网络与安全技术实验室信息系统安全方案-20123262.docxVIP

网络与安全技术实验室信息技术方案 2014年11月11日 分工信息 系统方案讨论：王紫葳、唐鑫湄、张 珂 系统方案设计：王紫葳、唐鑫湄 系统方案审核：张 珂 系统方案实施：张 珂 信息安全现状分析 信息安全包括计算机系统的硬、软件及系统中的数据受到保护，不受偶然的或恶意的因素而遭到破坏、更改、泄露，使得系统连续、可靠、正常的运行，网络服务不中断。 信息安全主要存在以下三个方面隐患： 缺少信息安全管理制度 缺少安全管理的责任心 缺乏信息安全技术 系统安全需求分析 作为一名网络与安全技术实验室的系统管理员，实验室使用一台Linux服务器用于教学与科学研究。由于实验室刚刚完成重组，对信息系统的安全管理还没有一个完整的规划，因此需要信息系统管理人员提交一份信息系统安全方案。 1、人员构成 教师 学生 系统管理员 开发人员 公众 2、业务描述 信息产品开发：在服务器上、测试软件；通过SSH协议访问服务器 内部文件共享：所有数据保存在服务器上，通过FTP访问 销售展示：FTP匿名访问销售文件 系统安全设计 3.1 账号系统 3.1.1 设计思想 1、不同的用户具有不同的权限，通过文件权限来判断用户是否可以访问。 2、系统自动保存用户账号和密码，密码设置需要通过强调检测。 3、用户分组 管理员组：拥有系统最高权限，该用户组需要严格审核 其他用户组：拥有其对于用户组的权限 3.1.2具体设计 1、用户分组框图 图3-1-2 2、用户访问文件目录权限 用户名 用户所属分组 目录权限 文件权限 Admin 系统管理员组 rwx --- --- rwx --- --- Teacher 教师组 rwx rwx --- rwx --- --- Developer 开发人员组 rwx rwx --- rwx r-- --- Student 学生组 rwx rwx rwx rwx r-- r-- Public 公众组 rwx rwx rwx rwx r-- r-- 3.2 完整性检查 利用tripwire软件进行文件完整性检查，防止文件被恶意修改。 日志系统 日志对于系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，管理员可以通过它来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。它还可以实时地监测系统状态，监测和追踪侵入者等。 使用syslog程序系统内核和许多系统程序会产生错误信息、警告信息和其他信息。这些信息会被写到一个文件，执行这个过程的程序就是syslog，它能设 置成根据输出信息的程序或重要程度将信息排序到不同的文件。 3.4系统性能分析 信息安全管理 系统管理员定期维护服务器，检测评估其安全性，排除安全隐患，恢复系统等；并且拥有root权限。 其他用户根据自身权限，进行相关操作。 系统管理员负责对配置文件、日志文件等进行维护，保障系统的正常运行；使用tripwire等工具查看系统的完整性；使用rsyslog服务查看和管理日志系统。 任何用户不得向外界透露系统配置，不得泄露实验室开发和业务运作情况，对自己所知道的服务器相关信息严格保密。 用户必须修改登陆系统的初始密码，密码不得为弱口令，应为大小写和数字组成的16位密码。 系统安全实现 5.1 账号系统 5.1.1 添加用户 5.1.2 创建分组 5.1.3将用户分组 5.1.3 为每个用户建立目录 5.1.4 为每个用户设置初始密码 5.1.5 改变目录owner 5.1.6 设置目录权限 5.1.7 设置文件权限 5.2 完整性检查 5.2.1 安装tripwire 5.2.2配置tripwire tripwire-setup-keyfiles 5.2.3 tripwire—init 初始化数据库信息，然后添加test.txt文件，使用tripwire –check检查文件是否添加 5.3 日志系统 5.3.1安装rsyslog系统 yum install rsyslog 5.3.2查看rsyslog的配置文件 /etc/rsyslog.conf 5.4 性能分析 5.4.1查看cpu使用情况 top 5.4.2查看内存使用量和交换区使用量 free –m 5.4.3 查看各分区使用情况 df –h