安全加固解决方案报告书.pdf

1.1 安全加固解决方案1.1.1 安全加固围及方法确定加固的围是电视台全台网中的主机系统和网络设备，以及相关的数据库系统。主要有：服务器加固。主要包括对Windows服务器和 Unix 服务器的评估加固，其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。网络设备加固。主要包括对防火墙，交换机的评估加固。安全加固服务主要以人工的方式实现。1.1.2 安全加固流程图 错误!文档中没有指定样式的文字。-1 安全加固流程图安全加固流程图网络优化方案及系统加固方案一固一加一）新一、八JILK、根据规范及系统特点生威风险规避方案 -s s唁电唱、.飞川、tta甸、E，-a 一施一实-与用户俨认修改！=-,-r 至蛊现场案i万避规EEllvr啦一咽吨翩却r.ar二汝评估确飞一切！飞r-!继续i!放弃:加固检查当前设备确定系统漏洞确定实施方法按方案实施加固步骤下载最新补丁软件版本升级更改系统配置重新启动主机重新启动系统观察系统运行图 错误!文档中没有指定样式的文字。-2 系统加固实施流程图2 1.1.3 安全加固步骤1.准备工作一人操作，一人记录，尽量防止可能出现的误操作。2.收集系统信息加固之前收集所有的系统信息和用户服务需求，收集所有应用和服务软件信息，做好加固前预备工作。3.做好备份工作系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的风险，当加固失败时，可以恢复到加固前状态。4.加固系统按照系统加固核对表，逐项按顺序执行操作。5.复查配置对加固后的系统，全部复查一次所作加固容，确保正确无误。6.应急恢复当出现不可预料的后果时，首先使用备份恢复系统提供服务，同时与安全专家小组取得联系，寻求帮助，解决问题1.1.4 安全加固容表错误!文档中没有指定样式的文字。-1 安全加固容说明表加固对象操作系统加固项目说明UNIX 系 统及 类UNIX系统Solaris，HP-UX，AIX，linux，FreeBSD，OpenBSD，SCO 补丁从厂家或者可信任站点下载系统的补丁包，不同的操作系统版本以及运行不同的服务，都可能造成需要安装的补丁包不同，所以必须选择适合本机的补丁包安装。视机器配置而定 文件系统UNIX文件系统的权限配置项目繁多，要求也很严格，不适当的配置可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。有 30 项左右配置 配置文件UNIX配置文件功能有点类似微软的注册表，UNIX 对操作系统配置基本上都是通过各种配置文件来完成，不合理的配置文件可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。例如：/etc/inittab文件是系统加载时首先自动执行的文件，/etc/hosts。equiv是限制主机信任关系的文件等。有 20 项左右配置 管理口令是从网络访问UNIX系统的基本认证方式，很多系统被入侵都是因为管理不善，设置超级用户密码强度，密码的缺省配置策略(例如：密码长度，更换时间，所在组，锁定等多方面)。有些系统可以配置使用更强的加密算法。有 10 项左右配置 网络及服务UNIX有很多缺省打开的服务，这些服务都可能泄露本机信息，或存在未被发现的安全漏洞，关闭不必要的服务，能尽量降低被入侵的可能性。例如r 系列服务和 rpc 的 rstatd都出过不止一次远程安全漏洞。UNIX缺省的网络配置参数也不尽合理，例如TCP序列号随机强度，对D。o。S攻击的抵抗能力等，合理配置网络参数，能优化操作系统性能，提高安全性。视机器配置而定 30 项 NFS系统网络文件系统协议最早是SUN公司开发出来的，以实现文件系统共享。NFS使用 RPC服务，其验证方式存在缺陷，NFS 服务的缺省配置也很不安全，如果必须使用 NFS系统，一定进行安全的配置。视操作系统而定 应用软件我们建议操作系统安装最小软件包，例如不安装开发包，不安装不必要的库，不安装编绎器等，但很多情况下必须安装一些软件包。APACHE 或 NETSCAPE ENTERPRISE SERVER是一般 UNIX首选的 WEB 服务器，其配置本身就是一项独立的服务和域名服务等都需要进行合理的配置。