安全加固解决方案

1、1.1 平安加固解决方案1.1.1 平安加固范围及方法确定加固的范围是陕西电视台全台网中的主机系统和网络设备,以及相关的数据库系统.主要有：效劳器加固.主要包括对Windows效劳器和Unix效劳器的评估加固,其中还包括对效劳器操作系统层面的评估和数据库层面的评估加固.网络设备加固.主要包括对防火墙,交换机的评估加固.平安加固效劳主要以人工的方式实现.1.1.2 平安加固流程支仝加固流程图网络优化方案及系统加固方案图错误！文档中没有指定样式的文字.-1平安加固流程图检查当前设备确定系统漏洞图错误！文档中没有指定样式的文字.-2系统加固实施流程图21.1.3 平安加固步骤1,准备工作一人操作,一

2、人记录,尽量预防可能出现的误操作.2,收集系统信息加固之前收集所有的系统信息和用户效劳需求,收集所有应用和效劳软件信息,做好加固前预备工作.3,做好备份工作系统加固之前,先对系统做完全备份.加固过程可能存在任何不可遇见的风险,当加固失败时,可以恢复到加固前状态4 .加固系统根据系统加固核对表,逐项按顺序执行操作.5 .复查配置对加固后的系统,全部复查一次所作加固内容,保证正确无误.6 .应急恢复当出现不可预料的后果时,首先使用备份恢复系统提供效劳,同时与平安专家小组取得联系,寻求帮助,解决问题1.1.4平安加固内容表错误！文档中没有指定样式的文字.-1平安加固内容说明表加固对象操作系统加固工程

3、说明UNIX系统及类UNIX系统Solaris,HP-UXAIX,linux,FreeBSD,OpenBSDSCO补丁从厂家网站或者可信任站点下载系统的补丁包,不同的操作系统版本以及运行/、同的效劳,都可能造成需要安装的补丁包不同,所以必须选择适合本机的补丁包安装.视机器配置而定文件系统UNIX文件系统的权限配置工程繁多,要求也很严格,不适当的配置可能造成用户非法取得操作系统超级用户的限制权,从而完全限制操作系统.有30项左右配置配置文件UNIX配置文件功能有点类似微软的注册表,UNIX对操作系统配置根本上都是通过各种配置文件来完成,不合理的配置文件可能造成用户非法取得操作系统超级用户的限制权

4、,从而完全限制操作系统.例如：/etc/inittab文件是系统加载时首先自动执行的文件,/etc/hosts.equiv是限制主机信任关系的文件等.有20项左右配置帐号治理帐号口令是从网络访问UNIX系统的根本认证方式,很多系统被入侵都是由于帐号治理不善,设置超级用户密码强度,密码的缺省配置策略例如：密码长度,更换时间,帐号所在组,帐号锁定等多方面.有些系统可以配置使用更强的加密算法.有10项左右配置网络及效劳UNIX有很多缺省翻开的效劳,这些效劳都可能泄露本机信息,或存在未被发现的平安漏洞,关闭不必要的效劳,能尽量降低被入侵的可能性.例如r系列效劳和rpc的rstatd都出过不止一次远程女

5、全漏洞.UNIX缺省的网络配置参数也不尽合理,例如TCP序列号随机强度,对Do.S攻击的反抗水平等,合理配置网络参数,能优化操作系统性能,提升平安性.视机器配直皿定30项NFS系统网络文件系统协议最早是SUN公司开发出来的,以实现文件系统共享.NFS使用RPC效劳,其验证方式存在缺BI,NFS效劳的缺省配置也很不平安,如果必须使用NFS系统,一定进行平安的配置.视操作系统而定应用软件我们建议操作系统安装最小软件包,例如不安装开发包,不安装不必要的库,不安装编绎器等,但很多情况下必须安装一些软件包.APACHE或NETSCAPEENTERPRISESERVER>UNIX首选的WE国艮务器,

6、其配置本身就是一项独立的效劳邮件和域名效劳等都需要进行合理的配置.W,日志做好系统的审计和日志工作,对于事后取证追查,帮助发现问题,都能提供很多必要信息.例如,翻开帐号审计功能,记录所有用户执行过的命令.例如实现日志集中治理,预防被入侵主机日志被删除等.视机奋配直IIUte其它小向的UNIX系统件-些特别的平安配置,例如solaris有ASETHP的高级别平安,FreeBSD的jail等.视机器配置而定最后工作建议用户做系统完全备份,并对关键部份做数字签名.微软操作系统NT4.0/W2K(workstation,server,professional,advancedserver)补丁微软操作

