安全加固方案

第1页，共12页安全加固方案1安全加固概述随着网络技术的飞速发展，网络安全逐渐成为影响信息系统业务发展的关键问题。由于信息系统拥有各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，对其进行安全加固增加其安全性是十分必要的。安全加固是指参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，对信息系统涉及的主机、网络设备、应用及数据库的脆弱性进行分析并修补，包括安全配置加固和漏洞修补，增强用户信息系统抗攻击能力，有效减轻系统总体安全风险，提升信息系统安全防范水平，可以建立起一套适应性更强的安全保障基线，有效构建起信息系统安全堤坝。2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。2.1基线加固2.1.1主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。第2页，共12页AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQLServer、MySQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。加固方法包括：对数据库安全策略、服务等进行安全加固；加强对敏感存储过程的管理，尤其是能执行操作系统命令的存储过程。Oracle数据库安全加固内容：账号、口令、授权、日志审计、远程操作连接。Linux版MySQL数据库安全加固内容：认证授权（以非root用户启动MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。Windows版MySQL安全加固内容：认证授权（以普通用户权限运行MySQL、口令策略、共享帐号、最小权限、IP地址限制、删除无关帐号）、日志审计、安全文件权限配置、连接数限制。SQLServer数据库安全加固内容：账号、口令、授权、日志审计、通信协议、补丁、停用不必要的存储过程。2.1.3中间件程序加固针对不同中间件类型如IIS、Tomcat、Weblogic、Apache等进行加固，加固内容包括中间件程序安全策略、服务等。IIS中间件安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、文件系统及访问权限、IIS服务组件、隐藏IIS版本号及敏感信息、版本和补丁管理、IP协议安全配置操作、连接数限制。Linux版Apache安全加固内容:认证授权设置、以非root用户启动Apache、目录安全配置、限制IP地址访问、日志审计设置、配置错误日志、配置访问日志、其他安全设置、隐藏Apache版本号、关闭目录浏览功能（必选）、禁用Apache的执行功能、防御拒绝服务攻击、自定义错误页面、升级使用最新版Apache。Windows版Apache安全加固内容：认证授权设置、以普通用户权限运行Apache、第3页，共12页目录安全配置、限制IP地址访问、日志审计设置、配置错误日志、配置访问日志、其他安全设置、隐藏Apache版本号、关闭目录浏览功能（必选）、禁用Apache的执行功能、防御拒绝服务攻击、自定义错误页面。Tomcat中间件安全加固内容：账号、口令、授权、日志配置操作、定时登出、错误页面处理、目录列表访问限制。Weblogic中间件安全加固内容：账号、口令、授权、日志、审计、其他安全配置、定时登出、错误页面处理、禁用SendServerheader。2.1.4网络设备加固对二层交换设备、三层交换设备、路由器、防火墙等网络设备进行加固，加固服务的内容包括：访问控制、安全审计、网络设备防护等安全项加固。CISCO网络设备安全加固内容：账号、口令、密码复杂度、加固CON端口的登录、加固AUX端口的管理、对网络设备的管理员登录地址进行限制、HTTP登录安全加固、设置登录超时时间、用户权限分配、限制具备管理员权限的用户远程登录、日志配置、日志安全要求、远程日志功能、防止地址欺骗、SNMP服务器配置、使用ssh加密传输、禁用空闲端口、端口级的访问控制策略。HUAWEI网络设备安全加固内容：用户帐号分配、限制具备管理员权限的用户远程登录、无效账户清理、静态口令复杂度、静态口令加密、密码重试、加固CON端口的登录、加固AUX端口的管理、对网络设备的管理员登录地址进行限制、远程登录加密传输、设置登录超时时间、用户权限分配、配置日志功能、对用户操作进行记录、对用户登录进行记录、开启NTP服务保证记录的时间的准确性、远程日志功能、ACL配置、防止地址欺骗、SNMP服务器配置、配置SNMPV2或以上版本、修改SNMP的Community默认通行字、动态路由协议口令要求配置MD5加密、禁止发布或接收不安全的路由信息、MPLS安全、禁用空闲端口、关闭不必要的服务。H3C网络设备安全加固内容：账号、设备特权口令、密码复杂度、设置特权口令(推荐)、关闭未使用的端口、账号口令、Console口密码保护、禁止无关账号、日志配置操作、审核登录、VTY端口防护策略、远程主机IP地址段限制、远程管理通信安全、更改SNMP服务读写权限管理、修改SNMP默认的Community字符串、Community字符串加密、IP/MAC地址绑定、ARP攻击防御、ARP防止IP报文攻击、关闭设备FTP服第4页，共12页务、防源地址欺骗攻击、端口隔离、启用端口安全功能。