(完整版)安全加固解決方案.doc

1、1.1安全加固解決方案1.1.1安全加固范圍及方法確定加固的范圍是陜西電視臺全臺網(wǎng)中的主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備，以及相關(guān)的數(shù)據(jù)庫系統(tǒng)。主要有：服務(wù)器加固。主要包括對 WindoWS服務(wù)器和UniX服務(wù)器的評估加固， 其中還包括對服務(wù)器操作系統(tǒng)層面的評估和數(shù)據(jù)庫層面的評估加固。網(wǎng)絡(luò)設(shè)備加固。主要包括對防火墻，交換機的評估加固。 安全加固服務(wù)主要以人工的方式實現(xiàn)。1.1.2安全加固流程安仝加固沆程現(xiàn)場繼續(xù);加固放棄圖錯誤！文檔中沒有指定樣式的文字。-1安全加固流程圖網(wǎng)絡(luò)優(yōu)化方系及系統(tǒng)耳固方采根據(jù)規(guī)范及丟統(tǒng)特點蘭或風(fēng)險規(guī)避方案新加固' f <切舌啟用風(fēng)險規(guī)避萬案/二次評佔確修改：檢查當前設(shè)備

2、 確定系統(tǒng)漏洞重新啟動主機J確定實施方法觀察系統(tǒng)運行圖錯誤！文檔中沒有指定樣式的文字。-2系統(tǒng)加固實施流程圖 21.1.3安全加固步驟1. 準備工作一人操作，一人記錄，盡量防止可能岀現(xiàn)的誤操作。2. 收集系統(tǒng)信息加固之前收集所有的系統(tǒng)信息和用戶服務(wù)需求，收集所有應(yīng)用和服務(wù)軟件信息，做好加固前預(yù)備工作。3. 做好備份工作系統(tǒng)加固之前，先對系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風(fēng)險，當加固失敗時，可以恢復(fù)到加固前狀態(tài)。4. 加固系統(tǒng)按照系統(tǒng)加固核對表，逐項按順序執(zhí)行操作。5. 復(fù)查配置對加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無誤。6. 應(yīng)急恢復(fù)同時與安全專當出現(xiàn)不可預(yù)料的后果時，

3、首先使用備份恢復(fù)系統(tǒng)提供服務(wù)，家小組取得聯(lián)系，尋求幫助，解決問題1.1.4安全加固內(nèi)容表錯誤！文檔中沒有指定樣式的文字。-1安全加固內(nèi)容說明表加固對象操作系統(tǒng)加固項目說明UNIX系統(tǒng) 及類UNiX系統(tǒng)SOIariS,HP-UX, AIX ,IinUX,FreeBSD ,OpenBSD, SC補丁從廠家網(wǎng)站或者可信任站點下載系統(tǒng)的補丁包，不同 的操作系統(tǒng)版本以及運行不同的服務(wù)，都可能造成需要安裝的補丁包不同，所以必須選擇適合本機的補丁 包安裝。視機器配置而定0文件系統(tǒng)UNiX文件系統(tǒng)的權(quán)限配置項目繁多，要求也很嚴格， 不適當?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級用 戶的控制權(quán)，從而完全控制操作系

4、統(tǒng)。有30項左右配置配置文件UNIX配置文件功能有點類似微軟的注冊表，UNlX對操作系統(tǒng)配置基本上都是通過各種配置文件來完成，不 合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級 用戶的控制權(quán)，從而完全控制操作系統(tǒng)。例如：etcinittab文件是系統(tǒng)加載時首先自動執(zhí)行的文件，/etc/hostso equiv是限制主機信任關(guān)系的文件等。有20項左右配置帳號管理帳號口令是從網(wǎng)絡(luò)訪問UNiX系統(tǒng)的基本認證方式，很多系統(tǒng)被入侵都是因為帳號管理不善，設(shè)置超級用戶密碼強度，密碼的缺省配置策略 （例如：密碼長度，更 換時間，帳號所在組，帳號鎖定等多方面）。有些系統(tǒng) 可以配置使用更強的加密算法。有10項左右

