UNIX操作系统安全加固作业指导书(征求意见稿).docVIP

Q/ZD 浙 江 省 电 力 公 司 企 业 标 准 编号：Q/××× ———————————————————————————— UNIX操作系统安全加固作业指导书 2009-12-28 发布 2010-01-01 实施 ———————————————————————————————————— 浙江省电力公司 发布 前 言 为进一步规范浙江省电力公司UNIX操作系统安全加固作业，提高作业质量，促进操作系统安全加固标准化作业，确保业务系统的安全、可靠运行，特制订《浙江省电力公司UNIX操作系统安全加固作业指导书》。 本作业指导书可作为浙江省电力公司信息专业岗位培训内容和UNIX操作系统加固工作要求。 本作业指导书由浙江省电力公司科技信息部归口。 本作业指导书由浙江省电力公司信息技术中心、绍兴电力局提出并起草。 本作业指导书主要起草人：胡利辉、沈潇军 本作业指导书由浙江省电力公司信息技术中心负责解释。 目 录 1. 适用范围 4 2. 引用标准 4 3. 作业准备 5 3.1 准备工作 5 3.2 工器具 6 3.3 危险点分析及预控措施 6 4. 工作流程图 8 4.1 总图 8 4.2 加固流程 9 5. 作业程序及作业标准 10 6. 记录及报告 14 UNIX操作系统安全加固作业指导书 适用范围 本作业指导书适用于浙江省电力公司AIX UNIX操作系统加固工作。 引用标准 下列标准及技术资料所包含的条文，通过在本作业指导书中的引用，而构成为本作业指导书的条文。本作业指导书出版时，所有版本均为有效。所有标准及技术资料都会被修订，使用本作业指导书的各方应探讨使用下列标准及技术资料最新版本的可能性。 《国家电网公司电力安全工作规程》 2009版。 国家电网生[2004]503号Nessus扫描软件计算机 Nessus扫描软件更新至最新版本 台 1 危险点分析及预控措施 序号 危险点 防范措施 1 违反信息安全加固规范性原则安全加固的方案设计与实施应依据国家或公司的相关标准进行；可控性原则安全加固工作应该做到人员可控、工具可控、项目过程可控；最小影响原则安全加固工作应尽可能小地影响系统的正常运行，不得对运行中的业务系统产生较大影响；保密原则对加固的过程数据和结果数据严格保密，不得泄露给任何第三方单位或个人，不得利用此数据进行任何侵害国家电网公司信息系统的行为。 工作流程图 总图 加固流程 作业程序及作业标准 加固开始，确认准备工作完成 1 核实《信息安全加固实施确认单》 明确作业对象及内容，确认加固对象及脆弱点 确认作业对象及内容 2 加固测试 关键业务系统的信息安全加固应搭建测试模拟环境，仿运行业务系统的结构、配置、数据、业务流程，在模拟环境进行信息安全加固确认后，再进行运行业务系统的信息安全加固 测试前确认登录的机器，防止登录错误 3 加固分险分析、应急预案制定及系统备份 信息安全加固实施前，应对信息安全加固中可能遇到的实施风险进行分析，制定应急恢复预案，采取有效的备份措施 4 被加固服务器所承载服务已经停止 与数据库管理员，应用管理员协商，停止被加固服务器所承载服务 停止服务前确认业务数据备份完毕 5 填写、核实工作票、操作票 根据《浙江省电力公司信息系统工作票、操作票使用管理办法（试行）》要求，填写工作票、操作票，并经相关责任人、签发人书面认可 确定工作票、操作票已由具备相应签发权限的人员签发 6 获得机房值班人员的许可 机房值班人员许可工作票后，开始工作 确认系统运行状态 7 对被加固系统进行一般性巡检 查看被加固对象文件系统使用情况，负载情况，网络通信情况，系统基本日志 系统有严重的硬件或软件故障时停止加固 安装介质上传服务器 8 将加固中需要安装的软件上传服务器 对已经安装了ssh服务的服务器可以采用ssh文件传输上传文件，其它情况将软件安装介质刻录为光盘，通过光驱上传。对于没有配置光驱的服务器，可以已ftp方式（ftp客户端）从ftp服务器上获取。上传到被加固服务器的软件应该防止在专用的文件系统下。 安装介质应该是可信的并经过测试 安装、配置软件 9 安装软件 严格按照软件安装说明进行软件安装 有些软件需要ACCEPT LICENSE 10 配置软件 根据软件配置说明，遵照最小配置原则进行软件配置， 11 软件功能测试 按功能项，对软件功能进行严格测试 测试不通过，涉及到该软件的加固暂停 加固操作 12 按照《信息安全加固实施确认单》及工作票的内容，进行系统安全加固 安全加固参照附录D