安全加固解决专项方案.docxVIP

安全加固处理方案 安全加固范围及方法确定 加固范围是陕西电视台全台网中主机系统和网络设备，和相关数据库系统。关键有： 服务器加固。关键包含对Windows服务器和Unix服务器评定加固，其中还包含对服务器操作系统层面评定和数据库层面评定加固。 网络设备加固。关键包含对防火墙，交换机评定加固。 安全加固服务关键以人工方法实现。 安全加固步骤  图 STYLEREF 1 \s4SEQ 图 \* ARABIC \s 17 安全加固步骤图 图 STYLEREF 1 \s4SEQ 图 \* ARABIC \s 18 系统加固实施步骤图2 安全加固步骤 准备工作 一人操作，一人统计，尽可能预防可能出现误操作。 搜集系统信息 加固之前搜集全部系统信息和用户服务需求，搜集全部应用和服务软件信息，做好加固前预备工作。 做好备份工作 系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见风险，当加固失败时，能够恢复到加固前状态。 加固系统 根据系统加固查对表，逐项按次序实施操作。 复查配置 对加固后系统，全部复查一次所作加固内容，确保正确无误。 应急恢复 当出现不可预料后果时，首先使用备份恢复系统提供服务，同时和安全教授小组取得联络，寻求帮助，处理问题  安全加固内容 表STYLEREF 1 \s4SEQ 表 \* ARABIC \s 113 安全加固内容说明表 加固对象 操作系统 加固项目 说明 UNIX系统及类UNIX系统 Solaris ， HP-UX， AIX， linux， FreeBSD， OpenBSD，SCO 补丁 从厂家网站或可信任站点下载系统补丁包，不一样操作系统版本和运行不一样服务，全部可能造成需要安装补丁包不一样，所以必需选择适合本机补丁包安装。 [视机器配置而定] 文件系统 UNIX文件系统权限配置项目繁多，要求也很严格，不合适配置可能造成用户非法取得操作系统超级用户控制权，从而完全控制操作系统。[有30项左右配置] 配置文件 UNIX配置文件功效有点类似微软注册表，UNIX对操作系统配置基础上全部是经过多种配置文件来完成，不合理配置文件可能造成用户非法取得操作系统超级用户控制权，从而完全控制操作系统。比如：/etc/inittab文件是系统加载时首先自动实施文件，/etc/hosts。equiv是限制主机信任关系文件等。 [有20项左右配置] 帐号管理 帐号口令是从网络访问UNIX系统基础认证方法，很多系统被入侵全部是因为帐号管理不善，设置超级用户密码强度，密码缺省配置策略(比如：密码长度，更换时间，帐号所在组，帐号锁定等多方面)。有些系统能够配置使用更强加密算法。[有10项左右配置] 网络及服务 UNIX有很多缺省打开服务，这些服务全部可能泄露本机信息，或存在未被发觉安全漏洞，关闭无须要服务，能尽可能降低被入侵可能性。比如r系列服务和rpcrstatd全部出过不止一次远程安全漏洞。UNIX缺省网络配置参数也不尽合理，比如TCP序列号随机强度，对D。o。S攻击抵御能力等，合理配置网络参数，能优化操作系统性能，提升安全性。 [视机器配置而定>30项] NFS系统 网络文件系统协议最早是SUN企业开发出来，以实现文件系统共享。NFS使用RPC服务，其验证方法存在缺点，NFS服务缺省配置也很不安全，假如必需使用NFS系统，一定进行安全配置。 [视操作系统而定] 应用软件 我们提议操作系统安装最小软件包，比如不安装开发包，不安装无须要库，不安装编绎器等，但很多情况下必需安装部分软件包。 APACHE或NETSCAPE ENTERPRISE SERVER是通常UNIX首选WEB服务器，其配置本身就是一项独立服务邮件和域名服务等全部需要进行合理配置。 审计，日志 做好系统审计和日志工作，对于事后取证追查，帮助发觉问题，全部能提供很多必需信息。比如，打开帐号审计功效，统计全部用户实施过命令。比如实现日志集中管理，避免被入侵主机日志被删除等。 [视机器配置而定] 其它 不一样UNIX系统有部分尤其安全配置，比如solaris有ASET，HP高等级安全， FreeBSDjail等。 [视机器配置而定] 最终工作 提议用户做系统完全备份，并对关键部份做数字署名。 微软操作系统 NT 4.0 / W2K ( workstation ， server ， professional ， advanced server ) 补丁 微软操作系统对新发觉漏洞修补是使用Service Pack 及 hotfix， 另外，还需要安装C2级安全配置。 [视机器配置而定] 文件系统 配置NTFS文件系统，NTFS能够支持更多更强大安全配置，设置需要特殊保护目录和文件，设置不一样目录和文件权限，移动或删除尤其系统命令文件，增加入侵者操作难