网络安全运维服务方案

网络平安运维效劳方案时间：2021年7月目录一、工程概述 21.1工程背景 21.2工程现状 21.3工程目标 2二、平安运维方案设计 33.1日常根底运维 3根底设施巡检效劳 3根底设施运维效劳 4日常技术支持和维护 5平安性维护 6平安整改 6其他相关配合效劳 73.2网络平安运维效劳 8平安咨询效劳 8渗透测试及修复效劳 9基线加固效劳 14漏洞扫描效劳 33新系统上线前平安评估效劳 33网络平安应急响应效劳 343.3平安运维驻场要求 35一、工程概述1.1工程背景网络平安运维效劳是企事业单位信息化建设和信息系统平安体系中不可或缺的一局部，是整个IT环境成熟度的一个衡量指标，完整的网络平安运维效劳不仅能帮助单位解决现有的各类平安隐患，还能够帮助他们预计未来的趋势，规划信息系统平安、稳定的长期开展。为响应国家网络平安等级保护的要求和2017年6月1日，《中华人民共和国网络平安法》正式实行，其中第二十一条：国家实行网络平安等级保护制度。网络运营者应当按照网络平安等级保护制度的要求，履行以下平安保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改，全面的了解自身信息平安隐患，从物理、网络、主机、应用、数据及平安管理、平安运维各个层面分析系统可能存在的风险，判断系统所面临的平安威胁，加强信息系统的平安保障工作。1.2工程现状xxx局本身网络包含互联网、环境专网、电子政务外网3张网络，整体网络已参照网络平安等级保护制度要求进行了建设，根本能确保整体具有支持业务稳定、持续平安运行的能力。整体网络和信息系统由xxx局网络信息科室自行提供平安运维和日常维护。按照等保2.0的要求，xxx局在人员数量配备、专业技术能力方面尚存在一定的差距。同时在“十四五”期间生态环境数字化转型将继续深化，基于智慧环保、生态环境大数据、物联网、数据共享、无纸化会议、视频会议等越来越多的信息化建设内容和维护需求，更是给日常运维及平安保障工作带来了巨大压力。1.3工程目标依托第三运维效劳机构所提供的专业化运维效劳和咨询建议，建立和完善平安运维及平安保障体系，增强信息化建设的平安防护能力、隐患检测能力和恢复能力，并确保信息化平安建设满足国家及行业相关政策要求，满足“事前可预防、事中可控制、事后可恢复”的网络平安保障需求，打造一个可信、可管、可控、可视的网络环境，确保重要信息系统、业务应用持续平安稳定的运行；经过有步骤有方案平安运维、平安整改和后期的平安建设，能保护组织核心业务不被网络攻击中断，保障组织核心业务数据不被窃取。在对威胁有较强的防御能力外，对于未知威胁也具有一定的防御能力。为xxx局业务的高效、顺利开展提供强有力技术支撑。二、平安运维方案设计3.1日常根底运维3.1.1根底设施巡检效劳根底设施巡检和维护内容序号效劳内容常规效劳时间效劳说明效劳要求周期次数1资产梳理5*8收集和梳理数据中心信息化资产信息，并建立归档。根据梳理排查情况及采购人提供的效劳功能、设备等信息，编制设备资产表。设备资产表包括型号、数量、配置、功能、主机名称、IP地址、位置等信息。有调整和变动时立即更新。不固定按需提供，不限次数2效劳器健康巡检5*8利用数据中心现有监控设备或工具，定期对各效劳器进行健康巡检；对发现的异常情况进行排查，并针对异常情况提出解决方案和建议。每天≥13存储设备健康巡检5*8对存储设备系统的运行状态，包括设备指示灯、存储存储光纤链路等；对发现的异常情况进行排查，并针对异常情况提出解决方案和建议。每天≥14数据库健康巡检5*8定期进行数据库健康巡检，监控内容包括数据库健康状态、数据库空间使用情况等；对发现的异常情况进行排查，并针对异常情况提出解决方案和建议。每月≥15平安设备健康巡检5*8定期对平安设备病毒库和特征库更新情况检查；对平安设备异常/平安告警进行日志审核分析；对平安设备主机控制面板状态指示灯检查、CPU利用率、内存利用率、磁盘使用率、电源情况巡检；对异常情况进行排查，并针对异常情况提出解决方案和建议。每天≥16核心网络设备健康巡检5*8定期对核心网络设备CPU利用率、内存利用率、电源状态、风扇状态巡检，对错误事件日志和异常情况进行分析和维护；提供巡检报告；对异常情况进行排查，并针对异常情况提出解决方案和建议。每天≥17UPS、精密空调健康巡检5*8检查UPS主机、精密空调工作状态及各板件上指示灯的状态；对发现的异常情况进行排查，并针对异常情况提出解决方案和建议。每天≥18月度汇报5*8按月对采购人整体根底设施巡检情况进行总结汇报。每月≥13.1.2根底设施运维效劳包括采购人工作人员桌面PC机、平板电脑、打印机、复印机的日常维护，包括桌面操作系统方面、办公网络方面的运维和故障处理工作。具体效劳内容如下：根底设施运维效劳内容序号效劳内容常规效劳时间效劳说明效劳要求周期次数1硬件维护5*8负责采购人所有桌面电脑、平板电脑、打印机、复印机、网络设备等信息终端设备的维护工作。主要包含设备安装调试、故障检测、配件更换〔配件由采购人提供〕、故障处置等。涉及硬件维修的设备根据实际情况书面申请维修费用，经采购人同意后联系送修，维修完成后对设备进行测试，确定无故障后交还采购人并做好记录。不固定按需提供，不限次数2软件维护5*8负责桌面操作系统的安装和修复，常用软件、业务软件、防病毒软件安装〔软件由采购人提供〕等；处置操作系统升级、数据备份、系统故障、软件故障等问题;不固定按需提供，不限次数3网络维护5*8负责采购人办公区域网络故障的排查和处理。