安全加固解决方案报告书

1、1.1安全加固解决方案1.1.1安全加固围及方法确定力卩固的围是电视台全台网中的主机系统和网络设备，以及相关的数据库系统。主要有：服务器加固。主要包括对 Windows服务器和Unix服务器的评估加固, 其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。 网络设备加固。主要包括对防火墙，交换机的评估加固。安全加固服务主要以人工的方式实现。1.1.2安全加固流程安仝加固流程匡图 错误！文档中没有指定样式的文字。-1安全加固流程图检查当前设备确定系统漏洞图错误！文档中没有指定样式的文字。-2系统加固实施流程图 21.1.3安全加固步骤1.准备工作一人操作，一人记录，尽量防止可能出现的误操

2、作。2收集系统信息加固之前收集所有的系统信息和用户服务需求，收集所有应用和服务软件信 息，做好加固前预备工作。3做好备份工作系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的风险，当加固失败时，可以恢复到加固前状态4.加固系统按照系统加固核对表，逐项按顺序执行操作。5. 复查配置对加固后的系统，全部复查一次所作加固容，确保正确无误。6. 应急恢复同时与安全专当出现不可预料的后果时，首先使用备份恢复系统提供服务, 家小组取得联系，寻求帮助，解决问题1.1.4安全加固容表错误!文档中没有指定样式的文字。-1安全加固容说明表加固对象操作系统加固项目说明UNIX系统 及类UNIX 系统S

3、olaris，HP-UX AIX， lin ux，FreeBSD ，Ope nBSDSCO补丁从厂家或者可信任站点下载系统的补丁包，不冋的操 作系统版本以及运行不同的服务，都可能造成需要安 装的补丁包不同，所以必须选择适合本机的补丁包安 装。视机器配置而疋文件系统UNIX文件系统的权限配置项目繁多，要求也很严格， 不适当的配置可能造成用户非法取得操作系统超级用 户的控制权，从而完全控制操作系统。有30项左右配置配置文件UNIX配置文件功能有点类似微软的注册表，UNIX对操作系统配置基本上都是通过各种配置文件来完成，不 合理的配置文件可能造成用户非法取得操作系统超级 用户的控制权，从而完全控制操

4、作系统。例如：/etc/i ni ttab文件是系统加载时首先自动执行的文件，/etc/hosts 。 equiv是限制主机信任关系的文件 等。有20项左右配置管理口令是从网络访问 UNIX系统的基本认证方式，很多系 统被入侵都是因为管理不善， 设置超级用户密码强度， 密码的缺省配置策略（例如：密码长度，更换时间，所 在组，锁定等多方面）。有些系统可以配置使用更强的 加密算法。有10项左右配置网络及服 务UNIX有很多缺省打开的服务，这些服务都可能泄露本 机信息，或存在未被发现的安全漏洞，关闭不必要的 服务，能尽量降低被入侵的可能性。例如r系列服务和rpc的rstatd 都出过不止一次远程安全

5、漏洞。UNIX 缺省的网络配置参数也不尽合理，例如TCP序列号随机强度，对 D o。S攻击的抵抗能力等，合理配置网 络参数，能优化操作系统性能，提高安全性。视机器配置而疋30项NFS系统网络文件系统协议最早是 SUN公司开发出来的，以实 现文件系统共享。NFS使用RPC服务，其验证方式存 在缺陷，NFS服务的缺省配置也很不安全，如果必须 使用NFS系统，一定进行安全的配置。视操作系统而定应用软件我们建议操作系统安装最小软件包，例如不安装开发 包，不安装不必要的库，不安装编绎器等，但很多情 况下必须安装一些软件包。APACHE或NETSCAPIENTERPRISE SERVE是一般 UNIX首选

