安全加固方案

安全加固方案
1安全加固概述
随着网络技术的飞速发展，网络安全逐渐成为影响信息系统业务发展的关键问题。

由于信息系统拥有各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，对其进行安全加固增加其安全性是十分必要的。

安全加固是指参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，对信息系统涉及的主机、网络设备、应用及数据库的脆弱性进行分析并修补，包括安全配置加固和漏洞修补，增强用户信息系统抗攻击能力，有效减轻系统总体安全风险，提升信息系统安全防范水平，可以建立起一套适应性更强的安全保障基线，有效构建起信息系统安全堤坝。

2安全加固内容
安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1基线加固
2.1.1主机加固
针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固
针对不同数据库类型的数据库如Oracle、SQL Server、MySQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

加固方法包括：对数据库安全策略、服务等进行安全加固；加强对敏感存储过程的管理，尤其是能执行操作系统命令的存储过程。

Oracle数据库安全加固内容：账号、口令、授权、日志审计、远程操作连接。

Linux版MySQL数据库安全加固内容：认证授权（以非root用户启动MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

Windows版MySQL安全加固内容：认证授权（以普通用户权限运行MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。

SQL Server数据库安全加固内容：账号、口令、授权、日志审计、通信协议、补丁、停用不必要的存储过程。

2.1.3中间件程序加固
针对不同中间件类型如IIS、Tomcat、Weblogic、Apache等进行加固，加固内容包括中间件程序安全策略、服务等。

IIS中间件安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、文件系统及访问权限、IIS服务组件、隐藏IIS版本号及敏感信息、版本和补丁管理、IP
协议安全配置操作、连接数限制。

Linux版Apache安全加固内容:认证授权设置、以非root用户启动Apache、目录安全配置、限制IP地址访问、日志审计设置、配置错误日志、配置访问日志、其他安全设置、隐藏Apache版本号、关闭目录浏览功能（必选）、禁用Apache的执行功能、防御拒绝服务攻击、自定义错误页面、升级使用最新版Apache。

Windows版Apache安全加固内容：认证授权设置、以普通用户权限运行Apache、
目录安全配置、限制IP地址访问、日志审计设置、配置错误日志、配置访问日志、其他安全设置、隐藏Apache版本号、关闭目录浏览功能（必选）、禁用Apache的执行功能、防御拒绝服务攻击、自定义错误页面。

Tomcat中间件安全加固内容：账号、口令、授权、日志配置操作、定时登出、错误页面处理、目录列表访问限制。

Weblogic中间件安全加固内容：账号、口令、授权、日志、审计、其他安全配置、定时登出、错误页面处理、禁用Send Server header。

2.1.4网络设备加固
对二层交换设备、三层交换设备、路由器、防火墙等网络设备进行加固，加固服务的内容包括：访问控制、安全审计、网络设备防护等安全项加固。

CISCO网络设备安全加固内容：账号、口令、密码复杂度、加固CON端口的登录、加固AUX端口的管理、对网络设备的管理员登录地址进行限制、HTTP登录安全加固、设置登录超时时间、用户权限分配、限制具备管理员权限的用户远程登录、日志配置、日志安全要求、远程日志功能、防止地址欺骗、SNMP服务器配置、使用ssh加密传输、禁用空闲端口、端口级的访问控制策略。

HUAWEI网络设备安全加固内容：用户帐号分配、限制具备管理员权限的用户远程登录、无效账户清理、静态口令复杂度、静态口令加密、密码重试、加固CON端口的登录、加固AUX端口的管理、对网络设备的管理员登录地址进行限制、远程登录加密传输、设置登录超时时间、用户权限分配、配置日志功能、对用户操作进行记录、对用户登录进行记录、开启NTP服务保证记录的时间的准确性、远程日志功能、ACL配置、防止地址欺骗、SNMP服务器配置、配置SNMPV2或以上版本、修改SNMP的Community 默认通行字、动态路由协议口令要求配置MD5加密、禁止发布或接收不安全的路由信息、MPLS安全、禁用空闲端口、关闭不必要的服务。

H3C网络设备安全加固内容：账号、设备特权口令、密码复杂度、设置特权口令(推荐)、关闭未使用的端口、账号口令、Console口密码保护、禁止无关账号、日志配置操作、审核登录、VTY端口防护策略、远程主机IP地址段限制、远程管理通信安全、更改SNMP 服务读写权限管理、修改SNMP默认的Community字符串、Community字符串加密、IP/MAC地址绑定、ARP攻击防御、ARP防止IP报文攻击、关闭设备FTP服
务、防源地址欺骗攻击、端口隔离、启用端口安全功能。

