HARDENING Network Security（中文版）

第1篇  現(xiàn)在就做
第1章  做好開門七件事    3
1.1  更改默認賬號設置    5
1.1.1  更改默認口令    5
1.1.2  重命名或隱藏管理員賬號    6
1.2  只為管理員任務使用管理員賬號    10
1.2.1  在Microsoft Windows中使用runas命令    10
1.2.2  在Unix系統(tǒng)中使用su和sudo    11
1.3  識別未使用或不需要的端口    12
1.3.1  用netstat識別開放端口    13
1.3.2  利用OS特有的工具識別開放端口    17
1.4  禁止/關閉/刪除未使用和不需要的服務及守護進程    18
1.4.1  禁止Windows中不必要的服務    18
1.4.2  用系統(tǒng)配置工具禁止預定的欺詐應用程序在啟動時運行    21
1.4.3  禁止Unix中不必要的服務    22
1.5  刪除欺詐連接：無線和撥號    24
1.6  為每種OS設置惡意內(nèi)容過濾器    27
1.7  測試備份和恢復程序    28
第2篇  從頂層開始：系統(tǒng)地加固你的公司
第2章  為了安全，把網(wǎng)絡劃分成若干公共功能區(qū)    33
2.1  選擇分段模式    34
2.1.1  根據(jù)工作職責劃分網(wǎng)段    35
2.1.2  根據(jù)威脅等級劃分網(wǎng)段    37
2.1.3  根據(jù)風險等級劃分網(wǎng)段    38
2.1.4  根據(jù)服務類型劃分網(wǎng)段    38
2.1.5  根據(jù)企業(yè)需求劃分網(wǎng)段    39
2.2  選擇適當?shù)姆绞絼澐志W(wǎng)段    42
2.2.1  從服務器處開始劃分網(wǎng)段    42
2.2.2  使用網(wǎng)關設備劃分網(wǎng)段    43
2.2.3  使用VLAN    50
2.2.4  使用VPN在被保護網(wǎng)段之間傳輸數(shù)據(jù)    53
第3章  用身份管理系統(tǒng)加固安全    54
3.1  理解身份管理驅(qū)動力    55
3.1.1  確定身份管理責任驅(qū)動力    55
3.1.2  確定身份管理節(jié)約成本和時間的驅(qū)動力    58
3.1.3  確定身份管理的安全驅(qū)動力    59
3.2  建立身份管理基礎    60
3.2.1  采用基于標準的目錄服務    60
3.2.2  根據(jù)企業(yè)需求選擇身份管理解決方案    60
3.2.3  為實施身份管理解決方案做準備    63
3.2.4  識別內(nèi)部權威來源    65
3.3  用身份管理增強公司訪問控制策略    67
3.3.1  控制開始階段    67
3.3.2  控制生成過程    69
3.3.3  控制管理過程    73
3.3.4  控制終止過程    75
3.4  通過工作流程和審計過程管理身份    76
第4章  加固跨平臺認證    78
4.1  加固口令    79
4.1.1  加固用戶口令    81
4.1.2  加固非用戶口令    83
4.2  選擇最安全的認證過程    84
4.2.1  基于個人所知的認證    85
4.2.2  基于不可變身體特征的認證    87
4.2.3  基于個人所有的認證    91
4.3  使用強認證保護敏感資源    95
4.4  加固認證資源    96
4.5  跨平臺使用加固認證方法    98
第5章  加固Web服務    100
5.1  加固Web服務環(huán)境    102
5.2  理解Web服務    102
5.2.1  Web服務的處理是在機器之間的，而不是在人與機器之間    103
5.2.2  Web服務定義語言    104
5.2.3  REST和Plain-XML Web服務    104
5.2.4  RPC和基于文檔的SOAP    104
5.2.5  傳輸獨立性    105
5.3  理解和使用W3C、OASIS和WS-I等標準、概要和規(guī)范    106
5.4  實現(xiàn)Web服務的安全需求    107
5.4.1  為Web服務實現(xiàn)認證    107
