系统加固手册.doc

系统加固手册 目录 1. 系统加固实施方法 3 2. 系统加固概述 3 3. 系统加固和优化流程 4 3.1 系统加固和优化流程概述 4 3.2 加固流程图 5 3.3 使用语言描述加固过程 6 4. 系统状态调查 6 4.1 安全风险评估结果导入 6 4.2 确定目标系统的安全级别 6 4.3 确定加固代价 7 4.4 状态调查 8 5. 现存系统加固方案 8 1. 系统加固实施方法 保证信息系统的安全的最终步骤就是消除所发现的系统的安全问题，也是对系统实施安全加固和优化。对于有丰富的信息系统安全管理、维护经验的用户来讲系统的加固、优化工作也不是一件简单轻松的工作，完成这项工作是建立在具有以下知识、技能和经验之上的： 首先是了解整个企业对信息系统的功能、安全需求，能够根据这些信息确定系统加固的目标；其次是了解被加固系统的安全风险级别，制定周密的加固方案；最后是要求执行系统加固的技术人员十分了解相应操作系统管理、应用服务系统管理、应用程序开发、数据库管理等方面的知识和相关的安全知识以保证加固的质量。在做完加固工作后进行必要的功能和风险测试，以保证加固达到所要求的目标。 2. 系统加固概述 系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。 系统加固的对象，往往存在以下安全问题： 1. 安装、配置不符合安全需求； 2. 参数配置错误； 3. 使用、维护不符合安全需求； 4. 系统完整性被破坏； 5. 被注入木马程序； 6. 帐户/口令问题； 7. 安全漏洞没有及时修补； 8. 应用服务和应用程序滥用； 9. 应用程序开发存在安全问题等。 系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作： 1. 正确的安装； 2. 安装最新和全部OS和应用软件的安全补丁； 3. 操作系统和应用软件的安全配置； 4. 系统安全风险防范； 5. 提供系统使用和维护建议； 6. 系统功能测试； 7. 系统安全风险测试； 8. 系统完整性备份； 9. 必要时重建系统等。 系统加固和优化是一项十分复杂的工作，要经历几个过程的反复，为保证系统加固和化能够顺利进行并圆满完成，必须做好以下准备工作： 1. 明确系统加固目标; 2. 明确系统运行状况; 3. 明确加固风险 4. 做好系统备份以规避加固风险； 上述工作的结果决定了系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说，则可以归纳为： 1. 明确加固目标也就确定系统在做过加固和优化后，达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同. 明确加固目标的结果必须能够明确做加固和优化的系统如何在功能性与安全性之间寻求平衡，即加固后能达到的安全程度可以满足用户需求 2. 明确系统运行状况的内容包括: a) 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等. b) 系统上运行的应用系统及其正常所必需的服务. 3. 明确加固风险:系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。因此在加固前做好系统备份是非常重要的。 4. 系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限、等内容；最好做系统全备份以便快速恢复。 3. 系统加固和优化流程 3.1 系统加固和优化流程概述 系统加固和优化的流程主要由以下四个环节构成： 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果： Ø 系统安全需求分析 Ø 系统安全策略制订 Ø 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后，应确定被加固系统的安全级别，即确定被加固系统所能达到的安全程度。同时，也必须在分析上述服务结果的基础上确定对系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面： Ø 对系统进行加固 Ø 对系统进行测试 对系统进行测试的目的是检验在对系统使是安全加固后，系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程，即，每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求；如果其中一方面的要求不能满足，该加固步骤就要重新进行。 对有些系统会存在加固失败的情况，如果发生加固失败，则根据客户的选择，要么放弃加固，要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成系统加固和优化服务后的最终报告。其中包含以下内容： Ø 加固过程的完整记录 Ø 有关系统安全管理方面的建议或解决方案 Ø 对加固系统安全审计结果 上述这四个环节是完成加固必不可少的，就其中每个环节的具体内容根据不同情况会有所不同。其中区别较大的是对新建系统和现存系统的加固和优化。 新系统（或重新安装的系统）与现存系统相比较，新系统的加固和优化工作要相对简单些；现存系统的加固比较复杂，在一定情况下，现存系统必须完全重建，才能满足客户对系统的安全需求；新系统和旧系统的加固和优化流程不同，两者有各自的工作流程。 