7、系统对新发现的漏洞修补是使用ServicePack及hotfix,另外,还需要安装C2级平安配置.视机器配置而定文件系统配置NTFS文件系统,NTFS可以支持更多更强大的的平安配置,设置需要特殊保护的目录和文件,设置不同目录和文件的权限,移动或删除特别的系统命令文件,增参加侵者操作的难度.有20项左右配置帐号治理帐号口令是从网络访问NT/2K系统的根本认证方式,很多系统被入侵都是由于帐号治理不善,设置超级用户密码强度,密码的缺省配置策略例如：密码长度,更换时间,帐号所在组,帐号可访问资源,帐号锁定等多方面,GUESTS号以及力口强的密码治理SYSKEY等.有10项左右配置网络及效劳网络和效劳是

8、互联网上用户与此效劳器接口的局部,网络协议的配置不当,效劳进程设置不当,都可能为入侵系统翻开方便之门.合理地配置网络及效劳将能阻挡80%勺普通入侵视机器配置而定注册表微软操作系统缺省的安装是为了能兼容各种运行环境,因此很多权限设置都很宽,这不符合"最小权限的根本原那么,我们需要根据不同的环境,备份注册表,再人为地更改注册表内容,配置最小权限的稳定运行的系统.例如：不允许远程注册表配置,设置LSA尽量减少远程用户可以获取的信息,设置注册表本身的访问限制,禁止空连接,对其它操作系统和POSIX的支持,对登录信息的缓存等.也有很多项选择项需要根据不向用户需求来制定,例如：当平安策略由于某些

9、因素磁盘满而/、能运作时,是否强制系统停止运行.有40项以上配置日章/、J共享是向网络上的用户开放对本机的资源访问权限,不合理的配置以及系统的缺省共享配置,都可能造成远程用户对系统的文件,打印机等资源的非法访问和操作.我们需要删除不必要的共享,合理配置共享的访问限制列表.视机器配置而定应用软件我们建议安装最小的软件包,不安装/、必要的应用软件.但是很多情况应用软件提供/、可缺少的效劳,这时我们就必须平安地配置它们.IE被微软绑定为操作系统的一局部,IE的平安直接影响到系统的平安.我们需要升级IE的版本,安装IE的补丁,设置IE的平安级别,及各项平安相关配置outlook,powerpoint及

10、其它等多种软件都可能存在女全问题,需要安装补丁程序.IIS提供WW的效劳,这是一般NT效劳器首选的WE用艮务器,但是IIS本身存在很多平安漏洞,直到现在仍然经常发现新的平安漏洞,IIS的缺省配置,目录设置,权限设置,平安设置等多方囿配置小当也是系就平安的巨大隐患.IIS的加固本身就可以成才-项独立的效劳内容.视机器配置而定W,日志做好系统的审计和日志工作,对于事后取证追查,帮助发现问题,都能提供很多必要信息视机器配置而定其它其它方面视不阿环境而定,例如需要删除多余的系统安装包,安装主机防病毒软件,等多项操作.最后工作重新制作新的系统紧急恢复盘(ERD),建议用户做系统完全备份,并对关键部份做数

11、字签名.网络设备交换机,路由器,防火墙检查及加固工程会根据不同J商的设备而不同,具体内容在加固前将会根据评估的实际情况而定制订或调整完善网络设备平安策略配置登录地址限制配置登录用户身份鉴别配置特权用户权限别离消除共享用户配置口令复杂度与更换要求配置登录失败处理功能配置远程治理米用SSH?力口密方式采购与配置网络设备双因素鉴别设备用户拿到IOS升级包,在设备厂家工程师现场协助下进彳TIOS升级.关闭不必要的效劳关闭不使用的网络接口给出重要协议、地址和端口访问限制配置原型SNMPTFTP,NTP等效劳建议网络设备的配置文件离线备份,并曲专人保管期进行网络设备用户和口令维护,进行口令强度治理使用、访

12、问权限进行严格限制相应的日志检查,审计和归档平安治理策略1.1.5满足指标-2平安加固等保符合性说明表1解决方案名称限制类限制点指标名称举措名称改良动作改良对象平安加固解决力杀网络平安网络设备防护a应对登录网络设备的用户进行身份鉴别；配置登录用户身份鉴别网络设备平安配置与加固网络设备b应对网络设备的治理员登录地址进行限制；配置登录地址限制网络设备平安配置与加固网络设备c网络设备用户的标识应唯一；消除共享用户网络设备平安配置与加固网络设备d主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；采购与配置网络设备双因素鉴别设备采购部署双因素鉴别e身份鉴别信息应具有不易被冒用的特点