5、配置網(wǎng)絡(luò)及服 務(wù)UNIX有很多缺省打開的服務(wù)，這些服務(wù)都可能泄露本機信息，或存在未被發(fā)現(xiàn)的安全漏洞，關(guān)閉不必要的 服務(wù)，能盡量降低被入侵的可能性。例如r系列服務(wù)和rc的rstatd都出過不止一次遠程安全漏洞。UNIX 缺省的網(wǎng)絡(luò)配置參數(shù)也不盡合理，例如TCP序列號隨機強度，對DO Oo S攻擊的抵抗能力等，合理配置網(wǎng) 絡(luò)參數(shù)，能優(yōu)化操作系統(tǒng)性能，提高安全性。視機器配置而定30項NFS系統(tǒng)網(wǎng)絡(luò)文件系統(tǒng)協(xié)議最早是 SUN公司開發(fā)出來的，以實 現(xiàn)文件系統(tǒng)共享。NFS使用RPC服務(wù)，其驗證方式存 在缺陷，NFS服務(wù)的缺省配置也很不安全，如果必須 使用NFS系統(tǒng)，一定進行安全的配置。視操作系統(tǒng)而定應(yīng)用軟

6、件我們建議操作系統(tǒng)安裝最小軟件包，例如不安裝開發(fā) 包，不安裝不必要的庫，不安裝編繹器等，但很多情 況下必須安裝一些軟件包。APACHE或NETSCAPENTERPRlSE SERVER 是一般 UNIX 首選的 WEB 服務(wù) 器，其配置本身就是一項獨立的服務(wù)郵件和域名服務(wù)等都需取講行合理的西Fl曾C審計，日 志做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫 助發(fā)現(xiàn)問題，都能提供很多必要信息。例如，打開帳 號審計功能，記錄所有用戶執(zhí)行過的命令。例如實現(xiàn) 日志集中管理，避免被入侵主機日志被刪除等。視和器陽骨而定其它不同的UNIX系統(tǒng)有一些特別的安全配置，例如SOIariS 有 ASET, HP 的

7、高級別安全，F(xiàn)reeBSD 的 jail 等 r視機器配置而定1最后丁作隼議用口仲率統(tǒng)完仝備份- 并對*鍵部份仰魏字皴名-微軟操作 系統(tǒng)NT 4.0/W2K(WOrkStatiOn,SerVer,PrOfeSSiOna1,advancedSerVer)補丁微軟操作系統(tǒng)對新發(fā)現(xiàn)的漏洞修補是使用SerViCePaCk 及 hotfix,旦從 迂垂亜必2C O如 必 仝麗雪如n殛師-L 1文件系統(tǒng)配置NTFS文件系統(tǒng)，NTFS可以支持更多更強大的的 安全配置，設(shè)置需要特殊保護的目錄和文件，設(shè)置不 同目錄和文件的權(quán)限，移動或刪除特別的系統(tǒng)命令文 征 槪h入信主隔滄殆帶F右* M TiH七七師皆1帳號管

8、理帳號口令是從網(wǎng)絡(luò)訪問NT/2K系統(tǒng)的基本認證方式， 很多系統(tǒng)被入侵都是因為帳號管理不善，設(shè)置超級用 戶密碼強度，密碼的缺省配置策略（例如：密碼長度，更換時間，帳號所在組，帳號可訪問資源，帳號鎖定 等多方面），GUEST帳號以及加強的密碼管理（SYSKEY）網(wǎng)絡(luò)及服 務(wù)網(wǎng)絡(luò)和服務(wù)是互聯(lián)網(wǎng)上用戶與此服務(wù)器接口的部分， 網(wǎng)絡(luò)協(xié)議的配置不當，服務(wù)進程設(shè)置不當，都可能為 入侵系統(tǒng)打開方便之門。合理地配置網(wǎng)絡(luò)及服務(wù)將能P口 4k CCm AA -fc2S、r ITI 4- 亦Zl 廂 H宀 注冊表IH J3 UU 兒 LrJ 口殳M丿L¾HL. Inj ）41 丨微軟操作系統(tǒng)缺省的安裝是為了能

9、兼容各種運行環(huán)境，因此很多權(quán)限設(shè)置都很寬，這不符合”最小權(quán)限”的基本原則，我們需要根據(jù)不同的環(huán)境，備份注冊表，再人為地更改注冊表內(nèi)容，配置最小權(quán)限的穩(wěn)定運行 的系統(tǒng)。例如：不允許遠程注冊表配置，設(shè)置LSA盡量減少遠程用戶可以獲取的信息，設(shè)置注冊表本身的 訪問控制，禁止空連接，對其它操作系統(tǒng)和POSIX的支持，對登錄信息的緩存等。也有很多選項需要根據(jù) 不同用戶需求來制定，例如：當安全策略因為某些因 素（磁盤滿）而不能運作時，是否強制系統(tǒng)停止運行。!右m詡1、1 "】比1網(wǎng)絡(luò)設(shè)備交換機，路由 器，防火墻共享共享是向網(wǎng)絡(luò)上的用戶開放對本機的資源訪問權(quán)限，不合理的配置以及系統(tǒng)的缺省共享配置，

