安全加固解决方案.doc

1.1 安全加固解决方案 1.1.1 安全加固范围及方法确定 加固得范围就是陕西电视台全台网中得主机系统与网络设备，以及相关得数据库系统。主要有： l 服务器加固。主要包括对Windows服务器与Unix服务器得评估加固，其中还包括对服务器操作系统层面得评估与数据库层面得评估加固。 l 网络设备加固。主要包括对防火墙，交换机得评估加固。 l 安全加固服务主要以人工得方式实现。 1.1.2 安全加固流程 图 Error! No text of specified style in document.1 安全加固流程图 图 Error! No text of specified style in document.2 系统加固实施流程图2 1.1.3 安全加固步骤 1. 准备工作 一人操作，一人记录，尽量防止可能出现得误操作。 2. 收集系统信息 加固之前收集所有得系统信息与用户服务需求，收集所有应用与服务软件信息，做好加固前预备工作。 3. 做好备份工作 系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见得风险，当加固失败时，可以恢复到加固前状态。 4. 加固系统 按照系统加固核对表，逐项按顺序执行操作。 5. 复查配置 对加固后得系统，全部复查一次所作加固内容，确保正确无误。 6. 应急恢复 当出现不可预料得后果时，首先使用备份恢复系统提供服务，同时与安全专家小组取得联系，寻求帮助，解决问题 1.1.4 安全加固内容 表Error! No text of specified style in document.1 安全加固内容说明表 加固对象 操作系统 加固项目 说明 UNIX系统及类UNIX系统 Solaris ， HP-UX， AIX， linux， FreeBSD， OpenBSD，SCO 补丁 从厂家网站或者可信任站点下载系统得补丁包，不同得操作系统版本以及运行不同得服务，都可能造成需要安装得补丁包不同，所以必须选择适合本机得补丁包安装。 [视机器配置而定] 文件系统 UNIX文件系统得权限配置项目繁多，要求也很严格，不适当得配置可能造成用户非法取得操作系统超级用户得控制权，从而完全控制操作系统。[有30项左右配置] 配置文件 UNIX配置文件功能有点类似微软得注册表，UNIX对操作系统配置基本上都就是通过各种配置文件来完成，不合理得配置文件可能造成用户非法取得操作系统超级用户得控制权，从而完全控制操作系统。例如：/etc/inittab文件就是系统加载时首先自动执行得文件，/etc/hosts。equiv就是限制主机信任关系得文件等。 [有20项左右配置] 帐号管理 帐号口令就是从网络访问UNIX系统得基本认证方式，很多系统被入侵都就是因为帐号管理不善，设置超级用户密码强度，密码得缺省配置策略(例如：密码长度，更换时间，帐号所在组，帐号锁定等多方面)。有些系统可以配置使用更强得加密算法。[有10项左右配置] 网络及服务 UNIX有很多缺省打开得服务，这些服务都可能泄露本机信息，或存在未被发现得安全漏洞，关闭不必要得服务，能尽量降低被入侵得可能性。例如r系列服务与rpc得rstatd都出过不止一次远程安全漏洞。UNIX缺省得网络配置参数也不尽合理，例如TCP序列号随机强度，对D。o。S攻击得抵抗能力等，合理配置网络参数，能优化操作系统性能，提高安全性。 [视机器配置而定>30项] NFS系统 网络文件系统协议最早就是SUN公司开发出来得，以实现文件系统共享。NFS使用RPC服务，其验证方式存在缺陷，NFS服务得缺省配置也很不安全，如果必须使用NFS系统，一定进行安全得配置。 [视操作系统而定] 应用软件 我们建议操作系统安装最小软件包，例如不安装开发包，不安装不必要得库，不安装编绎器等，但很多情况下必须安装一些软件包。 APACHE或NETSCAPE ENTERPRISE SERVER就是一般UNIX首选得WEB服务器，其配置本身就就是一项独立得服务邮件与域名服务等都需要进行合理得配置。 审计，日志 做好系统得审计与日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息。例如，打开帐号审计功能，记录所有用户执行过得命令。