安全加固解決方案

1、1.1 安全加固解決方案1.1.1 安全加固范圍及方法確定加固的范圍是陜西電視臺全臺網(wǎng)中的主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備，以及相關(guān)的數(shù)據(jù)庫系統(tǒng)。主要有：l 服務(wù)器加固。主要包括對Windows服務(wù)器和Unix服務(wù)器的評估加固，其中還包括對服務(wù)器操作系統(tǒng)層面的評估和數(shù)據(jù)庫層面的評估加固。l 網(wǎng)絡(luò)設(shè)備加固。主要包括對防火墻，交換機的評估加固。l 安全加固服務(wù)主要以人工的方式實現(xiàn)。1.1.2 安全加固流程圖 Error! No text of specified style in document.1 安全加固流程圖圖 Error! No text of specified style in document.

2、2 系統(tǒng)加固實施流程圖21.1.3 安全加固步驟1. 準(zhǔn)備工作一人操作，一人記錄，盡量防止可能出現(xiàn)的誤操作。2. 收集系統(tǒng)信息加固之前收集所有的系統(tǒng)信息和用戶服務(wù)需求，收集所有應(yīng)用和服務(wù)軟件信息，做好加固前預(yù)備工作。3. 做好備份工作系統(tǒng)加固之前，先對系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風(fēng)險，當(dāng)加固失敗時，可以恢復(fù)到加固前狀態(tài)。4. 加固系統(tǒng)按照系統(tǒng)加固核對表，逐項按順序執(zhí)行操作。5. 復(fù)查配置對加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無誤。6. 應(yīng)急恢復(fù)當(dāng)出現(xiàn)不可預(yù)料的后果時，首先使用備份恢復(fù)系統(tǒng)提供服務(wù)，同時與安全專家小組取得聯(lián)系，尋求幫助，解決問題1.1.4 安全加固內(nèi)

3、容表Error! No text of specified style in document.1 安全加固內(nèi)容說明表加固對象操作系統(tǒng)加固項目說明UNIX系統(tǒng)及類UNIX系統(tǒng)Solaris ， HP-UX， AIX， linux， FreeBSD， OpenBSD，SCO補丁從廠家網(wǎng)站或者可信任站點下載系統(tǒng)的補丁包，不同的操作系統(tǒng)版本以及運行不同的服務(wù)，都可能造成需要安裝的補丁包不同，所以必須選擇適合本機的補丁包安裝。 視機器配置而定文件系統(tǒng)UNIX文件系統(tǒng)的權(quán)限配置項目繁多，要求也很嚴(yán)格，不適當(dāng)?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。有30項左右配置配置文件

4、UNIX配置文件功能有點類似微軟的注冊表，UNIX對操作系統(tǒng)配置基本上都是通過各種配置文件來完成，不合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。例如：/etc/inittab文件是系統(tǒng)加載時首先自動執(zhí)行的文件，/etc/hosts。equiv是限制主機信任關(guān)系的文件等。 有20項左右配置帳號管理帳號口令是從網(wǎng)絡(luò)訪問UNIX系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是因為帳號管理不善，設(shè)置超級用戶密碼強度，密碼的缺省配置策略(例如：密碼長度，更換時間，帳號所在組，帳號鎖定等多方面)。有些系統(tǒng)可以配置使用更強的加密算法。有10項左右配置網(wǎng)絡(luò)及服務(wù)UNIX有很多缺省打

5、開的服務(wù)，這些服務(wù)都可能泄露本機信息，或存在未被發(fā)現(xiàn)的安全漏洞，關(guān)閉不必要的服務(wù)，能盡量降低被入侵的可能性。例如r系列服務(wù)和rpc的rstatd都出過不止一次遠(yuǎn)程安全漏洞。UNIX缺省的網(wǎng)絡(luò)配置參數(shù)也不盡合理，例如TCP序列號隨機強度，對D。o。S攻擊的抵抗能力等，合理配置網(wǎng)絡(luò)參數(shù)，能優(yōu)化操作系統(tǒng)性能，提高安全性。 視機器配置而定30項NFS系統(tǒng)網(wǎng)絡(luò)文件系統(tǒng)協(xié)議最早是SUN公司開發(fā)出來的，以實現(xiàn)文件系統(tǒng)共享。NFS使用RPC服務(wù)，其驗證方式存在缺陷，NFS服務(wù)的缺省配置也很不安全，如果必須使用NFS系統(tǒng)，一定進行安全的配置。 視操作系統(tǒng)而定應(yīng)用軟件我們建議操作系統(tǒng)安裝最小軟件包，例如不安裝開發(fā)