审计，日志做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息。例如，打开审计功能，记录所有用户执行过的命令。例如实现日志集中管理，避免被入侵主机日志被删除等。视机器配置而定 其它不同的UNIX 系统有一些特别的安全配置，例如solaris有 ASET，HP的高级别安全，FreeBSD 的 jail等。视机器配置而定 最后工作建议用户做系统完全备份，并对关键部份做数字签名。微 软 操 作系统NT 4.0/W2K (workstation，server，professional，advanced server)补丁微软操作系统对新发现的漏洞修补是使用Service Pack 及 hotfix，另外，还需要安装C2级安全配置。视机器配置而定 文件系统配置 NTFS文件系统，NTFS可以支持更多更强大的的安全配置，设置需要特殊保护的目录和文件，设置不同目录和文件的权限，移动或删除特别的系统命令文件，增加入侵者操作的难度。有 20 项左右配置 管理口令是从网络访问NT/2K 系统的基本认证方式，很多系统被入侵都是因为管理不善，设置超级用户密码强度，密码的缺省配置策略(例如：密码长度，更换时间，所在组，可访问资源，锁定等多方面)，GUEST 以及加强的密码管理(SYSKEY)等。有 10 项左右配置 网络及服务网络和服务是互联网上用户与此服务器接口的部分，网络协议的配置不当，服务进程设置不当，都可能为入侵系统打开方便之门。合理地配置网络及服务将能阻挡 80%的普通入侵 视机器配置而定 注册表微软操作系统缺省的安装是为了能兼容各种运行环境，因此很多权限设置都很宽，这不符合 最小权限 的基本原则，我们需要根据不同的环境，备份注册表，再人为地更改注册表容，配置最小权限的稳定运行的系统。例如：不允许远程注册表配置，设置LSA尽量减少远程用户可以获取的信息，设置注册表本身的访问控制，禁止空连接，对其它操作系统和POSIX的支持，对登录信息的缓存等。也有很多选项需要根据不同用户需求来制定，例如：当安全策略因为某些因素(磁盘满)而不能运作时，是否强制系统停止运行。有40 项以上配置 共享共享是向网络上的用户开放对本机的资源访问权限，不合理的配置以及系统的缺省共享配置，都可能造成远程用户对系统的文件，打印机等资源的非法访问和操作。我们需要删除不必要的共享，合理配置共享的访问控制列表。视机器配置而定 应用软件我们建议安装最小的软件包，不安装不必要的应用软件。但是很多情况应用软件提供不可缺少的服务，这时我们就必须安全地配置它们。IE被微软绑定为操作系统的一部分，IE 的安全直接影响到系统的安全。我们需要升级IE 的版本，安装IE 的补丁，设置IE的 安 全 级 别，及 各 项 安 全 相 关 配 置outlook，powerpoint及其它等多种软件都可能存在安全问题，需要安装补丁程序。IIS提供 WWW的服务，这是一般NT服务器首选的WEB 服务器，但是 IIS 本身存在很多安全漏洞，直到现在仍然经常发现新的安全漏洞，IIS的缺省配置，目录设置，权限设置，安全设置等多方面配置不当也是系统安全的巨大隐患。IIS的加固本身就可以成为一项独立的服务容。视机器配置而定 审计，日志做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息 视机器配置而定 其它其它方面视不同环境而定，例如需要删除多余的系统安装包，安装主机防病毒软件，等多项操作。最后工作重新制作新的系统紧急恢复盘(ERD)，建议用户做系统完全备份，并对关键部份做数字签名。网络设备交换机，路由器，防火墙检查及加固项目会根据不同厂商的设备 而不同，具体容在加固前将会根据评估的实际情况而定制订或调整完善网络设备安全策略配置登录地址限制配置登录用户身份鉴别配置特权用户权限分离消除共享用户配置口令复杂度与更换要求配置登录失败处理功能配置远程管理采用SSH等加密方式采购与配置网络设备双因素鉴别设备用户拿到 IOS 升级包，在设备厂家工程师现场协助下进行 IOS 升级。关闭不必要的服务关闭不使用的网络接口给出重要协议、地址和端口访问控制配置原型SNMP，TFTP，NTP等服务建议网络设备的配置文件离线备份，并由专人保管期进行网络设备用户和口令维护，进行口令强度管理