信息技術(shù)-網(wǎng)絡(luò)搭建與信息安全課件 專題10 項目2 應(yīng)用系統(tǒng)信息安全保護

項目2應(yīng)用系統(tǒng)信息安全保護項目信息技術(shù)專題引導(dǎo)

圖冊又稱畫冊，是我們?nèi)粘Ｉ钪凶畛Ｒ姷挠∷⑿麄鞑牧现?。實用圖冊就是運用圖文并茂的形式，根據(jù)不同業(yè)務(wù)主題選擇相關(guān)內(nèi)容，結(jié)合顏色搭配、版式設(shè)計、風格定位等藝術(shù)表現(xiàn)來完成的具有實用性的小冊子。實用圖冊應(yīng)用領(lǐng)域廣泛，在各行各業(yè)中都能看到它的影子。根據(jù)不同的內(nèi)容、不同的訴求、不同的主題特征，實用圖冊可分為工程（工藝流程）圖冊、藝術(shù)圖冊、VI設(shè)計冊、宣傳冊、公文手冊、制度匯編等。

本專題設(shè)置三個實踐項目：制作公司員工手冊、制作工程圖冊和制作宣傳畫冊。在教學實施時，可根據(jù)不同專業(yè)方向選擇具體的教學項目。項目2應(yīng)用系統(tǒng)信息安全保護任務(wù)1

設(shè)計保護方案任務(wù)3

安全加固系統(tǒng)任務(wù)2

探測系統(tǒng)信息

項目背景一家小型公司組建了網(wǎng)絡(luò)，并啟用了私有云存儲等應(yīng)用系統(tǒng)，為了保障信息安全，邀請小小所在公司對網(wǎng)絡(luò)進行安全保護，小小所在的項目組承接了該項目。

項目分析

按照項目工作流程，首先要調(diào)研企業(yè)需求，根據(jù)需求設(shè)計信息業(yè)安全防護方案；然后對應(yīng)用系統(tǒng)服務(wù)器進行探測，確定薄弱環(huán)節(jié)；最后采用技術(shù)手段加固系統(tǒng)。項目結(jié)構(gòu)如圖10-2-1所示。

學習目標?能根據(jù)需求完成企業(yè)安全保護方案的設(shè)計。?會利用工具探測系統(tǒng)信息并關(guān)閉非必要端口。?能使用賬戶策略、關(guān)閉非必要服務(wù)、映射端口等技術(shù)手段安全加固系統(tǒng)。設(shè)計保護方案任務(wù)描述任務(wù)分析任務(wù)準備任務(wù)實施任務(wù)1在項目中，調(diào)研了解客戶的真實需求，依此制訂出滿足客戶需求的規(guī)劃方案是項目工作的重中之重，本階段需要反復(fù)確認與溝通。任務(wù)描述任務(wù)1設(shè)計保護方案信息安全保護，首先要確認安全需求；然后有針對性地制訂實施方案；最后為了保障實施方案的順利完成，還需要完善信息安全管理制度。任務(wù)路線如圖10-2-2所示。任務(wù)分析任務(wù)1任務(wù)實施任務(wù)1設(shè)計員工手冊1.安全需求確認（1）實地勘察小小項目組到小型公司實地勘察，了解了網(wǎng)絡(luò)設(shè)備、計算機、服務(wù)器等設(shè)備的部署情況，繪制了網(wǎng)絡(luò)拓撲圖，如圖10-2-3所示。1.安全需求確認1（2）需求確認與公司溝通后，取得如下功能需求。①外網(wǎng)用戶、內(nèi)網(wǎng)用戶均能訪問私有云存儲服務(wù)器。②保障私有云存儲服務(wù)器的安全。任務(wù)實施任務(wù)1制訂實施方案2

通常建議企事業(yè)單位進行等級保護，按照自主定級、自主保護的原則，通過定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查5個階段構(gòu)建立體的防護系統(tǒng)，這需要借助專業(yè)的公司來實現(xiàn)。而一些小型的企業(yè)因為成本原因，會首先滿足功能，做一定的防護之后，隨著企業(yè)的發(fā)展再不斷提升防護等級。無論哪種情況，網(wǎng)絡(luò)信息安全項目的實施方案都是需要最優(yōu)先制訂的，通過人防、物防、技防等多維度建立立體的防護體系，實現(xiàn)財產(chǎn)、數(shù)據(jù)、人身、物品設(shè)備的安全。

