61阅读

浅谈网络安全-Linux网络安全之经验谈(4)

发布时间:2017-09-15 所属栏目:Linux交流指导

一 : Linux网络安全之经验谈(4)

        关于用户资源   对你的系统上所有的用户设置资源限制可以防止dos类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑/etc/security/limits.con加入以下几行:

  * hard core 0
  * hard rss 5000
  * hard nproc 20

  你也必须编辑/etc/pam.d/login文件,检查这一行的存在:

  session required /lib/security/pam_limits.so

  上面的命令禁止core files“core 0”,限制进程数为“nproc 50“,且限制内存使用为5m“rss 5000”。

  关于nfs服务器

  由于nfs服务器漏洞比较多,你一定要小心。如果要使用nfs网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。你可以编辑文件/etc/exports并且加:

  /dir/to/export host1.mydomain.com(ro,root_squash)
  /dir/to/export host2.mydomain.com(ro,root_squash)

  其中/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。最后为了让上面的改变生效,还要运行/usr/sbin/exportfs -a

  关于开启的服务

  默认的linux就是一个强大的系统,运行了很多的服务。但有许多服务是不需要的,很容易引起安全风险。这个文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd将要监听的服务,你可能只需要其中的两个:telnet和ftp,其它的类如shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, etc. 除非你真的想用它。否则统统关闭之。

  你先用下面的命令显示没有被注释掉的服务:

  grep -v "#" /etc/inetd.conf

  这个命令统计面前服务的总数:

  ps -eaf|wc -l

  需要提醒你的是以下三个服务漏洞很多,强烈建议你关闭它们:s34yppasswdd(nis服务器)、s35ypserv(nis服务器)和s60nfs(nfs服务器)。

  我们可以运行#killall -hup inetd来关闭不需要的服务。当然,你也可以运行

  #chattr +i /etc/inetd.conf

  如果你想使inetd.conf文件具有不可更改属性,而只有root 才能解开,敲以下命令

  #chattr -i /etc/inetd.conf

  当你关闭一些服务以后,重新运行以上命令看看少了多少服务。运行的服务越少,系统自然越安全了。我们可以用下面命令察看哪些服务在运行:

  netstat -na --ip

  如果你用的是redhat那就方便多了。^_^ redhat提供一个工具来帮助你关闭服务,输入/usr/sbin/setup,然后选择"system services",就可以定制系统启动时跑哪些服务。另外一个选择是chkconfig命令,很多linux版本的系统都自带这个工具。脚本名字中的数字是启动的顺序,以大写的k开头的是杀死进程用的。

