策略密碼策略密碼必須符合復雜性要求密碼長度最小值密碼最短使用期限密碼最長使用期限強制密碼歷史用可還原的加密來存儲密碼賬戶鎖定策略賬戶鎖定時間賬戶鎖定閥值重置賬戶鎖定計數器14賬號安全配置賬戶信息修改更名管理員賬戶administrator改名給管理員賬戶一個安全的口令Guest賬戶改名，給一個安全的口令屬性關閉普通賬號的終端登錄權限創建審計賬戶創建一個新的administrator賬戶，屬于guest組對此賬戶進行審計以發現口令攻擊行為15共享赴安全桑配置共享觸安全霞風險IP除C$的安卵全問峰題（串空會梯話連辣接導項致信等息泄樸露）管理澇共享襯風險(遠程欣文件貸操作)普通尖共享末的風灶險（天遠程眠文件付操作斧）16系統用戶列表用戶信息共享列表……空會話連接解決IP昌C$空會柳話連削接系統躺策略本地傻安全瀉策略->安全路選項境中的日相關幸設置注冊沖表[H徒KE潑Y_閃LO匯CA沙L_關MA拳CH痛IN度E\洋SY蘇ST上EM騰\C踩ur壞re品nt賊Co欄nt講ro打lS驕et優\C食on接tr測ol爽\L步SA勁]把Re功st犯ri濤ct屈An稱on決ym歸ou島s撇=牲DW輩OR植D的鍵筑值改撓為：1端口13更9智4舉45端口17通過聯控制有面板渴里面滋的管您理工開具來姐取消廢共享相為暫圖時，重重啟炭后恢傭復。HK我EY深_L念OC胖AL可_M探AC租HI像NE臟\S催ys星te風m\巨Cu置rr志en勢tC疼on沿tr濱ol長Se欄t\搏Se肆rv邊ic皺es遠\L棵an倒ma本nS弱er越ve統r\桃Pa絲式ra少me雅te節rs服務上器：俱創建革鍵值襖名Au缺to勒Sh醒ar杰eS捆er督ve蔽r，類罩型DW鈴OR址D（雙亭字節棍）并首且值無為0客戶虛端：夏創建國鍵值昌名為Au摟to蹲Sh倒ar倘eW擾ks，類航型DW妻OR慨D（雙彎字節布）并觸且值材為0關閉宋管理逐共享18系統絲式服務胃安全炮配置關閉觀不必凈要的虹服務戰（手嘩工、遣禁用連）Me中ss頑ag何eTa羨sk顛S蛾ch怠ed旦ul踐erRe塊mo皮te假R件eg般is飼tr旁yWi朋nd樣ow隱s各Ti弓me……服務幣的權湊限控脆制默認造服務姜權限-s都ys疫te總m降低啞部分懲服務腔的權哥限，忙特別撐是應炒用程親序服鑒務權穿限19關注愧互操宋作服旬務日志警安全吉配置20默認賤提供觀日志系統嫂日志應用脅程序勸日志安全攝日志安裝倚相應澆服務兵后提詢供目錄兆服務窩日志文件乞復制嘉日志DN喘S服務遙器日艱志開啟杯安全斯審核侮！日志刑安全慮配置日志栗屬性日志陪大小榜上限>10蜂0M日志宣覆蓋催時間>或30天日志董保存木路徑允修改HK嚷EY加_L芬OC渴AL秋_M插AC筆HI懲NE技\S鐘YS柴TE勵M\凈Cu污rr善en包tC廉on縫tr存ol月Se蜂t\尾Se爹rv快ic艷es質\E背ve示nt叢lo拉gAp秀pl辭ic章at還io賢n應用意程序搶日志Se躺cu囑ri球ty安全寇日志Sy結st董em系統暗日志21本地級安全常策略涌設置用戶品權限仁分配創建頑文件憑和目鼠錄從網浪絡訪軟問此絡計算羅機……安全樹選項當登弦錄時違間完輕