安全加固解決方案報告書

1、1.1平安加固解決方案平安加固圍及方法確定力卩固的圍是電視臺全臺網中的主機系統(tǒng)和網絡設備，以及相關的數(shù)據庫系統(tǒng)。主要有：效勞器加固。主要包括對 Windows效勞器和Unix效勞器的評估加固, 其中還包括對效勞器操作系統(tǒng)層面的評估和數(shù)據庫層面的評估加固。 網絡設備加固。主要包括對防火墻，交換機的評估加固。平安加固效勞主要以人工的方式實現(xiàn)。平安加固流程安全加固流程圖圖 錯誤！文檔中沒有指定樣式的文字。 1平安加固流程圖檢查當前設備確定系統(tǒng)漏洞圖 錯誤!文檔中沒有指定樣式的文字。2系統(tǒng)加固實施流程圖 2平安加固步驟1.準備工作一人操作，一人記錄，盡量防止可能出現(xiàn)的誤操作。2收集系統(tǒng)信息加固之前收集

2、所有的系統(tǒng)信息和用戶效勞需求，收集所有應用和效勞軟件信 息，做好加固前預備工作。3做好備份工作系統(tǒng)加固之前，先對系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風 險，當加固失敗時，可以恢復到加固前狀態(tài)。4. 加固系統(tǒng)按照系統(tǒng)加固核對表，逐項按順序執(zhí)行操作。5. 復查配置對加固后的系統(tǒng)，全部復查一次所作加固容，確保正確無誤。6. 應急恢復當出現(xiàn)不可預料的后果時，首先使用備份恢復系統(tǒng)提供效勞，同時與平安專 家小組取得聯(lián)系，尋求幫助，解決問題平安加固容表錯誤！文檔中沒有指定樣式的文字。1平安加固容說明表加固對象操作系統(tǒng)加固工程說明UNIX系統(tǒng) 及類UNIX系統(tǒng)Solaris，HP-UX AIX， l

3、in ux，F(xiàn)reeBSD ， Ope nBSDSCO補丁從廠家或者可信任站點下載系統(tǒng)的補丁包，不冋的操 作系統(tǒng)版本以及運行不同的效勞，都可能造成需要安 裝的補丁包不同，所以必須選擇適合本機的補丁包安 裝。視機器配置而疋文件系統(tǒng)UNIX文件系統(tǒng)的權限配置工程繁多，要求也很嚴格， 不適當?shù)呐渲每赡茉斐捎脩舴欠ㄈ〉貌僮飨到y(tǒng)超級用 戶的控制權，從而完全控制操作系統(tǒng)。有30項左右配置配置文件UNIX配置文件功能有點類似微軟的注冊表，UNIX對操作系統(tǒng)配置根本上都是通過各種配置文件來完成，不 合理的配置文件可能造成用戶非法取得操作系統(tǒng)超級 用戶的控制權，從而完全控制操作系統(tǒng)。例如：/etc/i ni t

4、tab文件是系統(tǒng)加載時首先自動執(zhí)行的文件，/etc/hosts 。 equiv是限制主機信任關系的文件 等。有20項左右配置管理口令是從網絡訪問 UNIX系統(tǒng)的根本認證方式，很多系 統(tǒng)被入侵都是因為管理不善， 設置超級用戶密碼強度， 密碼的缺省配置策略（例如：密碼長度，更換時間，所 在組，鎖定等多方面）。有些系統(tǒng)可以配置使用更強的 加密算法。有10項左右配置網絡及效 勞UNIX有很多缺省翻開的效勞，這些效勞都可能泄露本 機信息，或存在未被發(fā)現(xiàn)的平安漏洞，關閉不必要的 效勞，能盡量降低被入侵的可能性。例如r系列效勞和rpe的rstatd都出過不止一次遠程平安漏洞。UNIX 缺省的網絡配置參數(shù)也不

5、盡合理，例如TCP序列號隨機強度，對 D o。S攻擊的抵抗能力等，合理配置網 絡參數(shù)，能優(yōu)化操作系統(tǒng)性能，提高平安性。視機器配置而疋30項NFS系統(tǒng)網絡文件系統(tǒng)協(xié)議最早是 SUN公司開發(fā)出來的，以實 現(xiàn)文件系統(tǒng)共享。NFS使用RPC效勞，其驗證方式存 在缺陷，NFS效勞的缺省配置也很不平安，如果必須 使用NFS系統(tǒng)，一定進展平安的配置。視操作系統(tǒng)而定應用軟件我們建議操作系統(tǒng)安裝最小軟件包，例如不安裝開發(fā) 包，不安裝不必要的庫，不安裝編繹器等，但很多情 況下必須安裝一些軟件包。APACHE或NETSCAPIENTERPRISE SERVE是一般 UNIX首選的 WEB效勞器， 其配置本身就是一項