6、包，不安裝不必要的庫，不安裝編繹器等，但很多情況下必須安裝一些軟件包。 APACHE或NETSCAPE ENTERPRISE SERVER是一般UNIX首選的WEB服務(wù)器，其配置本身就是一項獨立的服務(wù)郵件和域名服務(wù)等都需要進行合理的配置。審計，日志做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息。例如，打開帳號審計功能，記錄所有用戶執(zhí)行過的命令。例如實現(xiàn)日志集中管理，避免被入侵主機日志被刪除等。 視機器配置而定其它不同的UNIX系統(tǒng)有一些特別的安全配置，例如solaris有ASET，HP的高級別安全， FreeBSD的jail等。 視機器配置而定最后工作建議用戶做

7、系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。微軟操作系統(tǒng)NT 4.0 / W2K ( workstation ， server ， professional ， advanced server )補丁微軟操作系統(tǒng)對新發(fā)現(xiàn)的漏洞修補是使用Service Pack 及 hotfix，另外，還需要安裝C2級安全配置。 視機器配置而定文件系統(tǒng)配置NTFS文件系統(tǒng)，NTFS可以支持更多更強大的的安全配置，設(shè)置需要特殊保護的目錄和文件，設(shè)置不同目錄和文件的權(quán)限，移動或刪除特別的系統(tǒng)命令文件，增加入侵者操作的難度。有20項左右配置帳號管理帳號口令是從網(wǎng)絡(luò)訪問NT/2K系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是因為帳號

8、管理不善，設(shè)置超級用戶密碼強度，密碼的缺省配置策略(例如：密碼長度，更換時間，帳號所在組，帳號可訪問資源，帳號鎖定等多方面)，GUEST帳號以及加強的密碼管理(SYSKEY)等。有10項左右配置網(wǎng)絡(luò)及服務(wù)網(wǎng)絡(luò)和服務(wù)是互聯(lián)網(wǎng)上用戶與此服務(wù)器接口的部分，網(wǎng)絡(luò)協(xié)議的配置不當(dāng)，服務(wù)進程設(shè)置不當(dāng)，都可能為入侵系統(tǒng)打開方便之門。合理地配置網(wǎng)絡(luò)及服務(wù)將能阻擋80%的普通入侵視機器配置而定注冊表微軟操作系統(tǒng)缺省的安裝是為了能兼容各種運行環(huán)境，因此很多權(quán)限設(shè)置都很寬，這不符合最小權(quán)限的基本原則，我們需要根據(jù)不同的環(huán)境，備份注冊表，再人為地更改注冊表內(nèi)容，配置最小權(quán)限的穩(wěn)定運行的系統(tǒng)。例如：不允許遠(yuǎn)程注冊表配置，

9、設(shè)置LSA盡量減少遠(yuǎn)程用戶可以獲取的信息，設(shè)置注冊表本身的訪問控制，禁止空連接，對其它操作系統(tǒng)和POSIX的支持，對登錄信息的緩存等。也有很多選項需要根據(jù)不同用戶需求來制定，例如：當(dāng)安全策略因為某些因素(磁盤滿)而不能運作時，是否強制系統(tǒng)停止運行。有40項以上配置共享共享是向網(wǎng)絡(luò)上的用戶開放對本機的資源訪問權(quán)限，不合理的配置以及系統(tǒng)的缺省共享配置，都可能造成遠(yuǎn)程用戶對系統(tǒng)的文件，打印機等資源的非法訪問和操作。我們需要刪除不必要的共享，合理配置共享的訪問控制列表。視機器配置而定應(yīng)用軟件我們建議安裝最小的軟件包，不安裝不必要的應(yīng)用軟件。但是很多情況應(yīng)用軟件提供不可缺少的服務(wù)，這時我們就必須安全地配

10、置它們。 IE被微軟綁定為操作系統(tǒng)的一部分，IE的安全直接影響到系統(tǒng)的安全。我們需要升級IE的版本，安裝IE的補丁，設(shè)置IE的安全級別，及各項安全相關(guān)配置outlook，powerpoint及其它等多種軟件都可能存在安全問題，需要安裝補丁程序。 IIS提供WWW的服務(wù)，這是一般NT服務(wù)器首選的WEB服務(wù)器，但是IIS本身存在很多安全漏洞，直到現(xiàn)在仍然經(jīng)常發(fā)現(xiàn)新的安全漏洞，IIS的缺省配置，目錄設(shè)置，權(quán)限設(shè)置，安全設(shè)置等多方面配置不當(dāng)也是系統(tǒng)安全的巨大隱患。IIS的加固本身就可以成為一項獨立的服務(wù)內(nèi)容。 視機器配置而定審計，日志做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很

