安全加固解決方案

1、1.1 安全加固解決方案1.1.1 安全加固范圍及方法確定加固的范圍是陜西電視臺全臺網(wǎng)中的主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備，以及相關(guān)的數(shù)據(jù)庫系統(tǒng)。主要有：l 服務(wù)器加固。主要包括對Windows服務(wù)器和Unix服務(wù)器的評估加固，其中還包括對服務(wù)器操作系統(tǒng)層面的評估和數(shù)據(jù)庫層面的評估加固。l 網(wǎng)絡(luò)設(shè)備加固。主要包括對防火墻，交換機(jī)的評估加固。l 安全加固服務(wù)主要以人工的方式實(shí)現(xiàn)。1.1.2 安全加固流程圖 Error! No text of specified style in document.1 安全加固流程圖圖 Error! No text of specified style in document.

2、2 系統(tǒng)加固實(shí)施流程圖21.1.3 安全加固步驟1. 準(zhǔn)備工作一人操作，一人記錄，盡量防止可能出現(xiàn)的誤操作。2. 收集系統(tǒng)信息加固之前收集所有的系統(tǒng)信息和用戶服務(wù)需求，收集所有應(yīng)用和服務(wù)軟件信息，做好加固前預(yù)備工作。3. 做好備份工作系統(tǒng)加固之前，先對系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風(fēng)險(xiǎn)，當(dāng)加固失敗時(shí)，可以恢復(fù)到加固前狀態(tài)。4. 加固系統(tǒng)按照系統(tǒng)加固核對表，逐項(xiàng)按順序執(zhí)行操作。5. 復(fù)查配置對加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無誤。6. 應(yīng)急恢復(fù)當(dāng)出現(xiàn)不可預(yù)料的后果時(shí)，首先使用備份恢復(fù)系統(tǒng)提供服務(wù)，同時(shí)與安全專家小組取得聯(lián)系，尋求幫助，解決問題1.1.4 安全加固內(nèi)

3、容表Error! No text of specified style in document.1 安全加固內(nèi)容說明表加固對象操作系統(tǒng)加固項(xiàng)目說明UNIX系統(tǒng)及類UNIX系統(tǒng)Solaris ， HP-UX， AIX， linux， FreeBSD， OpenBSD，SCO補(bǔ)丁從廠家網(wǎng)站或者可信任站點(diǎn)下載系統(tǒng)的補(bǔ)丁包，不同的操作系統(tǒng)版本以及運(yùn)行不同的服務(wù)，都可能造成需要安裝的補(bǔ)丁包不同，所以必須選擇適合本機(jī)的補(bǔ)丁包安裝。 視機(jī)器配置而定文件系統(tǒng)UNIX文件系統(tǒng)的權(quán)限配置項(xiàng)目繁多，要求也很嚴(yán)格，不適當(dāng)?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。有30項(xiàng)左右配置配置文件

4、UNIX配置文件功能有點(diǎn)類似微軟的注冊表，UNIX對操作系統(tǒng)配置基本上都是通過各種配置文件來完成，不合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。例如：/etc/inittab文件是系統(tǒng)加載時(shí)首先自動(dòng)執(zhí)行的文件，/etc/hosts。equiv是限制主機(jī)信任關(guān)系的文件等。 有20項(xiàng)左右配置帳號管理帳號口令是從網(wǎng)絡(luò)訪問UNIX系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是因?yàn)閹ぬ柟芾聿簧?，設(shè)置超級用戶密碼強(qiáng)度，密碼的缺省配置策略(例如：密碼長度，更換時(shí)間，帳號所在組，帳號鎖定等多方面)。有些系統(tǒng)可以配置使用更強(qiáng)的加密算法。有10項(xiàng)左右配置網(wǎng)絡(luò)及服務(wù)UNIX有很多缺省打