不固定按需提供，不限次数4信息资产清理和管理5*8配合采购人对终端计算机进行资产清理，包括型号、数量、位置、使用人等信息。资产信息以电子表格的形式进行保存。不固定按需提供，不限次数3.1.2日常技术支持和维护1.日常技术支持：对在建或新建的信息化系统提供效劳器、存储、虚拟机、数据库、中间件、网络等根底IT环境的配合等效劳；对于采购人日常发生的网络设备调试、平安设备调试、效劳器调试、数据库调试、视频会议调试、终端系统调试等提供技术支持效劳。效劳次数：按需提供，不限次数；常规效劳时间：5×8，应急效劳时间：7×8。2.日常技术维护：a)策略调优及优化：依据资产情况、业务系统网络流向、日常平安监测情况、近期风险通报结果及平安设备实际策略配置情况，对平安设备协助开展策略配置调优，以持续提升平安运行和防护能力。〔平安设备包含但不限于防火墙、入侵防御、WAF、防病毒系统、平安网关等。〕b)配置备份：定期对核心交换机、会聚交换机、防火墙、WEB应用防火墙、入侵防御系统等关键节点设备的系统配置和策略配置进行完整备份，在设备发生故障后提供配置快速导入等恢复措施。效劳期内按需提供,策略配置及系统配置备份每周一次。c〕平安设备软件及特征库更新升级：依据巡检结果定期对可以进行特征库、病毒库、威胁情报库和漏洞库等特征库升级的平安设备进行更新升级。〔更新升级原那么为同步产品厂商官网更新情况〕，针对已过授权许可时间的平安设备，提供处置建议。效劳期内按需提供。〔平安设备包含但不限于防火墙、入侵防御、WAF、防病毒系统、平安网关等。〕3.故障处置支持：a〕对于采购人出现的各类故障情况，提供技术支持效劳〔非硬件层面〕；包括效劳器系统故障、平安设备系统故障、核心网络设备系统故障、UPS、精密空调系统故障等；针对未过保的设备故障处置由供给商协调设备所属维护商进行维护，并跟进维修进度和效果及时向采购人汇报情况。针对已过保设备的故障处置由供给商进行维护。针对特殊情况下供给商无法维护的故障情况，供给商出具实际可行的解决方案和建议。b〕对于采购人出现的各类故障情况，提供技术咨询效劳〔硬件层面〕；未过保的各类硬件维修由供给商协调设备所属维护商进行维修，并跟进维修进度和效果。已过保设备及不具备维修价值的硬件设备或部件，由供给商提供处理建议由采购人评估后，根据评估结果，按采购人要求对设备进行处理。效劳次数：按需提供，不限次数；常规效劳时间：5×8，应急效劳时间：7×8。3.1.3平安性维护按照《网络平安法》和《网络平安等级保护根本要求》〔GB/T22239-2019〕要求，为各信息系统的根底IT设施进行平安性维护，包括但不限于其提供操作系统升级、补丁更新、平安设备配置、合规性配置，针对风险事件提供平安整改建议等。平安性维护效劳内容及要求序号效劳内容常规服务时间效劳说明效劳要求1操作系统升级与补丁更新5×8对机房内现有，在运行的操作系统定期平安补丁更新提供配合和协助效劳；配合采购人安装升级操作系统。按需提供，不限次数2平安设备配置5×8根据采购人需求，对现有数据中心机房内的平安设备进行优化，其中包括平安设备构架层和平安设备策略层，并给出合理化的平安规划建议。按需提供，不限次数3合规性配置5×8针对各应用系统的不同需求，在效劳对象中平安设备、网络设备等根底IT设施进行防火墙、堡垒机、日志审计等合规性配置。按需提供，不限次数3.1.4平安整改运维效劳期间，如上级部门、公安部门、信息化主管部门等单位对数据中心〔不含信息系统软件本身〕进行平安扫描,根据各方平安评估结果，协助修复平安漏洞、加固系统平台，防止系统破坏、数据泄露。如平安整改经评估会对业务系统产生影响时，需提出整改建议方案〔方案中需注明风险〕经采购人签字授权后进行修复。平安整改效劳内容及要求序号效劳内容常规服务时间效劳说明效劳要求周期次数1修复平安漏洞加固系统防护5×81、及时响应相关单位发出的平安漏洞通报。2、针对风险等级为严重的漏洞，在收到报告后的三个工作日内修复解决或提出整改建议方案；针对风险等级为中、低的漏洞，须在收到报告后的两周内修复解决或提出整改建议方案。3、针对紧急漏洞〔比方勒索病毒〕，需相关单位发出的平安漏洞通报中的解决方案立即解决。4、修复解决后提交平安整改报告〔如遇到系统较大版本升级改动等特殊情况需要延期解决，须在平安整改报告中说明〕按平安通告或通知文件按需提供，不限次数3.1.5其他相关配合效劳按照采购人及上级主管单位要求，做好正版化检查、网络平安检查、保密检查、业务对接、区县单位技术支撑、采购人交办的其他相关事宜等配合效劳。。效劳次数：按需提供，不限次数；常规效劳时间：5×8，应急效劳时间：7×8。3.2网络平安运维效劳3.2.1平安咨询效劳日常平安问题咨询效劳效劳内容结合本单位的实际需求，参考国内外平安标准，提供日常平安咨询效劳，主要包括大的网络平安规划、平安决策、平安事件处理等。提供完整全面的处理方案，要求方案具有可操作性、能够指导采购人进行事件处理和应对。效劳次数：按需提供，不限次数；常规效劳时间：5×8，应急效劳时间：7×8。交付成果《日常平安问题咨询反应记录》网络平安规划效劳效劳内容结合采购人的实际需求，参考国内外平安标准和国内新技术研究〔如等保2.0、关键信息根底设施保护条例、商用密码体系、云计算、大数据、物联网、移动平安〕，对采购人网络平安方案设计，网络平安建设，包括网络平安结构设计、系统平安设计、其他网络平安方案设计，提供网络平安远景规划设计，为未来网络信息平安工作开展提供有力指导与支撑。