10、都可能造成 遠程用戶對系統(tǒng)的文件，打印機等資源的非法訪問和 操作。我們需要刪除不必要的共享，合理配置共享的 訪問控制列表。視機器配置而定應(yīng)用軟件 我們建議安裝最小的軟件包，不安裝不必要的應(yīng)用軟 件。但是很多情況應(yīng)用軟件提供不可缺少的服務(wù)，這時我們就必須安全地配置它們。IE 被微軟綁定為操作系統(tǒng)的一部分，IE的安全直接影響到系統(tǒng)的安全。 我們需要升級 E的版本，安裝 IE的補丁，設(shè)置IE 的安全級別，及各項安全相關(guān)配置OUtIook , POWelpoint及其它等多種軟件都可能存在安全問題， 需要安裝補丁程序。s提供WWW的服務(wù)，這是一-般 NT服務(wù)器首選的WEB服務(wù)器，但是IIS本身存在很多

11、 安全漏洞，直到現(xiàn)在仍然經(jīng)常發(fā)現(xiàn)新的安全漏洞， S 的缺省配置，目錄設(shè)置，權(quán)限設(shè)置，安全設(shè)置等多方 面配置不當也是系統(tǒng)安全的巨大隱患。S的加固本身就可以成為一項獨立的服務(wù)內(nèi)容。視機器配置而定做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫 助發(fā)現(xiàn)問題，都能提供很多必要信息視機器配置而定其它其它方面視不同環(huán)境而定，例如需要刪除多余的系統(tǒng)安裝包，安裝主機防病毒軟件，等多項操作。最后工作 重新制作新的系統(tǒng)緊急恢復(fù)盤(ERD),建議用戶做系統(tǒng) 完全備份，并對關(guān)鍵部份做數(shù)字簽名。檢查及加固項目會 根據(jù)不同廠商的設(shè)備而不同，具體內(nèi)容在加固前將會根據(jù)評估的實際情況而定制訂或調(diào)整完善網(wǎng)絡(luò)設(shè)備安全策略配置登錄地址

12、限制配置登錄用戶身份鑒別配置特權(quán)用戶權(quán)限分離消除共享用戶配置口令復(fù)雜度與更換要求配置登錄失敗處理功能配置遠程管理采用SSH等加密方式采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備用戶拿到IoS升級包，在設(shè)備廠家工程師現(xiàn)場協(xié)助下 進行IoS升級。關(guān)閉不必要的服務(wù)關(guān)閉不使用的網(wǎng)絡(luò)接口t卜和端口訪問檸制配SNMP, TFTP, NTP 等服務(wù) 建議網(wǎng)絡(luò)設(shè)備的配置文件離線備份，并由專人保管期進行網(wǎng)絡(luò)設(shè)備用戶和口令維護，進行口令強度管理使用、訪問權(quán)限進行嚴格限制相應(yīng)的日志檢查，審計和歸檔安全管理策略1.1.5滿足指標表錯誤！文檔中沒有指定樣式的文字。-2安全加固等保符合性說明表 1解決方案名稱安全加固解決方案控制類網(wǎng)

13、絡(luò)安安全加固解決方案主機安指標名稱措施名稱改進動作改進對象a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的 用戶進行身份鑒別；配置登錄用戶身份 鑒別網(wǎng)絡(luò)設(shè)備安全配置加固網(wǎng)絡(luò)設(shè)備b應(yīng)對網(wǎng)絡(luò)設(shè)備的管理 員登錄地址進行限 制1,配置登錄 地址限制網(wǎng)絡(luò)設(shè)備 安全配置 加 ll網(wǎng)絡(luò)設(shè)備C網(wǎng)絡(luò)設(shè)備用戶的標識 應(yīng)唯一；消除共享 用戶網(wǎng)絡(luò)設(shè)備 安全配置 加I古I網(wǎng)絡(luò)設(shè)備d主要網(wǎng)絡(luò)設(shè)備應(yīng)對同 一用戶選擇兩種或兩 種以上組合的鑒別技 術(shù)來講行身份鑒別：采購與配 置網(wǎng)絡(luò)設(shè) 備雙因素 鑒別設(shè)備采購部署雙因素鑒別e身份鑒別信息應(yīng)具有 不易被冒用的特點， 口令應(yīng)有復(fù)雜度要求 并宗期審換，配置口令 復(fù)雜度與 更換要求網(wǎng)絡(luò)設(shè)備 安全配置 與加固網(wǎng)絡(luò)設(shè)備

