安全加固解決及方案

-.z平安加固解決方案平安加固圍及方法確定加固的圍是電視臺全臺網(wǎng)中的主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備，以及相關(guān)的數(shù)據(jù)庫系統(tǒng)。主要有：效勞器加固。主要包括對Windows效勞器和Uni*效勞器的評估加固，其中還包括對效勞器操作系統(tǒng)層面的評估和數(shù)據(jù)庫層面的評估加固。網(wǎng)絡(luò)設(shè)備加固。主要包括對防火墻，交換機(jī)的評估加固。平安加固效勞主要以人工的方式實(shí)現(xiàn)。平安加固流程圖STYLEREF1\s4SEQ圖\*ARABIC\s17平安加固流程圖圖STYLEREF1\s4SEQ圖\*ARABIC\s18系統(tǒng)加固實(shí)施流程圖2平安加固步驟準(zhǔn)備工作一人操作，一人記錄，盡量防止可能出現(xiàn)的誤操作。收集系統(tǒng)信息加固之前收集所有的系統(tǒng)信息和用戶效勞需求，收集所有應(yīng)用和效勞軟件信息，做好加固前預(yù)備工作。做好備份工作系統(tǒng)加固之前，先對系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風(fēng)險(xiǎn)，當(dāng)加固失敗時(shí)，可以恢復(fù)到加固前狀態(tài)。加固系統(tǒng)按照系統(tǒng)加固核對表，逐項(xiàng)按順序執(zhí)行操作。復(fù)查配置對加固后的系統(tǒng)，全部復(fù)查一次所作加固容，確保正確無誤。應(yīng)急恢復(fù)當(dāng)出現(xiàn)不可預(yù)料的后果時(shí)，首先使用備份恢復(fù)系統(tǒng)提供效勞，同時(shí)與平安專家小組取得聯(lián)系，尋求幫助，解決問題平安加固容表STYLEREF1\s4SEQ表\*ARABIC\s113平安加固容說明表加固對象操作系統(tǒng)加固工程說明UNI*系統(tǒng)及類UNI*系統(tǒng)Solaris，HP-U*，AI*，linu*，F(xiàn)reeBSD，OpenBSD，SCO補(bǔ)丁從廠家或者可信任站點(diǎn)下載系統(tǒng)的補(bǔ)丁包，不同的操作系統(tǒng)版本以及運(yùn)行不同的效勞，都可能造成需要安裝的補(bǔ)丁包不同，所以必須選擇適合本機(jī)的補(bǔ)丁包安裝。[視機(jī)器配置而定]文件系統(tǒng)UNI*文件系統(tǒng)的權(quán)限配置工程繁多，要求也很嚴(yán)格，不適當(dāng)?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。[有30項(xiàng)左右配置]配置文件UNI*配置文件功能有點(diǎn)類似微軟的注冊表，UNI*對操作系統(tǒng)配置根本上都是通過各種配置文件來完成，不合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級用戶的控制權(quán)，從而完全控制操作系統(tǒng)。例如：/etc/inittab文件是系統(tǒng)加載時(shí)首先自動執(zhí)行的文件，/etc/hosts。equiv是限制主機(jī)信任關(guān)系的文件等。[有20項(xiàng)左右配置]管理口令是從網(wǎng)絡(luò)訪問UNI*系統(tǒng)的根本認(rèn)證方式，很多系統(tǒng)被入侵都是因?yàn)楣芾聿簧?，設(shè)置超級用戶密碼強(qiáng)度，密碼的缺省配置策略(例如：密碼長度，更換時(shí)間，所在組，鎖定等多方面)。有些系統(tǒng)可以配置使用更強(qiáng)的加密算法。[有10項(xiàng)左右配置]網(wǎng)絡(luò)及效勞UNI*有很多缺省翻開的效勞，這些效勞都可能泄露本機(jī)信息，或存在未被發(fā)現(xiàn)的平安漏洞，關(guān)閉不必要的效勞，能盡量降低被入侵的可能性。例如r系列效勞和rpc的rstatd都出過不止一次遠(yuǎn)程平安漏洞。UNI*缺省的網(wǎng)絡(luò)配置參數(shù)也不盡合理，例如TCP序列號隨機(jī)強(qiáng)度，對D。o。S攻擊的抵抗能力等，合理配置網(wǎng)絡(luò)參數(shù)，能優(yōu)化操作系統(tǒng)性能，提高平安性。[視機(jī)器配置而定>30項(xiàng)]NFS系統(tǒng)網(wǎng)絡(luò)文件系統(tǒng)協(xié)議最早是SUN公司開發(fā)出來的，以實(shí)現(xiàn)文件系統(tǒng)共享。NFS使用RPC效勞，其驗(yàn)證方式存在缺陷，NFS效勞的缺省配置也很不平安，如果必須使用NFS系統(tǒng)，一定進(jìn)展平安的配置。[視操作系統(tǒng)而定]應(yīng)用軟件我們建議操作系統(tǒng)安裝最小軟件包，例如不安裝開發(fā)包，不安裝不必要的庫，不安裝編繹器等，但很多情況下必須安裝一些軟件包。APACHE或NETSCAPEENTERPRISESERVER是一般UNI*首選的WEB效勞器，其配置本身就是一項(xiàng)獨(dú)立的效勞和域名效勞等都需要進(jìn)展合理的配置。審計(jì)，日志做好系統(tǒng)的審計(jì)和日志工作，對于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息。例如，翻開審計(jì)功能，記錄所有用戶執(zhí)行過的命令。例如實(shí)現(xiàn)日志集中管理，防止被入侵主機(jī)日志被刪除等。[視機(jī)器配置而定]其它不同的UNI*系統(tǒng)有一些特別的平安配置，例如solaris有ASET，HP的高級別平安，F(xiàn)reeBSD的jail等。