效劳次数：按需提供，不限次数；交付成果《平安远景规划建议书》等级保护咨询效劳效劳内容深化网络平安等级保护工作，基于对网络平安的深刻理解，在等级保护的框架下构建一个平安、可靠、灵活、可持续改良的网络平安体系，对等级保护各个阶段的工作重点为客户提供全方位的支持和效劳，协助完成定级备案、差距分析、平安整改或平安建议和协助对接等保测评工作。效劳次数：按需提供，不限次数；交付成果《网络系统等级保护咨询记录》3.2.2渗透测试及修复效劳渗透测试效劳效劳内容针对渗透测试效劳范围，结合等级保护合规性测评等各项检查工作的成果，采用外部渗透方式及内部渗透方式对应用系统进行非破坏性质的模拟入侵者攻击的测试，检测外部威胁源和路径，以便掌握系统的平安状况，寻找系统存在的漏洞和风险；并出具渗透测试报告；测试方法渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的平安弱点，渗透测试也是同样的道理。以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法：测试方法描述信息收集信息收集是渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻击测试方案，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的效劳的数量和类型，这是所有渗透测试的根底。通过端口扫描，可以根本确定一个系统的根本信息，结合平安工程师的经验可以确定其可能存在以及被利用的平安弱点，为进行深层次的渗透提供依据。口令猜想本阶段将对暴露在公网的所有登陆口进行口令猜解的测试，找出各个系统可能存在的弱口令或易被猜解的口令。猜解成功后将继续对系统进行渗透测试，挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息，并评估相应的危害性。猜解的对象包括：WEB登录口、FTP端口、数据库端口、远程管理端口等。远程溢出这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。本地溢出本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明，在经过前期的口令猜想阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动平安防御的系统的控制管理权限。脚本测试脚本测试专门针对Web效劳器进行。根据最新的技术统计，脚本平安弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比拟严重的平安弱点之一。利用脚本相关弱点轻那么可以获取系统其他目录的访问权限，重那么将有可能取得系统的控制权限。因此对于含有动态页面的Web系统，脚本测试将是必不可少的一个环节。权限获取通过初步信息收集分析，存在两种可能性，一种是目标系统存在重大的平安弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重大的平安弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的时机。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。测试内容本工程渗透测试包括但不限于以下内容：测试大类测试项测试目的身份验证类用户注册检查用户注册功能可能涉及的平安问题用户登录检查用户登录功能可能涉及的平安问题修改密码检查用户修改密码功能可能涉及的平安问题密码重置检查忘记密码、找回密码、密码重置功能可能涉及的平安问题验证码绕过检测验证码机制是否合理，是否可以被绕过用户锁定功能测试用户锁定功能相关的平安问题会话管理类Cookie重放攻击检测目标系统是否仅依靠cookie来确认会话身份，从而易受到cookie回放攻击会话令牌分析Cookie具有明显含义，或可被预测、可逆向，可被攻击者分析出cookie结构会话令牌泄露测试会话令牌是否存在泄露的可能会话固定攻击测试目标系统是否存在固定会话的缺陷跨站请求伪造检测目标系统是否存在CSRF漏洞访问控制类功能滥用测试目标系统是否由于设计不当，导致合法功能非法利用垂直权限提升测试可能出现垂直权限提升的情况水平权限提升测试可能出现水平权限提升的情况输入处理类SQL注入检测目标系统是否存在SQL注入漏洞文件上传检测目标系统的文件上传功能是否存在缺陷，导致可以上传非预期类型和内容的文件任意文件下载检测目标系统加载/下载文件功能是否可以造成任意文件下载问题XML注入测试目标系统-是否存在XML注入漏洞目录穿越测试目标系统是否存在目录穿越漏洞SSRF检测目标系统是否存在效劳端跨站请求伪造漏洞本地文件包含测试目标站点是否存在LFI漏洞远程文件包含测试目标站点是否存在RFI漏洞远程命令/代码执行测试目标系统是否存在命令/代码注入漏洞反射型跨站脚本检测目标系统是否存在反射型跨站脚本漏洞存储型跨站脚本检测目标系统是否存在存储型跨站脚本漏洞DOM-based跨站脚本检测目标系统是否存在DOM-based跨站脚本漏洞效劳端URL重定向检查目标系统是否存在效劳端URL重定向漏洞信息泄露类errorcode测试目标系统的错误处理能力，是否会输出详尽的错误信息StackTraces测试目标系统是否开启了StackTraces调试信息敏感信息尽量收集目标系统的敏感信息第三方应用类中间件测试目标系统是否存在jboss、weblogic、tomcat等中间件CMS测试目标系统是否存在dedecms、phpcms等CMS测试方式透测试效劳根据测试的位置不同可以分为现场测试和远程测试；根据测试的方法不同分为黑盒测试和白盒测试两类；现场测试是指经过用户授权后，测试人员到达用户工作现场或接入用户工作内网，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等平安设备的工作。