安全加固解決方案

1、1.1 平安加固解決方案1.1.1 平安加固范圍及方法確定加固的范圍是陜西電視臺全臺網(wǎng)中的主機系統(tǒng)和網(wǎng)絡(luò)設(shè)備,以及相關(guān)的數(shù)據(jù)庫系統(tǒng).主要有：效勞器加固.主要包括對Windows效勞器和Unix效勞器的評估加固,其中還包括對效勞器操作系統(tǒng)層面的評估和數(shù)據(jù)庫層面的評估加固.網(wǎng)絡(luò)設(shè)備加固.主要包括對防火墻,交換機的評估加固.平安加固效勞主要以人工的方式實現(xiàn).1.1.2 平安加固流程支仝加固流程圖網(wǎng)絡(luò)優(yōu)化方案及系統(tǒng)加固方案圖錯誤！文檔中沒有指定樣式的文字.-1平安加固流程圖檢查當(dāng)前設(shè)備確定系統(tǒng)漏洞圖錯誤！文檔中沒有指定樣式的文字.-2系統(tǒng)加固實施流程圖21.1.3 平安加固步驟1,準(zhǔn)備工作一人操作,一

2、人記錄,盡量預(yù)防可能出現(xiàn)的誤操作.2,收集系統(tǒng)信息加固之前收集所有的系統(tǒng)信息和用戶效勞需求,收集所有應(yīng)用和效勞軟件信息,做好加固前預(yù)備工作.3,做好備份工作系統(tǒng)加固之前,先對系統(tǒng)做完全備份.加固過程可能存在任何不可遇見的風(fēng)險,當(dāng)加固失敗時,可以恢復(fù)到加固前狀態(tài)4 .加固系統(tǒng)根據(jù)系統(tǒng)加固核對表,逐項按順序執(zhí)行操作.5 .復(fù)查配置對加固后的系統(tǒng),全部復(fù)查一次所作加固內(nèi)容,保證正確無誤.6 .應(yīng)急恢復(fù)當(dāng)出現(xiàn)不可預(yù)料的后果時,首先使用備份恢復(fù)系統(tǒng)提供效勞,同時與平安專家小組取得聯(lián)系,尋求幫助,解決問題1.1.4平安加固內(nèi)容表錯誤！文檔中沒有指定樣式的文字.-1平安加固內(nèi)容說明表加固對象操作系統(tǒng)加固工程

3、說明UNIX系統(tǒng)及類UNIX系統(tǒng)Solaris,HP-UXAIX,linux,FreeBSD,OpenBSDSCO補丁從廠家網(wǎng)站或者可信任站點下載系統(tǒng)的補丁包,不同的操作系統(tǒng)版本以及運行/、同的效勞,都可能造成需要安裝的補丁包不同,所以必須選擇適合本機的補丁包安裝.視機器配置而定文件系統(tǒng)UNIX文件系統(tǒng)的權(quán)限配置工程繁多,要求也很嚴(yán)格,不適當(dāng)?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級用戶的限制權(quán),從而完全限制操作系統(tǒng).有30項左右配置配置文件UNIX配置文件功能有點類似微軟的注冊表,UNIX對操作系統(tǒng)配置根本上都是通過各種配置文件來完成,不合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級用戶的限制權(quán)

4、,從而完全限制操作系統(tǒng).例如：/etc/inittab文件是系統(tǒng)加載時首先自動執(zhí)行的文件,/etc/hosts.equiv是限制主機信任關(guān)系的文件等.有20項左右配置帳號治理帳號口令是從網(wǎng)絡(luò)訪問UNIX系統(tǒng)的根本認(rèn)證方式,很多系統(tǒng)被入侵都是由于帳號治理不善,設(shè)置超級用戶密碼強度,密碼的缺省配置策略例如：密碼長度,更換時間,帳號所在組,帳號鎖定等多方面.有些系統(tǒng)可以配置使用更強的加密算法.有10項左右配置網(wǎng)絡(luò)及效勞UNIX有很多缺省翻開的效勞,這些效勞都可能泄露本機信息,或存在未被發(fā)現(xiàn)的平安漏洞,關(guān)閉不必要的效勞,能盡量降低被入侵的可能性.例如r系列效勞和rpc的rstatd都出過不止一次遠程女