2.2漏洞修复
漏洞指的是计算机系统(操作系统和应用程序)的缺陷，攻击者可以通过这些缺陷进行非法入侵，实施恶意行为。

漏洞修复对这些缺陷进行修补，以减少系统漏洞的暴露。

在安全事件发生前防患于未然，包括主机漏洞修复、第三方产品漏洞和应用漏洞，主机漏洞修复主要通过补丁升级、版本升级来修复，第三方产品漏洞需厂商配合，应用漏洞需开发商对软件源码进行修复，我司主要负责漏洞修复工作的跟踪和指导。

2.3安全设备调优
根据信息系统的安全情况和风险情况逐步调整已有的防火墙、堡垒机、安全监控平台、日志审计平台、IPS、WAF等安全设备策略配置，达到最佳的安全防护效果。

3加固实施流程
安全加固流程包括加固准备阶段、方案编制阶段、加固实施阶段和项目结项阶段四个阶段，具体实施流程如下：
第一阶段：加固准备阶段
此阶段的主要工作是召开项目启动会告知用户安全加固实施流程、实施方法、实施计划、需配合事项并确定安全加固配合人员和加固需求。

第二阶段：方案编制阶段
此阶段的主要工作是根据调研情况编制安全加固实施方案和加固作业指导书，并得到用户确定；
第三阶段：加固实施阶段
此阶段的主要工作是搭建模拟环境按照加固方案和加固作业指导书对安全加固策
略进行测试，测试通过后进行加固实施；
第四阶段：项目结项阶段
此阶段的主要工作是对加固过程中产生的数据和资料进行整理并编制安全加固报告。

加固准备阶段信息收集与分析安全检查
项目启动会加固范围确定
方案
编制
阶段
作业指导书开发
是
加固实施阶段
加固授权
加固工具表单准备
加固实施
项目结项阶段加固后续情况跟踪
是
应急响应
否
加固内容确定
加固实施方案编制
方案评
加固效果检验
否
是否造成事
安全加固实施记录表
安全加固报告
安全加固授权书
安全加固作业指导书
安全加固方案
项目启动会会议记录
安全检查问题清单
加固项目调研表加固结项会
加固报告编写
加固测试通
是
修订
否
安全加固测试记录表
图1：安全加固流程图
4安全加固过程
（注）下述过程包括但不限于所有加固服务，具体加固内容可参考(本文 2 安全加固内容）4.1windows操作系统
4.1.1开启密码策略
在DOS窗口下输入“gpedit.msc”打开组策略→计算机配置→Windows设置
→安全设置→账户策略→密码策略，进行如下设置：
修改上图安全设置的值为原始默认值。

4.1.2开启登录失败处理
修改上图安全设置的值为原始默认值。

4.1.3开启审核策略
在DOS窗口下输入“gpedit.msc”打开组策略→计算机配置→Windows设置
→安全设置→本地策略→审核策略，进行如下设置：
修改上图安全设置的值为原始默认值。

4.1.4关闭不必要的服务
4.1.5关闭不必要的端口
4.1.14.1.6 系统补丁升级
2.手动下载补丁更新：
官方补丁平台/home.aspx。

WSUS更新：建议重新启动Windows Update服务，以便使得上述策略生效。

搭建的WSUS服务器地址：10.43.152.26
4.1.7重命名系统管理员用户
修改上图安全设置的值为原始默认值。

4.1.8删除并禁止默认共享
防止遭到默认共享漏洞攻击。

方法一：打开dos窗口，手动删除C$等默认共享：
方法二：打开regedit本地注册表，新增如下3个键值：
方法三：在dos窗口下输入services.msc，打开服务，停止server服务，启动类型设置为禁用：
删除上图注册表项的3个键值。

4.1.9开启屏幕保护
关闭屏幕保护程序。

4.1.10 删除默认路由配置
主机禁止使用默认路由，避免利用默认路由探测网络。

1.按下+R，输入框输入cmd;
2.在命令提示符中输入“route print飞查看是否有缺省路由；
3.以管理员身份打开命令提示符，输入route delete 0.0.0.0，删除默认路由。

在删除默认路由之前，应对路由表进行梳理，并添加具体业务的路由策略。

4.1.11 启用SYN攻击保护
启用SYN攻击保护，防御黑客SYN攻击。

1.按下+R，输入框输入regedit命令；
2.查看注册表项，进入
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\parameters
3.新建字符串值，重命名为SynAttackProtect，双击修改数值数据为2;
4.新建字符串值，重命名为TcpMaxportsExhausted，双击修改数值数据为5;
5新建字符串值，重命名为TcpMaxHalfOpen，双击修改数值数据为500;
6新建字符串值，重命名为TcpMaxHalfOpenRetried，双击修改数值数据为
400。