網(wǎng)絡(luò)信息安全項目的實施方案，會根據(jù)公司的情況進行個性化定制，通常分為網(wǎng)絡(luò)安全防護、服務(wù)器安全防護、網(wǎng)絡(luò)與數(shù)據(jù)安全措施保障、規(guī)范管理等幾方面。在本項目中，根據(jù)需求重點采用技術(shù)手段進行應(yīng)用系統(tǒng)的防護，方案的主要防護技術(shù)手段如下：①通過本地掃描、遠程掃描的方式探測私有云存儲服務(wù)器，確定薄弱點，然后關(guān)閉非必要的端口。②采用設(shè)置賬戶策略、關(guān)閉非必要服務(wù)等技術(shù)手段加固私有云存儲服務(wù)器。③將私有云存儲服務(wù)器端口映射到公網(wǎng)，讓外網(wǎng)用戶也能訪問。確定的方案效果拓撲圖如圖10-2-4所示。設(shè)計員工手冊版式任務(wù)實施任務(wù)1擬定的設(shè)備配置情況如表10-2-1所示。3任務(wù)實施任務(wù)1因為該小型公司預(yù)算有限，不能購買防火墻、安全網(wǎng)關(guān)、入侵檢測系統(tǒng)等安全硬件設(shè)備，為了在有限的技術(shù)條件下實現(xiàn)更大的安全防護，保障業(yè)務(wù)的正常運行，將原有的網(wǎng)絡(luò)安全管理制度進行完善，完善后的網(wǎng)絡(luò)安全管理制度分3層。完善信息安全管理制度3第一層為總則。頂層設(shè)計和規(guī)劃等指導(dǎo)性制度。第二層為具體的專項管理制度。具體的專項管理制度分為建設(shè)人員、運維人員和員工3個方面，例如《計算機安全管理責任人制度》《計算機機房安全管理制度》等。第三層為操作手冊和行為規(guī)范。在進行各種操作時需要遵守的東西，例如《信息發(fā)布、審核、登記制度》《信息監(jiān)視、保存、清除和備份制度》《賬號使用登記和操作權(quán)限管理制度》等。在制定網(wǎng)絡(luò)安全管理制度時應(yīng)該查閱相關(guān)的法律法規(guī)，如《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》等，再結(jié)合前面制訂的實施方案，逐步完善信息安全管理制度。不同類型的企事業(yè)單位側(cè)重點不同，可以根據(jù)需要進行增減。探測系統(tǒng)信息任務(wù)描述任務(wù)分析任務(wù)準備任務(wù)實施任務(wù)2信息安全保護方案設(shè)置好之后，需要進一步確定應(yīng)用服務(wù)器、內(nèi)網(wǎng)計算機等設(shè)備的安全狀況。任務(wù)描述任務(wù)2

要確定和排查信息安全風險，通常需要進行滲透測試，本任務(wù)中簡化流程，僅進行滲透測試中的信息收集，然后關(guān)閉非必要的端口。任務(wù)路線如圖10-2-5所示。任務(wù)分析任務(wù)2

1.滲透測試任務(wù)準備任務(wù)2

滲透測試是通過模擬惡意黑客攻擊的方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。在滲透測試前應(yīng)該認真閱讀《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)，通常滲透測試的步驟有獲得授權(quán)、明確目標、信息收集、漏洞探測、漏洞驗證、信息分析、獲取所需、信息整理、形成報告。2.信息收集任務(wù)準備任務(wù)2

（1）信息收集是滲透測試的初期環(huán)節(jié)，目的是充分了解被滲透對象的信息，它分為被動信息收集、主動信息收集和主動掃描。信息收集常用工具有nmap、Zenmap、X-scan、Nessus流光等工具，其中Zenmap是nmap的圖形界面版本。出血位（2）印刷完成后的成品，為了達到美觀效果，要將不整齊的邊緣切掉，裁切的寬度就是出血。任務(wù)實施任務(wù)2

