增值业务平台安全防范与实施.ppt

IIS服务器日志审计 IIS 5.0的WWW日志文件默认存放位置为%systemroot%system32logfilesw3svc1 建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限 IIS服务器日志审计 日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2002-08-12 01:27:21 #Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent) 第3行记录了IIS启动的时间，第4行说明了每条记录的格式说明。 2002-07-18 09:53:52 7 - 80 GET /index.htm - 200 Mozilla/4.76+[en]+(X11;+U;+Linux+2.4.2-2+i686) 2002-07-18 09:53:58 3 - 80 GET /MyHomepage/Nethief_Notify.htm - 404 INTERNET 2002-08-10 05:13:11 80 - 64 80 GET /bbs/ - 302 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 2002-06-28 08:17:33 - 2285 GET / - 401 Mozilla/4.0+(compatible;+MSIE+6.0b;+Windows+NT+5.0) 2002-07-16 01:10:51 7 - 80 GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7) +GeckoApache服务器日志审计 Apache服务器默认安装时，会生成access_log(windows下是access.log)和error_log(windows下是error.log)两个文件，linux下可以在/usr/local/apache/log下找到。 Apache日志中记录了包括远程主机地址、浏览者标识、浏览者名字、请求时间、方法、URI资源、协议类型等信息。 Apache典型记录格式： 1?--?[19/Aug/2000:14:47:37?0400]?GET?/?HTTP/1.0?200?654 远程主机地址 （1）。 第一个“-”位置用于记录浏览者的标识，这不只是浏览者的登录名字，而是浏览者的email地址或者其他唯一标识符。 第二个“-”用于记录浏览者进行身份验证时提供的名字。 请求时间(19/Aug/2000:14:47:37)。 0400”表示服务器所处时区位于UTC之前的4小时 最后一项信息的典型格式是“METHOD?RESOURCE?PROTOCOL”，即“方法?资源?协议”，记录收到一个什么样的请求。 Apache服务器日志审计 Apache日志中记录了包括远程主机地址、浏览者标识、浏览者名字、请求时间、方法、URI资源、协议类型等信息。 Apache典型记录格式： 1?--?[19/Aug/2000:14:47:37?0400]?GET?/?HTTP/1.0?200?654 远程主机地址 （1）。 第一个“-”位置用于记录浏览者的标识，这不只是浏览者的登录名字，而是浏览者的email地址或者其他唯一标识符。 第二个“-”用于记录浏览者进行身份验证时提供的名字。 请求时间(19/Aug/2000:14:47:37)。 0400”表示服务器所处时区位于UTC之前的4小时 最后一项信息的典型格式是“METHOD?RESOURCE?PROTOCOL”，即“方法?资源?协议”，记录收到一个什么样的请求。 日程安排 国内外近期安全形势 系统主要的安全风险 系统安全保障 典型的安全措施 1、安全边界保护 互联边界（注意防火墙策略的严格管理和定期检查） 加强对第三方的严格管理。 加强对sp的严格管理 对互联网开放端口列表(定期检查) 物理环境安全性 网络安全性 操作系统安全性 数据库安全性 中间件安全性 web应用/代码安全性 1、应用及代码安全检查 2、对可能的