收藏
下载资源

【精品】安全加固方案模板

上传人:野原 文档编号:142935283 上传时间:2020-08-24 格式:DOC 页数:76 大小:726KB
返回 下载 相关 举报
【精品】安全加固方案模板_第1页
第1页 / 共76页
【精品】安全加固方案模板_第2页
第2页 / 共76页
【精品】安全加固方案模板_第3页
第3页 / 共76页
【精品】安全加固方案模板_第4页
第4页 / 共76页
【精品】安全加固方案模板_第5页
第5页 / 共76页
点击查看更多>>
资源描述

《【精品】安全加固方案模板》由会员分享,可在线阅读,更多相关《【精品】安全加固方案模板(76页珍藏版)》请在金锄头文库上搜索。

1、安全加固方案模板 _ xxxxx 公司 安全加固方案 _ 文档日期:xxx 文档版本:xxx 本文档所包含的信息是受 xxx 公司和 xxx 公司所签署的“保密信息交换协议”保护和限制。 在未事先得到 xxx 公司和 xxx 公司书面同意之前,本文档全部或部份内容不得用于其他任何 用途或交与第三方。 第 3 页,共 77 页 目录 第 1 章概述 4 1.1.工作目的 4 1.2.加固方法 4 1.3.风险的应对措施 4 1.4.加固步骤 5 第 2 章加固内容 7 2.1.主机加固 7 2.2.网络加固 8 2.3.未加固项说明 9 第 3 章加固列表 10 3.1.主机加固列表 10 3.

2、2.数据库加固列表 10 3.3.网络加固列表 10 第 4 章加固操作 12 4.1.网络安全加固 12 4.1.1.高等级弱点 12 4.1.2.中等级弱点 13 4.1.3.低等级弱点 14 4.2.XX 统一视频监视平台安全加固操作 15 4.2.1.Windows 主机 15 4.2.2.Oracle 数据库 20 4.3.输 XX 设备状态在线监测系统安全加固操作 22 4.3.1.AIX 主机 22 4.3.2.Linux 主机 27 4.3.3.Windows 主机 30 4.3.4.Oracle 数据库 35 4.4.用 XX 信息采集系统安全加固操作 37 4.4.1.AI

3、X 主机 37 4.4.2.Linux 主机 41 4.4.3.Windows 主机 45 4.4.4.Oracle 数据库 49 4.5.95598XX 互动 XX 安全加固操作 51 4.5.1.Linux 主机 51 4.5.2.Oracle 数据库 54 4.6.XXXX 平台安全加固操作 56 4.6.1.Linux 主机 56 文档信息表 文档基本信息 项目名称 xxxxxx 文档名称安全加固方案 文档版本是否为正式交付件是 文档创建日期当前修订日期 文档审批信息 审阅人职务审阅时间审阅意见 文档修订信息 版本修正章节日期作者变更记录 第 1 章 概述 1.1.工作目的 在前期安全

4、评估过程中,发现 xxxx 主机系统,包括业务主机、数据库、 中间件的多处安全弱点,为降低这些弱点所带来的安全风险,需要针对上述设备 进行相应的安全加固工作,修复已发现的安全弱点,进一步提高 xxxx 的整体安 全性。 为确保安全加固工作能够顺利进行并达到目标,特制定本安全加固方案以 指导该项工作。 1.2.加固方法 为验证和完善主机系统安全加固方案中的内容,尽早规避加固工作中存在 的风险,最终保证 xxxx 系统业务主机顺利完成加固。将首先选取 xxxx 系统测 试机进行安全加固,待加固完成并通过观察确认无影响后再进行 xxxx 系统业务 主机的加固工作。 安全加固工作将由 xxxx(甲方)

5、提供加固操作步骤,由 xxxx(甲方)根据加 固操作步骤对确认后的加固项进行逐项设置。若涉及操作系统、数据库、中间 件补丁的升级,软件版本的升级,需由 xxxx(甲方)协调相关设备售后服务合 同方人员进行。 加固过程中 xxxx(甲方)负责现场指导。 1.3.风险的应对措施 为防止在加固过程中出现的异常状况,所有被加固系统均应在加固操作 开始前进行完整的数据备份。 安全加固时间应尽量选择业务可中止的时段。 加固过程中,涉及修改文件等内容时,将备份源文件在同级目录中,以 便回退操作。 安全加固完成后,需重启主机进行,因此需要 xxxx(甲方)提前申请业务 停机时间并进行相应的人员安排。 在加固完