6、獨立的效勞和域名效勞等都需要 進展合理的配置。審計，日 志做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫 助發(fā)現(xiàn)問題，都能提供很多必要信息。例如，翻開審 計功能，記錄所有用戶執(zhí)行過的命令。例如實現(xiàn)日志 集中管理，防止被入侵主機日志被刪除等。視機器配置而疋其它不冋的 UNIX系統(tǒng)有一些特別的平安配置，例如 solaris 有 ASET HP 的高級別平安，F(xiàn)reeBSD 的 jail 等。視機器配置而疋最后工作建議用戶做系統(tǒng)完全備份，并對關鍵部份做數(shù)字簽名。微軟操作系統(tǒng)NT 4.0 /W2K(workstati on,server,professi ona l,advaneed server )

7、補丁微軟操作系統(tǒng)對新發(fā)現(xiàn)的漏洞修補是使用ServicePack 及 hotfix ,另外，還需要安裝C2級平安配置。視機器配置而定文件系統(tǒng)配置NTFS文件系統(tǒng)，NTFS可以支持更多更強大的的 平安配置，設置需要特殊保護的目錄和文件，設置不 同目錄和文件的權限，移動或刪除特別的系統(tǒng)命令文 件，增參加侵者操作的難度。有20項左右配置管理口令是從網絡訪問 NT/2K系統(tǒng)的根本認證方式，很多 系統(tǒng)被入侵都是因為管理不善，設置超級用戶密碼強 度，密碼的缺省配置策略（例如：密碼長度，更換時間， 所在組，可訪問資源，鎖定等多方面），GUEST以及加強的密碼管理（SYSKEY）等。有10項左右配置網絡及效 勞

8、網絡和效勞是互聯(lián)網上用戶與此效勞器接口的局部， 網絡協(xié)議的配置不當，效勞進程設置不當，都可能為 入侵系統(tǒng)翻開方便之門。合理地配置網絡及效勞將能 阻擋80%的普通入侵視機器配置而定注冊表微軟操作系統(tǒng)缺省的安裝是為了能兼容各種運行環(huán)境，因此很多權限設置都很寬，這不符合”最小權限”的根本原那么，我們需要根據不同的環(huán)境，備份注冊 表，再人為地更改注冊表容，配置最小權限的穩(wěn)定運 行的系統(tǒng)。例如：不允許遠程注冊表配置，設置LSA盡量減少遠程用戶可以獲取的信息，設置注冊表本身 的訪問控制，制止空連接，對其它操作系統(tǒng)和POSIX的支持，對登錄信息的緩存等。也有很多項選擇項需 要根據不冋用戶需求來制定，例如：當

9、平安策略因為 某些因素（磁盤滿）而不能運作時，是否強制系統(tǒng)停頓 運行。有40項以上配置卄享/、共享是向網絡上的用戶開放對本機的資源訪問權限， 不合理的配置以及系統(tǒng)的缺省共享配置，都可能造成 遠程用戶對系統(tǒng)的文件，打印機等資源的非法訪問和 操作。我們需要刪除不必要的共享，合理配置共享的 訪問控制列表。視機器配置而定應用軟件我們建議安裝最小的軟件包，不安裝不必要的應用軟 件。但是很多情況應用軟件提供不可缺少的效勞，這 時我們就必須平安地配置它們。IE被微軟綁定為操作系統(tǒng)的一局部，IE的平安直接影響到系統(tǒng)的平安。 我們需要升級IE的版本，安裝IE的補丁，設置IE 的平安 級別，及各項 平安相關配置o

10、utlook , powerpoi nt及其它等多種軟件都可能存在平安冋題， 需要安裝補丁程序。IIS 提供的效勞，這是一般NT效勞器首選的WEB效勞器，但是IIS本身存在很多平 安漏洞，直到現(xiàn)在仍然經常發(fā)現(xiàn)新的平安漏洞，IIS的缺省配置，目錄設置，權限設置，平安設置等多方 面配置不當也是系統(tǒng)平安的巨大隱患。IIS的加固本身就可以成為一項獨立的效勞容。視機器配置而定審計，日 志做好系統(tǒng)的審計和日志工作，對于事后取證追查，幫 助發(fā)現(xiàn)問題，都能提供很多必要信息視機器配置而定其它其它方面視不冋環(huán)境而定，例如需要刪除多余的系統(tǒng) 安裝包，安裝主機防病毒軟件，等多項操作。最后工作重新制作新的系統(tǒng)緊急恢復盤