5.4.2  用SAML和到網(wǎng)站授權的鏈接實現(xiàn)Web服務授權    111
5.4.3  保證消息完整性——XML Signature、PKCS#7 Signature、SSL/TLS和IPSec    111
5.4.4  實現(xiàn)保密性：XML Encryption、SSL/TLS和IPSec    114
5.4.5  用XML Signature和XAdES提供Web服務審計    115
5.4.6  避免采用要求編輯XML文件來手工配置安全設置的解決方案    115
5.4.7  保證Web服務的可用性    115
5.5  阻斷“惡意XML”攻擊    116
5.5.1  防止Web服務SQL注入    116
5.5.2  保護Web服務，使之免受捕獲-重放攻擊    117
5.5.3  確保應用服務器不處理DTD    118
5.5.4  為避免受到XML拒絕服務攻擊（XDoS）而打補丁程序    119
5.5.5  不要盲目處理SOAP附件，因為其中可能藏有病毒    120
5.5.6  保證不會受到XML Signature重定向攻擊    120
5.6  實現(xiàn)保證所在機構(gòu)面向服務架構(gòu)安全的策略    121
5.6.1  用安全令牌把安全上下文傳遞給服務層    122
5.6.2  取消安全邊界    122
5.6.3  保證SOA的可用性    122
5.7  評價和實現(xiàn)保護Web服務的產(chǎn)品    122
5.7.1  Vordel——XML網(wǎng)關/防火墻和XML安全服務器    123
5.7.2  Teros——Web應用安全    124
5.7.3  Sarvega——XML路由器    125
第6章  加固移動環(huán)境    126
6.1  保護自身以避免在環(huán)境中移動設備的風險    127
6.1.1  制定移動設備安全策略    127
6.1.2  安全的移動認證    128
6.1.3  保護移動設備免遭惡意代碼破壞    132
6.1.4  保護移動設備上存儲的數(shù)據(jù)    132
6.2  保護環(huán)境以避免移動連接風險    133
6.2.1  保護環(huán)境避免近程連接威脅    134
6.2.2  保護環(huán)境避免中程連接威脅    137
6.2.3  保護環(huán)境避免遠程連接威脅    137
第7章  超越訪問控制：保護存儲的數(shù)據(jù)    143
7.1  將加密作為一個安全層    144
7.2  精心選擇密碼系統(tǒng)    145
7.2.1  不要信賴私有加密系統(tǒng)    145
7.2.2  了解不同的密鑰算法    145
7.2.3  加固對稱密鑰密碼學的執(zhí)行    147
7.3  了解保護數(shù)據(jù)是為了防備誰    158
7.4  確定加密什么以及為什么要加密    158
7.4.1  確定加密的法律需求    159
7.4.2  確定加密的外部商業(yè)需求    160
7.4.3  確定加密的內(nèi)部商業(yè)需求    160
7.4.4  確定支持加密的良好的商業(yè)實踐    161
7.5  加密數(shù)據(jù)庫中的敏感數(shù)據(jù)    162
7.5.1  了解不使用數(shù)據(jù)庫加密的普遍原因    163
7.5.2  為數(shù)據(jù)庫選擇良好的加密過程    164
7.6  提供“非”實時加密    169
7.7  在何處加密    170
7.7.1  客戶端    171
7.7.2  服務器端    171
7.7.3  應用程序服務器端    171
7.7.4  網(wǎng)絡中    172
7.7.5  數(shù)據(jù)庫服務器端    172
7.7.6  企業(yè)幕后端    173
7.8  認證    173
7.9  讓加密在環(huán)境中起作用    174
第8章  加固來自Web的數(shù)據(jù)庫訪問    177
8.1  在安裝時保護DBMS    178
8.1.1  保護DBMS所在的操作系統(tǒng)    178
8.1.2  在只有很少的其他進程的服務器上安裝DBMS    179
8.1.3  隔離DBMS使用的計算機或默認端口    179