3.2 加固流程图 l 现存系统加固流程图 系统状态调查-〉确定安全级别-〉确定加固代价-〉确认加固可行性-〉[（不可行）-〉重建系统 -〉（可行）-〉制订加固方案]-〉用户确认-〉系统备份->实施加固-〉产生加固报告 3.3 使用语言描述加固过程 l 现存系统加固 系统备份->系统完整性检查-〉服务过滤-〉端口过滤-〉网络参数配置-〉简单测试-〉打补丁-〉功能测试-〉系统参数配置-〉功能测试-〉（如需要）恢复系统-〉重新执行加固步骤-〉功能测试-〉安装安全工具-〉功能测试-〉安全测试-〉加固-〉系统完整性备份 4. 系统状态调查 4.1 安全风险评估结果导入 安全风险评估的结果是进行系统加固和优化的依据。导入安全风险评估的结果是指这样一个过程： l 获得目标系统的安全风险评估报告，包括：安全风险评估的原始报告和正式报告； l 审计安全风险评估报告，审计的内容包括： ² 目标系统的状态：（使用风险评估的成果） Ø 硬件配置 Ø 操作系统 Ø 应用服务 Ø 应用程序 Ø 开发语言和工具 ² 目标系统的安全风险：（使用风险评估审计的结果） Ø 系统和服务的配置错误 Ø 系统和服务应使用的补丁 Ø 需要升级的系统和应用服务 Ø 高风险的服务和应用程序 Ø 账户权限问题 Ø 口令问题 Ø 文件系统问题 Ø 拒绝服务攻击弱点 Ø 后门程序 Ø 系统完整性问题 4.2 确定目标系统的安全级别 确定目标系统的安全级别是指根据目标系统的工作环境、在目标系统上运行的服务和应用程序的风险、目标系统上所保存的数据的风险等因素来确定该系统可被加固到的安全程度。 我们在做安全风险评估时一般总是试图发现更多的安全漏洞，但很少考虑该系统的安全需求；当我们对一个系统实施安全加固和优化时并不是要把在安全风险评估时发现的所有安全问题全部解决掉，而是要综合考虑该系统的安全需求和客户的安全策略等因素，有选择的修补在风险评估时所发现的问题。实际上就是根据客户的要求平衡功能性需求与安全性需求。 分析、论述、定义用户系统的功能性需求与安全性需求是安全需求分析和安全策略制订两项服务所完成的工作，因此要确定目标系统的安全级别需要导入上述两项服务的结果。 过程如下： l 获取安全需求分析和安全策略制订的结果 l 对上述结果进行审计，确定在安全风险评估中所发现的安全问题的加固目标，产生目标系统需要解决的安全风险的清单：（设计一个表格） Ø 那些漏洞是必须修补的 Ø 那些漏洞是不可修补的 Ø 那些漏洞修补是可选的 Ø 那些服务/应用程序是必须禁用的 Ø 那些服务/应用程序是可以使用的 Ø 那些服务/应用程序的使用使可选的 Ø 那些安全工具是必须使用的 Ø 那些安全工具是建议使用的 Ø 那些安全管理策略是必须执行的 Ø 那些安全管理策略是建议执行的 l 描述清单中所列的未解决的安全问题会带来的安全风险。（设计一个表格） 4.3 确定加固代价 加固代价是系统被实施安全加固后以下几个方面的损失和产生的附加成本： l 在系统功能、应用服务、应用程序、管理维护的方便性等方面的损失，可以概括为： Ø 系统功能的损失，某些系统服务不能使用了，如：NIS，NFS，NetBIOS等； Ø 应用服务的损失，某些网络服务不能使用，如：SNMP，Telnet等； Ø 应用程序的损失，如：禁止使用IE浏览，禁止使用ICQ、OICQ等； Ø 系统管理和维护的方便性损失，如禁止使用远程管理等。 l 对系统实施加固时，通常会要求该系统“下线”（断开网络连接），如果该系统没有备份系统，则会造成服务停止，因此而造成的损失。 l 系统加固完成后，要想保持系统的安全状态必须采取必要的管理和技术手段，由此带来的附加成本： Ø 网络管理人员安全教育的花销； Ø 使用、部署安全工具的花销等。 l 系统加固后获使用安全工具后可能带来的性能下降： Ø 主机性能下降； Ø 网络资源使用效能下降； Ø 服务效能下降等。 4.4 状态调查 状态调查的内容包括： l 系统状态调查过程中产生的文档； l 判断系统加固的可行性： 根据状态调查的各种文档可以判断目标系统加固的可行性： Ø 可以在原系统基础上加固； Ø 系统必须重建，然后加固； Ø 用户必须确认我方对加固可行性的判断。 l 描述系统加固完成后，仍然存在的风险： Ø 受客户安全需求、安全策略和系统实际使用情况的限制，系统在加固后仍然存在的风险清单； Ø 解决这些风险的途径； Ø 用户必须确认这些安全风险。 5. 现存系统加固方案 对系统进行加固需要根据系统状态调查的结果，制定比较详细的方案。 l 备份系统建立（顶替原系统提供服务）、 ² 根据系统加固目标，加固代价的要求，可能需要建立能够顶替原系统所提供服务的备份系统。如果有此必要，则要求客户建立备份系统。 l 原系统离线 ² 一般来讲，加固系统时，被加固系统应该“离线”，即断开与原有网络的连接。如果这样做，加固计划中则要求用户使愿系统离线。 l 系统备份（数据、账户、口令、用户权限设置、文件系统权限） ² 要求用户对被加固系统中的关键数据、账户设置、口令、用户权限、文件系统权限等内容做好备份； ² 要求用户确认，我方对在加固过程中造成的系统原有数据的丢失、损坏不负责任。 l 分步加固 ² 对现存系统实施加固很有可能造成被加固系统被损坏，为保证加固的效率和成功，必须具体确定实施加固的顺序，对系统进行加固的顺序的一般原则是： Ø 恢复系统完整性，如：清除木马等； Ø 安装要求的安全补丁，包括操作系统补丁和应用程序的补丁； Ø 测试系统、应用程序运行是否正常； Ø 修改系统目录、文件的权限； Ø 测试系统、应用程序运行是否正常 Ø 关闭/卸载/删除不必要的服务、协议、应用软件和文件 Ø 加固系统网络配置 Ø 加固文件系统配置 Ø 加固应用软件配置 Ø 加固账户、口令、日志审计 Ø 修补其它安全漏洞 l 功能测试计划 l 安全测试计划 l 加固后系统的完整性备份 l 安全工具的安装(可选) l 运行维护、使用、管理规范建议 9