成自輸動注濃銷關機膨清理英虛擬腳內存初頁面不顯拿示上控次登只陸用效戶名超過辰登錄劇時間檢后強誓制注校銷用戶番登錄印時的挑消息兩標題用戶甘登錄堵時的仇消息烤文本使用換空白舒密碼悲的賬毒號允瞞許控賊制臺朋登錄……22其他犯本地檢安全劫策略高級拴安全Wi餅nd該ow綢s防火易墻網絡觀列表別管理迫器策盆略公鑰局策略軟件咸限制輩策略應用侮程序垃控制嬌策略高級糞審核杰策略縫配置23組策梅略設漫置24軟件嬸設置Wi支nd下ow茄s設置管理分模板Wi瞎nd籠ow螺s組件打印師機控制燒面板網絡系統所有簽設置……文件裙安全遞配置設置旅系統補文件償權限有（權氏限最獻小化吵原則稿）給予架正常陷工作揮所需苦的最向小權膏限參考飛相關蔽文檔咳或標軍準數據液文件夫權限逢設置僅對延需要捐訪問恢的用蛋戶提僻供權邁限日志炮文件結系統途安全乞防護日志滑系統秋設置耕為僅刷對sy莫st土em有寫緒權限Ad遵mi生ni源st射ra崗to涉r為讀浙權限25防火閱墻安筆全配邀置出站堵規則入站央規則連接岡安全漿規則監視防火悶墻連接公安全怕規則安全掌關聯26有必搞要考身慮第結三方粱防火虛墻自動識更新餓配置更新損方式自動只更新自動偷下載同，手含動安榴裝（訪推薦眠）通知壯更新躲、手嘉動下傅載安掠裝不檢窗查更孟新更新忍時間其他繳設置27遠程裹訪問加設置限制組對遠拜程終雜端的鋪訪問盡量仔不要遼開放葡遠程支終端臭等遠齡程管陪理系第統限時限制度訪問朵源(I切P)限制渴管理理員從截遠程呈終端形登錄28安全歲增強蜻軟件軟件產防火義墻防病抽毒軟導件安全鞠檢測燃軟件安全綿還原汁軟件……外部繩網絡29打造炕安全眨計算槽機終膏端的險十條迫策略規范仆的名寨稱安全收的賬宏號及雜口令確保蛙共享漫安全確保諒系統況補丁面更新防病劃毒軟溜件及筋更新關閉銳系統吐自動盛執行陷功能啟用綠系統外防火飾墻安全懷策略蛇設置安裝很增強怒軟件重要蘇數據喇要備揭份30策略扮一：駕規范住的計巡壽算機夜名稱為什么要規范計算機名稱？方便管理出現問題后及時定位31更改歡計算朵機名我的牲電腦閑→屬勞性→扔計算應機名柜→更忘改，名重啟確計算告機即皇可。32策略種二：據安全怕的賬榴號及糕口令如何保障賬號及口令安全？更改管理員administrator及訪客guest賬號名稱設置強壯的口令設置賬戶安全策略33開啟難屏幕擊保護假功能桌面積右鍵頸→屬嶼性→堅屏幕構保護臉程序享→勾笑選“在回召復時拿使用迎密碼答保護”34策略榆三：距確保或共享筆安全共享夠的管婚理關閉擊管理榨共享35共享策略托四：喜確保終系統忍補丁攜更新如何確保系統補丁的更新？開啟系統的自動更新并安裝手動設置檢測系統補丁更新第三方軟件更新系統補丁36開啟騙自動飾更新淘、安括裝更期新控制吧面板瓣→安基全中任心→葬啟用控制封面板極→自收動更誕新可→選菊擇相諷應選黃項37安裝鋪更新從彈造出的賠對話杰框選緒擇→秧快速于安裝逐或自奴定義端安裝安裝竊完成斑后及斧時重逆啟計赴算機38手工礎查詢貪更新開始美菜單腿→所訪有程跪序→wi濃nd大ow石s增Up貧da膝te→進裂入微勉軟更部新網顧站，朋手工粉更新39使用編第三嫌方工四具修潛復系爭統漏犧洞40策略盈五：必防病禿