5、開的服務(wù)，這些服務(wù)都可能泄露本機(jī)信息，或存在未被發(fā)現(xiàn)的安全漏洞，關(guān)閉不必要的服務(wù)，能盡量降低被入侵的可能性。例如r系列服務(wù)和rpc的rstatd都出過不止一次遠(yuǎn)程安全漏洞。UNIX缺省的網(wǎng)絡(luò)配置參數(shù)也不盡合理，例如TCP序列號隨機(jī)強(qiáng)度，對D。o。S攻擊的抵抗能力等，合理配置網(wǎng)絡(luò)參數(shù)，能優(yōu)化操作系統(tǒng)性能，提高安全性。 視機(jī)器配置而定>30項(xiàng)NFS系統(tǒng)網(wǎng)絡(luò)文件系統(tǒng)協(xié)議最早是SUN公司開發(fā)出來的，以實(shí)現(xiàn)文件系統(tǒng)共享。NFS使用RPC服務(wù)，其驗(yàn)證方式存在缺陷，NFS服務(wù)的缺省配置也很不安全，如果必須使用NFS系統(tǒng)，一定進(jìn)行安全的配置。 視操作系統(tǒng)而定應(yīng)用軟件我們建議操作系統(tǒng)安裝最小軟件包，例如不

6、安裝開發(fā)包，不安裝不必要的庫，不安裝編繹器等，但很多情況下必須安裝一些軟件包。 APACHE或NETSCAPE ENTERPRISE SERVER是一般UNIX首選的WEB服務(wù)器，其配置本身就是一項(xiàng)獨(dú)立的服務(wù)郵件和域名服務(wù)等都需要進(jìn)行合理的配置。審計(jì)，日志做好系統(tǒng)的審計(jì)和日志工作，對于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息。例如，打開帳號審計(jì)功能，記錄所有用戶執(zhí)行過的命令。例如實(shí)現(xiàn)日志集中管理，避免被入侵主機(jī)日志被刪除等。 視機(jī)器配置而定其它不同的UNIX系統(tǒng)有一些特別的安全配置，例如solaris有ASET，HP的高級別安全， FreeBSD的jail等。 視機(jī)器配置而定最后工作建

7、議用戶做系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。微軟操作系統(tǒng)NT 4.0 / W2K ( workstation ， server ， professional ， advanced server )補(bǔ)丁微軟操作系統(tǒng)對新發(fā)現(xiàn)的漏洞修補(bǔ)是使用Service Pack 及 hotfix，另外，還需要安裝C2級安全配置。 視機(jī)器配置而定文件系統(tǒng)配置NTFS文件系統(tǒng)，NTFS可以支持更多更強(qiáng)大的的安全配置，設(shè)置需要特殊保護(hù)的目錄和文件，設(shè)置不同目錄和文件的權(quán)限，移動(dòng)或刪除特別的系統(tǒng)命令文件，增加入侵者操作的難度。有20項(xiàng)左右配置帳號管理帳號口令是從網(wǎng)絡(luò)訪問NT/2K系統(tǒng)的基本認(rèn)證方式，很多系統(tǒng)被入侵都是

8、因?yàn)閹ぬ柟芾聿簧?，設(shè)置超級用戶密碼強(qiáng)度，密碼的缺省配置策略(例如：密碼長度，更換時(shí)間，帳號所在組，帳號可訪問資源，帳號鎖定等多方面)，GUEST帳號以及加強(qiáng)的密碼管理(SYSKEY)等。有10項(xiàng)左右配置網(wǎng)絡(luò)及服務(wù)網(wǎng)絡(luò)和服務(wù)是互聯(lián)網(wǎng)上用戶與此服務(wù)器接口的部分，網(wǎng)絡(luò)協(xié)議的配置不當(dāng)，服務(wù)進(jìn)程設(shè)置不當(dāng)，都可能為入侵系統(tǒng)打開方便之門。合理地配置網(wǎng)絡(luò)及服務(wù)將能阻擋80%的普通入侵視機(jī)器配置而定注冊表微軟操作系統(tǒng)缺省的安裝是為了能兼容各種運(yùn)行環(huán)境，因此很多權(quán)限設(shè)置都很寬，這不符合"最小權(quán)限"的基本原則，我們需要根據(jù)不同的環(huán)境，備份注冊表，再人為地更改注冊表內(nèi)容，配置最小權(quán)限的穩(wěn)定運(yùn)行的系

