文档介绍:
加固的围是电视台全台网中的主机系统和网络设备,以及相关的数据库系统。主要有:
服务器加固。主要包括对Windows服务器和Unix服务器的评估加固,其中还包括对服务器操作系统层面的评估和
配置NTFS文件系统,NTFS可以支持更多更强大的的安全配置,设置需要特殊保护的目录和文件,设置不同目录和文件的权限,移动或删除特别的系统命令文件,增加入侵者操作的难度。[有20项左右配置]
帐号管理
帐号口令是从网络访问NT/2K系统的基本认证式,很多系统被入侵都是因为帐号管理不善,设置超级用户密码强度,密码的缺省配置策略(例如:密码长度,更换时间,帐号所在组,帐号可访问资源,帐号锁定等多面),GUES-^以及加强的密码管理(SYSKEY角。
[有10项左右配置]
网络及服务
网络和服务是互联网上用户与此服务器接口的部分,网络协议的配置不当,服务进程设置不当,都可能为入侵系统打开便之门。合理地配置网络及服务将能阻挡80%勺普通入侵[视机器配置而定]
注册表
微软操作系统缺省的安装是为了能兼容各种运行环境,因此很多权限设制很宽,这不符合"最小权限"
的基本原则,我们需要根据不同的环境,备份注册表,再人为地更改注册表容,配置最小权限的稳定运行的系统。例如:不允远程注册表配置,设置LSA尽量减
少远程用户可以获取的信息,设置注册表本身的访问控制,禁止空连接,对其它操作系统和POSIX的支持,对登录信息的缓存等。也有很多选项需要根据不同用户需求来制定,例如:当安全策略因为某些因素(磁盘满)而正能运作时,是否强制系统停止运行。[有40
项以上配置]
共享是向网络上的用户开放对本机的资源访问权限,不合理的配置以及系统的缺省共享配置,都可能造成远程用户对系统的文件,打印机等资源的非法访问和操作。我们需要删除不必要的共享,合理配置共享的访问控制列表。[视机器配置而定]
应用软件
我们建议安装最小的软件包,不安装不必要的应用软件。但是很多情况应用软件提供/、可缺少的服务,这时我们就必须安全地配置它们。IE被微软绑定为操
作系统的一部分,IE的安全直接影响到系统的安全。我们需要升级IE的版本,安装IE的补丁,设置IE的安全级别,及各项安全相关配置outlook,powerpoint及其它等多种软件都可能存在安全1可题,需要安装补丁程序。IIS提供WW的服务,这是一般NT服务器首选的WE囹艮务器,但是IIS本身存在很多安全漏洞,直到现在仍然经常发现新的安全漏洞,IIS
的缺省配置,目录设置,权限设置,安全设置等多面配置不当也是系统安全的巨大隐患。IIS的加固本身
就可以成为一项独立的服务容。[视机器配置而定]
审计,日志
做好系统的审计和日志工作,对于事后取证追查,帮助发现问题,都能提供很多必要信息[视机器配置而
定]
其它
其它面视不同环境而定,例如需要删除多余的系统安装包,安装主机防病毒软件,等多项操作。
最后工作
重新制作新的系统紧急恢复盘(ERD),建议用户做系统完全备份,并对关键部份做数字签名。
网络设备
交换机,路由器,防火墙
检查及加固项目会根据不同}商的设备而不同,具体容在加固前将会根
据评估的实际情况而定
制订或调整完善网络设备安全策略
配置登录地址限制
配置登录用户身份鉴别
配置特权用户权限分离
消除共享用户
配置口令复杂度与更换要求
配置登录失败处理功能
配置远程管理采用SSH^加密式
采购与配置网络设备双因素鉴别设备
用户拿到IOS升级包,在设备厂家工程师现场协助下进行IOS升级。
关闭不必要的服务
关闭不使用的网络接口
给出重要协议、地址和端口访问控制配置原型
SNMPTFTP,NTP等服务
建议网络设备的配置文件离线备份,并由专人保管
期进行网络设备用户和口令维护,进行口令强度管理
使用、访问权限进行格限制
相应的日志检查,审计和归档安全管理策略
-2安全加固等保符合性说明表1
解决案名称
控制类
控制点
指标名称
措施名称
改进动作
改进对象
安全加固解决
案
网络安
全
网络设
备防护
a
应对登录网络设备的用户进行身份鉴别;
配置登录
用户身份鉴别
网络设备
安全配置
与加固
网络设备
b
应对网络设备的管理员登录地址进行限制;
配置登录
地址限制
网络设备
安全配置
与加固
网络设备
c
网络设备用户的标识应唯一;
消除共享
用户
网络设备
安全配置
与加固
网络设备
d
主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;
采购与