安全加固解决方案

1.1 安全加固解决方案

1.1.1安全加固范围及方法确定

加固的范围是陕西电视台全台网中的主机系统和网络设备，以及相关的数据库系统。主要有：

●服务器加固。主要包括对Windows服务器和Unix服务器的评估加固，

其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。

●网络设备加固。主要包括对防火墙，交换机的评估加固。

●安全加固服务主要以人工的方式实现。

1.1.2安全加固流程

图Error! No text of specified style in document.-1 安全加固流程图

图Error! No text of specified style in document.-2 系统加固实施流程图2 1.1.3安全加固步骤

1.准备工作

一人操作，一人记录，尽量防止可能出现的误操作。

2.收集系统信息

加固之前收集所有的系统信息和用户服务需求，收集所有应用和服务软件信息，做好加固前预备工作。

3.做好备份工作

系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的风险，当加固失败时，可以恢复到加固前状态。

4.加固系统

按照系统加固核对表，逐项按顺序执行操作。

5.复查配置

对加固后的系统，全部复查一次所作加固内容，确保正确无误。

6.应急恢复

当出现不可预料的后果时，首先使用备份恢复系统提供服务，同时与安全专家小组取得联系，寻求帮助，解决问题

1.1.4安全加固内容

表Error! No text of specified style in document.-1 安全加固内容说明表

应用软件我们建议操作系统安装最小软件包，例如不安装开发包，不安装不必要的库，不安装编绎器等，但很多情况下必须安装一些软件包。APACHE或NETSCAPE ENTERPRISE SERVER是一般UNIX首选的WEB服务器，其配置本身就是一项独立的服务邮件和域名服务等都需要进行合理的配置。

审计，日志做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息。例如，打开帐号审计功能，记录所有用户执行过的命令。例如实现日志集中管理，避免被入侵主机日志被删除等。 [视机器配置而定]

其它不同的UNIX系统有一些特别的安全配置，例如solaris有ASET，HP的高级别安全， FreeBSD的jail 等。 [视机器配置而定]

最后工作建议用户做系统完全备份，并对关键部份做数字签名。补丁微软操作系统对新发现的漏洞修补是使用Service Pack 及 hotfix，

另外，还需要安装C2级安全配置。 [视机器配置而定]文件系统配置NTFS文件系统，NTFS可以支持更多更强大的的安全配置，设置需要特殊保护的目录和文件，设置不

同目录和文件的权限，移动或删除特别的系统命令文

件，增加入侵者操作的难度。[有20项左右配置]

帐号管理帐号口令是从网络访问NT/2K系统的基本认证方式，很多系统被入侵都是因为帐号管理不善，设置超级用

户密码强度，密码的缺省配置策略(例如：密码长度，

更换时间，帐号所在组，帐号可访问资源，帐号锁定

等多方面)，GUEST帐号以及加强的密码管理(SYSKEY)

等。[有10项左右配置]

网络及服务网络和服务是互联网上用户与此服务器接口的部分，网络协议的配置不当，服务进程设置不当，都可能为入侵系统打开方便之门。合理地配置网络及服务将能阻挡80%的普通入侵[视机器配置而定]

微软操作系统

NT 4.0 /

W2K

( workstati

on ，server

，

professiona

l ，

advanced

server )

注册表微软操作系统缺省的安装是为了能兼容各种运行环境，

因此很多权限设置都很宽，这不符合"最小权限"的基

本原则，我们需要根据不同的环境，备份注册表，再

人为地更改注册表内容，配置最小权限的稳定运行的

系统。例如：不允许远程注册表配置，设置LSA尽量

减少远程用户可以获取的信息，设置注册表本身的访

问控制，禁止空连接，对其它操作系统和POSIX的支

持，对登录信息的缓存等。也有很多选项需要根据不

同用户需求来制定，例如：当安全策略因为某些因素

(磁盘满)而不能运作时，是否强制系统停止运行。[有

40项以上配置]

共享

共享是向网络上的用户开放对本机的资源访问权限，不合理的配置以及系统的缺省共享配置，都可能造成远程用户对系统的文件，打印机等资源的非法访问和操作。我们需要删除不必要的共享，合理配置共享的访问控制列表。[视机器配置而定]

应用软件

我们建议安装最小的软件包，不安装不必要的应用软件。但是很多情况应用软件提供不可缺少的服务，这时我们就必须安全地配置它们。 IE 被微软绑定为操作系统的一部分，IE 的安全直接影响到系统的安全。我们需要升级IE 的版本，安装IE 的补丁，设置IE 的安全级别，及各项安全相关配置outlook ，powerpoint 及其它等多种软件都可能存在安全问题，需要安装补丁程序。 IIS 提供WWW 的服务，这是一般NT 服务器首选的WEB 服务器，但是IIS 本身存在很多安全漏洞，直到现在仍然经常发现新的安全漏洞，IIS 的缺省配置，目录设置，权限设置，安全设置等多方面配置不当也是系统安全的巨大隐患。IIS 的加固本身就可以成为一项独立的服务内容。 [视机器配置而定]审计，日志做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息[视机器配置而定]其它其它方面视不同环境而定，例如需要删除多余的系统安装包，安装主机防病毒软件，等多项操作。最后工作

重新制作新的系统紧急恢复盘(ERD)，建议用户做系统完全备份，并对关键部份做数字签名。

制订或调整完善网络设备安全策略配置登录地址限制配置登录用户身份鉴别配置特权用户权限分离消除共享用户

配置口令复杂度与更换要求

配置登录失败处理功能

配置远程管理采用SSH 等加密方式采购与配置网络设备双因素鉴别设备

用户拿到IOS 升级包，在设备厂家工程师现场协助下进行IOS 升级。

关闭不必要的服务关闭不使用的网络接口

给出重要协议、地址和端口访问控制配置原型SNMP ，TFTP ，NTP 等服务

建议网络设备的配置文件离线备份，并由专人保管期进行网络设备用户和口令维护，进行口令强度管理网络设备

交换机，路由器，防火墙

检查及加固项目会根据不同厂商的设备而不同，

具体内容

在加固前

将会根据

评估的实际情况而定

使用、访问权限进行严格限制