例如实现日志集中管理，避免被入侵主机日志被删除等。 [视机器配置而定] 其它 不同得UNIX系统有一些特别得安全配置，例如solaris有ASET，HP得高级别安全， FreeBSD得jail等。 [视机器配置而定] 最后工作 建议用户做系统完全备份，并对关键部份做数字签名。 微软操作系统 NT 4、0 / W2K ( workstation ， server ， professional ， advanced server ) 补丁 微软操作系统对新发现得漏洞修补就是使用Service Pack 及 hotfix， 另外，还需要安装C2级安全配置。 [视机器配置而定] 文件系统 配置NTFS文件系统，NTFS可以支持更多更强大得得安全配置，设置需要特殊保护得目录与文件，设置不同目录与文件得权限，移动或删除特别得系统命令文件，增加入侵者操作得难度。[有20项左右配置] 帐号管理 帐号口令就是从网络访问NT/2K系统得基本认证方式，很多系统被入侵都就是因为帐号管理不善，设置超级用户密码强度，密码得缺省配置策略(例如：密码长度，更换时间，帐号所在组，帐号可访问资源，帐号锁定等多方面)，GUEST帐号以及加强得密码管理(SYSKEY)等。[有10项左右配置] 网络及服务 网络与服务就是互联网上用户与此服务器接口得部分，网络协议得配置不当，服务进程设置不当，都可能为入侵系统打开方便之门。合理地配置网络及服务将能阻挡80%得普通入侵[视机器配置而定] 注册表 微软操作系统缺省得安装就是为了能兼容各种运行环境，因此很多权限设置都很宽，这不符合"最小权限"得基本原则，我们需要根据不同得环境，备份注册表，再人为地更改注册表内容，配置最小权限得稳定运行得系统。例如：不允许远程注册表配置，设置LSA尽量减少远程用户可以获取得信息，设置注册表本身得访问控制，禁止空连接，对其它操作系统与POSIX得支持，对登录信息得缓存等。也有很多选项需要根据不同用户需求来制定，例如：当安全策略因为某些因素(磁盘满)而不能运作时，就是否强制系统停止运行。[有40项以上配置] 共享 共享就是向网络上得用户开放对本机得资源访问权限，不合理得配置以及系统得缺省共享配置，都可能造成远程用户对系统得文件，打印机等资源得非法访问与操作。我们需要删除不必要得共享，合理配置共享得访问控制列表。[视机器配置而定] 应用软件 我们建议安装最小得软件包，不安装不必要得应用软件。但就是很多情况应用软件提供不可缺少得服务，这时我们就必须安全地配置它们。 IE被微软绑定为操作系统得一部分，IE得安全直接影响到系统得安全。我们需要升级IE得版本，安装IE得补丁，设置IE得安全级别，及各项安全相关配置outlook，powerpoint及其它等多种软件都可能存在安全问题，需要安装补丁程序。 IIS提供WWW得服务，这就是一般NT服务器首选得WEB服务器，但就是IIS本身存在很多安全漏洞，直到现在仍然经常发现新得安全漏洞，IIS得缺省配置，目录设置，权限设置，安全设置等多方面配置不当也就是系统安全得巨大隐患。IIS得加固本身就可以成为一项独立得服务内容。 [视机器配置而定] 审计，日志 做好系统得审计与日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息[视机器配置而定] 其它 其它方面视不同环境而定，例如需要删除多余得系统安装包，安装主机防病毒软件，等多项操作。 最后工作 重新制作新得系统紧急恢复盘(ERD)，建议用户做系统完全备份，并对关键部份做数字签名。 网络设备 交换机，路由器，防火墙 检查及加固项目会根据不同厂商得设备而不同，具体内容在加固前将会根据评估得实际情况而定 制订或调整完善网络设备安全策略 配置登录地址限制 配置登录用户身份鉴别 配置特权用户权限分离 消除共享用户 配置口令复杂度与更换要求 配置登录失败处理功能 配置远程管理采用SSH等加密方式 采购与配置网络设备双因素鉴别设备 用户拿到IOS升级包，在设备厂家工程师现场协助下进行IOS升级。 