[視機(jī)器配置而定]最后工作建議用戶做系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。微軟操作系統(tǒng)NT4.0/W2K(workstation，server，professional，advancedserver)補(bǔ)丁微軟操作系統(tǒng)對新發(fā)現(xiàn)的漏洞修補(bǔ)是使用ServicePack及hotfi*，另外，還需要安裝C2級平安配置。[視機(jī)器配置而定]文件系統(tǒng)配置NTFS文件系統(tǒng)，NTFS可以支持更多更強(qiáng)大的的平安配置，設(shè)置需要特殊保護(hù)的目錄和文件，設(shè)置不同目錄和文件的權(quán)限，移動或刪除特別的系統(tǒng)命令文件，增參加侵者操作的難度。[有20項(xiàng)左右配置]管理口令是從網(wǎng)絡(luò)訪問NT/2K系統(tǒng)的根本認(rèn)證方式，很多系統(tǒng)被入侵都是因?yàn)楣芾聿簧疲O(shè)置超級用戶密碼強(qiáng)度，密碼的缺省配置策略(例如：密碼長度，更換時(shí)間，所在組，可訪問資源，鎖定等多方面)，GUEST以及加強(qiáng)的密碼管理(SYSKEY)等。[有10項(xiàng)左右配置]網(wǎng)絡(luò)及效勞網(wǎng)絡(luò)和效勞是互聯(lián)網(wǎng)上用戶與此效勞器接口的局部，網(wǎng)絡(luò)協(xié)議的配置不當(dāng)，效勞進(jìn)程設(shè)置不當(dāng)，都可能為入侵系統(tǒng)翻開方便之門。合理地配置網(wǎng)絡(luò)及效勞將能阻擋80%的普通入侵[視機(jī)器配置而定]注冊表微軟操作系統(tǒng)缺省的安裝是為了能兼容各種運(yùn)行環(huán)境，因此很多權(quán)限設(shè)置都很寬，這不符合"最小權(quán)限"的根本原則，我們需要根據(jù)不同的環(huán)境，備份注冊表，再人為地更改注冊表容，配置最小權(quán)限的穩(wěn)定運(yùn)行的系統(tǒng)。例如：不允許遠(yuǎn)程注冊表配置，設(shè)置LSA盡量減少遠(yuǎn)程用戶可以獲取的信息，設(shè)置注冊表本身的訪問控制，制止空連接，對其它操作系統(tǒng)和POSI*的支持，對登錄信息的緩存等。也有很多項(xiàng)選擇項(xiàng)需要根據(jù)不同用戶需求來制定，例如：當(dāng)平安策略因?yàn)?些因素(磁盤滿)而不能運(yùn)作時(shí)，是否強(qiáng)制系統(tǒng)停頓運(yùn)行。[有40項(xiàng)以上配置]共享共享是向網(wǎng)絡(luò)上的用戶開放對本機(jī)的資源訪問權(quán)限，不合理的配置以及系統(tǒng)的缺省共享配置，都可能造成遠(yuǎn)程用戶對系統(tǒng)的文件，打印機(jī)等資源的非法訪問和操作。我們需要?jiǎng)h除不必要的共享，合理配置共享的訪問控制列表。[視機(jī)器配置而定]應(yīng)用軟件我們建議安裝最小的軟件包，不安裝不必要的應(yīng)用軟件。但是很多情況應(yīng)用軟件提供不可缺少的效勞，這時(shí)我們就必須平安地配置它們。IE被微軟綁定為操作系統(tǒng)的一局部，IE的平安直接影響到系統(tǒng)的平安。我們需要升級IE的版本，安裝IE的補(bǔ)丁，設(shè)置IE的平安級別，及各項(xiàng)平安相關(guān)配置outlook，powerpoint及其它等多種軟件都可能存在平安問題，需要安裝補(bǔ)丁程序。IIS提供WWW的效勞，這是一般NT效勞器首選的WEB效勞器，但是IIS本身存在很多平安漏洞，直到現(xiàn)在仍然經(jīng)常發(fā)現(xiàn)新的平安漏洞，IIS的缺省配置，目錄設(shè)置，權(quán)限設(shè)置，平安設(shè)置等多方面配置不當(dāng)也是系統(tǒng)平安的巨大隱患。IIS的加固本身就可以成為一項(xiàng)獨(dú)立的效勞容。[視機(jī)器配置而定]審計(jì)，日志做好系統(tǒng)的審計(jì)和日志工作，對于事后取證追查，幫助發(fā)現(xiàn)問題，都能提供很多必要信息[視機(jī)器配置而定]其它其它方面視不同環(huán)境而定，例如需要?jiǎng)h除多余的系統(tǒng)安裝包，安裝主機(jī)防病毒軟件，等多項(xiàng)操作。最后工作重新制作新的系統(tǒng)緊急恢復(fù)盤(ERD)，建議用戶做系統(tǒng)完全備份，并對關(guān)鍵部份做數(shù)字簽名。網(wǎng)絡(luò)設(shè)備交換機(jī)，路由器，防火墻檢查及加固工程會根據(jù)不同廠商的設(shè)備而不同，具體容在加固前將會根據(jù)評估的實(shí)際情況而定制訂或調(diào)整完善網(wǎng)絡(luò)設(shè)備平安策略配置登錄地址限制配置登錄用戶身份鑒別配置特權(quán)用戶權(quán)限別離消除共享用戶配置口令復(fù)雜度與更換要求配置登錄失敗處理功能配置遠(yuǎn)程管理采用SSH等加密方式采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備用戶拿到IOS升級包，在設(shè)備廠家工程師現(xiàn)場協(xié)助下進(jìn)展IOS升級。