一般用于检测内部威胁源和路径。远程测试与现场测试相反，测试人员无需到达客户现场或接入用户内部网络，直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点和互联网应用的用户，主要用于检测外部威胁源和路径。黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作，这种方式可以较好的模拟黑客行为，了解外部恶意用户可能对系统带来的威胁。白盒测试那么是指测试人员通过用户授权获取了局部信息的情况下进行的测试，如：目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。测试流程效劳频率效劳期内每年一次。效劳范围国控系统、机动车尾气系统、大气预警平台、电子政务平台、OA系统。交付成果《渗透测试报告》.2渗透测试漏洞修复效劳效劳内容提供漏洞修复效劳；依据渗透测试的结果，对发现的应用系统和应用系统承载设施存在的平安风险给出修复建议或协助修复。效劳频率效劳期内每季度一次效劳范围国控系统、机动车尾气系统、大气预警平台、电子政务平台、OA系统。交付成果《渗透测试漏洞修复报告》基线加固效劳效劳内容平安加固效劳，是指根据平安加固列表，对目标系统的平安漏洞对进行修复、配置隐患进行优化的过程。加固内容包括但不限于系统补丁、防火墙、防病毒、危险效劳、共享、自动播放、密码平安。针对范围内主机提供基线平安加固效劳，遵循基线平安加固技术标准对授权的设备进行基线平安加固。使效劳器具有根本的平安防护能力，能抵御对操作系统的直接攻击，能在发生攻击时限制影响范围。基线加固内容平安加固的操作系统包括Windows、Linux、AIX、HP-Unix、Solaris。操作系统的加固内容如下表所示：Windows基线平安加固标准：控制点1:应对登录操作系统和数据库系统的用户进行身份标识和鉴别；目的防止未授权访问加固检查查看登录是否需要密码加固标准数据库使用口令鉴别机制对用户进行身份标识和鉴别；登录时提示输入用户名和口令，以错误口令或空口令登录时提示登录失败，验证了登录控制功能的有效性。控制点2:操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；目的防止弱口令加固检查查看平安策略是否启用密码复杂性策略密码最小长度密码最短使用期限密码最长使用期限强制密码历史加固标准启用密码复杂性策略密码最小长度为8位密码最短使用期限0天密码最长使用期限90天强制记住密码历史0个控制点3:启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；目的防止恶意猜解账户口令加固检查查看平安策略是否启用账户锁定时间账户锁定阈值重置账户锁定计数器加固标准账户锁定时间30分钟账户锁定阈值5次无效登陆重置账户锁定计数器30分钟之后控制点4:对效劳器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；目的RDP加密传输，防止身份鉴别信息在传输过程中泄露加固检查点击[开始]->[运行]输入：gpedit.msc，点击[计算机配置]->[管理模板]->[Windows组件]->[远程桌面效劳]->[远程桌面会话主机]->[平安]，双击[远程(rdp)连接要求使用指定的平安层]，选择已启用，平安层选择SSL(TLS1.0)，点击确定；双击[设置客户端连接加密级别]，选择[已启用]，加密级别为[高级别]，点击确定。加固标准平安层使用ssL加密，加密级别为高级别控制点5:应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；目的防止账户滥用加固检查依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户]；查看用户列表，询问每个账户的使用情况。加固标准无多人共用同一个账号的情况。控制点6:系统敏感资源访问控制目的限制系统敏感资源的访问权限加固检查1〕文件权限：a)右键点击[开始]，翻开[资源管理器(X)]，[工具]->[文件夹选项]->[查看]中的“使用简单文件共享〔推荐〕”是否选中；b)右键单击下面两个文件夹的[属性]->[平安]，查看users的权限。2〕用户权限：a)[开始]->〔[控制面板]->〕[管理工具]->[计算机管理]->[本地用户和组]->[组]b)双击“名称”列中Administrators用户，查看成员。加固标准未选中“使用简单文件共享〔推荐〕”选项。programfiles文件夹的users权限只允许“读取和运行”、“列出文件夹目录”、“读取”三种权限；普通用户、应用账户等非管理员账户不属于管理员组。