毒軟擱件及育更新41移動存儲竟設備自動沒播放喜的威此脅U盤插桂入，溜病毒葉則立恥刻運蹈行42策略鞏六：鞋關閉特系統惹自動袖執行泊功能43策略助七：把開啟wi閣nd雪ow班s防火派墻控制弱面板乞→安劍全中拖心→遣啟用控制哨面板辛→wi眨nd條ow患s防火深墻磚→選免擇“漸啟用斑”44配置wi蕩nd簽ow貞s防火講墻選擇音例外丘→根受據需兇要配纏置“例外”選項只有捧經過塘允許姥的應載用程速序才蘋能訪司問網慮絡45策略糠八：男安全批策略五設置如何設置安全策略賬戶策略本地策略其他策略日志管理46開啟慕審核慶功能控制拔面板舉→管濤理工疫具→根本地押安全廁策略滴（或狀者直豬接在壘開始霧，運繞行中衰輸入gp漁ed航it誼.m連sc）→wi惠nd摟ow可s設置乓→安標全設算置→隱本地茄策略等→審勺核策特略→充屬性努→根蠶據需賴要選辯擇“霜成功稅”、軋“失赤敗”武選項47配置鋼日志繞大小絡和覆璃蓋方廊式控制狂面板鴨→管梨理工唇具→免事件最查看臺器（欣或者曉直接略在開距始，資運行詠中輸秧入ev噸en蔥tv呢wr煮.m潮sc）→掏選中銅其中抗一項口，屬撒性→怖調整點日志妻大小鴉，覆鄭蓋策紹略48策略散九：奏安全解增強例軟件安裝哪些安全增強軟件軟件防火墻安全防護影子系統其他安全軟件49文檔郵件數據通訊糟錄備份50策略督十：史小心旗重要塌數據知識橡體：卡系統廉及應阿用安跡全技泳術知識傭域：WE挑B應用協安全了解II礦S等常育用We那b軟件顏安全棕配置漆管理畢方法席；了解SQ側L等數產據庫石系統且安全貨配置獨管理持方法劣。知識氣域：鐮互聯期網使親用安款全了解爆互聯恩網瀏掏覽安惱全基噸本常鉤識；了解礎數據撐安全鏈基本炕概念稅；51We頌b應用潤面臨蛾的安達全風駐險篡改掛馬數據冒丟失拒絕則服務釣魚器攻擊SQ軟L注入……52We前b應用甲架構53Web服務器數據庫數據庫Web應用Web瀏覽器Web應用Web應用Web應用URL請求

請求響應

II愈SAp扒ac票he……As舌pPh腿pJs荒pPe災rl……Sq竹l疊se周rv您erOr千ac評leDb澇2my誦sq翼l……如何鞏構建訪安全英應用衰環境運行攝環境同的安醒全We奸b服務舟軟件節安全咐配置數據勢庫安蒸全管姨理安全糾腳本稀開發54構建候安全借應用狡環境-I雁IS安全滅設置主目宵錄及載目錄稿安全輸性（普目錄諷權限腹）性能墳設置嗓（端吩口、守連接預數等軟）日志淹安全文檔嘩和錯帶誤消斷息55虛擬辣目錄默認鏟虛擬咬目錄管帶來玻的安勁全風虧險默認赤文件坐帶來計的安斥全風刺險56不需蔽要請元刪除主目俘錄及蛋目錄蔬安全冠性57Web文件存放位置（不宜使用默認目錄）嚴格控制權限1、嚴禁寫入！2、慎用目錄瀏覽性能遲設置58并發每連接譜數設于置帶寬碧限制Cp府u限制We濕b站點障設置IP地址端口主機難頭名著稱連接贊控制日志59日志刻安全顧性日志訪記錄役內容日志私的路刺徑非系刺統盤足夠死大的料空間單獨歪的日蹄志分情區日志腳的訪彼問權村限Sy奮st艇em可以建寫入臉，不知可讀Ad逼mi畏ni堤st掩ra違to刊r可讀耳不可私修改其他之用戶授無權瓦限60構建裂安全脂應用汪環境-S衛QL花S講er你ve獵r安全襪管理賬戶出安全漸問題擴展晚存儲粱過程默認歲端口猛、通負訊加康密日志涌監控系、審雄計備份阿、恢鑼復61賬戶屬安全解問題默認搏的SA用戶驚為空稱口令62擴展淘存儲娃過程Sq屢l若Se剃rv斑er存在工擴展晃存儲閑過程頁能夠者對系城統進辟行調捏用。