9、統(tǒng)。例如：不允許遠(yuǎn)程注冊表配置，設(shè)置LSA盡量減少遠(yuǎn)程用戶可以獲取的信息，設(shè)置注冊表本身的訪問控制，禁止空連接，對其它操作系統(tǒng)和POSIX的支持，對登錄信息的緩存等。也有很多選項(xiàng)需要根據(jù)不同用戶需求來制定，例如：當(dāng)安全策略因?yàn)槟承┮蛩?磁盤滿)而不能運(yùn)作時(shí)，是否強(qiáng)制系統(tǒng)停止運(yùn)行。有40項(xiàng)以上配置共享共享是向網(wǎng)絡(luò)上的用戶開放對本機(jī)的資源訪問權(quán)限，不合理的配置以及系統(tǒng)的缺省共享配置，都可能造成遠(yuǎn)程用戶對系統(tǒng)的文件，打印機(jī)等資源的非法訪問和操作。我們需要?jiǎng)h除不必要的共享，合理配置共享的訪問控制列表。視機(jī)器配置而定應(yīng)用軟件我們建議安裝最小的軟件包，不安裝不必要的應(yīng)用軟件。但是很多情況應(yīng)用軟件提供不可缺

10、少的服務(wù)，這時(shí)我們就必須安全地配置它們。 IE被微軟綁定為操作系統(tǒng)的一部分，IE的安全直接影響到系統(tǒng)的安全。我們需要升級IE的版本，安裝IE的補(bǔ)丁，設(shè)置IE的安全級別，及各項(xiàng)安全相關(guān)配置outlook，powerpoint及其它等多種軟件都可能存在安全問題，需要安裝補(bǔ)丁程序。 IIS提供WWW的服務(wù)，這是一般NT服務(wù)器首選的WEB服務(wù)器，但是IIS本身存在很多安全漏洞，直到現(xiàn)在仍然經(jīng)常發(fā)現(xiàn)新的安全漏洞，IIS的缺省配置，目錄設(shè)置，權(quán)限設(shè)置，安全設(shè)置等多方面配置不當(dāng)也是系統(tǒng)安全的巨大隱患。IIS的加固本身就可以成為一項(xiàng)獨(dú)立的服務(wù)內(nèi)容。 視機(jī)器配置而定審計(jì)，日志做好系統(tǒng)的審計(jì)和日志工作，對于事后取

11、證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息視機(jī)器配置而定其它其它方面視不同環(huán)境而定，例如需要?jiǎng)h除多余的系統(tǒng)安裝包，安裝主機(jī)防病毒軟件，等多項(xiàng)操作。最后工作重新制作新的系統(tǒng)緊急恢復(fù)盤(ERD)，建議用戶做系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。網(wǎng)絡(luò)設(shè)備交換機(jī)，路由器，防火墻檢查及加固項(xiàng)目會根據(jù)不同廠商的設(shè)備而不同，具體內(nèi)容在加固前將會根據(jù)評估的實(shí)際情況而定制訂或調(diào)整完善網(wǎng)絡(luò)設(shè)備安全策略配置登錄地址限制配置登錄用戶身份鑒別配置特權(quán)用戶權(quán)限分離消除共享用戶配置口令復(fù)雜度與更換要求配置登錄失敗處理功能配置遠(yuǎn)程管理采用SSH等加密方式采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備用戶拿到IOS升級包，在設(shè)備廠家工程師現(xiàn)