控制点7:重命名系统默认账户，修改默认口令目的防止恶意攻击者通过默认账户口令进行系统加固检查依次点击[控制面板]->[用户账户]->[更改账户类型]->[选择更改的账号]，此时选择一个需要更改的账户，继续选择[更改账户名称]，重新输入账户名称，选择[更改密码]，重新输入一次密码。加固标准不存在默认账户名，无默认口令控制点8:删除多余的、过期的账户目的防止多余过期的账户被利用加固检查"依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户]，查看是否存在过期账户；〕依据用户账户列表询问主机管理员，每个账户是否为合法用户；依据用户账户列表询问主机管理员，是否存在多人共用的账户。"加固标准无多余的、过期的账户控制点9:端口限制目的限制常见危险端口的访问权限加固检查彻底关闭137、138、139端口：进入[控制面板]->[网络和共享中心]->[本地连接]-[属性]->[internet协议版本4]->[高级]->[Wins]->[禁用TCP/IP上的NETBIOS]点击确定，回到本地连接属性中，不选中[Microsoft网络的文件和打印机共享]点击确定。关闭135、445端口：点击[开始]->[运行]输入dcomcnfg,翻开[组件效劳]->[计算机]->[我的电脑]右键属性，点击默认属性，把[在此计算机上启用分布式com]前面的勾去掉，返回到[默认协议]，移除[面向连接的TCP/IP协议]，点击确定。重新[开始]->[运行]输入regedit，进入注册表，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc，右键Rpc-新建-项，改为internet。关闭445：开始-运行，输入：regedit，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，右键新建一个dword值，假设是系统是32位，就建32的dword的，64位的就选择新建对应64的dword值，然后将值设为0。重新开始-运行，输入services.msc,进入效劳，找到server效劳，双击进入，启动类型为“禁用”，效劳状态改为“停止”，点击应用，重启效劳器。ip平安策略关闭端口：依次展开[开始]->[控制面板]->[管理工具]->[本地平安策略]选择[ip平安策略]点击右键选择[创立ip平安策略]一直下一步在此过程中可以进行重命名此平安策略，在弹出的属性里选择[添加]在新规那么属性里选择[添加]，在ip筛选列表里选择[添加]，在ip筛选器里选择从任何ip地址到我的ip地址，选择[协议]，在新的属性里选择tcp协议，从任意端口到此端口(135)点击[确定]，此时回到了新规那么属性面板，可以给新规那么命名(关闭135)，在ip筛选列表里选中[关闭135]在筛选器操作面板双击[关闭135]，在关闭135属性面板中选择[平安方法]->[阻止]，点击确定，属性面板都是选择确定，此时回到了[ip平安策略面板]，右键之前新建的平安策略，选择分配。防火墙关闭端口：展开[控制面板]->[防火墙]->[高级设置]->[入站规那么]->[新建规那么]->在新弹出的属性面板中选择[端口]点击[下一步]选择[TCP]和[特定本地端口]输入135点击[下一步]选中[阻止连接]选中下一步，在此可以给此规那么命名，点击确定加固标准安装ms-17-010补丁，确认135、137、138、139、445端口已关闭，并在防火墙、ipsec处配置相应策略限制端口使用控制点10:配置审计谋略，审计范围覆盖每个用户目的保证审计谋略覆盖到平安事件和用户加固检查平安系统扩展系统完整性其他系统事件平安状态更改登录注销帐户锁定特殊登录其他登录/注销事件网络策略效劳器用户/设备声明文件系统注册表SAM筛选平台连接其他对象访问事件可移动存储非敏感权限使用敏感权限使用进程创立进程终止身份验证策略更改授权策略更改MPSSVC规那么级别策略更改筛选平台策略更改其他策略更改事件审核策略更改用户帐户管理计算机帐户管理平安组管理应用程序组管理其他帐户管理事件其他帐户登录事件凭据验证加固标准"平安系统扩展成功和失败系统完整性成功和失败其他系统事件成功和失败平安状态更改成功和失败登录成功和失败注销成功和失败帐户锁定成功和失败特殊登录成功和失败其他登录/注销事件成功和失败网络策略效劳器成功和失败用户/设备声明成功和失败文件系统失败注册表成功和失败SAM成功筛选平台连接失败其他对象访问事件成功和失败可移动存储成功和失败非敏感权限使用成功和失败敏感权限使用成功和失败进程创立成功和失败进程终止成功和失败身份验证策略更改成功和失败授权策略更改成功和失败MPSSVC规那么级别策略更改成功和失败筛选平台策略更改成功和失败其他策略更改事件成功和失败审核策略更改成功和失败用户帐户管理成功和失败计算机帐户管理成功和失败平安组管理成功和失败应用程序组管理成功和失败其他帐户管理事件成功和失败其他帐户登录事件成功凭据验证成功"控制点11:保护审计记录目的防止审计记录受到非预期的删除和修改加固检查依次展开[开始]->[控制面板]->[管理工具]->[事件查看器]->[Windows日志]->[应用程序]右键属性，设置日志最大大小为20480kb，按需要覆盖事件，按以上步骤对应用程序、平安、Setup、系统选项进行配置。加固标准Windows日志最大为20480kb，按需要覆盖日志配置日志传输到日志审计效劳器控制点12:windows组策略平安选项配置目的保护系统剩余资源，防止漏洞危害扩大加固检查Microsoft网络效劳器:暂停会话前所需的空闲时间数量