6、成后,如果出现被加固系统无法正常工作,应立即恢复所做各 项配置变更,待业务应用正常运行后,再行协商后续加固工作的进行方 式。 1.4.加固步骤 图 1-1 安全加固步骤 第 2 章 加固内容 2.1.主机加固 对 Windows、HP-UX、AIX、Linux 等操作系统和 Oracle 数据库进行加固。 序号加固项加固内容 1 帐号权限加固 对操作系统用户、用户组进行权限设置,应用系 统用户和系统普通用户权限的定义遵循最小权限 原则。删除系统多余用户,设置应用系统用户的 权限只能做与应用系统相关的操作;设置普通系 统用户的权限为只能执行系统日常维护的必要操 作 2 网络服务加固 关闭系统中不

7、安全的服务,确保操作系统只开启 承载业务所必需的网络服务和网络端口 3 访问控制加固 合理设置系统中重要文件的访问权限只授予必要 的用户必要的访问权限。限制特权用户在控制台 登录,远程控制有安全机制保证,限制能够访问本 机的用户和 IP 地址 4 口令策略加固 对操作系统设置口令策略,设置口令复杂性要求, 为所有用户设置强壮的口令,禁止系统伪帐号的 登录 5 用户鉴别加固 设置操作系统用户不成功的鉴别失败次数以及达 到此阀值所采取的措施,设置操作系统用户交互 登录失败、管理控制台自锁,设置系统超时自动 注销功能 6 审计策略加固 配置操作系统的安全审计功能,使系统对用户登 录、系统管理行为、入

8、侵攻击行为等重要事件进 行审计,确保每个审计记录中记录事件的日期和 时间、事件类型、主体身份、事件的结果(成功 或失败),对审计产生的数据分配空间存储,并制 定和实施必要的备份、清理措施,设置审计存储 超出限制时的覆盖或转储方式,防止审计数据被 非法删除、修改 2.2.网络加固 对宁夏 XX 力公司 XXXX 五个应用系统的内网出口交换机、核心交换机、核心 路由器、综合区汇聚交换机、办公区汇聚交换机、DMZ 区交换机以及各接入交 换机进加固。 序号加固项加固内容 1 帐号权限加固 对交换机远程访问用户进行权限设置,对管理员 用户和审计用户权限的定义遵循最小权限原则; 设置管理员用户对设备进行配

9、置修改,审计用户 2 网络服务加固 关闭交换机中不安全的服务,确保操作系统只开 启承载业务所必需的网络服务和网络端口 3 访问控制加固 限制用户对网络设备的远程登录 IP 地址和超时设 置;加强远程控制安全机制的保证,如配置 SSH 4 口令策略加固 对网络设备的口令进行加固,确保符合口令复杂 度要求 5 用户鉴别加固 设置设备登录不成功的鉴别失败次数以及达到此 阀值所采取的措施 6 审计策略加固 配置交换机的安全审计功能,日志关联审计服务 器中 7 关键服务器访控、 接入策略加固 配置交换机的 IP-MAC 绑定策略,关闭交换机空 闲端口,增强服务器接入策略 2.3.未加固项说明 各接入交换

10、机的 IOS 版本不具备端口与 MAC 绑定功能。 Windows 主机系统中未关闭远程桌面,考虑到带外管理区未 建立,暂时未关闭。 Windows 主机系统中未修改匿名空连接,由于涉及业务应用 正常运行,暂时未关闭。 Windows 主机系统中未更新补丁,由于操作系统版本较低, 且补丁升级服务器未部署,故暂未进行升级。 AIX、HP 和 Linux 主机中未关闭 FTP,由于现处于数据验证阶 段,FTP 做为验证方式之一,暂未关闭。 Oracle 数据库中未开启日志审计功能,考虑到开启此功能,势 必影响数据库的性能。 Oracle 数据库中未更新补丁,由于数据库版本较低,且补丁升 级风险较大