11、 （ERD）,建議用戶做系統(tǒng) 完全備份，并對關鍵部份做數(shù)字簽名。網絡設備交換機，路由 器，防火墻檢查及加 固工程會 根據不同制訂或調整完善網絡設備平安策略配置登錄地址限制配置登錄用戶身份鑒別廠商的設 備而不 同，具體 容在加固 前將會根 據評估的 實際情況 而定配置特權用戶權限別離消除共享用戶:配置口令復雜度與更換要求配置登錄失敗處理功能配置遠程管理米用 SSH等加密方式采購與配置網絡設備雙因素鑒別設備用戶拿到IOS升級包，在設備廠家工程師現(xiàn)場協(xié)助下 進展IOS升級。關閉不必要的效勞關閉不使用的網絡接口給出重要協(xié)議、地址和端口訪問控制配置原型SNMP TFTP, NTP等效勞建議網絡設備的配置

12、文件離線備份，并由專人保管:期進展網絡設備用戶和口令維護，進展口令強度管理使用、訪問權限進展嚴格限制相應的日志檢查，審計和歸檔平安管理策略滿足指標表錯誤！文檔中沒有指定樣式的文字。2平安加固等保符合性說明表 1解決方案名稱控制類控制點指標名稱措施名稱改良動作改良對象平安加固解決 萬案網絡平 安網絡設 備防護a應對登錄網絡設備的 用戶進展身份鑒別；配置登錄 用戶身份 鑒別網絡設備 平安配置 與加固網絡設備b應對網絡設備的管理 員登錄地址進展限 制;配置登錄 地址限制網絡設備 平安配置 與加固網絡設備c網絡設備用戶的標識 應唯一；消除共享 用戶網絡設備 平安配置 與加固網絡設備d主要網絡設備應對同

13、 一用戶選擇兩種或兩 種以上組合的鑒別技 術來進展身份鑒別；采購與配 置網絡設 備雙因素 鑒別設備采購部署雙因素鑒別e身份鑒別信息應具有 不易被冒用的特點， 口令應有復雜度要求 并定期更換；配置口令 復雜度與 更換要求網絡設備 平安配置 與加固網絡設備f應具有登錄失敗處理 功能，可采取完畢會 話、限制非法登錄次 數(shù)和當網絡登錄連接 超時自動退出等措配置登錄 失敗處理 功能網絡設備 平安配置 與加固網絡設備施；g當對網絡設備進展遠 程管理時，應采取必 要措施防止鑒別信息 在網絡傳輸過程中被 竊聽；配置遠程 管理采用SSH等加密方式網絡設備 平安配置 與加固網絡設備h應實現(xiàn)設備特權用戶 的權限別離

14、。配置特權 用戶權限 別離網絡設備 平安配置 與加固網絡設備平安加固解決 萬案主機平 安訪問控 制a應啟用訪問控制功 能，依據平安策略控 制用戶對資源的訪 問；訪問控制 策略操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 與數(shù)據庫 等軟件b應根據管理用戶的角 色分配權限，實現(xiàn)管 理用戶的權限別離， 僅授予管理用戶所需 的最小權限；管理用戶 權限最小 化操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 與數(shù)據庫 等軟件c應實現(xiàn)操作系統(tǒng)和數(shù) 據庫系統(tǒng)特權用戶的 權限別離；特權用戶 權限別離操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 與數(shù)據庫 等軟件d應嚴格限制默認的訪 問權限，重命名系統(tǒng) 默認，修改這

15、些的默 認口令；限制默認操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 與數(shù)據庫 等軟件e應及時刪除多余的、 過期的，防止共享的 存在。清理操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 與數(shù)據庫 等軟件f應對重要信息資源設置敏感標記；重要信息 資源設置 敏感標記采購部署操作系統(tǒng) 與數(shù)據庫 等軟件g應依據平安策略嚴格 控制用戶對有敏感標 記重要信息資源的操 作；配置敏感 信息資源 訪問策略操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 與數(shù)據庫 等軟件入侵防a應能夠檢測到對重要 效勞器進展入侵的行 為，能夠記錄入侵的 源IP、攻擊的類型、 攻擊的目的、攻擊的 時間，并在發(fā)生嚴重 入侵事件時提供報 警