11、多必要信息視機器配置而定其它其它方面視不同環(huán)境而定，例如需要刪除多余的系統(tǒng)安裝包，安裝主機防病毒軟件，等多項操作。最后工作重新制作新的系統(tǒng)緊急恢復(fù)盤(ERD)，建議用戶做系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。網(wǎng)絡(luò)設(shè)備交換機，路由器，防火墻檢查及加固項目會根據(jù)不同廠商的設(shè)備而不同，具體內(nèi)容在加固前將會根據(jù)評估的實際情況而定制訂或調(diào)整完善網(wǎng)絡(luò)設(shè)備安全策略配置登錄地址限制配置登錄用戶身份鑒別配置特權(quán)用戶權(quán)限分離消除共享用戶配置口令復(fù)雜度與更換要求配置登錄失敗處理功能配置遠(yuǎn)程管理采用SSH等加密方式采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備用戶拿到IOS升級包，在設(shè)備廠家工程師現(xiàn)場協(xié)助下進行IOS升級。關(guān)閉不必

12、要的服務(wù)關(guān)閉不使用的網(wǎng)絡(luò)接口給出重要協(xié)議、地址和端口訪問控制配置原型SNMP，TFTP，NTP等服務(wù)建議網(wǎng)絡(luò)設(shè)備的配置文件離線備份，并由專人保管期進行網(wǎng)絡(luò)設(shè)備用戶和口令維護，進行口令強度管理使用、訪問權(quán)限進行嚴(yán)格限制相應(yīng)的日志檢查，審計和歸檔安全管理策略1.1.5 滿足指標(biāo)表Error! No text of specified style in document.2 安全加固等保符合性說明表1解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象安全加固解決方案網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；配置登錄用戶身份鑒別網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備b應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員

13、登錄地址進行限制；配置登錄地址限制網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備c網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；消除共享用戶網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備d主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備采購部署雙因素鑒別e身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；配置口令復(fù)雜度與更換要求網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備f應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；配置登錄失敗處理功能網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備g當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊

14、聽；配置遠(yuǎn)程管理采用SSH等加密方式網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備h應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。配置特權(quán)用戶權(quán)限分離網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備安全加固解決方案主機安全訪問控制a應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；訪問控制策略操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件b應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；管理用戶權(quán)限最小化操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件c應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；特權(quán)用戶權(quán)限分離操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)

15、限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；限制默認(rèn)帳戶操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件e應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在。清理帳戶操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件f應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；重要信息資源設(shè)置敏感標(biāo)記采購部署操作系統(tǒng)與數(shù)據(jù)庫等軟件g應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；配置敏感信息資源訪問策略操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件入侵防范a應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；采購與配置主機

16、入侵檢測軟件采購部署主機入侵檢測軟件b應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；配置主機入侵檢測軟件的完整性檢測和恢復(fù)功能安全產(chǎn)品配置主機入侵檢測軟件c操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。主機最小安裝操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)c操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。設(shè)置補丁服務(wù)器采購部署補丁服務(wù)器和軟件解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象系統(tǒng)安全加固主機安全剩余信息保護a應(yīng)保證操作系統(tǒng)

17、和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；鑒別信息存儲空間清除操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)和數(shù)據(jù)庫b應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。存儲空間清除操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)和數(shù)據(jù)庫資源控制a應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；主機安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；主機安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)c應(yīng)對重要服務(wù)器進行監(jiān)視，包括

18、監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；采購部署網(wǎng)管監(jiān)控系統(tǒng)，實現(xiàn)重要服務(wù)器監(jiān)控采購部署主機性能管理d應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；主機安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)e應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。配置網(wǎng)管系統(tǒng)的監(jiān)控與報警，實現(xiàn)服務(wù)水平監(jiān)控產(chǎn)品配置主機性能管理解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進動作改進對象安全加固解決方案應(yīng)用安全訪問控制a應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問控制功能應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)b訪問控制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它

19、們之間的操作；訪問控制主體、客體及操作要求應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)c應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；配置訪問控制策略應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)d應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。最小權(quán)限與制約應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)e應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；設(shè)置敏感標(biāo)記的功能應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)f應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；控制敏感重要信息資源操作應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)剩余信息保護a應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；鑒別信息存儲空間清除應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。存儲空間清除應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)抗抵賴a應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；配置抗抵賴應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。配置抗抵賴應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)軟件容錯a應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口