按照任務(wù)1中的表10-2-1擬定的設(shè)備情況安裝內(nèi)網(wǎng)用戶計算機，并參考專題8項目2網(wǎng)絡(luò)云應(yīng)用系統(tǒng)搭建、部署私有云存儲服務(wù)器。1.部署服務(wù)器環(huán)境1任務(wù)實施任務(wù)2

收集系統(tǒng)信息2下載安裝Zenmap

在內(nèi)網(wǎng)用戶計算機上，訪問Zenmap的官方網(wǎng)站，下載并安裝Windows版本的安裝包，如圖10-2-6所示。任務(wù)實施任務(wù)2

運行Zenmap工具，在目標中輸入私有云存儲服務(wù)的IP地址192.168.0.100，然后單擊掃描，稍后掃描結(jié)果如圖10-2-7所示。掃描服務(wù)器選擇“端口/主機”選項卡，可以看到服務(wù)器開放的端口，如圖10-2-8所示。任務(wù)實施任務(wù)2關(guān)閉非必要的端口2分析開放端口

分析上一步掃描出的開放端口，其中21、80、888端口可以關(guān)閉，詳細分析如表10-2-2所示。任務(wù)實施任務(wù)2關(guān)閉非必要的端口2關(guān)閉端口

在私有云存儲服務(wù)器上的任務(wù)欄搜索框中輸入關(guān)鍵字“高級安全”，在搜索結(jié)果中打開“高級安全WindowsDefender防火墻”對話框，如圖10-2-9所示。單擊左邊菜單中的“入站規(guī)則”圖標，然后選擇右邊的“新建規(guī)則”選項，如圖10-2-10所示任務(wù)實施任務(wù)2隨后進入“新建入站規(guī)則向?qū)А保来卧凇耙?guī)則類型”中選中“端口”單選按鈕、“協(xié)議和端口”中選中“特定本地端口”單選按鈕并設(shè)置為“21，80，888”、“操作”中選中“阻止連接”單選按鈕，最后規(guī)則命名為“禁止21，80，888端口”，如圖10-2-11所示。最后在“出站規(guī)則”中用同樣的方法禁止21，80，888端口。任務(wù)實施任務(wù)2掃描服務(wù)器

在內(nèi)網(wǎng)用戶計算機上，先測試私有云存儲服務(wù)器的功能，確認能正常使用后，再次使用Zenmap掃描私有云存儲服務(wù)器，結(jié)果如圖10-2-12所示，關(guān)閉端口成功。

任務(wù)延伸由學生代表與指導(dǎo)教師組成項目評審組，各工作團隊制作匯報材料并進行答辯。1.想辦法使用高級安全WindowsDefender防火墻中的入站規(guī)則及出站規(guī)則，禁止QQ訪問網(wǎng)絡(luò)。2.學習信息收集工具的相關(guān)知識，對網(wǎng)絡(luò)內(nèi)的其他計算機進行信息收集，理解端口與服務(wù)的對應(yīng)關(guān)系，同時分析可能產(chǎn)生的網(wǎng)絡(luò)信息安全風險，并在班上做交流。安全加固系統(tǒng)任務(wù)描述任務(wù)分析任務(wù)準備任務(wù)實施任務(wù)3私有云存儲系統(tǒng)關(guān)閉了非必要的端口，減少了網(wǎng)絡(luò)信息安全風險，還需要進一步加固系統(tǒng)，并讓外網(wǎng)用戶能使用。任務(wù)描述任務(wù)3加固應(yīng)用系統(tǒng)的方法很多，從技術(shù)面上主要應(yīng)該設(shè)置賬戶策略，關(guān)閉非必要的協(xié)議及服務(wù)，最后根據(jù)需求將私有云存儲服務(wù)器映射到外網(wǎng)。任務(wù)路線如圖10-2-13所示。任務(wù)分析任務(wù)3任務(wù)準備任務(wù)31.安全加固安全加固是指根據(jù)專業(yè)安全評估結(jié)果，制訂相應(yīng)的系統(tǒng)加固方案，通過打補丁、修改安全配置、增加安全機制等方法進行安全性加強。安全加固的對象有操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備策略、網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)庫、應(yīng)用軟件等。2.端口映射端口映射可以將內(nèi)網(wǎng)的地址翻譯成外網(wǎng)地址，當內(nèi)網(wǎng)的服務(wù)器需要對外網(wǎng)提供服務(wù)或接收數(shù)據(jù)時，都需要端口映射。外網(wǎng)通過訪問這個翻譯出來的外網(wǎng)地址再訪問內(nèi)網(wǎng)的服務(wù)器，能保障內(nèi)網(wǎng)服務(wù)器的安全。任務(wù)實施任務(wù)3

