2.操作系統(tǒng)安全配置要點(diǎn)

為了應(yīng)對(duì)日益嚴(yán)峻的安全問題，一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。安全配置主要有以下幾個(gè)方面：操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、開啟審核策略、開啟密碼策略、開啟帳戶策略、備份敏感文件、不顯示上次登錄名、禁止建立空連接和下載最新補(bǔ)丁等。

1）安全補(bǔ)丁

操作系統(tǒng)同其它軟件一樣，不能證明其在任何條件下都是完全正確的，可能在使用過程中會(huì)出現(xiàn)這樣那樣的漏洞，因此系統(tǒng)管理員應(yīng)該經(jīng)常關(guān)注漏洞情況，及時(shí)下載和安裝漏洞補(bǔ)丁，以增強(qiáng)操作系統(tǒng)的安全性。一般操作系統(tǒng)廠商都會(huì)提供免費(fèi)的漏洞補(bǔ)丁和安全服務(wù)。

2)最小化部署

操作系統(tǒng)中提供的很多服務(wù)及功能是為了方便用戶和管理員，這些服務(wù)和功能可能被設(shè)置為默認(rèn)開啟，然而對(duì)用戶、管理員并非都是必須的。這些服務(wù)和功禽彥可能被攻擊者利用給系統(tǒng)帶來安全風(fēng)險(xiǎn)，因此在系統(tǒng)運(yùn)行中應(yīng)考慮最小化部署，關(guān)閉不需要的服務(wù)和功有基。

3)遠(yuǎn)程訪問控制

隨著操作系統(tǒng)安全機(jī)制的不斷完善，防火墻已經(jīng)被內(nèi)置在操作系統(tǒng)中，利用防火墻提供的訪問控制功能。設(shè)置防火墻策略，只開放對(duì)外提供服務(wù)的端口，將其他端口的訪問都進(jìn)行屏蔽，能對(duì)系統(tǒng)安全性帶來極大的提升。例如iptables很早就內(nèi)置在linux中并且在大量發(fā)行版中都是默認(rèn)啟用的。

注：即使在網(wǎng)絡(luò)層已經(jīng)部署了網(wǎng)絡(luò)防火墻，在操作系統(tǒng)上設(shè)置防火墻策略仍然是有必要的，縱深防御是提高系統(tǒng)安全性的基本原則之一。等級(jí)保護(hù)技術(shù)要求中也對(duì)操作系統(tǒng)層的訪問控制提出要求，無論網(wǎng)絡(luò)層是否提供訪問控制。