8.1.4  為每個DBMS服務設置不同的賬號    180
8.1.5  刪除示例數(shù)據(jù)庫和代碼    181
8.2  使用許可保護數(shù)據(jù)    182
8.2.1  避免將DBMS認證用于OS登錄ID    182
8.2.2  采用操作系統(tǒng)認證    183
8.2.3  使用應用程序角色保護程序訪問    184
8.2.4  保護應用程序級安全程序中的登錄    185
8.2.5  限制賬號訪問    185
8.2.6  保護內(nèi)置賬號和口令    188
8.2.7  在開發(fā)中施加保護并測試數(shù)據(jù)庫    189
8.2.8  用操作系統(tǒng)文件許可保護DBMS    190
8.2.9  保護操作系統(tǒng)免遭DBMS啟動的程序的威脅    191
8.3  使用應用程序分區(qū)和網(wǎng)絡技術確保對DBMS的訪問安全    192
8.3.1  使用防火墻關閉端口    192
8.3.2  隔離應用程序組件    192
8.3.3  隱藏錯誤信息    193
8.4  利用良好的習慣來保護應用程序    194
8.4.1  保護數(shù)據(jù)庫連接串    194
8.4.2  哈希或加密敏感數(shù)據(jù)    194
8.4.3  加密客戶端與服務器之間的通信    195
8.4.4  避免SQL注入攻擊（SQL Injection）    196
8.5  監(jiān)控和審計    197
8.5.1  DBMS監(jiān)控工具    197
8.5.2  審計登錄錯誤和成功登錄    198
8.5.3  審計其他所有動作    199
8.5.4  審計檢查    200
8.5.5  提前審計    201
8.5.6  策略檢查    201
8.6  保護備份和存檔    201
8.6.1  保護數(shù)據(jù)的備份拷貝    202
8.6.2  驗證遠程備份的安全性    202
8.6.3  保護或模糊測試數(shù)據(jù)    202
第9章  加固跨平臺訪問控制    204
9.1  了解操作系統(tǒng)訪問控制    205
9.1.1  了解Unix的訪問控制    205
9.1.2  理解Windows的訪問控制    209
9.2  確定資源所需權限    218
9.3  理解基于角色的訪問控制    219
9.4  加固跨平臺的工具，以進行安全、無縫的訪問控制    220
9.4.1  加固簡單的或傳統(tǒng)的文件共享/傳輸服務    220
9.4.2  理解并加固用于UNIX的Microsoft服務    221
9.4.3  理解并加固Samba    223
9.4.4  加固SMB    225
9.4.5  加固SAN    226
9.4.6  加固NFS    226
9.5  避免數(shù)據(jù)完整性問題    228
第10章  利用加密加固數(shù)據(jù)傳輸    229
10.1  利用加密加固數(shù)據(jù)傳輸    230
10.1.1  選擇一個加密標準    230
10.1.2  選擇一個加密協(xié)議    232
10.1.3  選擇一種認證方式    237
10.2  決定是否應該使用加密    242
10.2.1  使用加密保護廣域網(wǎng)通信    243
10.2.2  使用加密保護Internet通信    243
10.2.3  使用加密保護無線連接    244
10.2.4  使用加密保護基于局域網(wǎng)的主機通信    247
10.3  決定在何處使用加密    248
10.3.1  在廣域網(wǎng)路由器之間實施加密    249
10.3.2  為VPN連接執(zhí)行加密    251
10.3.3  在主機之間實施加密    253
第11章  加固遠程客戶端    261
11.1  選擇遠程訪問的方式    262
11.1.1  采用基于代理的遠程訪問    263
11.1.2  保護直接遠程訪問的安全    268
11.2  保護遠程客戶端    270
11.2.1  加固物理安全    270
11.2.2  控制邏輯訪問    271
11.2.3  采用個人防火墻    275
11.2.4  控制程序執(zhí)行    279
