- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
安全加固处理方案
安全加固范围及方法确定
加固范围是陕西电视台全台网中主机系统和网络设备,和相关数据库系统。关键有:
服务器加固。关键包含对Windows服务器和Unix服务器评定加固,其中还包含对服务器操作系统层面评定和数据库层面评定加固。
网络设备加固。关键包含对防火墙,交换机评定加固。
安全加固服务关键以人工方法实现。
安全加固步骤
图 STYLEREF 1 \s4SEQ 图 \* ARABIC \s 17 安全加固步骤图
图 STYLEREF 1 \s4SEQ 图 \* ARABIC \s 18 系统加固实施步骤图2
安全加固步骤
准备工作
一人操作,一人统计,尽可能预防可能出现误操作。
搜集系统信息
加固之前搜集全部系统信息和用户服务需求,搜集全部应用和服务软件信息,做好加固前预备工作。
做好备份工作
系统加固之前,先对系统做完全备份。加固过程可能存在任何不可遇见风险,当加固失败时,能够恢复到加固前状态。
加固系统
根据系统加固查对表,逐项按次序实施操作。
复查配置
对加固后系统,全部复查一次所作加固内容,确保正确无误。
应急恢复
当出现不可预料后果时,首先使用备份恢复系统提供服务,同时和安全教授小组取得联络,寻求帮助,处理问题
安全加固内容
表STYLEREF 1 \s4SEQ 表 \* ARABIC \s 113 安全加固内容说明表
加固对象
操作系统
加固项目
说明
UNIX系统及类UNIX系统
Solaris , HP-UX, AIX, linux, FreeBSD, OpenBSD,SCO
补丁
从厂家网站或可信任站点下载系统补丁包,不一样操作系统版本和运行不一样服务,全部可能造成需要安装补丁包不一样,所以必需选择适合本机补丁包安装。 [视机器配置而定]
文件系统
UNIX文件系统权限配置项目繁多,要求也很严格,不合适配置可能造成用户非法取得操作系统超级用户控制权,从而完全控制操作系统。[有30项左右配置]
配置文件
UNIX配置文件功效有点类似微软注册表,UNIX对操作系统配置基础上全部是经过多种配置文件来完成,不合理配置文件可能造成用户非法取得操作系统超级用户控制权,从而完全控制操作系统。比如:/etc/inittab文件是系统加载时首先自动实施文件,/etc/hosts。equiv是限制主机信任关系文件等。 [有20项左右配置]
帐号管理
帐号口令是从网络访问UNIX系统基础认证方法,很多系统被入侵全部是因为帐号管理不善,设置超级用户密码强度,密码缺省配置策略(比如:密码长度,更换时间,帐号所在组,帐号锁定等多方面)。有些系统能够配置使用更强加密算法。[有10项左右配置]
网络及服务
UNIX有很多缺省打开服务,这些服务全部可能泄露本机信息,或存在未被发觉安全漏洞,关闭无须要服务,能尽可能降低被入侵可能性。比如r系列服务和rpcrstatd全部出过不止一次远程安全漏洞。UNIX缺省网络配置参数也不尽合理,比如TCP序列号随机强度,对D。o。S攻击抵御能力等,合理配置网络参数,能优化操作系统性能,提升安全性。 [视机器配置而定>30项]
NFS系统
网络文件系统协议最早是SUN企业开发出来,以实现文件系统共享。NFS使用RPC服务,其验证方法存在缺点,NFS服务缺省配置也很不安全,假如必需使用NFS系统,一定进行安全配置。 [视操作系统而定]
应用软件
我们提议操作系统安装最小软件包,比如不安装开发包,不安装无须要库,不安装编绎器等,但很多情况下必需安装部分软件包。 APACHE或NETSCAPE ENTERPRISE SERVER是通常UNIX首选WEB服务器,其配置本身就是一项独立服务邮件和域名服务等全部需要进行合理配置。
审计,日志
做好系统审计和日志工作,对于事后取证追查,帮助发觉问题,全部能提供很多必需信息。比如,打开帐号审计功效,统计全部用户实施过命令。比如实现日志集中管理,避免被入侵主机日志被删除等。 [视机器配置而定]
其它
不一样UNIX系统有部分尤其安全配置,比如solaris有ASET,HP高等级安全, FreeBSDjail等。 [视机器配置而定]
最终工作
提议用户做系统完全备份,并对关键部份做数字署名。
微软操作系统
NT 4.0 / W2K ( workstation , server , professional , advanced server )
补丁
微软操作系统对新发觉漏洞修补是使用Service Pack 及 hotfix,
另外,还需要安装C2级安全配置。 [视机器配置而定]
文件系统
配置NTFS文件系统,NTFS能够支持更多更强大安全配置,设置需要特殊保护目录和文件,设置不一样目录和文件权限,移动或删除尤其系统命令文件,增加入侵者操作难
文档评论(0)