xp腥_c烈md乓sh濃el僚l(實現cm礙d的調棚用)xp乓_r碰eg山wr處it據e(實現恭注冊出表的侮調用)其他驕與系蕉統交偷互的危存儲血過程63默認李端口Sq細l曠Se蕩rv仔er默認元采用夾的通閃訊端晉口為14狂33，可爸以將推該端吊口進裁行修舅改提京高安榜全性草。64通訊疫加密可以聲選擇煙強制里協議朋加密疑來保狂證通妥訊安隸全。65日志馬監控語、審胡計經常墳需要嘴查看Sq旅l谷Se程rv抹er的運腔行日亂志打開Sq半l肌Se鈴rv蔥er的審鍬計功般能66備份卸、恢罪復添加潔備份丟任務增量寫備份全備倡份做系粒統崩崇潰恢毛復測鳳試（第測試替數據撫庫）67互聯悼網使趴用安梢全即時聊天網頁瀏覽文件下載郵件、辦公網絡游戲網上購物68網頁題瀏覽層安全眾問題69網頁呼掛馬惡意終腳本隱私末泄露網絡碗釣魚網頁融欺詐……網頁演掛馬渾的技驗術實鐵現70利用劫瀏覽不器及逝系統億漏洞臂實現利用且腳本評實現利用ac發ti它ve螺X控件職實現網頁抓掛馬礦技術錄實現將木曠馬偽婆裝為透頁面姻元素利用返腳本摩運行傻的漏羞洞偽裝需為缺咱失的品組件通過慕腳本哥運行伍調用虧某些co公m組件在渲呢染頁常面內鍬容的受過程賺中利西用格織式溢唇出釋書放或嘩下載臘木馬儀（例蓄如：an葛i格式深溢出蔑漏洞網及fl要as贊h9弊.0迅.1典15的播絞放漏兇洞）71惡意桃腳本72惡意無腳本嫁的實島現腳本餐強大鑼的交腰互功蜓能可奏以被活攻擊浙者利升用，腳編寫抹具備東破壞掠性的鳳腳本惡意償腳本點類型廣告條（修戒改首造頁、屠彈出送廣告原等）破壞叢（破桂壞系導統、禾瀏覽樂器設喚置）竊取撈（竊豆取信馳息、眨放置城木馬錘）隱私滔泄露73隨意旺注冊大量違網站邁要求堆注冊袖訪問礎，用術戶注需冊導桿致信汪息泄退露密碼舅找回密碼營找回降方式珍（郵持件、壇手機脫短信墓）導棒致用掀戶信逢息泄戶露未來實名無制導回致的領信息探泄露尊風險勵增大網絡大釣魚肆與網扛頁欺成詐網絡素釣魚陣事件旬的發喜生情暮況20鐵09年網括絡釣剛魚網風站舉陣報情岸況74釣魚劇郵件75釣魚紙網站76We津b瀏覽受安全使用菠安全桐的瀏畏覽器IE安全墳配置良好腔的安希全意合識……77瀏覽諷器安樂全使用荒非IE瀏覽郵器Fi捕re劈燕fo昨xOp統er離aCh輩ro潑me搜狗州瀏覽齊器36聚0瀏覽求器……78IE安全兔配置-瀏覽耽級別79以IE旅8為例否，在緩安全召選項煉中，炭建議鑒勾選龍“該上區域爭的安真全等授級”湯下的系“該憑區域匹的允蠟許級勢別”撐為顛高IE安全井配置-隱私旱保護以IE孤8為例鼻，在屑常規印選項掩中，吼建議故勾選歉“退川出時制刪除護瀏覽室歷史址記錄免”，幕防止添信息第泄漏但→單給擊“擾刪除露”，招配置嘴刪除凳內容鞭，建核議全膜選。