给服务器加把“锁”.docVIP

给服务器加把“锁” 　　随着我国信息化建设的不断深入，信息安全意识淡薄、信息安全防范能力不足、信息系统安全建设和管理目标不明确等问题逐步凸显，同时信息安全监管依据与标准较为缺乏、信息安全监管措施不到位、信息安全监管体系也有待完善。为解决上述信息安全问题，维护国家安全、公共利益和社会稳定，有效地提高我国信息化建设的整体水平，需建立信息安全等级保护制度。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，保障和促进信息化建设健康发展的一项基本制度。 　　为了全面贯彻落实信息安全等级保护制度，公安部会同有关部门在全国范围内组织开展了信息系统安全等级保护工作。该项工作主要分为定级、备案、建设整改、等级测评和监督检查五个环节。其中安全建设整改工作是信息安全等级保护工作的重要组成部分。主要内容包括制定信息系统安全建设整改工作规划并部署；信息系统安全现状分析；确定安全策略，制定安全建设整改方案；开展信息系统安全管理建设整改工作；开展信息系统安全技术建设整改工作；开展安全自查和等级测评。公安部于2009年发布了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号），强调依据信息安全等级保护有关政策和标准，开展信息安全等级保护安全建设整改工作。通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全防范能力明显增强，安全隐患和安全事故明显减少。 　　本文主要依据信息系统安全等级保护基本要求，结合信息安全等级保护安全技术建设整改工作内容，提出了基于“安全建设整改”的服务器安全加固方案设计、安全加固流程和安全加固方法等。基于“安全建设整改”的服务器安全加固工作贯穿了安全技术建设整改工作的多个方面，主要内容涉及物理安全、主机安全、应用安全和数据安全及备份恢复等。下面重点对基于“安全建设整改”的服务器安全加固可行性分析、方案设计和加固内容进行详细的叙述。 　　服务器安全加固以实际需求为牵引 　　首先服务器安全加固是以《信息系统安全等级保护基本要求》为依据，以信息系统为最小加固单位，对信息系统范围内的服务器操作系统、数据库、中间件以及虚拟机集群或小机分区，以技术手段通过更改安全配置、加强审计备份、升级补丁等直接操作方式，从而达到提升服务器自身的安全防护能力的目标。 　　其次，通过对等保要求类、等保控制点和等保要求项的仔细分析、梳理，确定信息系统服务器加固项目中能够执行的等保要求项，并将这些加固项从技术实现角度分为可以实现的加固项，部分可加固项和安全建议项。 　　在此基础上，进一步结合实际安全需求，分析现有安全技术和安全策略要求，从加固实施的角度，引入了“等保要求加固子项（简称加固子项）”的概念。所谓“加固子项”是对 “等保要求项”的进一步细分，将每一个检查动作和加固动作相对应，达到每一个“加固子项”可以确定为一个独立的检查动作，并且有一个对应的加固动作，按照等保基本要求，实现每一个加固动作。 　　表1中列举了适合于进行直接加固的操作项，主要包括了物理安全、主机安全、应用安全和数据安全及备份恢复四个方面。 　　服务器安全加固方案要构建闭环系统 　　基于“信息安全等级保护安全建设整改”的服务器安全加固方案设计是服务器安全加固实施过程中的关键环节，是做好服务器安全加固工作的基础，其中的内容主要包括安全加固工作概述、安全加固工作的流程与方法、安全加固工作的准备、安全加固工作实施、安全加固工作总结等方面。 　　服务器安全加固工作概述主要将加固的目的和意义进行简要的叙述，讲明服务器安全加固需要遵循的原则，对服务器安全加固的依据进行说明，并进一步明确服务器加固的工作范围、工作组织和工作安排等方面的内容。通过工作概述的描述，对服务器安全加固的工作概况有一个全面的了解。 　　通过对服务器安全加固的流程与方法描述，使得安全加固主线和脉络有较为清晰。其中服务器安全加固的流程如图1所示，主要包括加固准备、加固实施和加固总结三个方面的内容。服务器安全加固的方法主要采用文档清分、人员访谈、信息采集、论证确认、现场加固和验证审核等方式进行。 　　加固准备工作是以《信息安全等级保护基本要求》为指导形成服务器安全加固总体方案，依据总体方案对基本要求项进行梳理、拆分和论证确认需要加固的项目形成服务器加固可行性分析报告。进一步依据可行性分析报告编制服务器安全加固实施方案，在此基础上依据基本要求编写服务器安全加固操作表单和脚本，并在测试环境中对加固表单进行测试。通过对被加固单位信息系统安全等级保护测评的结果分析与整理，梳理出服务器的安全加固项，初步确认加固范围，经过测试确认可加固项，进一步形成被加固单位服务器加固实施方案，对加固操作表单和脚本