5、全漏洞.UNIX缺省的網(wǎng)絡(luò)配置參數(shù)也不盡合理,例如TCP序列號隨機強度,對Do.S攻擊的反抗水平等,合理配置網(wǎng)絡(luò)參數(shù),能優(yōu)化操作系統(tǒng)性能,提升平安性.視機器配直皿定30項NFS系統(tǒng)網(wǎng)絡(luò)文件系統(tǒng)協(xié)議最早是SUN公司開發(fā)出來的,以實現(xiàn)文件系統(tǒng)共享.NFS使用RPC效勞,其驗證方式存在缺BI,NFS效勞的缺省配置也很不平安,如果必須使用NFS系統(tǒng),一定進行平安的配置.視操作系統(tǒng)而定應(yīng)用軟件我們建議操作系統(tǒng)安裝最小軟件包,例如不安裝開發(fā)包,不安裝不必要的庫,不安裝編繹器等,但很多情況下必須安裝一些軟件包.APACHE或NETSCAPEENTERPRISESERVER>UNIX首選的WE國艮務(wù)器,

6、其配置本身就是一項獨立的效勞郵件和域名效勞等都需要進行合理的配置.W,日志做好系統(tǒng)的審計和日志工作,對于事后取證追查,幫助發(fā)現(xiàn)問題,都能提供很多必要信息.例如,翻開帳號審計功能,記錄所有用戶執(zhí)行過的命令.例如實現(xiàn)日志集中治理,預(yù)防被入侵主機日志被刪除等.視機奮配直IIUte其它小向的UNIX系統(tǒng)件-些特別的平安配置,例如solaris有ASETHP的高級別平安,FreeBSD的jail等.視機器配置而定最后工作建議用戶做系統(tǒng)完全備份,并對關(guān)鍵部份做數(shù)字簽名.微軟操作系統(tǒng)NT4.0/W2K(workstation,server,professional,advancedserver)補丁微軟操作

7、系統(tǒng)對新發(fā)現(xiàn)的漏洞修補是使用ServicePack及hotfix,另外,還需要安裝C2級平安配置.視機器配置而定文件系統(tǒng)配置NTFS文件系統(tǒng),NTFS可以支持更多更強大的的平安配置,設(shè)置需要特殊保護的目錄和文件,設(shè)置不同目錄和文件的權(quán)限,移動或刪除特別的系統(tǒng)命令文件,增參加侵者操作的難度.有20項左右配置帳號治理帳號口令是從網(wǎng)絡(luò)訪問NT/2K系統(tǒng)的根本認(rèn)證方式,很多系統(tǒng)被入侵都是由于帳號治理不善,設(shè)置超級用戶密碼強度,密碼的缺省配置策略例如：密碼長度,更換時間,帳號所在組,帳號可訪問資源,帳號鎖定等多方面,GUESTS號以及力口強的密碼治理SYSKEY等.有10項左右配置網(wǎng)絡(luò)及效勞網(wǎng)絡(luò)和效勞是

8、互聯(lián)網(wǎng)上用戶與此效勞器接口的局部,網(wǎng)絡(luò)協(xié)議的配置不當(dāng),效勞進程設(shè)置不當(dāng),都可能為入侵系統(tǒng)翻開方便之門.合理地配置網(wǎng)絡(luò)及效勞將能阻擋80%勺普通入侵視機器配置而定注冊表微軟操作系統(tǒng)缺省的安裝是為了能兼容各種運行環(huán)境,因此很多權(quán)限設(shè)置都很寬,這不符合"最小權(quán)限的根本原那么,我們需要根據(jù)不同的環(huán)境,備份注冊表,再人為地更改注冊表內(nèi)容,配置最小權(quán)限的穩(wěn)定運行的系統(tǒng).例如：不允許遠程注冊表配置,設(shè)置LSA盡量減少遠程用戶可以獲取的信息,設(shè)置注冊表本身的訪問限制,禁止空連接,對其它操作系統(tǒng)和POSIX的支持,對登錄信息的緩存等.也有很多項選擇項需要根據(jù)不向用戶需求來制定,例如：當(dāng)平安策略由于某些