11、,故暂未进行升级。 各设备和系统中未加固项具体情况及原因详见加固列表。 第 3 章 加固列表 3.1.主机加固列表 序号操作系统名称加固项弱点等级 1 Windows 服务器服务漏洞(MS08-067)高 2 删除服务器上的管理员共享中 3 禁止在任何驱动器上自动运行任何程序中 4 禁用无关的 windows 服务中 5 设置密码策略中 6 设置审计和账号策略中 7 禁止 CD 自动运行低 8 设置交互式登录:不显示上次用户名低 9 Windows 设置关机:清除虚拟内存页面文件低 10 限制 root 用户远程登录中 11 禁用 ntalk/cmsd 服务中 12 禁用或删除不必要的帐号中

12、13 限制 ftp 服务的使用中 14 设置登陆策略低 15 设置密码策略低 XX 禁用 TimeDayTime 服务低 17 AIX 设置系统口令策略中 18Linux 限制能 su 为 root 的用户中 19 禁止 root 用户远程登录中 20 限定信任主机中 21 限制 Alt+Ctrl+Del 命令低 3.2.数据库加固列表 序号Oracle 加固项弱点等级 1 修改数据库弱口令账户中 2 限制客户端连接 IP中 3 设置 oracle 密码策略中 3.3.网络加固列表 序号H3C 加固项弱点等级 1 配置默认级别账户高 2 开启密码加密保存服务中 3 配置失败登陆退出机制中 4

13、部署日志服务器低 第 4 章 加固操作 4.1.网络安全加固 4.1.1.高等级弱点 4.1.1.1.配置默认级别账户 漏洞名称 配置默认级别账户 漏洞描述 一旦网路设备密码被攻破,直接提取网络设备的特权账户权 限,将严重影响设备的安全性。 发现方式 人工评估 风险等级 高 影响范围 加固建议和 步骤 1.首先备份设备配置; 2.交换机命令级别共分为访问、XX、系统、管理 4 个级别, 分别对应标识 0、1、2、3。配置登录默认级别为访问级 (0-VISIT) user-interfaceaux08 authentication-modepassword userprivilegelevel0

14、 setauthenticationpasswordcipherxxx user-interfacevty04 authentication-modepassword userprivilegelevel0 setauthenticationpasswordcipherxxx 加固风险 无 回退建议 根据原设备口令进行还原即可。 建议加固时 间 无加固时间限制 4.1.2.中等级弱点 4.1.2.1.未开启密码加密保存服务 漏洞名称 未开启密码加密保存服务 漏洞描述 明文密码容易被外部恶意人员获取,影响设备的安全。 发现方式 人工评估 风险等级 中 影响范围 加固建议和 步骤 1.首先备份设备

15、配置; 2.更改配置: user-interfaceaux08 userprivilegelevel0 setauthenticationpasswordcipherxxx user-interfacevty04 userprivilegelevel0 setauthenticationpasswordcipherxxx superpasswordlevel1cipherpassword1 superpasswordlevel2cipherpassword2 superpasswordlevel3cipherpassword3 加固风险 无 回退建议 1.更改配置: Noservicepass

16、word-encryption 2.copyrunsave 建议加固时 间 无加固时间限制 4.1.2.2.未配置失败登录退出机制 漏洞名称 未配置失败登录退出机制 漏洞描述 缺少该配置可能导致恶意攻击者进行口令暴力。 发现方式 人工评估 风险等级 中 影响范围 加固建议和 步骤 1.首先备份设备配置; 2.更改配置,请厂家进行配置 加固风险 无 回退建议 清除原配置即可 建议加固时 无加固时间限制 间 4.1.3.低等级弱点 4.1.3.1.缺少日志审计服务 漏洞名称 缺少日志审计服务 漏洞描述 目前宁夏 XX 力公司网络内部缺少集中的安全 XX 审计措施,对于系 统可能发生的安全问题不能有效的预警,不利于对安全事件的审计和 分析。 发现方式 人工评估 风险等级 低 影响范围 加固建议和 步骤 1.首先部署日志服务器; 2

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 模板/表格

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号