14、f應(yīng)具有登錄失敗處理 功能，可采取結(jié)束會 話、限制非法登錄次 數(shù)和當網(wǎng)絡(luò)登錄連接 超時自動退出等措配置登錄 失敗處理 功能網(wǎng)絡(luò)設(shè)備 安全配置 與加固網(wǎng)絡(luò)設(shè)備g當對網(wǎng)絡(luò)設(shè)備進行遠 程管理時，應(yīng)采取必 要措施防止鑒別信息 在網(wǎng)絡(luò)傳輸過程中被 竊聽；配置遠程 管理采用SSH等加密方式網(wǎng)絡(luò)設(shè)備 安全配置 與加固網(wǎng)絡(luò)設(shè)備h應(yīng)實現(xiàn)設(shè)備特權(quán)用戶 的權(quán)限分離。配置特權(quán) 用戶權(quán)限 分離網(wǎng)絡(luò)設(shè)備 安全配置 與加固網(wǎng)絡(luò)設(shè)備a應(yīng)啟用訪問控制功 能，依據(jù)安全策略控 制用戶對資源的訪訪問控制 策略操作系統(tǒng) 與數(shù)據(jù)庫 安全配置 與加l½l操作系統(tǒng) 與數(shù)據(jù)庫 等軟件控制點網(wǎng)絡(luò)設(shè)備防護訪問控制入侵防范應(yīng)根據(jù)管理用戶的

15、角色分配權(quán)限，實現(xiàn)管 b 理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)C據(jù)庫系統(tǒng)特權(quán)用戶的 權(quán)限分離；應(yīng)嚴格限制默認帳戶 的訪問權(quán)限，重命名 d系統(tǒng)默認帳戶，修改這些帳戶的默認口應(yīng)及時刪除多余的、e 過期的帳戶，避免共-享帳戶的存在。 應(yīng)對重要信息資源設(shè)1置敏感標記;應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標 記垂要佶息資源的操 作；應(yīng)能夠檢測到對重要 服務(wù)器進行入侵的行 為，能夠記錄入侵的 源IP、攻擊的類型、 攻擊的目的、攻擊的 時間，并在發(fā)生嚴重 入侵事件時提供報應(yīng)能夠?qū)χ匾绦虻?完整性進行檢測，并 b 在檢測到完整性受到 一破壞后具有恢復(fù)的措施；操作系統(tǒng)應(yīng)遵循最小 安

16、裝的原則，僅安裝 需要的組件和應(yīng)用程 C序，并通過設(shè)置升級服務(wù)器等方式保持系 統(tǒng)補丁及時得到更 新。操作系統(tǒng)應(yīng)遵循最小 的原則，僅安詵 需要的組件和應(yīng)用程序，并通過設(shè)置升級管理用戶權(quán)限最小化特權(quán)用戶 權(quán)限分離限制默認 帳戶清理帳戶重要信息資源設(shè)置 敏感標記配置敏感信息符源訪問策略采購與配 置主機入 侵檢測軟 件配置主機入侵檢測軟件的完整性檢測和恢復(fù)功能主機最小安裝設(shè)置補丁服務(wù)器操作系統(tǒng) 與數(shù)據(jù)庫 安全配置 與加固操作系統(tǒng)與數(shù)據(jù)庫 安全配置 與加固操作系統(tǒng)與數(shù)據(jù)庫 安全配置 與加固一操作系統(tǒng)與數(shù)據(jù)庫 安全配置 與加固采購部署操作系統(tǒng) 與數(shù)據(jù)庫 安全配國 與加固采購部署安全產(chǎn)品配置操作系統(tǒng)與數(shù)據(jù)庫

17、 安全配置 與加固采購部署操作系統(tǒng) 與數(shù)據(jù)庫 等軟件操作系統(tǒng) 與數(shù)據(jù)庫 等軟件操作系統(tǒng) 與數(shù)據(jù)庫 等軟件操作系統(tǒng) 與數(shù)據(jù)庫 等軟件操作系統(tǒng)與數(shù)據(jù)庫等軟件操作系統(tǒng) 與數(shù)抿庫 等軟件主機入侵 檢測軟件主機入侵 檢測軟件操作系統(tǒng)補丁服務(wù)器和軟件服務(wù)器等方式保持系 統(tǒng)補丁及時得到更 新。解決方案名稱控制類控制點指標名稱措施名稱改進動作改進對象系統(tǒng)安全加固主機安 全剩余信 息保護a應(yīng)保證操作系統(tǒng)和數(shù) 據(jù)庫系統(tǒng)用戶的鑒別 信息所在的存儲空 間，被釋放或再分配 給其他用戶前得到完 全清除，無論這此信 息是存放在硬盤上還 是在內(nèi)存中;鑒別信息 存儲空間 清除操作系統(tǒng) 與數(shù)據(jù)庫 安全配置 與加固操作系統(tǒng) 和數(shù)據(jù)