9、因素磁盤滿而/、能運作時,是否強制系統(tǒng)停止運行.有40項以上配置日章/、J共享是向網(wǎng)絡(luò)上的用戶開放對本機的資源訪問權(quán)限,不合理的配置以及系統(tǒng)的缺省共享配置,都可能造成遠程用戶對系統(tǒng)的文件,打印機等資源的非法訪問和操作.我們需要刪除不必要的共享,合理配置共享的訪問限制列表.視機器配置而定應(yīng)用軟件我們建議安裝最小的軟件包,不安裝/、必要的應(yīng)用軟件.但是很多情況應(yīng)用軟件提供/、可缺少的效勞,這時我們就必須平安地配置它們.IE被微軟綁定為操作系統(tǒng)的一局部,IE的平安直接影響到系統(tǒng)的平安.我們需要升級IE的版本,安裝IE的補丁,設(shè)置IE的平安級別,及各項平安相關(guān)配置outlook,powerpoint及

10、其它等多種軟件都可能存在女全問題,需要安裝補丁程序.IIS提供WW的效勞,這是一般NT效勞器首選的WE用艮務(wù)器,但是IIS本身存在很多平安漏洞,直到現(xiàn)在仍然經(jīng)常發(fā)現(xiàn)新的平安漏洞,IIS的缺省配置,目錄設(shè)置,權(quán)限設(shè)置,平安設(shè)置等多方囿配置小當(dāng)也是系就平安的巨大隱患.IIS的加固本身就可以成才-項獨立的效勞內(nèi)容.視機器配置而定W,日志做好系統(tǒng)的審計和日志工作,對于事后取證追查,幫助發(fā)現(xiàn)問題,都能提供很多必要信息視機器配置而定其它其它方面視不阿環(huán)境而定,例如需要刪除多余的系統(tǒng)安裝包,安裝主機防病毒軟件,等多項操作.最后工作重新制作新的系統(tǒng)緊急恢復(fù)盤(ERD),建議用戶做系統(tǒng)完全備份,并對關(guān)鍵部份做數(shù)

11、字簽名.網(wǎng)絡(luò)設(shè)備交換機,路由器,防火墻檢查及加固工程會根據(jù)不同J商的設(shè)備而不同,具體內(nèi)容在加固前將會根據(jù)評估的實際情況而定制訂或調(diào)整完善網(wǎng)絡(luò)設(shè)備平安策略配置登錄地址限制配置登錄用戶身份鑒別配置特權(quán)用戶權(quán)限別離消除共享用戶配置口令復(fù)雜度與更換要求配置登錄失敗處理功能配置遠程治理米用SSH?力口密方式采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備用戶拿到IOS升級包,在設(shè)備廠家工程師現(xiàn)場協(xié)助下進彳TIOS升級.關(guān)閉不必要的效勞關(guān)閉不使用的網(wǎng)絡(luò)接口給出重要協(xié)議、地址和端口訪問限制配置原型SNMPTFTP,NTP等效勞建議網(wǎng)絡(luò)設(shè)備的配置文件離線備份,并曲專人保管期進行網(wǎng)絡(luò)設(shè)備用戶和口令維護,進行口令強度治理使用、訪

12、問權(quán)限進行嚴(yán)格限制相應(yīng)的日志檢查,審計和歸檔平安治理策略1.1.5滿足指標(biāo)-2平安加固等保符合性說明表1解決方案名稱限制類限制點指標(biāo)名稱舉措名稱改良動作改良對象平安加固解決力殺網(wǎng)絡(luò)平安網(wǎng)絡(luò)設(shè)備防護a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；配置登錄用戶身份鑒別網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備b應(yīng)對網(wǎng)絡(luò)設(shè)備的治理員登錄地址進行限制；配置登錄地址限制網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備c網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；消除共享用戶網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備d主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備采購部署雙因素鑒別e身份鑒別信息應(yīng)具有不易被冒用的特點

13、,口令應(yīng)有復(fù)雜度要求并定期更換；配置口令復(fù)雜度與更換要求網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備f應(yīng)具有登錄失敗處理功能,可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等舉措；配置登錄失敗處理功能網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備g當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程治理時,應(yīng)采取必要舉措預(yù)防鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；配置遠程治理采用SSH等加傷方式網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備h應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離.配置特權(quán)用戶權(quán)限別離網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備平安加固解決力殺主機平安訪問限制a應(yīng)啟用訪問限制功能,依據(jù)平安策略限制用戶對資源的訪問；訪問限制策略操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫

14、等軟件b應(yīng)根據(jù)治理用戶的角色分配權(quán)限,實現(xiàn)治理用戶的權(quán)限別離,僅授予治理用戶所需的最小權(quán)限；治理用戶權(quán)限最小化操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件c應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限別離；特權(quán)用戶權(quán)限別離操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改這些帳戶的默認(rèn)口令；限制默認(rèn)帳戶操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件e應(yīng)及時刪除多余的、過期的帳戶,預(yù)防共享帳戶的存在.清理帳戶操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件f應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；重要信息資源設(shè)置敏感標(biāo)記采購部署操作系

15、統(tǒng)與數(shù)據(jù)庫等軟件g應(yīng)依據(jù)平安策略嚴(yán)格限制用戶對有敏感標(biāo)記重要信息資源的操作；配置敏感信息資源訪問策略操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件入侵防范a應(yīng)能夠檢測到對重要效勞器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴(yán)重入侵事件時提供報警；采購與配置主機入侵檢測軟件采購部署主機入侵檢測軟件b應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測,并在檢測到完整性受到破壞后具有恢復(fù)的舉措；配置主機入侵檢測軟件的完整性檢測和恢復(fù)功能平安產(chǎn)品配置主機入侵檢測軟件c操作系統(tǒng)應(yīng)遵循最小安裝的原那么,僅安裝需要的組件和應(yīng)用程序,并通過設(shè)置升級效勞器等方式保持系統(tǒng)補及時得到更新

16、.主機最小安裝操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)c操作系統(tǒng)應(yīng)遵循最小安裝的原那么,僅安裝需要的組件和應(yīng)用程序,并通過設(shè)置升級設(shè)置補丁效勞器采購部署補丁效勞器和軟件效勞器等方式保持系統(tǒng)補及時得到更新.解決方案名稱限制類限制點指標(biāo)名稱舉措名稱改良動作改良對象系統(tǒng)平安加固主機平安剩余信息保護a應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全去除,無論這些信息是存放在硬盤上還是在內(nèi)存中;鑒別信息存儲空間去除操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)和數(shù)據(jù)庫b應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全去除.存儲

17、空間去除操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)和數(shù)據(jù)庫資源限制a應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；主機平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)b應(yīng)根據(jù)平安策略設(shè)置登錄終端的操作超時鎖定；主機平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)c應(yīng)對重要效勞器進行監(jiān)視,包括監(jiān)視效勞器的CPU硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；采購部署網(wǎng)管監(jiān)控系統(tǒng),實現(xiàn)重要效勞器監(jiān)控采購部署主機性能治理d應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；主機平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)e應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小值進行檢測和報警.配置網(wǎng)管系統(tǒng)的監(jiān)

18、控與報警,實現(xiàn)效勞水平監(jiān)控產(chǎn)品配置主機性能治理解決方案名稱限制類限制點指標(biāo)名稱舉措名稱改良動作改良對象平安加固解決力殺應(yīng)用平安訪問限制a應(yīng)提供訪問限制功能,依據(jù)平安策略限制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問限制功能應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)b訪問限制的覆蓋范圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它訪問限制主體、客體及操作應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)們之間的操作；要求c應(yīng)由授權(quán)主體配置訪問限制策略,并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；配置訪問限制策略應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)d應(yīng)投予不同帳戶為完成各自承當(dāng)任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系.最小權(quán)限與制約應(yīng)用軟件平安開發(fā)與改

19、造業(yè)務(wù)系統(tǒng)e應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；設(shè)置敏感標(biāo)記的功能應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)f應(yīng)依據(jù)平安策略嚴(yán)格限制用戶對有敏感標(biāo)記重要信息資源的操作；限制敏感重要信息資源操作應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)剩余信息保護a應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全去除,無論這些信息是存放在硬盤上還是在內(nèi)存中；鑒別信息存儲空間去除應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全去除.存儲空間去除應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)抗抵賴a應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；配置抗抵賴應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能.配置抗抵賴應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)軟件容錯a應(yīng)提