二 : 浅谈开展等级保护之网络安全域划分

一、网络安全域划分的背景

随着信息系统安全等级保护、分级保护方面的政策和规范的发布,以及国家萨班斯法案内控审计要求的出台,IT控制的重要性正逐步提升。信息系统进行等级保护,不是对整个系统进行同一等级的保护,而是对系统内不同业务区域进行不同等级的保护。因此,安全域划分是进行信息安全等级保护的首要步骤。
安全域是指同一系统内根据信息性质、使用主体、安全目标和策略等元素的不同来划分不同逻辑子网,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域内具有相互信任关系,同一安全域共享同样的安全策略。
二、网络安全域划分的方式
安全域划分需考虑网络中业务系统访问终端与业务主机的访问关系,以及业务主机间的访问关系,若业务主机间没有任何访问关系,则单独考虑各业务系统安全域的划分,若业务主机间有访问关系,则几个业务系统一起考虑安全域的划分。一个物理网络区域可以对应多个安全区域,而一个安全区域一般只对应一个物理网络区域。
(一)划分安全计算域
根据业务系统的功能实现机制、保护等级程度进行安全计算域的划分,一般分为核心处理域和访问域,其中数据库服务器等后台处理设备归入核心处理域,前台直接面对用户的应用服务器归入访问域。
(二)划分安全用户域
根据业务系统的访问用户分类进行安全用户域的划分,访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域,一般分为管理用户域、内部用户域、外部用户域等。
(三)划分安全网络域
安全网络域是连接具有相同安全等级的计算域和用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和安全计算域的安全等级有关。一般同一网络内可划分三种安全域:外部域、接入域、内部域等。
三、根据业务功能特点进行安全域划分
(一)两级三层结构划分
安全域划分应与业务架构相融合,传统的业务应用可归结为B/S或者C/S结构。依据业务架构进行传统结构划分,称为两级三层结构划分。此方式是在User与Application之间进行安全域划分,同时在应用当中的Server与Mainframe之间进行安全域区分。
优点:可有效避免用户访问核心处理域,对现有系统改动较小,不影响现有业务应用;所有用户对于核心处理域的请求必须由应用服务访问域内的应用程序进行,并由应用程序进行反馈;避免用户计算机对核心处理域主机的病毒传播。
缺点:用户可以通过客户端提出非职责范围内的(www.61k.com)信息查询、维护等操作;缺少将用户请求进行标准化的过程,对用户请求的合法性分析缺乏统一验证;核心处理域与应用服务访问域的每一个应用成为逻辑的单线联系。
(二)两级四层结构划分
针对上述问题,需要根据SOA框架技术和参照银行金融业安全方式,进行业务逻辑更改,将业务安全架构系统划分为User层、Application层;在Application层内部再次进行更加安全的考虑,将Application层再次细化为Presentation层(表示层)、Business层(业务处理层)、Back-end层(核心数据层),称为两级四层划分。
优点:具备两级三层优点,在Business层将用户提出的请求进行统一检查和日志,提供统一的服务接口,Presentation层将用户请求标准化后提交给Business层,并将服务响应进行可视化表现。
缺点:对现有网络和业务系统改动较大。
四、实际网络环境的安全域划分
(一)局域网、城域网、广域网应划分为不同安全域
安全域划分关键是网络边界的划分,一旦划分了边界,也就划分了不同的域。在现有的信息系统中,划分区域最便捷的方式就是依靠网络类型进行边界的划分。
(二)局域网内部安全域划分
局域网内部安全域划分是安全域划分的重点,可以依据业务的安全策略进行划分,主要参考在各业务的业务功能、安全等级、局域网网络结构三方面因素。
(1)根据业务功能特点划分
不改变当前业务逻辑,可以使用两级三层结构进行划分:
终端用户区域:所有应用的客户端。主要包括为C/S结构的C端,B/S结构的B端。
管理用户域:具有管理系统、网络、应用等相关管理职能的用户客户端网络。
内部用户域:在局域网内部需使用信息系统的用户端网络。
外部用户域:在局域网外部需访问信息系统的用户端网络。
服务器域:包括所有服务器。为客户端提供业务平台,完成业务所需的所有服务处理,以及后台数据存储的功能。
应用服务访问域:包括所有应用服务器。为主要为业务处理的中间层服务器。
核心处理域:核心数据存储以及运算服务器,包括数据库服务器等后台处理设备。
(2)根据安全等级要求划分
等级保护、分级保护是通过安全域划分,将信息系统划分为多个子系统。实施等级保护时,一定会落实到每一个安全域中去,等级保护的对象其实是安全域。在业务系统进行等级保护、分级保护定级工作后,将相同安全等级的应用业务系统部署在相同的安全域。
(3)根据网络技术现状划分
局域网内部安全域划分的技术基础是VLAN。同一个VLAN内部的成员可以视为具有相同安全策略的对象,相互信任。VLAN边界可以视为网络边界,在VLAN之间使用相应的安全策略,便实现了简单的安全域划分。
(三)安全域划分的隔离措施
安全域进行划分后主要采用边界隔离、边界访问控制等技术手段,将不同安全域的网络依据不同安全策略,实施必要的安全技术措施。
VLAN逻辑隔离是在同一台交换机内,建立不同的VLAN,承载不同的安全域。此方法对于现有网络支持较好,易于实施,但网络安全风险较大。
IP逻辑隔离是在VLAN逻辑隔离的基础上,不同安全域使用不同IP子网地址,实现数据链路层隔离和网络层隔离。此方式对现有网络改动较大,网络安全风险一般。
物理隔离是不同安全域完全使用单独网络基础设施,包括网线、交换机、路由器等设备,并且相互间没有任何逻辑或物理连接。此方式投资相对较大,对现有网络改动很大,但网络安全风险最小。
五、安全域划分后的安全技术措施
安全域划分最主要的目的是落实安全策略,由于安全域边界通常是基于网络划分,所以通常的方式是,在管理层面根据安全策略制定制度和要求,技术层面通过部署安全设备,使用相应的安全技术,实现安全域划分后的安全要求。
(一)安全策略落实
制定安全策略,完善相关的管理制度,明确安全域之间的关系。使安全域内的实体和客体明确所处安全域的安全策略。
(二)制定访问控制实施规定
根据安全策略确定安全域之间的连接为物理隔离、逻辑隔离或者相互信任,考虑采取访问控制的方式。物理隔离可以从物理层面断开网络连接或者部署网闸设备;逻辑隔离可以部署防火墙、访问控制列表等访问控制手段;相互信任可以直接进行网络连接。
(三)检查网络边界以及进行内容级深度检测
部署检测设备,确认是否有非授权的网络边界连接,甚至串网现象。部署网络流量监控设备,监控跨安全域的网络流量是否正常,及时发现网络入侵、渗透和攻击等异常行为。
(四)根据安全等级采取保护措施
针对特殊要求区域,特别是高等级安全区域,还应部署审计等相关技术手段实施安全策略审计,进一步提供安全性。

三 : 浅谈网络公关创意

浅谈网络公关创意

思考问题的思路,是从低维详化成高维;