11.2.5  保證軟件完整性    280
11.3  保護遠程客戶端的數(shù)據(jù)    281
11.3.1  用加密手段保護數(shù)據(jù)    281
11.3.2  通過硬件限制來保護數(shù)據(jù)    284
11.3.3  通過軟件限制來保護數(shù)據(jù)    284
11.4  維護遠程客戶端的安全策略    286
第12章  加固無線網(wǎng)絡    288
12.1  規(guī)劃安全的無線網(wǎng)絡    289
12.2  尋找并破壞非善意無線局域網(wǎng)    294
12.2.1  使用無線局域網(wǎng)發(fā)現(xiàn)規(guī)程    295
12.2.2  去除非善意無線接入點    298
12.3  設計自己的無線局域網(wǎng)拓撲    298
12.3.1  統(tǒng)一的無線和有線網(wǎng)絡    299
12.3.2  分段的無線和有線網(wǎng)絡    300
12.3.3  無線網(wǎng)絡以VPN方式訪問有線網(wǎng)絡    303
12.3.4  在遠程/分公司辦公室提供安全的無線局域網(wǎng)    304
12.4  加固無線廣域網(wǎng)    304
12.4.1  CDPD（Cellular Digital Packet Data）    305
12.4.2  CDMA（Code Division Multiple Access）    305
12.4.3  GPRS（General Packet Radio Service）    305
第13章  加固混合Unix網(wǎng)絡    306
13.1  理解混合Unix環(huán)境的基本問題    307
13.1.1  理解各種版本和支持模型    308
13.1.2  了解文化差異    309
13.2  保護Root賬戶    312
13.2.1  為不包括sudo的Unix平臺添加sudo程序    312
13.2.2  sudo委托的配置    313
13.2.3  配置用戶賬戶和口令    314
13.2.4  刪除明文服務    316
13.2.5  減少所運行的服務的數(shù)量    317
13.2.6  打補丁    318
13.2.7  監(jiān)控日志文件    319
13.2.8  從物理上保證Unix系統(tǒng)的安全    325
13.2.9  查看具體廠商的Unix加固資源    325
第14章  入侵檢測和響應    326
14.1  設計入侵檢測/防御系統(tǒng)    327
14.1.1  了解拓撲所需要的IDS/IPS類型    328
14.1.2  選擇IDS和拓撲以滿足操作需求    331
14.1.3  確定IDS的放置和監(jiān)控需求    332
14.2  部署入侵檢測系統(tǒng)    335
14.2.1  Snort：一種實用的IDS    336
14.2.2  調(diào)節(jié)IDS    337
14.3  加固入侵檢測/防御系統(tǒng)    339
14.4  保護IDS操作    340
14.4.1  保護IDS通信    340
14.4.2  保護配置文件    341
14.4.3  保護數(shù)據(jù)庫訪問權限    341
14.5  規(guī)劃入侵響應過程    341
14.5.1  了解入侵響應階段    342
14.5.2  成立入侵響應小組    342
14.5.3  為入侵做準備    344
14.5.4  制定計劃，測試計劃，執(zhí)行計劃    345
第15章  管理惡意代碼    346
15.1  垃圾郵件：防范1號公敵    348
15.2  防止成功的釣魚式攻擊    353
15.2.1  用反垃圾郵件軟件識別并封鎖釣魚式攻擊    354
15.2.2  教用戶學會識別釣魚式攻擊    354
15.2.3  警惕新型的釣魚式攻擊    355
15.3  防止任何系統(tǒng)感染病毒    356
15.3.1  在所有計算機上安裝并維護反病毒軟件    356
15.3.2  在電子郵件網(wǎng)關處掃描病毒    357
15.3.3  對用戶進行培訓，增強他們防范病毒的能力    358
15.4  防范蠕蟲    359
15.5  投身補丁戰(zhàn)    359