关机:去除虚拟内存页面文件

交互式登录:不显示最后的用户名

交互式登录:锁定会话时显示用户信息

设备:将CD-ROM的访问权限仅限于本地登录的用户

设备:将软盘驱动器的访问权限仅限于本地登录的用户

设备:允许对可移动媒体进行格式化并弹出

审核:对备份和复原权限的使用进行审核

审核:强制审核策略子类别设置(WindowsVista或更高版本)替代审核策略类别设置。

网络访问:不允许存储网络身份验证的密码和凭据

网络访问:可远程访问的注册表路径

网络访问:可远程访问的注册表路径和子路径加固标准Microsoft网络效劳器:暂停会话前所需的空闲时间数量10分钟关机:去除虚拟内存页面文件已启用交互式登录:不显示最后的用户名已启用交互式登录:锁定会话时显示用户信息不显示用户信息设备:将CD-ROM的访问权限仅限于本地登录的用户已启用设备:将软盘驱动器的访问权限仅限于本地登录的用户已启用设备:允许对可移动媒体进行格式化并弹出管理员审核:对备份和复原权限的使用进行审核已启用审核:强制审核策略子类别设置(WindowsVista或更高版本)替代审核策略类别设置。已启用网络访问:不允许存储网络身份验证的密码和凭据已启用网络访问:可远程访问的注册表路径无路径网络访问:可远程访问的注册表路径和子路径无路径控制点13:SYN保护目的防护SYN攻击加固检查HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值：2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值：5HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推荐值：500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推荐值：400加固标准SynAttackProtect;值：2