13、,口令应有复杂度要求并定期更换；配置口令复杂度与更换要求网络设备平安配置与加固网络设备f应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等举措；配置登录失败处理功能网络设备平安配置与加固网络设备g当对网络设备进行远程治理时,应采取必要举措预防鉴别信息在网络传输过程中被窃听；配置远程治理采用SSH等加伤方式网络设备平安配置与加固网络设备h应实现设备特权用户的权限别离.配置特权用户权限别离网络设备平安配置与加固网络设备平安加固解决力杀主机平安访问限制a应启用访问限制功能,依据平安策略限制用户对资源的访问；访问限制策略操作系统与数据库平安配置与加固操作系统与数据库

14、等软件b应根据治理用户的角色分配权限,实现治理用户的权限别离,仅授予治理用户所需的最小权限；治理用户权限最小化操作系统与数据库平安配置与加固操作系统与数据库等软件c应实现操作系统和数据库系统特权用户的权限别离；特权用户权限别离操作系统与数据库平安配置与加固操作系统与数据库等软件d应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令；限制默认帐户操作系统与数据库平安配置与加固操作系统与数据库等软件e应及时删除多余的、过期的帐户,预防共享帐户的存在.清理帐户操作系统与数据库平安配置与加固操作系统与数据库等软件f应对重要信息资源设置敏感标记；重要信息资源设置敏感标记采购部署操作系

15、统与数据库等软件g应依据平安策略严格限制用户对有敏感标记重要信息资源的操作；配置敏感信息资源访问策略操作系统与数据库平安配置与加固操作系统与数据库等软件入侵防范a应能够检测到对重要效劳器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警；采购与配置主机入侵检测软件采购部署主机入侵检测软件b应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的举措；配置主机入侵检测软件的完整性检测和恢复功能平安产品配置主机入侵检测软件c操作系统应遵循最小安装的原那么,仅安装需要的组件和应用程序,并通过设置升级效劳器等方式保持系统补及时得到更新

16、.主机最小安装操作系统与数据库平安配置与加固操作系统c操作系统应遵循最小安装的原那么,仅安装需要的组件和应用程序,并通过设置升级设置补丁效劳器采购部署补丁效劳器和软件效劳器等方式保持系统补及时得到更新.解决方案名称限制类限制点指标名称举措名称改良动作改良对象系统平安加固主机平安剩余信息保护a应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全去除,无论这些信息是存放在硬盘上还是在内存中;鉴别信息存储空间去除操作系统与数据库平安配置与加固操作系统和数据库b应保证系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全去除.存储

17、空间去除操作系统与数据库平安配置与加固操作系统和数据库资源限制a应通过设定终端接入方式、网络地址范围等条件限制终端登录；主机平安配置与加固操作系统与数据库平安配置与加固操作系统b应根据平安策略设置登录终端的操作超时锁定；主机平安配置与加固操作系统与数据库平安配置与加固操作系统c应对重要效劳器进行监视,包括监视效劳器的CPU硬盘、内存、网络等资源的使用情况；采购部署网管监控系统,实现重要效劳器监控采购部署主机性能治理d应限制单个用户对系统资源的最大或最小使用限度；主机平安配置与加固操作系统与数据库平安配置与加固操作系统e应能够对系统的效劳水平降低到预先规定的最小值进行检测和报警.配置网管系统的监

18、控与报警,实现效劳水平监控产品配置主机性能治理解决方案名称限制类限制点指标名称举措名称改良动作改良对象平安加固解决力杀应用平安访问限制a应提供访问限制功能,依据平安策略限制用户对文件、数据库表等客体的访问；访问限制功能应用软件平安开发与改造业务系统b访问限制的覆盖范围应包括与资源访问相关的主体、客体及它访问限制主体、客体及操作应用软件平安开发与改造业务系统们之间的操作；要求c应由授权主体配置访问限制策略,并严格限制默认帐户的访问权限；配置访问限制策略应用软件平安开发与改造业务系统d应投予不同帐户为完成各自承当任务所需的最小权限,并在它们之间形成相互制约的关系.最小权限与制约应用软件平安开发与改

19、造业务系统e应具有对重要信息资源设置敏感标记的功能；设置敏感标记的功能应用软件平安开发与改造业务系统f应依据平安策略严格限制用户对有敏感标记重要信息资源的操作；限制敏感重要信息资源操作应用软件平安开发与改造业务系统剩余信息保护a应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全去除,无论这些信息是存放在硬盘上还是在内存中；鉴别信息存储空间去除应用软件平安开发与改造业务系统b应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全去除.存储空间去除应用软件平安开发与改造业务系统抗抵赖a应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；配置抗抵赖应用软件平安开发与改造业务系统b应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能.配置抗抵赖应用软件平安开发与改造业务系统软件容错a应提