18、庫b應(yīng)確保系統(tǒng)內(nèi)的文 件、目錄和數(shù)據(jù)庫記 錄等資源所在的存儲 空間，被釋放或重新 分配給其他用戶前得 到完全清除。存儲空間 清除操作系統(tǒng) 與數(shù)據(jù)庫 安全配置 與加固操作系統(tǒng) 和數(shù)據(jù)庫資源控制a應(yīng)通過設(shè)定終端接入 方式、網(wǎng)絡(luò)地址范圍 等條件限制終端登 錄；主機安全配置與加 固操作系 統(tǒng)與數(shù)據(jù) 庫安全配 置與加固操作系統(tǒng)b應(yīng)根據(jù)安全策略設(shè)置 登錄終端的操作超時 鎖定；主機安全 配置與加 固操作系 統(tǒng)與數(shù)據(jù) 庫安全配 置與加固操作系統(tǒng)C應(yīng)對重要服務(wù)器進行 監(jiān)視，包括監(jiān)視服務(wù) 器的CPU、硬盤、內(nèi) 存、網(wǎng)絡(luò)等資源的使 用情況；采購部署 網(wǎng)管監(jiān)控 系統(tǒng)，實 現(xiàn)重要服 務(wù)器監(jiān)控采購部署主機性能 管理d應(yīng)限

19、制單個用戶對系 統(tǒng)資源的最大或最小 使用限度；主機安全 配置與加 固操作系 統(tǒng)與數(shù)據(jù) 庫安全配 置與加固操作系統(tǒng)©應(yīng)能夠?qū)ο到y(tǒng)的服務(wù) 水平降低到預(yù)先規(guī)定 的最小值進行檢測和 報警。配置網(wǎng)管 系統(tǒng)的監(jiān) 控與報 警，實現(xiàn) 服務(wù)水平 監(jiān)控產(chǎn)品配置主機性能 管理解決方案名稱控制類控制點指標名稱措施名稱改進動作改進對象安全加固解決 方案應(yīng)用安 全訪問控 制a應(yīng)提供訪問控制功 能，依據(jù)安全策略控 制用戶對文件、數(shù)據(jù) 庫表等客體的訪問；訪問控制 功能應(yīng)用軟件安全開發(fā) 與改造業(yè)務(wù)系統(tǒng)b訪問控制的覆蓋范圍 應(yīng)包括與資源訪問相 關(guān)的主體、客體及它訪問控制 主體、客 體及操作應(yīng)用軟件 安全開發(fā) 與改造業(yè)務(wù)

20、系統(tǒng)們Z間的操作;要求應(yīng)由授權(quán)主體配置訪應(yīng)用軟件問控制策略，并嚴格 限制默認帳戶的訪問 權(quán)限；應(yīng)授予不同帳戶為完 成各自承擔任務(wù)所需配置訪問 控制策略安全開發(fā) 與改造應(yīng)用軟件的最小權(quán)限，并在它們之間形成相互制約應(yīng)具有對重要信息資源設(shè)置敏感標記的功Tfe應(yīng)依據(jù)安全策略嚴格最小權(quán)限 與制約安全開發(fā) 與改造業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)剩余信息保護控制用戶對有敏感標 記重要信息資源的操應(yīng)保證用戶鑒別信息 所在的存儲空間被釋 放或再分配給其他用 戶前得到完全清除， 無論這些信息是存放 在硬盤上還是在內(nèi)存 屮；應(yīng)保證系統(tǒng)內(nèi)的文 件、目錄和數(shù)據(jù)庫記抗抵賴錄等資源所在的存儲 空間被釋放或重新分 配給其他用戶前得到 完全清除。應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接據(jù)的功能；應(yīng)具有在請求的情況軟件容錯下為數(shù)據(jù)原發(fā)者或接 收者提供數(shù)據(jù)接收i止 據(jù)的功能。應(yīng)提供數(shù)據(jù)有效性檢 驗功能，保證通過人機接口輸入或通過通 信接口輸入的數(shù)據(jù)格 式或長度符合系統(tǒng)設(shè) 定要求；應(yīng)提供自動保護功 能，當故障發(fā)生時自動保護當前所右狀 態(tài)，保證系統(tǒng)能夠進 行恢復(fù)。設(shè)置敏感標記的功應(yīng)用軟件 安全開發(fā)JT以業(yè)務(wù)系統(tǒng)控制敏感重要信息鑒別信息 存儲空間 清除存儲空間清除配置抗 «配置抗輸入有效性驗證