關(guān)閉不必要的效勞關(guān)閉不使用的網(wǎng)絡(luò)接口給出重要協(xié)議、地址和端口訪問控制配置原型SNMP，TFTP，NTP等效勞建議網(wǎng)絡(luò)設(shè)備的配置文件離線備份，并由專人保管期進(jìn)展網(wǎng)絡(luò)設(shè)備用戶和口令維護(hù)，進(jìn)展口令強(qiáng)度管理使用、訪問權(quán)限進(jìn)展嚴(yán)格限制相應(yīng)的日志檢查，審計(jì)和歸檔平安管理策略滿足指標(biāo)表STYLEREF1\s4SEQ表\*ARABIC\s114平安加固等保符合性說明表1解決方案名稱控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動作改進(jìn)對象平安加固解決方案網(wǎng)絡(luò)平安網(wǎng)絡(luò)設(shè)備防護(hù)a應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)展身份鑒別；配置登錄用戶身份鑒別網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備b應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)展限制；配置登錄地址限制網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備c網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；消除共享用戶網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備d主要網(wǎng)絡(luò)設(shè)備應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)展身份鑒別；采購與配置網(wǎng)絡(luò)設(shè)備雙因素鑒別設(shè)備采購部署雙因素鑒別e身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；配置口令復(fù)雜度與更換要求網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備f應(yīng)具有登錄失敗處理功能，可采取完畢會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施；配置登錄失敗處理功能網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備g當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)展遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；配置遠(yuǎn)程管理采用SSH等加密方式網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備h應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限別離。配置特權(quán)用戶權(quán)限別離網(wǎng)絡(luò)設(shè)備平安配置與加固網(wǎng)絡(luò)設(shè)備平安加固解決方案主機(jī)平安訪問控制a應(yīng)啟用訪問控制功能，依據(jù)平安策略控制用戶對資源的訪問；訪問控制策略操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件b應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限別離，僅授予管理用戶所需的最小權(quán)限；管理用戶權(quán)限最小化操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件c應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限別離；特權(quán)用戶權(quán)限別離操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件d應(yīng)嚴(yán)格限制默認(rèn)的訪問權(quán)限，重命名系統(tǒng)默認(rèn)，修改這些的默認(rèn)口令；限制默認(rèn)操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件e應(yīng)及時(shí)刪除多余的、過期的，防止共享的存在。清理操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件f應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；重要信息資源設(shè)置敏感標(biāo)記采購部署操作系統(tǒng)與數(shù)據(jù)庫等軟件g應(yīng)依據(jù)平安策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；配置敏感信息資源訪問策略操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫等軟件入侵防a應(yīng)能夠檢測到對重要效勞器進(jìn)展入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；采購與配置主機(jī)入侵檢測軟件采購部署主機(jī)入侵檢測軟件b應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)展檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；配置主機(jī)入侵檢測軟件的完整性檢測和恢復(fù)功能平安產(chǎn)品配置主機(jī)入侵檢測軟件c操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級效勞器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。主機(jī)最小安裝操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)c操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級效勞器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。