加固安全的解决方案.docVIP

1.1安全加固处理方案

1.1.1安全加固范围及措施确定

加固的范围是陕西电视台全台网中的主机系统和网络设备，以及有关的数据库系统。重要有：

服务器加固。重要包括对Windows服务器和Unix服务器的评估加固，

其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。

●网络设备加固。重要包括对防火墙，互换机的评估加固。

●安全加固服务重要以人工的方式实现。

1.1.2安全加固流程

安全加固流程图

新加固

实施

网络优化方案及系统加固方案

根据规范及系统特点生成风险规避方案

违方

与用户确认

修改

系统同期现场

二次评估确

加固

启用风险规避方案/

一切

继续

放弃

加固

图错误!文档中没有指定样式的文字。-1安全加固流程图

检查当前设备

检查当前设备

确定系统漏洞

重新启动主机

确定实施方法

更改系统配置

按方案

实施加固步骤

重新启动系统

观察系统运行

下载最新补丁软件

版本升级

图错误!文档中没有指定样式的文字。-2系统加固实行流程图2

1.1.3安全加固环节

1.准备工作

一人操作，一人记录，尽量防止也许出现的误操作。

2.搜集系统信息

加固之前搜集所有的系统信息和顾客服务需求，搜集所有应用和服务软件信

息，做好加固前预备工作。

3.做好备份工作

系统加固之前，先对系统做完全备份。加固过程也许存在任何不可遇见的风

险，当加固失败时，可以恢复到加固前状态。

4.加固系统

按照系统加固查对表，逐项按次序执行操作。

5.复查配置

对加固后的系统，所有复查一次所作加固内容，保证对的无误。

6.应急恢复

当出现不可预料的后果时，首先使用备份恢复系统提供服务，同步与安全专

家小组获得联络，寻求协助，处理问题

1.1.4安全加固内容

表错误!文档中没有指定样式的文字。-1安全加固内容阐明表

加固对象

操作系统

加固项目

阐明

UNIX系统及类UNIX系统

Solaris

HP-JX,AIX

linux

FreeBSD,OpenBSD,SCc

补丁

从厂家网站或者可信任站点下载系统的补丁包，不一样的操作系统版本以及运行不一样的服务，都也许导致需要安装的补丁包不一样，因此必须选择适合本机的补丁包安装。[视机器配置而定]

文献系统

UNIX文献系统的权限配置项目繁多，规定也很严格，不合适的配置也许导致顾客非法获得操作系统超级顾客的控制权，从而完全控制操作系统。[有30项左右配置]

配置文献

UNIX配置文献功能有点类似微软的注册表，UNIX对操作系统配置基本上都是通过多种配置文献来完毕，不合理的配置文献也许导致顾客非法获得操作系统超级顾客的控制权，从而完全控制操作系统。例如：

/etc/inittab文献是系统加载时首先自动执行的文献，/etc/hosts。equiv是限制主机信任关系的文献等。[有20项左右配置]

帐号管理

帐号口令是从网络访问UNIX系统的基本认证方式，诸

多系统被入侵都是由于帐号管理不善，设置超级顾客

密码强度，密码的缺省配置方略(例如：密码长度，更

换时间，帐号所在组，帐号锁定等多方面)。有些系统

可以配置使用更强的加密算法。[有10项左右配置]

网络及服务

UNIX有诸多缺省打开的服务，这些服务都也许泄露本机信息，或存在未被发现的安全漏洞，关闭不必要的服务，能尽量减少被入侵的也许性。例如r系列服务和rpc的rstatd都出过不止一次远程安全漏洞。UNIX缺省的网络配置参数也不尽合理，例如TCP序列号随

机强度，对D。o。S袭击的抵御能力等，合理配置网络参数，能优化操作系统性能，提高安全性。[视机器配置而定30项」

NFS系统

网络文献系统协议最早是SUN企业开发出来的，以实现文献系统共享。NFS使用RPC服务，其验证方式存在缺陷，NFS服务的缺省配置也很不安全，假如必须使用NFS系统，一定进行安全的配置。[视操作系统而定]

应用软件

我们提议操作系统安装最小软件包，例如不安装开发包，不安装不必要的库，不安装编绎器等，但诸多状况下必须安装某些软件包。APACHE或NETSCAPE

ENTERPRISESERVER是一般UNIX首选的WEB服务器，

其配置自身就是一项独立的服务邮件和域名服务等都需要进行合理的配置。

审计，日志

做好系统的审计和日志工作，对于事后取证追查，协助发现问题，都能提供诸多必要信息。例如，打开帐号审计功能，记录所有顾客执行过的命令。例如实现日志集中管理，防止被入侵主机日志被删除等。[视机器配置而定]

其他

不一样的UNIX系统有某些尤其的安全配置，例如

solaris有ASET,HP的高级别安全