《安全加固解决方案范文》由会员分享,可在线阅读,更多相关《安全加固解决方案范文(6页珍藏版)》请在金锄头文库上搜索。
1、安全加固解决方案1.1安全加固解决方案1.1.1安全加固范围及方法确定加固的范围是陕西电视台全台网中的主机系统和网络设备,以及相关的数据库系统。主要有:服务器加固。主要包括对Windows服务器和Unix服务器的评估加固,其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。网络设备加固。主要包括对防火墙,交换机的评估加固。安全加固服务主要以人工的方式实现。1.1.2安全加固流程新加固实旌现场一次评估确加固根据规范及系统特点生成风匿规避方案网络优化方案及系统加固方案7 启用风险规避方案/安全加固流程图加固图错误!文档中没有指定样式的文字。-1安全加固流程图检查当前设备确定系统漏洞 ,重新
2、启动主机确定实施方法图错误!文档中没有指定样式的文字。-2系统加固实施流程图21.1.3安全加固步骤1. 准备工作一人操作,一人记录,尽量防止可能出现的误操作。2. 收集系统信息加固之前收集所有的系统信息和用户服务需求,收集所有应 用和服务软件信息,做好加固前预备工作。3. 做好备份工作系统加固之前,先对系统做完全备份。加固过程可能存在任 何不可遇见的风险,当加固失败时,能够恢复到加固前状态。4. 加固系统按照系统加固核对表,逐项按顺序执行操作。5. 复查配置对加固后的系统,全部复查一次所作加固内容,确保正确无 误。6. 应急恢复当出现不可预料的后果时,首先使用备份恢复系统提供服务,同时与安全
3、专家小组取得联系,寻求帮助,解决问题1.1.4安全加固内容表错误!文档中没有指定样式的文字。-1安全加固内容说明表加固对象操作系统加固项目说明UNIX系统 及类UNIX 系统Solaris ,HP-UX ,AIX,linux,FreeBSD ,OpenBSD ,SCO补丁从厂家网站或者可信任站点下载系统的补丁包,不同 的操作系统版本以及运行不同的服务,都可能造成需 要安装的补丁包不同,因此必须选择适合本机的补丁 包安装。视机器配置而定文件系统UNIX文件系统的权限配置项目繁多,要求也很严 格,不适当的配置可能造成用户非法取得操作系统超 级用户的控制权,从而完全控制操作系统。有30项 左右配置配
4、置文件UNIX配置文件功能有点类似微软的注册表,UNIX对 操作系统配置基本上都是经过各种配置文件来完成, 不合理的配置文件可能造成用户非法取得操作系统超 级用户的控制权,从而完全控制操作系统。例如: /etc/inittab文件是系统加载时首先自动执行的文 件,/etc/hostso equiv是限制主机信任关系的文件 等。有20项左右配置帐号管理帐号口令是从网络访问UNIX系统的基本认证方式, 很多系统被入侵都是因为帐号管理不善,设置超级用 户密码强度,密码的缺省配置策略(例如:密码长 度,更换时间,帐号所在组,帐号锁定等多方面)。 有些系统能够配置使用更强的加密算法。有10项左 右配置网
5、络及服 务UNIX有很多缺省打开的服务,这些服务都可能泄露 本机信息,或存在未被发现的安全漏洞,关闭不必要 的服务,能尽量降低被入侵的可能性。例如r系列服 务和rpc的rstatd都出过不止一次远程安全漏洞。 UNIX缺省的网络配置参数也不尽合理,例如TCP序 列号随机强度,对D。oo S攻击的抵抗能力等,合理 配置网络参数,能优化操作系统性能,提高安全性。 视机器配置而定30项NFS系统网络文件系统协议最早是SUN公司开发出来的,以实 现文件系统共享。NFS使用RPC服务,其验证方式存 在缺陷,NFS服务的缺省配置也很不安全,如果必须 使用NFS系统,一定进行安全的配置。视操作系统 而定应用软件我们建议操作系统安装最小软件包,例如不安装开发 包,不安装不必要的库,不安装编绎器等,但很多情 况下必须安装一些软件包。 APACHE或NETSCAPE ENTERPRISE SERVER 是一般 UNIX 首选的 WEB 服务 器,其配置本身就是一项独立的服务邮件和域名服务 等都需要进行合理的配置。