80IE安全疲配置-隱私淺保護在隱綱私選粥項中忌，建同議勾督選“阻止弱顯示槐大多攀數彈骨出窗債口”，避蜜免廣損告窗死口打缸擾以霸及被國感染寺病毒愧、木廳馬的歇彈出沫窗口周運行學病毒堡程序京。對于你經常浙訪問亭的網溪站，厭可以此單擊“設置”，添軟加該苦網站含即可薦不阻圾止該迷網站獎的彈銅出窗殺口。81瀏覽經安全-網頁魄欺詐偽造鍵金融狂網站烘、電佛子郵脅件經守株漫待兔遠網上青“垂勇釣”ht適tp湊:/蛇/w嘗ww恢.i愉cb第c.繩co勁m.賊cnht段tp鑼:/沉/w轟ww帥.1舒cb臘c.繼co禮m.圾cn孰真毛孰假將？偽造壤網站卸的域攀名和控真正幟的銀焰行網嘉站差傳別很著小，恭可能教僅僅身是一青個字善母的螺差別恨，僅刊是“i”和“1”的差栽別。82瀏覽框安全-網銀堪安全以IE懲8瀏覽盾網銀傳為例技（不修同版報本IE顯示紛可能應不同個）：辰注意乖左側楊是否吹是以ht朝tp置s開頭炕，右包側是餃否有預鎖的呆圖標撈，另外,瀏覽烤器欄邁的底上色是汪不是輕綠色貸。83郵件耗安全垃圾遇郵件釣魚典郵件84郵件歇客戶哄端安潛全使痕用85使用郵非微之軟郵適件客備戶端綿等th跌un崇de貫rb敞ir野d/漠fo見xm烏ai市l/榨km勒ai基l等盡量棍使用秒純文腳本格殿式閱鐮讀備份即時疏通訊度安全86即時寸通訊努安全即時底通訊苦工具愿散布縱中獎憐信息欲詐狹騙高漲額錢儀財詐騙跑者冒遼充客蝕服人據員，咐發送牲大量班的中肉獎通桐知，嬸騙取驕網友家的銀賄行卡捏及個吩人身截份信掠息，蕩達到凳盜取款銀行富存款錦的目懷的，起或以腹個稅陡等各暫類名淚義要錯求匯族款，債收到牛匯款賺后拖技延時累間要祖求再熱次匯疑款，蛋直至壘銷聲紀匿跡誤。即使蔬是親蒜朋好兇友的畝匯款該請求器，也煙注意幼確認87即時清聊天煉保護將工具QQ醫生徑：1.查殺QQ病毒2.診斷QQ程序夜異常3.網頁冬防火撤墻等評功能MS并N保護拌盾：1.聊天玻內容窄加密自（雙仙方必隨須同炕時安風裝相乘同軟感件）2.開啟其多賬躲戶功秀能MS五Ns吩he梢ll：1.聊天希內容輛加密影（發雙方藍必須險同時恥安裝款）2.頭像米、多探賬戶挎等強僅化功眉能88數據領安全昏防護銀行卡號身份證號通訊錄社會關系敏感內容電子日記，空間家庭住址工作郵件、文件89數據解安全存儲池設備非中的餡數據追面臨被的信嚴息安提全威態脅存儲茶設備庸丟失存儲驚設備般物理踩損壞長、數頑據丟梳失或腔被破葬壞數據越被竊讓取、爪惡意予恢復90設備輕丟失設備敏被盜爺或遺竭失導致筑數據哨丟失能不可胳用，恒同時掌機密浸數據蔬、隱流私泄沿露應對溉辦法帆：做倡好數彼據備向份及拐數據建加密91數據翻丟失設備叼保存溪、使競用不相當，厘設備針損壞導致拴數據淘丟失甘、不不可用數據缺被誤婚刪除導致舍數據睛丟失積、被毅破壞資、不傳可用應對疾辦法兼：使廊用數訂據恢置復軟紋件搶救數據桐、重守要數段據請鋤專業滲機構狡處理92數據說被竊距取、誕惡意匹恢復數據案在移輕動設姜備使挽用過斯程中電被直鉆接竊延取病毒忘及木萍馬設備搜在維拿修/借用序給他殖人之汪后，俊數據夸被惡危意恢舅復應對窩辦法沿：個仔人終謊端使渣用安施全/文件跪加密/文件拴粉碎93防止協數據堡被非洪法竊字取文件鞋加密PG鐮P加密94文件傘加密95PG占P96PG傾P（Pr穴