1.設(shè)置賬戶策略

賬戶策略除了大家熟悉的設(shè)置安全密碼、賬戶權(quán)限，還可以從定期清理賬戶、賬戶密碼策略、賬戶登錄策略3個方面進行安全加固。任務(wù)實施任務(wù)3（1）定期清理賬戶

在任務(wù)欄搜索框中輸入關(guān)鍵字“計算機管理”，然后單擊“本地用戶和組”中的“用戶”圖標，右擊選擇Guest及其他可疑賬戶，并右擊在彈出的快捷菜單中選擇“屬性”選項，最后選中“賬戶已禁用”復(fù)選框，通常建議先禁用3個月，確認不會影響業(yè)務(wù)之后直接刪除，如圖10-2-14所示。任務(wù)實施任務(wù)3

（2）賬戶密碼策略

在任務(wù)欄搜索框中輸入關(guān)鍵字“本地安全策略”，在“密碼策略”中設(shè)置“密碼長度最小值”“密碼最短使用期限”等安全設(shè)置，如圖10-2-15所示。任務(wù)實施任務(wù)3

（3）賬戶登錄策略

在“本地安全策略”對話框中的“賬戶鎖定策略”中設(shè)置“賬戶鎖定閾值”等安全設(shè)置，如圖10-2-16所示。任務(wù)實施任務(wù)32.關(guān)閉非必要的協(xié)議及服務(wù)

系統(tǒng)默認開啟了很多服務(wù)及協(xié)議，同時會開啟對應(yīng)的端口，這些都會成為被攻擊目標，非必要的服務(wù)及協(xié)議應(yīng)該關(guān)閉。任務(wù)實施任務(wù)3

（1）關(guān)閉協(xié)議

禁用TCP/IP上的NetBIOS協(xié)議，可以關(guān)閉監(jiān)聽的UDP137、UDP138以及TCP139端口。雙擊“Internet協(xié)議版本4（TCP/IPv4）”，然后選擇“高級”選項卡，最后在“WINS”卡式菜單中進行如圖10-2-17所示的設(shè)置。（2）關(guān)閉服務(wù)

在任務(wù)欄搜索框中輸入關(guān)鍵字“服務(wù)”，在服務(wù)列表中右擊“TCP/IPNetBIOSHelper”服務(wù)，在彈出的快捷中選擇“停止”選項，如圖10-2-18所示。任務(wù)實施任務(wù)3

其他還可以禁用的服務(wù)建議如表10-2-3所示。任務(wù)實施任務(wù)3

3.映射端口

在主流的路由器、防火墻上均具有端口映射的功能，各個品牌的操作界面不同，但功能類似。登錄無線路由器，在“高級”選項卡中找到“端口映射”，這里將私有云存儲服務(wù)器的訪問端口8000，映射為外網(wǎng)的8001端口，如圖10-2-19所示。

任務(wù)延伸由學生代表與指導(dǎo)教師組成項目評審組，各工作團隊制作匯報材料并進行答辯。學習安全加固相關(guān)技術(shù)，嘗試從賬戶策略、文件權(quán)限、安全選項等多方面對自己的計算機進行安全加固，最后整理一套個人計算機安全加固策略，到班上進行分享。

項目分享方案2由學生代表與指導(dǎo)教師組成項目評審組，各工作團隊制作匯報材料并進行答辯。方案1各工作團隊展示交流項目，談?wù)勛约旱男牡皿w會，并選派代表分享交流。

項目評價根據(jù)項目完成情況填涂表類

別內(nèi)

容評