关闭不必要得服务 关闭不使用得网络接口 给出重要协议、地址与端口访问控制配置原型 SNMP，T等服务 建议网络设备得配置文件离线备份，并由专人保管 期进行网络设备用户与口令维护，进行口令强度管理 使用、访问权限进行严格限制 相应得日志检查，审计与归档安全管理策略 1.1.5 满足指标 表Error! No text of specified style in document.2 安全加固等保符合性说明表1 解决方案名称 控制类 控制点 指标名称 措施名称 改进动作 改进对象 安全加固解决方案 网络安全 网络设备防护 a 应对登录网络设备得用户进行身份鉴别； 配置登录用户身份鉴别 网络设备安全配置与加固 网络设备 b 应对网络设备得管理员登录地址进行限制； 配置登录地址限制 网络设备安全配置与加固 网络设备 c 网络设备用户得标识应唯一； 消除共享用户 网络设备安全配置与加固 网络设备 d 主要网络设备应对同一用户选择两种或两种以上组合得鉴别技术来进行身份鉴别； 采购与配置网络设备双因素鉴别设备 采购部署 双因素鉴别 e 身份鉴别信息应具有不易被冒用得特点，口令应有复杂度要求并定期更换； 配置口令复杂度与更换要求 网络设备安全配置与加固 网络设备 f 应具有登录失败处理功能，可采取结束会话、限制非法登录次数与当网络登录连接超时自动退出等措施； 配置登录失败处理功能 网络设备安全配置与加固 网络设备 g 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； 配置远程管理采用SSH等加密方式 网络设备安全配置与加固 网络设备 h 应实现设备特权用户得权限分离。 配置特权用户权限分离 网络设备安全配置与加固 网络设备 安全加固解决方案 主机安全 访问控制 a 应启用访问控制功能，依据安全策略控制用户对资源得访问； 访问控制策略 操作系统与数据库安全配置与加固 操作系统与数据库等软件 b 应根据管理用户得角色分配权限，实现管理用户得权限分离，仅授予管理用户所需得最小权限； 管理用户权限最小化 操作系统与数据库安全配置与加固 操作系统与数据库等软件 c 应实现操作系统与数据库系统特权用户得权限分离； 特权用户权限分离 操作系统与数据库安全配置与加固 操作系统与数据库等软件 d 应严格限制默认帐户得访问权限，重命名系统默认帐户，修改这些帐户得默认口令； 限制默认帐户 操作系统与数据库安全配置与加固 操作系统与数据库等软件 e 应及时删除多余得、过期得帐户，避免共享帐户得存在。 清理帐户 操作系统与数据库安全配置与加固 操作系统与数据库等软件 f 应对重要信息资源设置敏感标记； 重要信息资源设置敏感标记 采购部署 操作系统与数据库等软件 g 应依据安全策略严格控制用户对有敏感标记重要信息资源得操作； 配置敏感信息资源访问策略 操作系统与数据库安全配置与加固 操作系统与数据库等软件 入侵防范 a 应能够检测到对重要服务器进行入侵得行为，能够记录入侵得源IP、攻击得类型、攻击得目得、攻击得时间，并在发生严重入侵事件时提供报警； 采购与配置主机入侵检测软件 采购部署 主机入侵检测软件 b 应能够对重要程序得完整性进行检测，并在检测到完整性受到破坏后具有恢复得措施； 配置主机入侵检测软件得完整性检测与恢复功能 安全产品配置 主机入侵检测软件 c 操作系统应遵循最小安装得原则，仅安装需要得组件与应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 主机最小安装 操作系统与数据库安全配置与加固 操作系统 c 操作系统应遵循最小安装得原则，仅安装需要得组件与应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 设置补丁服务器 采购部署 补丁服务器与软件 解决方案名称 控制类 控制点 指标名称 措施名称 改进动作 改进对象 系统安全加固 主机安全 剩余信息保护 a 应保证操作系统与数据库系统用户得鉴别信息所在得存储空间，被释放或再分配给其她用户前得到完全清除，无论这些信息就是存放在硬盘上还就是在内存中； 鉴别信息存储空间清除 操作系统与数据库安全配置与加固 操作系统与数据库 b 应确保系统内得文件、目录与数据库记录等资源所在得存储空间，被释放或重新分配给其她用户前得到完全清除。 