WINDOWS平台企业级服务器的安全加固与优化.docxVIP

PAGE 1 PAGE 1 WINDOWS平台企业级服务器的安全加固与优化  本文主要是中国联通河南分公司对基于WINDOWS系统平台的安全加固方案，因WINDOWS服务器平台最易受到病毒、黑客的侵扰，导致运行不正常；实际工作中，依据此方案对E税通平台进行了安全防护加固，经过前期论证、方案测试、现场实施后，平台运行平稳，达到了安全防护加固的目的。  　　一、概述  　　随着Internet的普及，大量的更易获取的攻击工具，更低的攻击技术门槛。各类开放式的业务系统面临着大量来自Internet的病毒、黑客攻击事件、流氓软件、恶意代码等，伴以内部恶意行为和误操作，都直接影响着运营商业务系统的稳定运行。而部分核心业务平台服务器因业务软件限制而必需建立在微软的windows平台基础上，微软的平台又比较简单受到各方面的攻击，如病毒，蠕虫，恶意代码等等。在竞争日益激烈的电信领域，生产网络宕机，对外供应服务不可用将直接导致品牌受损、客户流失。因此对基于Windows主机供应对外运营的业务系统，Windows主机防病毒措施已经成为业务系统必需具备的基础设施。  　　二、业务平台安全现状  　　目前大部分企业级服务器采用了windows平台，虽然已安装了一些杀毒、防火墙等等软件，但是防护效果不抱负，查出的病毒不能完全杀除。经常会导致系统工作不稳定；经过分析，主要原因如下：  　　(一)各个企业局域网的电脑种类繁杂，带毒运行的占绝大多数。  　　(二)服务器没有准时升级系统补丁及病毒库。  　　(三)windows主机未进行安全加固，开放了不必要的端口服务，极易将病毒蠕虫引入。  　　三、安全加固方案设计  　　(一)网络优化防病毒  　　针对业务系统每个中心的网络边界，实施访问掌握，阻断病毒的传播途径，防止外部病毒引入业务系统内部。  　　(二)主机加固防病毒  　　主机加固技术主要是通过对操作系统本身模块和组件的增加，修改或裁剪等技术，屏蔽和消退操作系统自身缺陷和安全漏洞，在保证操作系统安全稳定运行的基础上来实现业务系统的稳定运行。  　　依据业界对微软平台安全标准的熟悉，给出以下主机加固方案，作为实施主机系统加固的参考。  　　1.最小原则。最小的服务和组件；区分服务器的用途和角色，禁止安装不必要的服务和组件。2.最小账户。进行严格的账户管理，实施严格的账户策略；删除全部系统上不使用的账户和用户组。3.最小权限。尽可能的降低系统服务、群组和账户的权限；对操作系统供应权限的授予进行严格限制。4.专用原则。尽量避免利用一台WIN2000SERVER实现多种服务角色的功能；分区专用，隔离系统、应用和数据所在的分区。5.审计原则。系统的重要资源必需对失败访问实施审计；增加对关键资源成功访问的审计。  　　(三)系统安全补丁管理  　　1.安装最新的ServicePack。针对Windows主机的每个ServicePack都包含以前版本的ServicePack中的全部安全修补程序。Microsoft建议您跟踪ServicePack版本，只要您的运行状况允许，就安装正确的ServicePack。针对Windows2003的当前ServicePack是SP3。  　　2.安装适当的ServicePack后的安全修补程序。微软发布的ServicePack其实是一段时间内操作系统修补程序的汇总整合，ServicePack的发布周期一般会比较长，这期间确定会有高风险漏洞被公布，但最新的ServicePack又存在滞后，所以必需实时跟踪微软最新安全修补程序的发布状况。并不是全部的补丁都适合于业务系统使用，依据业务系统特点，结合业务对微软发布的补丁进行了严格的业务测试，保证了补丁对当前系统的兼容性和实施后的加固效果，有效地防止了因系统的漏洞带来的风险与攻击。  　　四、安全加固效益分析  　　(一)实现了防病毒的集中管理，集中防病毒查杀管理，病毒的准时可控升级。策略掌握的病毒码管理。  　　(二)削减了系统中的病毒，降低了病毒大规模爆发的风险。(三)最大化的提高投资收益比。通过主机安全加固、补丁管理和防病毒软件部署就能达到较好的安全防护的效果。  　　五、结论  　　目前河南某运营商的IPSECVPN业务平台已使用本方案进行了安全加固，使用状况良好，很好的解决了Windows系统平台病毒、攻击较多的问题，使平台得以平稳运行。