重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
广义的安全基线
目前创新互联已为1000+的企业提供了网站建设、域名、雅安服务器托管、网站运营、企业网站设计、定州网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
安全基线,是借用“基线”的概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最低的安全要求。
计算机中的安全基线
安全基线是微软安全体系中,windows server 2003和ISA server
2004对如何配置和管理计算机的详细描述。安全基线在一台计算机上实现了受信计算机组件。同时,它还描述了实现安全运行的所有相关配置设置。
安全基线的元素包括:
服务和应用程序设置。例如:只有指定用户才有权启动服务或运行应用程序。
操作系统组件的配置。例如:Internet信息服务(IIS)自带的所有样本文件必须从计算机上删除。
权限和权利分配。例如:只有管理员才有权更改操作系统文件。
管理规则。例如:计算机上的administrator密码每30天换一次。
查找Web服务器漏洞
在Web服务器等非定制产品中查找漏洞时,使用一款自动化扫描工具是一个不错的起点。与Web应用程序这些定制产品不同,几乎所有的Web服务器都使用第三方软件,并且有无数用户已经以相同的方式安装和配置了这些软件。
在这种情况下,使用自动化扫描器发送大量专门设计的请求并监控表示已知漏洞的签名,就可以迅速、高效地确定最明显的漏洞。Nessus 是一款优良的免费漏洞扫描器,还有各种商业扫描器可供使用,如 Typhon 与 ISS。
除使用扫描工具外,渗透测试员还应始终对所攻击的软件进行深入研究。同时,浏览Security Focus、邮件列表Bugtrap和Full Disclosure等资源,在目标软件上查找所有最近发现的、尚未修复的漏洞信息。
还要注意,一些Web应用程序产品中内置了一个开源Web服务器,如Apache或Jetty。因为管理员把服务器看作他们所安装的应用程序,而不是他们负责的基础架构的一部分,所以这些捆绑服务器的安全更新也应用得相对较为缓慢。而且,在这种情况下,标准的服务标题也已被修改。因此,对所针对的软件进行手动测试与研究,可以非常有效地确定自动化扫描工具无法发现的漏洞。
对目标系统展开各类安全检查。基线测量是一种通过对服务对象介人前、介人中和介人后的观察研究检验服务效果的方法,安全基线的意义在于通过在系统生命周期不同阶段对目标系统展开各类安全检查,找出不符合基线定义的安全配置项并选择。
安全配置基线一方面是防范内外部恶意攻击的重要手段,也作为最基本的安全防护标准,同时生产服务器安全基线的变化也是发现恶意攻击/行为的重要手段,特别是当各种主动防御设备(防火墙、防病毒软件、入侵检测系统等)均被绕过时,往往安全基线设置是否严格以及是否产生变化成为防范恶意攻击的最后一道防线。