TcpMaxPortsExhausted;值：5

TcpMaxHalfOpen;值：500

TcpMaxHalfOpenRetried值：400控制点14:关闭默认共享目的防止攻击者通过网络共享功能获取敏感数据加固检查进入“开始－>运行－>Regedit”，进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；值为0加固标准进入“开始－>运行－>Regedit”，进入注册表编辑器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；值为0控制点15:数据执行保护(DEP)目的防止恶意应用运行用于暂存指令的那局部内存中的数据加固检查进入“控制面板－>系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为根本Windows操作系统程序和效劳启用DEP”。加固标准为根本Windows操作系统程序和效劳启用DEP”。控制点16:关闭多余的效劳目的关闭多余效劳加固检查关闭以下效劳：BITSBrowserDDHCP(仅2012)NlaSvcSpoolerRemoteRegistry(仅2012)seclogonSCardSvrlmhostsLanmanWorkstationAudiosrvW32Time加固标准关闭以下效劳：BITSBrowserDDHCP(仅2012)NlaSvcSpoolerRemoteRegistry(仅2012)seclogonSCardSvrlmhostsLanmanWorkstationAudiosrvW32Time控制点17:设置屏保目的设置屏保，在长时间未使用后进行用户鉴别加固检查进入“控制面板－>显示－>屏幕保护程序”：启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”加固标准设置等待时间为“5分钟”，启用“在恢复时使用密码保护”控制点18:修改3389端口目的防止恶意攻击者通过默认端口对账户口令进行暴力破解加固检查第一步：进入[开始]->[运行]->regedit进入注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp双击文件[PortNumber]选择10进制，可修改为其他端口第二步：[开始]->[运行]->regedit进入注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp双击文件[portNumber]选择10进制，修改为其他端口加固标准修改默认RDP端口控制点19:死网关检测目的防止单点故障，影响业务可用性加固检查进入[开始]->[运行]->regedit进入注册表编辑器，依次展开hkey_local_machine\system\currentcontrolset\services\Tcpip\parametersenabledeadgwdetectreg_dword0x0(默认值为ox1)加固标准hkey_local_machine\system\currentcontrolset\services\Tcpip\parametersenabledeadgwdetectreg_dword0x0(控制点20:禁用webdav目的防止通过webdav组件功能入侵效劳器加固检查HKEY_LOCAL_MACHINE\SYSTE\MCurrentControlSet\Services\W3SVC\Parameters添加以下注册表值：数值名称：DisableWebDAV数据类型：DWORD数值数据：1加固标准HKEY_LOCAL_MACHINE\SYSTE\MCurrentControlSet\Services\W3SVC\Parameters添加以下注册表值：数值名称：DisableWebDAV数据类型：DWORD数值数据：1控制点21:主机防病毒目的安装主机防病毒产品，防御病毒加固检查安装防病毒软件〔平安狗、火绒〕；启用平安功能，配置平安策略，限制135、137、139、445端口，并在检测到恶意文件时进行隔离加固标准安装了防病毒软件，启用了平安功能，配置了相应策略，限制135、137、139、445端口，并在检测到恶意文件时进行隔离控制点22:数据库访问控制目的防止数据库被外部恶意人员直接访问加固检查防火墙是否对数据库端口访问配置策略进行控制加固标准配置策略仅允许对应应用访问数据库Linux基线平安加固标准：控制点1:应对登录操作系统和数据库系统的用户进行身份标识和鉴别；目的防止未授权访问加固检查1、询问管理员是否存在如下类似的简单用户密码配置，比方：root/root,test/test,root/root12342、执行：more/etc/login.defs，检查PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE参数3、执行：awk-F:'($2==""){print$1}'/etc/shadow,检查是否存在空口令帐号加固标准建议在/etc/login.defs文件中配置：PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数不存在空口令帐号控制点2:密码复杂性要求；目的账户口令复杂性，防止暴力猜解加固检查1.询问管理员是否存在如下类似的简单用户密码配置，比方：root/root,test/test,root/root12342、执行：more/etc/login.defs，检查PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE/PASS_MIN_LEN参数加固标准建议在/etc/pam.d/system-auth文件中配置：passwordrequisitepam_cracklib.sodifok=3minlen=8ucredit=-1lcredit=-1dcredit=1至少8位，包含一位大写字母，一位小写字母和一位数字控制点3:错误登录锁定策略检查；目的防止未授权访问加固检查/etc/pam.d/system-auth文件中是否对pam_tally.so的参数进行了正确设置。