設(shè)置補(bǔ)丁效勞器采購部署補(bǔ)丁效勞器和軟件解決方案名稱控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動作改進(jìn)對象系統(tǒng)平安加固主機(jī)平安剩余信息保護(hù)a應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全去除，無論這些信息是存放在硬盤上還是在存中；鑒別信息存儲空間去除操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)和數(shù)據(jù)庫b應(yīng)確保系統(tǒng)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全去除。存儲空間去除操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)和數(shù)據(jù)庫資源控制a應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址圍等條件限制終端登錄；主機(jī)平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)b應(yīng)根據(jù)平安策略設(shè)置登錄終端的操作超時(shí)鎖定；主機(jī)平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)c應(yīng)對重要效勞器進(jìn)展監(jiān)視，包括監(jiān)視效勞器的CPU、硬盤、存、網(wǎng)絡(luò)等資源的使用情況；采購部署網(wǎng)管監(jiān)控系統(tǒng)，實(shí)現(xiàn)重要效勞器監(jiān)控采購部署主機(jī)性能管理d應(yīng)限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度；主機(jī)平安配置與加固操作系統(tǒng)與數(shù)據(jù)庫平安配置與加固操作系統(tǒng)e應(yīng)能夠?qū)ο到y(tǒng)的效勞水平降低到預(yù)先規(guī)定的最小值進(jìn)展檢測和報(bào)警。配置網(wǎng)管系統(tǒng)的監(jiān)控與報(bào)警，實(shí)現(xiàn)效勞水平監(jiān)控產(chǎn)品配置主機(jī)性能管理解決方案名稱控制類控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動作改進(jìn)對象平安加固解決方案應(yīng)用平安訪問控制a應(yīng)提供訪問控制功能，依據(jù)平安策略控制用戶對文件、數(shù)據(jù)庫表等客體的訪問；訪問控制功能應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)b訪問控制的覆蓋圍應(yīng)包括與資源訪問相關(guān)的主體、客體及它們之間的操作；訪問控制主體、客體及操作要求應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)c應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)的訪問權(quán)限；配置訪問控制策略應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)d應(yīng)授予不同為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。最小權(quán)限與制約應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)e應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；設(shè)置敏感標(biāo)記的功能應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)f應(yīng)依據(jù)平安策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；控制敏感重要信息資源操作應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)剩余信息保護(hù)a應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全去除，無論這些信息是存放在硬盤上還是在存中；鑒別信息存儲空間去除應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)保證系統(tǒng)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全去除。存儲空間去除應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)抗抵賴a應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；配置抗抵賴應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)b應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。配置抗抵賴應(yīng)用軟件平安開發(fā)與改造業(yè)務(wù)系統(tǒng)軟件容錯(cuò)a應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)