解决问题的思路,是从高维简化为低维。

一、网络公关创意的着力点

传统公关借助平媒传播,其创意思维是二维的。

网络公关借助网络传播,其创意思维是三维乃至超维的。

网络公关创意,不禁要着眼于对信息内容、传播过程的创意,还应充分发挥网络传播的特性。将网络传播的特性发挥到极致的创意才算得上典型的网络公关创意。

同时,我们也应认识到,网络公关不是万能的。网络传播之外的产品、品牌、策略创意、线下活动、传统媒体传播也能获得成功,甚至在许多情况下是网络公关成功的前提。 网络公关创意的着力点大致有3大块:

(一)对信息内容创意的着力点:

在对客户需求、行业现状进行充分调研,在全面分析消费者、自我、竞争后,结合公关目标和品牌策略,进行广告、事件、话题、新闻等传播信息创意。以上为战略设计阶段。

(二)对传播过程创意的着力点:

拟定传播计划和执行计划,并执行之,是战术执行阶段。完整的网络传播过程有以下5个步骤:

1)孵化。进行环境分析、事件策划,确定核心信息及其披露计划、危机预警;

2)播种。选择发布平台,确定发布身份,制定发布形式,并进行初期转载;

3)培育。依照信息披露计划,重点发布、跟进转载、第三方评论、制造争议环环相扣;

4)转载。传统媒体介入,并予以权威定调;

5)嫁接。官方表态,正式发布申明,并披露长远计划,此为收获传播果实阶段。 Iphonegirl和“贾君鹏”案例完整再现了上面的传播过程。

(三)充分考虑网络特性:

分享、体验、互动、草根、快速、开放、无限量、娱乐化??是网络媒体异于传统媒体的区别所在。快速引发关注、把企业活动变成网民狂欢、把网络话题变成社会话题、并最终吸引传统媒体联动,这体现了网络传播的极致价值,这样的网络公关必是传统公关无可替代的成功的网络公关。

如何发挥网络特性,需要考虑3点:

1)技术实现手段的特殊性。常见的网络技术实现手段有文字、图片、FLASH、音频、影像、搜索引擎、即时通讯、特制网页等等,如何随材器用?

2)网络传播平台的特殊性。常见的网络传播平台有网页、BBS、SNS、博客、播客、维客、即时通讯、购物平台等等,如何各用所长?

3)网民特性。他们关注的事件、热衷的话题、上网的习性,他们的心态、趣味、爱好、战术、手法、精神与身份??这些都是创意必须考虑的点。由于网络开放、分享、互动、快速、无限量的特点,大部分网民好色、审丑、猎奇、好起哄、爱搞怪、图痛快、爱显摆、爱热闹、无厘头、愤青且执着的个性很突出,许多网络事件是由无数个这样的网民哄起来的。 在实际创意过程中,技术手段和传播平台决定了信息内容的形式,网民特性决定了信息内容的调性,传播过程也受它们的影响。

网络公关创意要解决的,就是如何充分利用网络特性巧传诉求,吸引大众关注并参与

企业传播活动。其中“诉求”创意指第(一)点,“巧传”创意指第(二)点,其他指第(三)点。

简图如下:

信息内容创意<——(网络特性,含技术手段、传播平台和网民特性)——>传播过程创意 因此创意过程可分两阶段:结合网络特性(WHY),先进行信息内容创意(WHAT),再进行传播过程创意(HOW)。要建立网络公关创意模型,必须考虑上面的各大要素,还要实用、系统、规范,有典型案例支持。

网络公关的第一步是吸引网民的关注,第二步是说服网民的心智,最好是能刺激网民参与传播。而吸引关注无防说成是欺骗眼球,因为二者在技巧的运用上并无二致,强调的是“奇”。说服心智则偏于“正”,信息内容及其结构合乎情、理、法,是产品、品牌和传播技巧的综合运用。本文重点旨在探索建立“欺骗眼球、吸引关注”的创意模型。

二、网络公关创意方法

(一)信息内容创意从网民心态着手,结合核心信息和传播目标进行编码。

从网民心态着手,目的在于更快更好地满足网民的信息消费需求,欺骗眼球、吸引关注;结合核心信息和传播目标进行编码,目的是使信息内容及其结构合乎情、理、法,能够说服消费者心智,否则是差之毫厘、谬之千里。因此,信息内容创意可以从网民审美、审丑、猎奇、挑战、立异、标新、搞怪、煽风、体验、爱国等心理着手,并分成若干门径,再结合传统创意思维,其中,适合快速打造知名度的有审丑、猎奇、挑战、立异、标新、搞怪、煽风等,适合打造美誉度的有审美、猎奇、标新、体验、爱国等。

(二)传播过程创意旨在突出信息内容经创意后形成的调性,在传播过程中顺利实现信息的再编码,并让受众按照传播者的意图对信息进行解码。

传播过程的特点可以分为直说与曲说、明说与暗说、正说与反说、自说与他说、暴说与大说等等几种,依此的创意方法如下:

本文标题:浅谈网络安全-Linux网络安全之经验谈(4)
本文地址: http://www.61k.com/1099480.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1