16、.警；采購與配 置主機入 侵檢測軟 件采購部署主機入侵 檢測軟件b應能夠對重要程序的 完整性進展檢測，并 在檢測到完整性受到 破壞后具有恢復的措 施；配置主機 入侵檢測 軟件的完 整性檢測 和恢復功 能平安產品 配置主機入侵 檢測軟件c操作系統(tǒng)應遵循最小 安裝的原那么，僅安 裝需要的組件和應用 程序，并通過設置升 級效勞器等方式保持 系統(tǒng)補丁及時得到更 新。主機最小 安裝操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng)c操作系統(tǒng)應遵循最小 安裝的原那么，僅安 裝需要的組件和應用 程序，并通過設置升 級效勞器等方式保持 系統(tǒng)補丁及時得到更 新。設置補丁效勞器采購部署補丁效勞 器和軟件解決方案名稱控制

17、類控制點指標名稱措施名稱改良動作改良對象系統(tǒng)平安加固主機平 安剩余信 息保護a應保證操作系統(tǒng)和數(shù) 據庫系統(tǒng)用戶的鑒別 信息所在的存儲空 間，被釋放或再分配 給其他用戶前得到完 全去除，無論這些信 息是存放在硬盤上還 是在存中；鑒別信息 存儲空間 去除操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 和數(shù)據庫b應確保系統(tǒng)的文件、 目錄和數(shù)據庫記錄等 資源所在的存儲空 間，被釋放或重新分 配給其他用戶前得到 完全去除。存儲空間 去除操作系統(tǒng) 與數(shù)據庫 平安配置 與加固操作系統(tǒng) 和數(shù)據庫資源控 制a應通過設定終端接入 方式、網絡地址圍等 條件限制終端登錄；主機平安 配置與加 固操作系 統(tǒng)與數(shù)據 庫平安配

18、 置與加固操作系統(tǒng)b應根據平安策略設置 登錄終端的操作超時 鎖定；主機平安 配置與加 固操作系 統(tǒng)與數(shù)據 庫平安配 置與加固操作系統(tǒng)c應對重要效勞器進展 監(jiān)視，包括監(jiān)視效勞 器的CPU硬盤、存、 網絡等資源的使用情 況；采購部署 網管監(jiān)控 系統(tǒng)，實 現(xiàn)重要效 勞器監(jiān)控采購部署主機性能 管理d應限制單個用戶對系統(tǒng)資源的最大或最小主機平安 配置與加操作系 統(tǒng)與數(shù)據操作系統(tǒng)使用限度；固庫平安配 置與加固e應能夠對系統(tǒng)的效勞 水平降低到預先規(guī)定 的最小值進展檢測和 報警。配置網管 系統(tǒng)的監(jiān) 控與報警，實現(xiàn) 效勞水平 監(jiān)控產品配置主機性能 管理解決方案名稱控制類控制點指標名稱措施名稱改良動作改良對象平安

19、加固解決 萬案應用平 安訪問控 制a應提供訪問控制功 能，依據平安策略控 制用戶對文件、數(shù)據 庫表等客體的訪問；訪問控制 功能應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)b訪問控制的覆蓋圍應 包括與資源訪問相關 的主體、客體及它們 之間的操作；訪問控制 主體、客 體及操作 要求應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)c應由授權主體配置訪 問控制策略，并嚴格 限制默認的訪問權 限；配置訪問 控制策略應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)d應授予不冋為完成各 自承當任務所需的最 小權限，并在它們之 間形成相互制約的關 系。最小權限 與制約應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)e應具有對重要信息資 源設置敏感標記的功 能；

20、設置敏感 標記的功 能應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)f應依據平安策略嚴格 控制用戶對有敏感標 記重要信息資源的操 作；控制敏感重要信息資源操作應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)剩余信 息保護a應保證用戶鑒別信息 所在的存儲空間被釋 放或再分配給其他用 戶前得到完全去除， 無論這些信息是存放 在硬盤上還是在存 中；鑒別信息 存儲空間 去除應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)b應保證系統(tǒng)的文件、 目錄和數(shù)據庫記錄等 資源所在的存儲空間 被釋放或重新分配給 其他用戶前得到完全 去除。存儲空間 去除應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)抗抵賴a應具有在請求的情況 下為數(shù)據原發(fā)者或接 收者提供數(shù)據原發(fā)證 據的功能；配置抗抵賴應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)b應具有在請求的情況 下為數(shù)據原發(fā)者或接 收者提供數(shù)據接收證 據的功能。配置抗抵賴應用軟件 平安開發(fā) 與改造業(yè)務系統(tǒng)軟件容 錯a應提供數(shù)據有效性檢 驗功能，保證通過人 機接口輸入或通過通 信接口輸入的數(shù)據格 式或長度符合系統(tǒng)設 定要求；輸