安全加固解决方案.docx

1.1安全加固解决方案

1?1?1安全加固范围及方法确定

力口固的范围是陕西电视台全台网中的主机系统和网络设备，以及相关的数据库系统。主要有：

服务器加固。主要包括对Windows服务器和Unix服务器的评估加固，其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。网络设备加固。主要包括对防火墙，交换机的评估加固。

安全加固服务主要以人工的方式实现。

1.1.2安全加固流程

安仝加固流程互

网络优化方案殳系统为固方案

网络优化方案殳系统为固方案

系统

系统 现场

I L?

I L

? J

: ! 一次评估福“Qi

如固

图错误！文档中没有指定样式的文字。 -1安全加固流程图

检查当前设备

确定系统漏洞

观察系统运行

图错误！文档中没有指定样式的文字。 -2系统加固实施流程图2

1.1.3安全加固步骤

准备工作

一人操作，一人记录，尽量防止可能出现的误操作。

收集系统信息

加固之前收集所有的系统信息和用户服务需求，收集所有应用和服务软件信息，做好加固前预备工作。

做好备份工作

系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的风险，当加固

失败时，可以恢复到加固前状态

加固系统

按照系统加固核对表，逐项按顺序执行操作。

复查配置

对加固后的系统，全部复查一次所作加固内容，确保正确无误

应急恢复

同时与安全专当出现不可预料的后果时，首先使用备份恢复系统提供服务，家小组取得联系，寻求帮助，解决问题

同时与安全专

1.1.4安全加固内容表错误！文档中没有指定样式的文字。 -1安全加固内容说明表

1.1.4

安全加固内容

加固对象 1操作系统

加固项目

说明

UNIX系统及类UNIX系统

Solaris ，

HP-UXAIX，lin

ux ，

FreeBSD，

OpenBSDSCO

补丁

从厂家网站或者可信任站点下载系统的补丁包，不问的操作系统版本以及运行不同的服务，都可能造成需要安装的补丁包不同，所以必须选择适合本机的补丁包安装。［视机器配置而正］

文件系统

UNIX文件系统的权限配置项目繁多，要求也很严格，不适当的配置可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。 ［有30项左右

配置］

配置文件

UNIX配置文件功能有点类似微软的注册表， UNIX对操

作系统配置基本上都是通过各种配置文件来完成，不合理的配置文件可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。例如：

/etc/inittab 文件是系统加载时首先自动执行的文

件,/etc/hosts。equiv是限制主机信任关系的文件等。［有20项左右配置］

帐号管理

帐号口令是从网络访问UNIX系统的基本认证方式，很多系统被入侵都是因为帐号管理不善，设置超级用户

密码强度，密码的缺省配置策略（例如：密码长度，更换时间，帐号所在组，帐号锁定等多方面）。有些系统可以配置使用更强的加密算法。［有10项左右配置］

网络及服务

UNIX有很多缺省打开的服务，这些服务都可能泄露本机信息，或存在未被发现的安全漏洞，关闭不必要的服务，能尽量降低被入侵的可能性。例如 r系列服务

和rpc的rstatd都出过不止一次远程安全漏洞。UNIX缺省的网络配置参数也不尽合理，例如 TCP序列号随

机强度，对do。S攻击的抵抗能力等，合理配置网络参数,能优化操作系统性能，提高安全性。 ［视机

器配置而正＞30项］

NFS系统

网络文件系统协议最早是SUN公司开发出来的，以实现文件系统共享。NFS使用RPC服务，其验证方式存在缺陷，NFS服务的缺省配置也很不安全，如果必须使用NFS系统,一定进行安全的配置。 ［视操作系统

而定］

应用软件

我们建议操作系统安装最小软件包，例如不安装开发包，不安装不必要的库，不安装编绎器等，但很多情况下必须安装一些软件包。 APACHE或NETSCAPE

ENTERPRISESERVE是一般UNIX首选的WE问艮务器，其配置本身就是一项独立的服务邮件和域名服务等都需要进行合理的配置。

审计，日志

做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息。例如，打开帐号审计功能，记录所有用户执行过的命令。例如实现日志集中管理，避免被入侵主机日志被删除等。 ［视

机器配置而正］

其它

不问的UNIX系统有一些特别的安全配置，例如solaris有ASETHP的高级别安全，FreeBSD的jail等。［视机器配置而正］

最后工作

建议用户做系统完全备份，并对关键部份做数字签名。

微软操作系统

NT4.0/

W2K(workstation

,

server,professio