文档介绍:
安全加固范围及方法确定
加固的范围是陕西电视台全台网中的主机系统和网络设备,以及相关的数据 库系统。主要有:
服务器加固。主要包括对Windows服务器和Unix服务器的评估加固,
其中还包括对服务器操作系统W2K
(workstati
on ,
server , professiona
l ,
advanced server )
补丁
微软操作系统对新发现的漏洞修补是使用 Service
Pack 及 hotfix,
另外,还需要安装C2级安全配置。[视机器配置而定]
文件系统
配置NTFS文件系统,NTFS可以支持更多更强大的的 安全配置,设置需要特殊保护的目录和文件,设置不 同目录和文件的权限,移动或删除特别的系统命令文 件,增加入侵者操作的难度。[有20项左右配置]
帐号管理
帐号口令是从网络访问NT/2K系统的基本认证方式, 很多系统被入侵都是因为帐号管理不善,设置超级用 户密码强度,密码的缺省配置策略(例如:密码长度, 更换时间,帐号所在组,帐号可访问资源,帐号锁定 等多方面),GUESTS以及加强的密码管理(SYSKEY) 等。[有10项左右配置]
网络及服 务
网络和服务是互联网上用户与此服务器接口的部分, 网络协议的配置不当,服务进程设置不当,都可能为 入侵系统打开方便之门。合理地配置网络及服务将能 阻挡80%的普通入侵[视机器配置而定]
注册表
微软操作系统缺省的安装是为了能兼容各种运行环 境,因此很多权限设置都很宽,这不符合"最小权限" 的基本原则,我们需要根据不同的环境,备份注册表, 再人为地更改注册表内容,配置最小权限的稳定运行 的系统。例如:不允许远程注册表配置,设置LSA尽 量减少远程用户可以获取的信息,设置注册表本身的 访问控制,禁止空连接,对其它操作系统和POSIX的 支持,对登录信息的缓存等。也有很多选项需要根据 不同用户需求来制定,例如:当安全策略因为某些因 素(磁盘满)而不能运作时,是否强制系统停止运行。 [有40项以上配置]
共享
共享是向网络上的用户开放对本机的资源访问权限, 不合理的配置以及系统的缺省共享配置,都可能造成 远程用户对系统的文件,打印机等资源的非法访问和 操作。我们需要删除不必要的共享,合理配置共享的 访问控制列表。[视机器配置而定]
应用软件
我们建议安装最小的软件包,不安装不必要的应用软 件。但是很多情况应用软件提供不可缺少的服务,这 时我们就必须安全地配置它们。IE被微软绑定为操 作系统的一部分,IE的安全直接影响到系统的安全。 我们需要升级IE的版本,安装IE的补丁,设置IE 的安全级别,及各项安全相关配置outlook, powerpoint及其它等多种软件都可能存在安全问题, 需要安装补丁程序。IIS提供WWW的服务,这是一般 NT服务器首选的WEB服务器,但是IIS本身存在很多 安全漏洞,直到现在仍然经常发现新的安全漏洞,IIS 的缺省配置,目录设置,权限设置,安全设置等多方 面配置不当也是系统安全的巨大隐患。IIS的加固本 身就可以成为一项独立的服务内容。[视机器配置而 定]
审计,日 志
做好系统的审计和日志工作,对于事后取证追查,帮 助发现问题,都能提供很多必要信息[视机器配置而 定]
其它
其它方面视不同环境而定,例如需要删除多余的系统 安装包,安装主机防病毒软件,等多项操作。
最后工作
重新制」作新的系统紧急恢复盘(ERD),建议用户做系统 完全备份,并对关键部份做数字签名。
网络设备
交换机,路由 器,防火墙
检查及加 固项目会 根据不同 厂商的设 备而不 同,具体 内容在加 固前将会 根据评估 的实际情 况而定
制订或调整完善网络设备安全策略
配置登录地址限制
配置登录用户身份鉴别
配置特权用户权限分离
消除共享用户
配置口令复杂度与更换要求
配置登录失败处理功能
配置远程管理采用SSH等加密方式
采购与配置网络设备双因素鉴别设备
用户拿到IOS升级包,在设备厂家工程师现场协助下 进行IOS升级。
关闭不必要的服务
关闭不使用的网络接口
给出重要协议、地址和端口访问控制配置原型
SNMP,TFTP,NTP 等服务
建议网络设备的配置文件离线备份,并由专人保管
期进行网络设备用户和口令维护,进行口令强度管理
使用、访问权限进行严格限制
相应的日志检查,审计和归档安全管理策略
满足指标
表错误!文档中没有指定样式的文字。-2安全加固等保符合性说明表1
解决方案名称
控制类
控制点
指标名称
措施名称
改进动作
改进对象
安全加固解决 方案
网络安 全