加固标准设置连续输错10次密码，帐号锁定5分钟，使用命令“vi/etc/pam.d/system-auth”修改配置文件，添加authrequiredpam_tally.soonerr=faildeny=10unlock_time=300注：解锁用户faillog-u<用户名>-r控制点4:超级用户远程登录终端限制；目的限制root用户可以登录的终端形式加固检查执行：more/etc/securetty，检查Console参数加固标准建议在/etc/securetty文件中配置：CONSOLE=/dev/tty01控制点5:超级用户环境变量平安性；目的确保root用户的系统路径中不包含父目录，在非必要的情况下，不应包含组权限为777的目录加固检查执行：echo$PATH|egrep'(^|:)(\.|:|$)'，检查是否包含父目录，执行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，检查是否包含组目录权限为777的目录加固标准执行：echo$PATH|egrep'(^|:)(\.|:|$)'，检查是否包含父目录，执行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，检查是否包含组目录权限为777的目录返回值不包含上述条件控制点6:账户权限控制；目的确保只有root用户的UID为0加固检查执行：awk-F:'($3==0){print$1}'/etc/passwd加固标准修改账户属性，确保只有root用户的UID为0控制点7:登录终端操作超时锁定设置；目的配置终端操作超时加固检查翻开etc/profile文件是否设置exportTMOUT和readonlyTMOUT加固标准建议在etc/profile中增加：readonlyTMOUT将值设置为readonly可防止用户更改设置exportTMOUT=900控制点8:远程连接平安性；目的检查远程连接平安性，禁止自动远程文件效劳连接加固检查执行：find/-name.netrc，检查系统中是否有.netrc文件，执行：find/-name.rhosts，检查系统中是否有.rhosts文件加固标准如无实际操作需求，删除.netrc和.rhosts文件控制点9:umask平安设置；目的设置用户默认权限加固检查执行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc检查是否包含umask值且umask=027加固标准修改umask的值为027控制点10:文件目录权限检查；目的设置文件目录权限为最小权限，限制对系统敏感资源的访问加固检查执行以下命令检查目录和文件的权限设置情况：ls–l/etc/ls–l/etc/rc.d/init.d/ls–l/tmpls–l/etc/inetd.confls–l/etc/passwdls–l/etc/shadowls–l/etc/groupls–l/etc/securityls–l/etc/servicesls-l/etc/rc*.d加固标准重要目录建议权限设置为750，仅允许root用户可以读、写和执行这个目录下的脚本。控制点11:特殊权限SUID/SGID检查；目的查找未授权的SUID/SGID文件加固检查用下面的命令查找系统中所有的SUID和SGID程序，执行：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART\(-perm-04000-o-perm-02000\)-typef-xdev-printDone查看是否具有未授权的SUID\SGID文件加固标准不存在未授权的SUID\SGID文件控制点12:目录写权限检查；目的防止存在任意用户均具有写权限的目录加固检查在系统中定位任何人都有写权限的目录用下面的命令：forPARTin`awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab`;dofind$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-printDone查看是否有结果返回加固标准不存在任意用户均具有写权限的目录控制点13:文件写权限检查；目的防止存在任意用户均具有写权限的文件加固检查在系统中定位任何人都有写权限的文件用下面的命令：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-printDone查看是否有结果返回加固标准不存在任意用户均具有写权限的文件控制点14:空属主文件检查；目的防止存在空属主文件加固检查定位系统中没有属主的文件用下面的命令：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-nouser-o-nogroup-printdone注意：不用管“/dev”目录下的那些文件。加固标准不存在空属主文件控制点15:异常隐含检查；目的防止存在异常隐含文件加固检查用“find”程序可以查找到这些隐含文件。例如：#find/-name"..*"-print–xdev#find/-name"…*"-print-xdev|cat-v同时也要注意象“.xx”和“.mail”这样的文件名的。〔这些文件名看起来都很象正常的文件名〕加固标准不存在异常隐含文件控制点16:登录超时检查；目的设置登录超时时间加固检查使用命令“cat/etc/profile|grepTMOUT”查看TMOUT是否被设置加固标准设置超时时间为180控制点17:SSH平安连接检查；目的远程连接使用加密协议加固检查查看SSH效劳状态：#servicesshstatus查看telnet效劳状态：#servicetelnetstatus加固标准关闭telnet，远程连接使用SSH协议控制点18:超级用户登录检查；目的禁止root用户远程登录