文档介绍：全 加 固 解 决 方 案

加固的范围是陕西电视台全台网中的主机系统和网络设备，以及相关的数 据库系统。主要有：
服务器加固。主要包括对Windows服务器和Unix服务器的评估加
固，其
,server，
professi onal，
advanced server)
补丁
微软操作系统对新发现的漏洞修补是使用
ServicePack 及 hotfix，
另外，还需要安装C2级安全配置。［视机器
配置而定］
文件系
统
配置NTFS文件系统，NTFS可以支持更多更 强大的的安全配置，设置需要特殊保护的目 录和文件，设置不同目录和文件的权限，移 动或删除特别的系统命令文件，增加入侵者 操作的难度。［有20项左右配置］
帐号管
理
帐号口令是从网络访问NT/2K系统的基本 认证方式，很多系统被入侵都是因为帐号管 理不善，设置超级用户密码强度，密码的缺 省配置策略(例如：密码长度，更换时间， 帐号所在组，帐号可访问资源，帐号锁定等 多方面)，GUEST帐号以及加强的密码管理 (SYSKEY)等。［有10项左右配置］
网络及
服务
网络和服务是互联网上用户与此服务器接 口的部分，网络协议的配置不当，服务进程 设置不当，都可能为入侵系统打开方便之 门。合理地配置网络及服务将能阻挡80%的 普通入侵［视机器配置而定］
注册表
微软操作系统缺省的安装是为了能兼容各 种运行环境，因此很多权限设置都很宽，这 不符合〃最小权限〃的基本原则，我们需要根 据不同的环境，备份注册表，再人为地更改 注册表内容，配置最小权限的稳定运行的系 统。例如：不允许远程注册表配置，设置 LSA尽量减少远程用户可以获取的信息，设 置注册表本身的访问控制，禁止空连接，对 其它操作系统和POSIX的支持，对登录信息 的缓存等。也有很多选项需要根据不同用户 需求来制定，例如：当安全策略因为某些因 素（磁盘满）而不能运作时，是否强制系统停 止运行。［有40项以上配置］
共享
共享是向网络上的用户开放对本机的资源 访问权限，不合理的配置以及系统的缺省共 享配置，都可能造成远程用户对系统的文 件，打印机等资源的非法访问和操作。我们 需要删除不必要的共享，合理配置共享的访 问控制列表。［视机器配置而定］
应用软
件
我们建议安装最小的软件包，不安装不必要 的应用软件。但是很多情况应用软件提供不 可缺少的服务，这时我们就必须安全地配置 它们°IE被微软绑定为操作系统的一部分， IE的安全直接影响到系统的安全。我们需 要升级IE的版本，安装IE的补丁，设置 IE的安全级别，及各项安全相关配置 outlook，powerpoint及其它等多种软件都 可能存在安全问题，需要安装补丁程序。IIS 提供WWW的服务，这是一般NT服务器首选 的WEB服务器，但是IIS本身存在很多安全 漏洞，直到现在仍然经常发现新的安全漏 洞，IIS的缺省配置，目录设置，权限设置， 安全设置等多方面配置不当也是系统安全 的巨大隐患°IIS的加固本身就可以成为一 项独立的服务内容。［视机器配置而定］
审计，
日志
做好系统的审计和日志工作，对于事后取证 追查，帮助发现问题，都能提供很多必要信 息［视机器配置而定］
其它
其它方面视不同环境而定，例如需要删除多 余的系统安装包，安装主机防病毒软件，等 多项操作。
最后工
作
重新制作新的系统紧急恢复盘(ERD)，建议 用户做系统完全备份，并对关键部份做数字 签名。
网络设
备
交换机，
路由器，
防火墙
检查及
加固项
目会根
据不同
厂商的
设备而
不同，
具体内
容在加
固前将
会根据
评估的
制订或调整完善网络设备安全策略
配置登录地址限制
配置登录用户身份鉴别
配置特权用户权限分离
消除共享用户
配置口令复杂度与更换要求
配置登录失败处理功能
配置远程管理米用SSH等加密方式
采购与配置网络设备双因素鉴别设备
用户拿到IOS升级包，在设备厂家工程师现 场协助下进行IOS升级。
关闭不必要的服务
实际情
况而定
关闭不使用的网络接口
给出重要协议、地址和端口访问控制配置原
型
SNMP，TFTP，NTP 等服务
建议网络设备的配置文件离线备份，并由专
人保管
期进行网络设备用户和口令维护，进行口令
强度管理
使用、访问权限进行严格限制
相应的日志检查，审计和归档安全管理策略

表-安全加固等保符合性说明表1
解决方案 名称
控制 类
控制
点 八、、
指标名称
措施名 称
改进动 作