15.6  防范間諜軟件    361
15.7  防止Web應用受到基于Web的攻擊    363
15.7.1  對開發(fā)人員進行培訓，使之了解典型的Web攻擊    363
15.7.2  對開發(fā)人員進行培訓，使之不局限于已知的編程缺陷    365
15.7.3  采用應用層防火墻    365
第16章  加固濕件    368
16.1  最終用戶：是朋友還是敵人    369
16.2  打好基礎：策略和規(guī)程    370
16.2.1  制定適用于所有用戶的可接受使用策略    370
16.2.2  防范知識產(chǎn)權盜竊    372
16.2.3  實施策略    373
16.3  制定培訓計劃：團隊的構(gòu)建    375
16.3.1  確定培訓的具體目標    375
16.3.2  明確對培訓師的要求    375
16.3.3  確定對培訓的要求    377
16.4  培養(yǎng)溝通技能    391
16.4.1  提供跨部門的培訓    391
16.4.2  讓IT職員跳出IT技術之外    392
第3篇  永遠沒有一勞永逸
第17章  混合網(wǎng)絡安全性評估與測試    395
17.1  評估前的準備    397
17.1.1  了解客戶的需求    397
17.1.2  確定關鍵聯(lián)系人    399
17.1.3  創(chuàng)建關于系統(tǒng)和信息的重要性矩陣    399
17.1.4  確定是否需要做滲透測試    400
17.1.5  獲得客戶的正式同意    402
17.1.6  確定要評估的系統(tǒng)和流程    402
17.1.7  最終確定測試計劃    414
17.1.8  協(xié)調(diào)關于最終保障的任何問題    414
17.2  實施評估    415
17.2.1  離場工作    415
17.2.2  實施現(xiàn)場評估    416
17.2.3  提供最初反饋和狀態(tài)    419
17.3  評估后的處理    419
17.3.1  完成需要做的任何后續(xù)工作    419
17.3.2  最終完成審計報告    420
第18章  變革管理    421
18.1  確定和劃分變革管理場景    422
18.1.1  把規(guī)劃內(nèi)變革和規(guī)劃外變革區(qū)分開    422
18.1.2  把被動變革減少到最低限度    423
18.1.3  管理與新業(yè)務相關的變革    424
18.1.4  管理技術變革    424
18.1.5  變革的發(fā)現(xiàn)與監(jiān)控    425
18.2  開發(fā)變革管理框架    426
18.2.1  確定并指派角色    427
18.2.2  使變革管理成為安全策略的一部分    428
18.2.3  開發(fā)集中式變革跟蹤機制    428
18.2.4  確定從頭至尾的大致流程    430
18.2.5  獲取管理層的支持    431
18.2.6  建立變革告知系統(tǒng)    431
18.2.7  提供變革請求與實施的集中式知識庫    431
18.3  開發(fā)變革管理流程    432
18.3.1  記錄并測度當前狀態(tài)    432
18.3.2  確定變革的影響    432
18.3.3  爭取使變革獲得批準    433
18.3.4  對變革做充分測試    433
18.3.5  把變革記入文檔    434
18.3.6  評估所提出的變革    434
18.3.7  規(guī)劃并告知受影響的群體    436
18.3.8  部署變革    436
18.3.9  報告成功    436
18.3.10  完成變革流程    437
18.3.11  測試遵守安全輪廓及改進安全輪廓的情況    437
第19章  打安全補丁    438
19.1  確定需要對什么打補丁    440
19.1.1  驗證軟件/硬件更新和補丁許可證    440
19.1.2  找出所有技術產(chǎn)品    441
19.2  找出可靠的漏洞消息來源并確定補丁的可用性    444
19.2.1  使用獨立新聞組或列表    444
19.2.2  搜索多個漏洞數(shù)據(jù)庫和門戶網(wǎng)站    444
