网络安全技术8

菜鸟

八.应用系统的安全技术
　　由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。

　　1、域名服务
　　Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。
　　但是，域名服务通常为hacker提供了入侵网络的有用信息，如服务器的IP、操作系统信息、推导出可能的网络结构等。
　　同时，新发现的针对BIND-NDS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。
　　因此，在利用域名服务时，应该注意到以上的安全问题。主要的措施有：
　　(1) 内部网和外部网使用不同的域名服务器，隐藏内部网络信息。
　　(2) 域名服务器及域名查找应用安装相应的安全补丁。
　　(3) 对付Denial-of-Service攻击，应设计备份域名服务器。
　　2、Web Server应用安全
　　Web Server是企业对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。
　　Web Server经常成为Internet用户访问公司内部资源的通道之一，如Web server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。
　　但Web服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心：
　　(1) Web服务器置于防火墙保护之下。
　　(2) 在Web服务器上安装实时安全监控软件。
　　(3) 在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。
　　(4) 经常审查Web服务器配置情况及运行日志。
　　(5) 运行新的应用前，先进行安全测试。如新的CGI应用。
　　(6) 认证过程采用加密通讯或使用X.509证书模式。
　　(7) 小心设置Web服务器的访问控制表。
　　3、 电子邮件系统安全
　　电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。
　　加强电子邮件系统的安全性，通常有如下办法：
　　(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。
　　(2) 同样为该服务器安装实施监控系统。
　　(3) 该邮件服务器作为专门的应用服务器，不运行任何其它业务(切断与内部网的通讯)。
　　(4) 升级到最新的安全版本。
　　4、 操作系统安全
　　市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：
　　(1) 检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。
　　(2) 基于系统的安全监控系统。

pangshiwei