12、場協(xié)助下進(jìn)行IOS升級。關(guān)閉不必要的服務(wù)關(guān)閉不使用的網(wǎng)絡(luò)接口給出重要協(xié)議、地址和端口訪問控制配置原型SNMP，TFTP，NTP等服務(wù)建議網(wǎng)絡(luò)設(shè)備的配置文件離線備份，并由專人保管期進(jìn)行網(wǎng)絡(luò)設(shè)備用戶和口令維護(hù)，進(jìn)行口令強(qiáng)度管理使用、訪問權(quán)限進(jìn)行嚴(yán)格限制相應(yīng)的日志檢查，審計(jì)和歸檔安全管理策略1.1.5 滿足指標(biāo)表Error! No text of specified style in document.2 安全加固等保符合性說明表1解決方案名稱控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對象安全加固解決方案網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；配置登錄用戶身份鑒別網(wǎng)絡(luò)設(shè)備安全配置與加

13、固網(wǎng)絡(luò)設(shè)備b應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；配置登錄地址限制網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備c網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；消除共享用戶網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備d主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備采購部署雙因素鑒別e身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；配置口令復(fù)雜度與更換要求網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備f應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；配置登錄失敗處理功能網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備g當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施

14、防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；配置遠(yuǎn)程管理采用SSH等加密方式網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備h應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。配置特權(quán)用戶權(quán)限分離網(wǎng)絡(luò)設(shè)備安全配置與加固網(wǎng)絡(luò)設(shè)備安全加固解決方案主機(jī)安全訪問控制a應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；訪問控制策略操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件b應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；管理用戶權(quán)限最小化操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件c應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；特權(quán)用戶權(quán)限分離操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等

15、軟件d應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；限制默認(rèn)帳戶操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件e應(yīng)及時(shí)刪除多余的、過期的帳戶，避免共享帳戶的存在。清理帳戶操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件f應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；重要信息資源設(shè)置敏感標(biāo)記采購部署操作系統(tǒng)與數(shù)據(jù)庫等軟件g應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；配置敏感信息資源訪問策略操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件入侵防范a應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入

16、侵事件時(shí)提供報(bào)警；采購與配置主機(jī)入侵檢測軟件采購部署主機(jī)入侵檢測軟件b應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；配置主機(jī)入侵檢測軟件的完整性檢測和恢復(fù)功能安全產(chǎn)品配置主機(jī)入侵檢測軟件c操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。主機(jī)最小安裝操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)c操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。設(shè)置補(bǔ)丁服務(wù)器采購部署補(bǔ)丁服務(wù)器和軟件解決方案名稱控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對象系統(tǒng)安全加固主機(jī)

17、安全剩余信息保護(hù)a應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；鑒別信息存儲空間清除操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)和數(shù)據(jù)庫b應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。存儲空間清除操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)和數(shù)據(jù)庫資源控制a應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；主機(jī)安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)b應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；主機(jī)安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系

18、統(tǒng)c應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；采購部署網(wǎng)管監(jiān)控系統(tǒng)，實(shí)現(xiàn)重要服務(wù)器監(jiān)控采購部署主機(jī)性能管理d應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度；主機(jī)安全配置與加固操作系統(tǒng)與數(shù)據(jù)庫安全配置與加固操作系統(tǒng)e應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警。配置網(wǎng)管系統(tǒng)的監(jiān)控與報(bào)警，實(shí)現(xiàn)服務(wù)水平監(jiān)控產(chǎn)品配置主機(jī)性能管理解決方案名稱控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對象安全加固解決方案應(yīng)用安全訪問控制a應(yīng)提供訪問控制功能，依據(jù)安全策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問控制功能應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)b訪問控制的覆蓋范圍應(yīng)包

19、括與資源訪問相關(guān)的主體、客體及它們之間的操作；訪問控制主體、客體及操作要求應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)c應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；配置訪問控制策略應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)d應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。最小權(quán)限與制約應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)e應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；設(shè)置敏感標(biāo)記的功能應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)f應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；控制敏感重要信息資源操作應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)剩余信息保護(hù)a應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；鑒別信息存儲空間清除應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。存儲空間清除應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)抗抵賴a應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；配置抗抵賴應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。配置抗抵賴應(yīng)用軟件安全開發(fā)與改造業(yè)務(wù)系統(tǒng)軟件容錯(cuò)a應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通過通信