6、的 WE冋艮务器， 其配置本身就是一项独立的服务和域名服务等都需要 进行合理的配置。审计，日 志做好系统的审计和日志工作，对于事后取证追查，帮 助发现问题，都能提供很多必要信息。例如，打开审 计功能，记录所有用户执行过的命令。例如实现日志 集中管理，避免被入侵主机日志被删除等。视机器配置而疋其它不冋的 UNIX系统有一些特别的安全配置，例如 solaris 有 ASET HP 的高级别安全，FreeBSD 的 jail 等。视机器配置而疋最后工作建议用户做系统完全备份，并对关键部份做数字签名。微软操作系统NT 4.0 /W2K(workstati on,server,professi onal

7、,advaneed server )补丁微软操作系统对新发现的漏洞修补是使用ServicePack 及 hotfix ,另外，还需要安装C2级安全配置。视机器配置而定文件系统配置NTFS文件系统，NTFS可以支持更多更强大的的 安全配置，设置需要特殊保护的目录和文件，设置不 同目录和文件的权限，移动或删除特别的系统命令文 件，增加入侵者操作的难度。有20项左右配置管理口令是从网络访问 NT/2K系统的基本认证方式，很多 系统被入侵都是因为管理不善，设置超级用户密码强 度，密码的缺省配置策略（例如：密码长度，更换时间， 所在组，可访问资源，锁定等多方面），GUEST以及加强的密码管理（SYSKE

8、Y）等。有10项左右配置网络及服 务网络和服务是互联网上用户与此服务器接口的部分， 网络协议的配置不当，服务进程设置不当，都可能为 入侵系统打开方便之门。合理地配置网络及服务将能 阻挡80%勺普通入侵视机器配置而定注册表微软操作系统缺省的安装是为了能兼容各种运行环境，因此很多权限设置都很宽，这不符合”最小权限”的基本原则，我们需要根据不同的环境， 备份注册表， 再人为地更改注册表容，配置最小权限的稳定运行的 系统。例如：不允许远程注册表配置，设置LSA尽量减少远程用户可以获取的信息，设置注册表本身的访 问控制，禁止空连接，对其它操作系统和POSIX的支持，对登录信息的缓存等。也有很多选项需要根

9、据不 冋用户需求来制定，例如：当安全策略因为某些因素 （磁盘满）而不能运作时，是否强制系统停止运行。有 40项以上配置卄享/、共享是向网络上的用户开放对本机的资源访问权限， 不合理的配置以及系统的缺省共享配置，都可能造成 远程用户对系统的文件，打印机等资源的非法访问和 操作。我们需要删除不必要的共享，合理配置共享的 访问控制列表。视机器配置而定应用软件我们建议安装最小的软件包，不安装不必要的应用软 件。但是很多情况应用软件提供不可缺少的服务，这 时我们就必须安全地配置它们。IE被微软绑定为操作系统的一部分，IE的安全直接影响到系统的安全。 我们需要升级IE的版本，安装IE的补丁，设置IE 的安

10、全级别，及各项安全相关配置outlook ， powerpoi nt及其它等多种软件都可能存在安全冋题， 需要安装补丁程序。IIS提供WW的服务，这是一般 NT服务器首选的 WEB服务器，但是IIS本身存在很多 安全漏洞，直到现在仍然经常发现新的安全漏洞，IIS的缺省配置，目录设置，权限设置，安全设置等多方 面配置不当也是系统安全的巨大隐患。IIS的加固本身就可以成为一项独立的服务容。视机器配置而定审计，日 志做好系统的审计和日志工作，对于事后取证追查，帮 助发现问题，都能提供很多必要信息视机器配置而定其它其它方面视不冋环境而定，例如需要删除多余的系统 安装包，安装主机防病毒软件，等多项操作。最后工作重新制作新的系统紧急恢复盘 （ERD）,建议用户做系统 完全备份，并对关键部份做数字签名。网络设备交换机，路由 器，防火墙检查及加 固项目会 根据不同 厂商的设 备而不 同，具体 容在加固 前将会根 据评估的 实际情况 而定制订或调整完善网络设备安全策略配置登录地址限制配置登录用户身份鉴别配置特权用户权限分离消除共享用户配置口令复杂度与更换要求配置登录失败处理功