19.2.3  利用廠商的安全網(wǎng)站和公告列表    446
19.3  獲取經(jīng)驗證的補丁    447
19.3.1  選擇無代理的“推”式補丁管理工具    448
19.3.2  選擇基于代理的“拉”式補丁管理工具    448
19.4  驗證補丁的可靠性    449
19.5  確定哪些系統(tǒng)應在何時打哪些補丁    450
19.5.1  確定必須要打哪些補丁    450
19.5.2  了解廠商的補丁發(fā)布戰(zhàn)略    451
19.5.3  判斷是否有必要安裝補丁、安裝修復程序、更改配置或采取規(guī)避措施    451
19.5.4  選擇要打補丁的計算機系統(tǒng)    452
19.5.5  確定何時安裝安全補丁    453
19.5.6  在規(guī)劃過程中應有系統(tǒng)所有者的參與    453
19.5.7  做好應對業(yè)務中斷的準備    453
19.6  測試補丁和測試打補丁流程    454
19.7  安裝安全補丁    455
19.7.1  給遠程客戶端打補丁    455
19.7.2  提供不要求提升權限即可運行的打補丁軟件    455
19.7.3  針對大量系統(tǒng)實施快速安裝    456
19.7.4  使用由廠商提供的補丁-更新軟件    456
19.7.5  使用來自第三方的打補丁工具    459
19.8  審計被打上補丁的系統(tǒng)    460
19.8.1  測試威脅或漏洞是否已經(jīng)消失    460
19.8.2  使用補丁檢查工具    461
19.9  進行脆弱性評估    462
第20章  安全評估    463
20.1  評估最終用戶遵守和接受規(guī)定的情況    464
20.1.1  確定和使用常見違規(guī)問題列表    465
20.1.2  實施非正式評估    466
20.1.3  實施正式評估    469
20.2  實施事件后評估    475
20.2.1  在基礎結(jié)構(gòu)出現(xiàn)重大變動后實施評估    475
20.2.2  在兼并或收購之后進行評估    476
20.2.3  在發(fā)現(xiàn)新威脅或新漏洞后實施評估    476
20.2.4  在員工工作效率下降時實施評估    480
20.2.5  為實施新法規(guī)而進行評估    481
20.2.6  在審計發(fā)現(xiàn)不符合規(guī)定時進行評估    483
20.2.7  在發(fā)現(xiàn)有違規(guī)情況或安全事件時進行評估    483
20.2.8  在關鍵人員離開公司后實施評估    484
第4篇  如何成功完成加固
第21章  安全管理的策略    487
21.1  把同事看作“客戶”    488
21.2  理解安全管理中的各種角色    489
21.2.1  從人力資源部門開始啟動安全流程    489
21.2.2  讓法律部搞清法規(guī)要求    491
21.2.3  與物理安全團隊合作    492
21.2.4  建立一流的IT安全部門    493
21.2.5  用管理者的語言與管理層交流    497
21.2.6  鼓勵最終用戶遵守規(guī)定    503
21.2.7  讓所有部門通力合作    503
第22章  不要對安全無動于衷    505
22.1  闡明進行安全防范的理由    506
22.2  收集支持安全防范的統(tǒng)計數(shù)據(jù)    507
22.3  了解對安全持冷漠態(tài)度者的想法    508
22.4  提高管理層對投資于安全的認識    509
22.5  制定安全策略    509
22.5.1  獲取管理高層的支持    510
22.5.2  制定切實可行的安全規(guī)程和指導原則    511
22.6  制定提高安全意識的計劃    511
22.7  吸取到的教訓    512
22.7.1  了解對安全措施的抵制是否實際上是對安全措施不完善的一種關注    512
22.7.2  明確規(guī)定對不遵守安全策略的行為的懲戒措施    514
22.7.3  很多對安全持冷漠態(tài)度的人都認為自己計算機的安全應該由其他人負責保護    515
22.7.4  對安全的無動于衷可能帶來慘重的教訓    516