2.操作系統(tǒng)安全配置要點

為了應(yīng)對日益嚴(yán)峻的安全問題，一般操作系統(tǒng)都提供了相應(yīng)的安全配置接口。安全配置主要有以下幾個方面：操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)、關(guān)閉不必要的端口、開啟審核策略、開啟密碼策略、開啟帳戶策略、備份敏感文件、不顯示上次登錄名、禁止建立空連接和下載最新補丁等。

1）安全補丁

操作系統(tǒng)同其它軟件一樣，不能證明其在任何條件下都是完全正確的，可能在使用過程中會出現(xiàn)這樣那樣的漏洞，因此系統(tǒng)管理員應(yīng)該經(jīng)常關(guān)注漏洞情況，及時下載和安裝漏洞補丁，以增強操作系統(tǒng)的安全性。一般操作系統(tǒng)廠商都會提供免費的漏洞補丁和安全服務(wù)。

2)最小化部署

操作系統(tǒng)中提供的很多服務(wù)及功能是為了方便用戶和管理員，這些服務(wù)和功能可能被設(shè)置為默認(rèn)開啟，然而對用戶、管理員并非都是必須的。這些服務(wù)和功禽彥可能被攻擊者利用給系統(tǒng)帶來安全風(fēng)險，因此在系統(tǒng)運行中應(yīng)考慮最小化部署，關(guān)閉不需要的服務(wù)和功有基。

3)遠程訪問控制

隨著操作系統(tǒng)安全機制的不斷完善，防火墻已經(jīng)被內(nèi)置在操作系統(tǒng)中，利用防火墻提供的訪問控制功能。設(shè)置防火墻策略，只開放對外提供服務(wù)的端口，將其他端口的訪問都進行屏蔽，能對系統(tǒng)安全性帶來極大的提升。例如iptables很早就內(nèi)置在linux中并且在大量發(fā)行版中都是默認(rèn)啟用的。

注：即使在網(wǎng)絡(luò)層已經(jīng)部署了網(wǎng)絡(luò)防火墻，在操作系統(tǒng)上設(shè)置防火墻策略仍然是有必要的，縱深防御是提高系統(tǒng)安全性的基本原則之一。等級保護技術(shù)要求中也對操作系統(tǒng)層的訪問控制提出要求，無論網(wǎng)絡(luò)層是否提供訪問控制。