存储空间清除 操作系统与数据库安全配置与加固 操作系统与数据库 资源控制 a 应通过设定终端接入方式、网络地址范围等条件限制终端登录； 主机安全配置与加固 　操作系统与数据库安全配置与加固 操作系统 b 应根据安全策略设置登录终端得操作超时锁定； 主机安全配置与加固 　操作系统与数据库安全配置与加固 操作系统 c 应对重要服务器进行监视，包括监视服务器得CPU、硬盘、内存、网络等资源得使用情况； 采购部署网管监控系统，实现重要服务器监控 采购部署 主机性能管理 d 应限制单个用户对系统资源得最大或最小使用限度； 主机安全配置与加固 　操作系统与数据库安全配置与加固 操作系统 e 应能够对系统得服务水平降低到预先规定得最小值进行检测与报警。 配置网管系统得监控与报警，实现服务水平监控 产品配置 主机性能管理 解决方案名称 控制类 控制点 指标名称 措施名称 改进动作 改进对象 安全加固解决方案 应用安全 访问控制 a 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体得访问； 访问控制功能 应用软件安全开发与改造 业务系统 b 访问控制得覆盖范围应包括与资源访问相关得主体、客体及它们之间得操作； 访问控制主体、客体及操作要求 应用软件安全开发与改造 业务系统 c 应由授权主体配置访问控制策略，并严格限制默认帐户得访问权限； 配置访问控制策略 应用软件安全开发与改造 业务系统 d 应授予不同帐户为完成各自承担任务所需得最小权限，并在它们之间形成相互制约得关系。 最小权限与制约 应用软件安全开发与改造 业务系统 e 应具有对重要信息资源设置敏感标记得功能； 设置敏感标记得功能 应用软件安全开发与改造 业务系统 f 应依据安全策略严格控制用户对有敏感标记重要信息资源得操作； 控制敏感重要信息资源操作 应用软件安全开发与改造 业务系统 剩余信息保护 a 应保证用户鉴别信息所在得存储空间被释放或再分配给其她用户前得到完全清除，无论这些信息就是存放在硬盘上还就是在内存中； 鉴别信息存储空间清除 应用软件安全开发与改造 业务系统 b 应保证系统内得文件、目录与数据库记录等资源所在得存储空间被释放或重新分配给其她用户前得到完全清除。 存储空间清除 应用软件安全开发与改造 业务系统 抗抵赖 a 应具有在请求得情况下为数据原发者或接收者提供数据原发证据得功能； 　配置抗抵赖 应用软件安全开发与改造 业务系统 b 应具有在请求得情况下为数据原发者或接收者提供数据接收证据得功能。 　配置抗抵赖 应用软件安全开发与改造 业务系统 软件容错 a 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入得数据格式或长度符合系统设定要求； 输入有效性验证，防止溢出或注入 应用软件安全开发与改造 业务系统 b 应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。 　开发设计自动保存状态功能 应用软件安全开发与改造 业务系统 表Error! No text of specified style in document.3 安全加固等保符合性说明表2 解决方案名称 控制类 控制点 指标名称 措施名称 改进动作 改进对象 安全加固解决方案 应用安全 资源控制 a 当应用系统得通信双方中得一方在一段时间内未作任何响应，另一方应能够自动结束会话； 业务系统开发 应用软件安全开发与改造 操作系统与业务系统 b 应能够对系统得最大并发会话连接数进行限制； 配置操作系统及业务系统 应用软件安全开发与改造 操作系统与业务系统 c 应能够对单个帐户得多重并发会话进行限制； 配置操作系统及业务系统 应用软件安全开发与改造 操作系统与业务系统 d 应能够对一个时间段内可能得并发会话连接数进行限制； 配置操作系统及业务系统 应用软件安全开发与改造 操作系统与业务系统 e 应能够对一个访问帐户或一个请求进程占用得资源分配最大限额与最小限额； 配置操作系统及业务系统 应用软件安全开发与改造 操作系统与业务系统 f 应能够对系统服务水平降低到预先规定得最小值进行检测与报警； 配置操作系统及业务系统 应用软件安全开发与改造 操作系统与业务系统 g 应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程得优先级，根据优先级分配系统资源。 配置操作系统及业务系统 应用软件安全开发与改造 操作系统与业务系统