2.2漏洞修复漏洞指的是计算机系统(操作系统和应用程序)的缺陷，攻击者可以通过这些缺陷进行非法入侵，实施恶意行为。漏洞修复对这些缺陷进行修补，以减少系统漏洞的暴露。在安全事件发生前防患于未然，包括主机漏洞修复、第三方产品漏洞和应用漏洞，主机漏洞修复主要通过补丁升级、版本升级来修复，第三方产品漏洞需厂商配合，应用漏洞需开发商对软件源码进行修复，我司主要负责漏洞修复工作的跟踪和指导。2.3安全设备调优根据信息系统的安全情况和风险情况逐步调整已有的防火墙、堡垒机、安全监控平台、日志审计平台、IPS、WAF等安全设备策略配置，达到最佳的安全防护效果。3加固实施流程安全加固流程包括加固准备阶段、方案编制阶段、加固实施阶段和项目结项阶段四个阶段，具体实施流程如下：第一阶段：加固准备阶段此阶段的主要工作是召开项目启动会告知用户安全加固实施流程、实施方法、实施计划、需配合事项并确定安全加固配合人员和加固需求。第二阶段：方案编制阶段此阶段的主要工作是根据调研情况编制安全加固实施方案和加固作业指导书，并得到用户确定；第三阶段：加固实施阶段此阶段的主要工作是搭建模拟环境按照加固方案和加固作业指导书对安全加固策略进行测试，测试通过后进行加固实施；第四阶段：项目结项阶段此阶段的主要工作是对加固过程中产生的数据和资料进行整理并编制安全加固报告。第5页，共12页图1：安全加固流程图加固准备阶段信息收集与分析安全检查项目启动会加固范围确定方案编制阶段作业指导书开发是加固实施阶段加固授权加固工具表单准备加固实施项目结项阶段加固后续情况跟踪是应急响应否加固内容确定加固实施方案编制方案评加固效果检验否是否造成事安全加固实施记录表安全加固报告安全加固授权书安全加固作业指导书安全加固方案项目启动会会议记录安全检查问题清单加固项目调研表加固结项会加固报告编写加固测试通是修订否安全加固测试记录表第6页，共12页4安全加固过程（注）下述过程包括但不限于所有加固服务，具体加固内容可参考(本文2安全加固内容）4.1windows操作系统4.1.1开启密码策略实施对象Windows操作系统实施目的增强用户口令安全性，增加暴力破解口令的难度。实施步骤在DOS窗口下输入“gpedit.msc”打开组策略计算机配置Windows设置安全设置账户策略密码策略，进行如下设置：回退方案修改上图安全设置的值为原始默认值。备注4.1.2开启登录失败处理实施对象Windows操作系统实施目的增加用户口令被暴力破解的难度。实施步骤在DOS窗口下输入“gpedit.msc”打开组策略计算机配置Windows设置安全设置账户策略账户锁定策略，进行如下设置：第7页，共12页回退方案修改上图安全设置的值为原始默认值。备注第8页，共12页4.1.3开启审核策略实施对象Windows操作系统实施目的记录重要用户行为、系统资源异常使用、重要系统命令等安全事件。实施步骤在DOS窗口下输入“gpedit.msc”打开组策略计算机配置Windows设置安全设置本地策略审核策略，进行如下设置：回退方案修改上图安全设置的值为原始默认值。备注第9页，共12页4.1.4关闭不必要的服务实施对象Windows操作系统实施目的减小被攻击的范围。实施步骤在dos窗口下输入services.msc打开服务，关闭如下服务：DHCPClientRemoteRegistryServerTaskScheduler回退方案开启上述服务。备注停止上述服务均需要系统管理员进行确认，不会对业务服务造成影响。否则不能关闭。例如：停止DHCPClient服务可能会造成IIS出现问题。4.1.5关闭不必要的端口实施对象Windows操作系统实施目的减小被攻击的范围。实施步骤方法一：关闭不必要的服务，即关闭了该服务对应的端口。方法参见“关闭不必要的服务”。方法二：启用Windows防火墙，对不必要的端口进行阻拦。开始控制面板Windows防火墙，开启Windows防火墙。回退方案开启已关闭的服务。关闭Windows防火墙。备注4.1.14.1.6系统补丁升级等保控制点入侵防范（G3）等保要求项a）操作系统应遵循最小安装原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。实施目的1.通过内网WSUS补丁升级服务器，对本机Windows操作系统的补丁进行升级，增强系统的安全性。2.手动下载微软官方补丁。实施步骤1.在DOS窗口下输入“gpedit.msc”打开组策略计算机配置管理模版WindowsUpdate，进行如下设置：第10页，共12页第11页，共12页2.手动下载补丁更新：官方补丁平台。第12页，共12页回退方案备注WSUS更新：建议重新启动WindowsUpdate服务，以便使得上述策略生效。搭建的WSUS服务器地址：10.43.152.264.1.7重命名系统管理员用户实施对象Windows操作系统实施目的防止猜测用户名，增加暴力破解难度。实施步骤在DOS窗口下输入“gpedit.msc”打开组策略计算机配置Windows设置安全设置本地策略安全选项，进行如下设置：第13页，共12页回退方案修改上图安全设置的值为原始默认值。备注4.1.8删除并禁止默认共享实施对象Windows操作系统实施目的防止遭到默认共享漏洞攻击。实施步骤方法一：打开dos窗口，手动删除C$等默认共享：方法二：打开regedit本地注册表，新增如下3个键值：第14页，共12页方法三：在dos窗口下输入services.msc，打开服务，停止server服务，启动类型设置为禁用：第15页，共12页回退方案删除上图注册表项的3个键值。设置server服务的启动类型