1.指定触发SYN洪水攻击保护所必须超过的TCP 连接请求数的阀值为5;
4.2Linux操作系统
4.2.1 配置密码策略
vi /etc/pam.d/system-auth
配置：password requisite pam_cracklib.so retry=5 difok=3
minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
参数含义：
尝试次数：5 最少不同字符：3 最小密码长度：8 最少大写字母：1
最少小写字母：1 最少数字：1
修改上图安全设置的值为原始默认值。

4.2.2配置登录失败处理
增加用户口令被暴力破解的难度。

在命令行中输入vi /etc/pam.d/system-auth 编辑登录失败处理，在auth字
段所在的策略中添加图中红框中的语句：
auth required pam_tally2.so deny=5 unlock_time=600
even_deny_root root_unlock_time=600
修改上图安全设置的值为原始默认值。

4.2.3限制IP地址访问
4.2.4开启登录超时
防止系统管理员离开座位后，系统被未授权操作。

命令行中输入vi /etc/profile 加入：TMOUT=600 //600秒无操作，自动退出。

修TMOUT值为原始默认值。

4.3 SQL Server
4.3.1 开启密码策略、登录失败处理。

增强用户口令安全性，增加暴力破解口令的难度。

鼠标移到用户名，右键--->属性---->常规--->勾选红框中的
修改上图安全设置的值为原始默认值。

4.3.2 开启审核策略
鼠标右键数据库→”属性”→”安全性”→勾选失败和成功的登录、启用C2审
核跟踪。

修改上图安全设置的值为原始默认值。

4.4 网络设备
4.4.1 SNMP配置
4.4.2 e-Sight配置
4.4.3 登录方式
4.4.4 OSPF
4.4.5 路由协议认证
4.4.6 IP-MAC地址绑定
4.4.7 开启日志功能
4.4.8 远程登录源地址限制
4.4.9 开启登录失败处理
4.4.10 禁用未使用或空闲的端口
4.4.11 远程登录加密传输
4.4.12 关闭不必要的服务
5安全加固效果
减少信息系统安全问题和风险。

让安全设备真正起到安全防护效果。

增强系统抗攻击能力。

提高信息系统安全水平。

减少安全事件的发生。

6安全加固风险说明
6.1加固风险
1、加固过程中，需要一些用户的机密信息，如：网络拓扑图、IP地址，用户名和密码，安全策略等，一旦泄漏出去，会对用户造成很大的损失，因而存在泄密的安全隐患。

2、在加固前检查时，可能需要运用工具对设备进行检查，可能会对增加系统负载，影响系统速度，甚至可能会造成服务器停机、死机，从而通讯中断。

3、安全加固策略可能会导致应用软件故障，可能会造成服务器停机、死机，调整网络访问控制策略可能造成网络中断。

6.2风险规避措施
1、充分了解被加固系统情况，如需修改访问控制策略需调研原有的访问控制策略
情况，避免因信息收集不足需导致与加固策略出现冲突发生事故；
2、加固方案一定要包含应急方案和应急组织，加固方案要组织专家组进行评审，充分讨论，评审通过后才可实施；
3、加固方案需用户方签字确认，并在加固授权书上签字；
4、加固前要求客户提供模拟测试环境进行加固测试，如客户不能提供也需在公司内部搭建测试环境对需加固策略进行测试；
5、所有的加固必须要有回退措施，如评审评估后加固措施存在风险，且一旦发生风险无法进行回退，此类加固不可进行；
6、加固中有风险的操作一定要先和用户充分的沟通，做好应急措施，要求应急人员在场；
7、加固前要求客户进行数据和策略备份，工具接入时需得到用户确认；
8、工具扫描和加固避开业务高峰期，在系统资源处于空闲状态时进行，并需要用户对整个加固过程进行监督；
9、在运行系统的高风险级别加固必须现场进行，禁止远程操作；
10、加固过程需进行记录，加固记录需客户签字；
11、加固过程中，双方积极地进行沟通、交流；
12、在安全加固作业指导书中包含安全加固操作的回退措施，在安全加固过程中如果出现没有响应的情况，应当立即采取回退措施，无法回退时按应急预案进行处理，与客户相关人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施之后，才可以继续进行；
13、签订保密协议：双方要通过相关的法律法规，规范地签署保密协议，以约束安全检查过程中双方现在及将来的行为。